1. El COBIT es un acrónimo para Control Objectives for Information and related Technology
(Objetivos de Control para tecnología de la información y relacionada); desarrollada por la
Information Systems Audit and Control Association (ISACA) y el IT Governance Institute
(ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de
proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La
metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno
sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos
tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para
mejorar las prácticas de planeación, control y seguridad de las Tecnologías de
Información.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los
beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto
TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a
cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva
acorde a los recursos disponibles y acompasando la estrategia empresarial.
Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en
toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.
Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la implementación
como forma de promover la eficiencia y buena gestión de los procesos de tecnología que
nos permita compararnos y mejorar día a día en pos de la concreción de los Objetivos de
Negocio
En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas
de administración y dirección de los recursos de tecnología. Aparecerán
nuevas herramientas de la familia de productos COBIT y nuevos recursos con los cuales
mejorar la administración.
Se continuará refinando el producto en sí, mejorando la calidad de sus referencias
cruzadas, su relacionamiento con otros modelos, estándares y normas. Se procurará
institucionalizar y mejorar la calidad de las versiones en otras lenguas y, sin duda,
continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base
de dirección.
¿Qué es COBIT?
2. ¿QUE ES ITIL?
Information Technology Infrastructure Library
(Biblioteca de Infraestructura de Tecnologías de Información)frecuentemente
abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la
entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un
extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones
a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son
independientes del proveedor y han sido desarrollados para servir de guía para que
abarque toda infraestructura, desarrollo y operaciones de TI.
Las ventajas de ITIL para los clientes y usuarios
• Mejora la comunicación con los clientes y usuarios finales a través de los diversos
puntos de contacto acordados.
• Los servicios se detallan en lenguaje del cliente y con más detalles.
• Se maneja mejor la calidad y los costos de los servicios.
• La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los
mismos y relación entre el cliente y el departamento de IT.
• Una mayor flexibilidad y adaptabilidad de los servicios.
3. Ventajas de ITIL para TI
• La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra
más en los objetivos de la organización.
• La administración tiene un mayor control, se estandarizan e identifican los
procedimientos, y los cambios resultan más fáciles de manejar.
• La estructura de procesos en IT proporciona un marco para concretar de manera mas
adecuada los servicios de outsourcing.
• A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su
orientación hacia el servicio, y se facilita la introducción de un sistema de administración
de calidad.
• ITIL proporciona un marco de referencia uniforme para la comunicación interna y con
proveedores.
Desventajas
• Tiempo y esfuerzo necesario para su implementación.
• Que no se dé el cambio en la cultura de las área involucradas.
• Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos,
indicadores y como pueden ser controlados.
• Que el personal no se involucre y se comprometa.
• La mejora del servicio y la reducción de costos puede no ser visible.
• Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer
inútiles y no se alcancen las mejoras en los servicios.
4. ¿QUE ES ISM3?
La publicación del ISM3 (Information Security Management Maturity Model) ofrece un
nuevo enfoque de los sistemas de gestión de seguridad de la información (ISM).
ISM3 nace de la observación del contraste existente entre el número de organizaciones
certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en
todo el mundo). ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de
calidad para sistemas de gestión de la seguridad de la información. ISM3 proporciona un
marco para ISM que puede utilizarse tanto por pequeñas organizaciones que realizan sus
primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones
como parte de sus procesos de seguridad de la información...
Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de
“código libre”, tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer
sistemas ISM en organizaciones que utilicen estándares como COBIT, ITIL, CMMI y
ISO17799.
Está estructurado en niveles de madurez, de modo que cada organización puede elegir un
nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que
suponen una barrera a la implantación de sistemas de ISM, ISM3 sigue un punto de vista
cualitativo, empezando por analizar los requerimientos de seguridad del negocio.
Permite a la empresa aprovechar la infraestructura actual, fortaleciéndola mediante un
sistema de calidad, y alcanzado niveles de madurez certificables según el sistema de ISM
evoluciona.
Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que
previenen y mitigan incidentes de las tareas estratégicas y tácticas que identifican los
activos a proteger, las medidas de seguridad a emplear, y los recursos que han de
dedicarse a estas. Se describe un proceso de certificación que permite a una organización
autoevaluar su madurez, o bien obtener una certificación de un auditor independiente.