CobiT

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control

Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin,

seguridad y aseguramiento TI. Como consecuencia de su rpida difusin internacional, ambas instituciones

disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de

las TI en el mbito de la empresa.

Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para

tecnologas de la informacin y similares).

Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos

fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan

evolucionado segn las prcticas sealadas por CobiT estn ms cerca de adaptarse y lograr la certificacin

en ISO 27001.

CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada

proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de

control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin

completa de cmo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra

en los procesos de negocio.

No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo

personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified

Information Security Manager (CISM), "Certified in the Governance of Enterprise IT" (CGEIT) y "Certified

in Risk and Information Systems Control" (CRISC).

COSO-Enterprise Risk Management /
SOX
El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector

privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan

informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido

una definicin comn de controles internos, normas y criterios contra los cuales las empresas y

organizaciones pueden evaluar sus sistemas de control.

COSO est patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de

contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association

(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of

Management Accountants (IMA).

El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995

y COSO de 1992/94).

Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de

riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con

una matriz tridimensional, en forma de cubo.

Las cuatro categoras de objetivos (estrategia, operaciones, informacin y conformidad) estn representadas

por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad,

por la tercera dimensin del cubo.

Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.
Informacin adicional en el informe ejecutivo y marco general de la norma.

COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestin TI.

COSO est teniendo una difusin muy importante en relacin a la conocida como Ley Sarbanes-Oxley. No se

trata de un marco o estndar especfico de seguridad de la informacin pero, por el impacto que est

teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la informacin, conviene

mencionarlo en esta seccin.

La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores

frente a una falsa presentacin de la situacin de las empresas. Entr en vigor el 30 de julio de 2002 y tiene

validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de

aquel pas.

Adems del registro en un servicio de inspeccin pblica, SOX exige el establecimiento de un sistema de

control interno para la elaboracin de informes financieros. La ley requiere una mayor transparencia de

informacin, ampla los deberes de publicacin y formaliza los procesos que preceden a la elaboracin de un

informe de la empresa.

Es la ya famosa Seccin 404 la que establece que la gerencia debe generar un informe anual de control

interno, en el cual se confirme la responsabilidad de la direccin en la implantacin y mantenimiento de unos

procedimientos y una estructura de control interno adecuados para la informacin financiera. El marco ms

empleado por las empresas para cumplir con esta obligacin es, precisamente, el de gestin del riesgo

empresarial de COSO.

Este sistema de control tiene tambin un importante reflejo en el rea de seguridad de la informacin. Uno

de los marcos que ms se utilizan para implantar el sistema en esta rea es CobiT. Ms especficamente,

ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de

COSO, con referencias cruzadas a CobiT.

ITIL
IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin

de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias

y experiencia de cada proveedor de servicios.

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso

de BSI, itSMF y OGC, con el propsito de que los dos conjuntos de publicaciones formen parte de la misma

estructura lgica para mejor comprensin en su publicacin y difusin.

ITIL v2 (versin 2) sirve de base para el estndar ISO 20000 y consta de 7 bloques principales: Managers

Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y

Environmental.

Las reas cubiertas por ITIL en cada documento publicado por la OGC son:

Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es

gestionado adems de la mejor forma posible.

Entrega del servicio: administracin de los servicios de soporte y mantenimiento que se prestan al cliente.

Planificacin de la implantacin: determina las ventajas de implantar ITIL en una determinada

organizacin.

Administracin de aplicaciones: conjunto de buenas prcticas para la gestin de todo el ciclo de vida de las

aplicaciones, centrndose sobre todo en definicin de requisitos e implementacin de soluciones.

Administracin de la infraestructura de tecnologas de la informacin y comunicaciones: gestin de la

administracin de sistemas como mquinas, redes o sistemas operativos, entre otros.

Administracin de seguridad: proceso para la implantacin de requerimientos de seguridad; relaciona las

reas ITIL de soporte y entrega de servicio.

Administracin de activos de software: pautas necesarias para la gestin del software adquirido y/o de

desarrollo propio.

Entrega de servicios desde un punto de vista de negocio: fidelizacin de clientes, servicios de

externalizacin y gestin del cambio, entre otros.

Actualmente existe una nueva versin ITIL V3 que fue publicada en mayo de 2007 que incluye cinco libros

principales, concretamente: Diseo de Servicios de TI, Introduccin de los Servicios de TI, Operacin de los

Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte

de las prcticas actuales de la versin 2 en torno al Ciclo de Vida de los Servicios.