La perspectiva de Cyber Academy
COBIT es el marco de ISACA para el gobierno y la gestión de las TI empresariales. La edición actual es COBIT 2019. Es el marco que utilizan las Big Four para evaluar la madurez del gobierno de TI y la referencia para la credencial CGEIT. Más estratégico que ISO 27001; menos prescriptivo que NIST.
Lo que COBIT realmente gobierna
COBIT es el marco de ISACA para el gobierno y la gestión de las TI de la empresa. Su distinción fundamental, y aquella en la que más tropiezan los profesionales, es la línea que traza entre gobierno y gestión. El gobierno corresponde al consejo de administración y a la alta dirección: fijar el rumbo, evaluar opciones y supervisar los resultados. La gestión consiste en planificar, construir, operar y supervisar las actividades que materializan ese rumbo. COBIT mantiene ambas dimensiones como dominios separados, de modo que quienes deciden qué deben lograr las TI no sean las mismas personas que informan sobre si se logró.
Esa separación es la razón por la que los auditores recurren a COBIT cuando una norma de seguridad de la información no es suficiente. ISO 27001 le indica cómo operar un sistema de gestión de la seguridad de la información. NIST le ofrece un catálogo de controles y resultados. COBIT se sitúa por encima de ambos: responde a si las TI en su conjunto están orientadas hacia los objetivos de la empresa, si el riesgo y los recursos se gestionan de forma responsable, y si las partes interesadas obtienen valor. Es más amplio que la seguridad y deliberadamente menos prescriptivo que una lista de controles.
La estructura de COBIT 2019
La edición actual es COBIT 2019. Organiza el trabajo en objetivos agrupados bajo dominios de gobierno y gestión, y asocia a cada uno los componentes necesarios para que funcione: procesos, estructuras organizativas, políticas, flujos de información, cultura, competencias y servicios. La idea es que un proceso sobre el papel no significa nada si faltan las estructuras, las competencias y la cultura que lo rodean, por lo que COBIT le obliga a examinarlos todos en conjunto.
Dos ideas hacen que COBIT 2019 sea utilizable en la práctica y no solo un cartel en la pared:
- Los factores de diseño. La estrategia de la empresa, el perfil de riesgo, los requisitos de cumplimiento, el papel de las TI y el modelo de aprovisionamiento determinan en conjunto qué objetivos merecen atención. COBIT no supone que cada organización necesite el mismo sistema de gobierno, de modo que usted adapta el marco al contexto en lugar de adoptarlo en bloque.
- La capacidad y la madurez. Cada objetivo de gobierno y gestión puede valorarse en una escala de capacidad, y el marco también admite una visión de la madurez por áreas de enfoque. Así es como las Big Four y los equipos de auditoría interna producen una imagen defendible del «dónde estamos, dónde deberíamos estar» en lugar de una opinión subjetiva.
Dónde encaja COBIT junto a otros marcos
Los profesionales casi siempre utilizan COBIT junto a otros marcos en lugar de en su lugar. Un patrón habitual: COBIT define los objetivos de gobierno y la línea base de madurez, ISO 27001 operativiza la seguridad de la información, ITIL gestiona los servicios, y un marco de riesgo alimenta la imagen del riesgo. COBIT se convierte en el paraguas que muestra cómo estas piezas sirven a los objetivos de la empresa y dónde están las brechas.
| Marco | Enfoque principal | Posicionamiento |
|---|---|---|
| COBIT | Gobierno y gestión de las TI de la empresa | Estratégico, a nivel de marco, adaptado al contexto |
| ISO 27001 | Sistema de gestión de la seguridad de la información | Certificable, operativo, alcance de seguridad |
| Marcos NIST | Resultados de ciberseguridad y catálogos de controles | Detallado, prescriptivo, orientado a controles |
| ITIL | Gestión de servicios de TI | Operativo, centrado en la entrega de servicios |
COBIT es también el cuerpo de conocimiento que sustenta la credencial CGEIT de ISACA, dirigida a los profesionales responsables del gobierno de las TI de la empresa. Si su función es asegurar o diseñar cómo se dirigen las TI a nivel del consejo, COBIT es el marco de referencia y CGEIT la certificación correspondiente.
Frequently asked questions
01¿Es COBIT un marco de seguridad como ISO 27001?
No. COBIT gobierna y gestiona las TI de la empresa en su conjunto, no solo la seguridad de la información. ISO 27001 es una norma certificable de gestión de la seguridad que operativiza una parte de lo que COBIT supervisa. Muchas organizaciones utilizan ambas, con COBIT como paraguas de gobierno e ISO 27001 dentro de él.
02¿Cuál es la versión actual de COBIT?
COBIT 2019 es la edición actual. Introdujo los factores de diseño para adaptar el sistema de gobierno al contexto de una organización y refinó el modelo de evaluación de capacidad y madurez.
03¿Cuál es la diferencia entre gobierno y gestión en COBIT?
El gobierno es la responsabilidad del consejo y la alta dirección de evaluar opciones, fijar el rumbo y supervisar los resultados. La gestión planifica, construye, opera y supervisa las actividades que materializan ese rumbo. COBIT los mantiene en dominios separados para que quienes deciden y quienes ejecutan no evalúen su propio trabajo.
04¿Se obtiene una certificación en COBIT?
Las organizaciones no se certifican frente a COBIT del modo en que certifican un SGSI ISO 27001. Las personas pueden obtener credenciales COBIT de ISACA, y COBIT es el cuerpo de conocimiento subyacente de la certificación CGEIT en gobierno de las TI de la empresa.
05¿Por qué los auditores utilizan COBIT?
COBIT proporciona una manera estructurada y defendible de evaluar lo bien que se gobiernan las TI frente a los objetivos de la empresa, utilizando valoraciones de capacidad y madurez. Eso ofrece a los equipos de auditoría una línea base objetiva y una imagen de las brechas en lugar de una opinión subjetiva.