El estndar Cobit (Control ObjectivesforInformation and relatedTechnology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin

de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de:
y y y y

Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin

El estndard define el trmino control como: Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables Por tanto, la definicin abarca desde aspectos organizativos (p.ej. flujo para pedir autorizacin a determinada informacin, procedimiento para reportar incidencias, seleccin de proveedores, etc.) hasta aspectos ms tecnolgicos y automticos (p.ej. control de acceso a los sistemas, monitorizacin de los sistemas mediante herramientas automatizadas, etc.). Por otra parte, todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propsito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias. En consecuencia, para cada objetivo de control de nuestra organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias). Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero creo que muestran de forma prctica las diferentes definiciones. Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios:
y y y y

Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Supervisin y Evaluacin

En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados:

Por otra parte, la organizacin dispone de recursos (aplicaciones, informacin, infraestructura y personas) que son utilizados por los procesos para cubrir los requisitos del negocio:
y y y y y y y

Efectividad (cumplimiento de objetivos) Eficiencia (consecucin de los objetivos con el mximo aprovechamiento de los recursos) Confidencialidad Integridad Disponibilidad Cumplimiento regulatorio Fiabilidad

Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona

indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por estndares como ISO 15504:
y y y y y y

Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los objetivos Nivel 1 Proceso ejecutado Nivel 2 Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado. Nivel 3 Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado. Nivel 4 Proceso predecible: se han definido tcnicas de medicin de resultados y controles. Nivel 5 Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.

En general, gran parte de los puntos que se exponen a continuacin pueden ser mapeados a los controles definidos en el estndar ISO 27002.

Planificacin y Organizacin
La direccin de la organizacin debe implicarse en la definicin de la estrategia a seguir en el mbito de los sistemas de informacin, de forma que sea posible proporcionar los servicios que requieran las diferentes reas de negocio. Para ello, Cobit presenta 10 procesos:
y y y y

y y y

y y y

PO1 Definicin de un plan estratgico: gestin del valor, alineacin con las necesidades del negocio, planes estratgicos y tcticos. P02 Definicin de la arquitectura de informacin: modelo de arquitectura, diccionario de datos, clasificacin de la informacin, gestin de la integridad. P03 Determinar las directrices tecnolgicas: anlisis de tecnologas emergentes, monitorizar tendencias y regulaciones. P04 Definicin de procesos IT, organizacin y relaciones: anlisis de los procesos, comits, estructura organizativa, responsabilidades, propietarios de la informacin, supervisin, segregacin de funciones, polticas de contratacin. P05 Gestin de la inversin en tecnologa: gestin financiera, priorizacin de proyectos, presupuestos, gestin de los costes y beneficios. P06 Gestin de la comunicacin: polticas y procedimientos, concienciacin de usuarios. P07 Gestin de los recursos humanos de las tecnologas de la informacin: contratacin, competencias del personal, roles, planes de formacin, evaluacin del desempeo de los empleados. P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas de medicin y monitorizacin de la calidad, estndares de desarrollo y adquisicin. P09 Validacin y gestin del riesgo de las tecnologas de la informacin P10 Gestin de proyectos: planificacin, definicin de alcance, asignacin de recursos, etc.

Podemos encontrar puntos de conexin con otros estndares y marcos de trabajo que nos pueden servir de soporte: Cobit Relacionado P04 Definicin de procesos IT, organizacin Procesos segn ISO y relaciones P05 Gestin de la inversin en tecnologa P08 Gestin de la calidad P09 Validacin y gestin del riesgo de las tecnologas de la informacin P10 Gestin de proyectos Val IT y VMM (Value Measuring Methodology) ISO 9000 BS 7799-3 (Guidelines for information security risk management) PMBok y PRINCE2

Adquisicin e Implementacin
Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentre alineado con las necesidades del negocio, el estndar Cobit define los siguientes 7 procesos:
y y y y y

AI1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del riesgo, estudio de la viabilidad. AI2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles sobre la seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan de infraestructuras, controles de proteccin y disponibilidad, mantenimiento. AI4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y personal de soporte. AI5 Obtencin de recursos tecnolgicos: control y asignacin los recursos disponibles, gestin de contratos con proveedores, procedimientos de seleccin de proveedores. AI6 Gestin de cambios: Procedimientos de solicitud/autorizacin de cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos. AI7 Instalacin y acreditacin de soluciones y cambios: Formacin, pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin.

Es posible identificar relaciones entre los procesos de este apartado con los presentados por el estndar ISO 12207: Cobit AI1 Identificacin de soluciones AI2 Adquisicin y mantenimiento ISO 12207 5.1 Adquisicin 5.1 Adquisicin, 5.2 Suministro, 5.3 Desarrollo, 5.5

de aplicaciones AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica AI4 Facilidad de uso AI5 Obtencin de recursos tecnolgicos AI6 Gestin de cambios AI7 Instalacin y acreditacin de soluciones y cambios

Mantenimiento, 6.2 Gestin de configuraciones 5.1 Adquisicin, 5.2 Suministro, 5.5 Mantenimiento, 7.2 Infraestructura 6.1 Documentacin, 6.8 Resolucin de problemas, 7.1 Gerencia, 7.4 Formacin 7.2 Infraestructuras 5.2 Suministro, 5.5 Mantenimiento, 7.3 Mejoras 6.3 Verificacin de la calidad, 6.4 Verificacin, 6.5 Validacin, 6.6 Integracin, 6.7 Auditora

Como soporte a los procesos de este apartado es posible utilizar metodologas de desarrollo y modelos de capacidad como ISO 15504 y CMMI.

Entrega y Soporte
La entrega y soporte de servicios se encuentran constituidos por diversos procesos orientados a asegurar la eficacia y eficiencia de los sistemas de informacin. El estndar Cobit ha definido 13 procesos diferentes:
y y

y y y

y y y y y y

DS1 Definicin y gestin de los niveles de servicio: SLA con usuarios/clientes DS2 Gestin de servicios de terceros: gestin de las relaciones con proveedores, valoracin del riesgo (non-disclousureagreements NDA), monitorizacin del servicio. DS3 Gestin del rendimiento y la capacidad: planes de capacidad, monitorizacin del rendimiento, disponibilidad de recursos. DS4 Asegurar la continuidad del servicio: plan de continuidad, recursos crticos, recuperacin de servicios, copias de seguridad. DS5 Garantizar la seguridad de los sistemas: gestin de identidades, gestin de usuarios, monitorizacin y tests de seguridad, protecciones de seguridad, prevencin y correccin de software malicioso, seguridad de la red, intercambio de datos sensibles. DS6 Identificar y asignar costes DS7 Formacin a usuarios: identificar necesidades, planes de formacin. DS8 Gestin de incidentes y HelpDesk: registro y escalado de incidencias, anlisis de tendencias. DS9 Gestin de configuraciones: definicin de configuraciones base, anlisis de integridad de configuraciones. DS10 Gestin de problemas: identificacin y clasificacin, seguimiento, integracin con la gestin de incidentes y configuraciones. DS11 Gestin de los datos: acuerdos para la retencin y almacenaje de los datos, copias de seguridad, pruebas de recuperacin.

y y

DS12 Gestin del entorno fsico: acceso fsico, medidas de seguridad, medidas de proteccin medioambientales. DS13 Gestin de las operaciones: planificacin de tareas, mantenimiento preventivo.

En general, gran parte de los aspectos descritos se encuentran relacionados con las guas proporcionadas por ITIL (InformationTechnologyInfraestructure Library) y el estndar ISO 20000. Por otra parte, existen procesos determinados que pueden ser vinculados a otros estndares: Cobit DS2 Gestin de servicios de terceros DS4 Asegurar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costes Relacionado eSCM-CL Client Organization y eSCM-SP Service Provider BS 25999-1 (Business Continuity Management) y guas BCI (Business Continuity Institute) Open Source Security Tests methodology (OSSTMM) y Information System Security Assessment Framework Activity-BasedCosting (ABC)

Supervisin y Evaluacin
El ltimo dominio se centra en la supervisin de los sistemas con tal de:
y y y

Garantizar la alineacin con la estratgica del negocio Verificar las desviaciones en base a los acuerdos del nivel de servicio Validar el cumplimiento regulatorio

Esta supervisin implica paralelamente la verificacin de los controles por parte de auditores (internos o externos), ofreciendo una visin objetiva de la situacin y con independencia del responsable del proceso. El estndar Cobit define los siguientes 4 procesos:
y y y y

ME1 Monitorizacin y evaluacin del rendimiento ME2 Monitorizacin y evaluacin del control interno ME3 Asegurar el cumplimiento con requerimientos externos ME4 Buen gobierno

Conclusin
El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte,

permite el uso de otros marcos de trabajo ms especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit.

Fuentes de informacin
Para la elaboracin de este artculo me he basado en el estndar Cobit 4.1 y el paper Auditoria i ProgramariLliure (autores Joan Puig y Sergi Blanco).