El COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). 

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. 

COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos disponibles y acompasando la estrategia empresarial.

Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.

Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la implementación como forma de promover la eficiencia y buena gestión de los procesos de tecnología que nos permita compararnos y mejorar día a día en pos de la concreción de los Objetivos de Negocio

En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas de administración y dirección de los recursos de tecnología. Aparecerán nuevas herramientas de la familia de productos COBIT y nuevos recursos con los cuales mejorar la administración.

Se continuará refinando el producto en sí, mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros modelos, estándares y normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras lenguas y, sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base de dirección.

¿Qué es

 ¿QUE ES ITIL?

Information Technology Infrastructure Library

(Biblioteca de Infraestructura de Tecnologías de Información)

frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas

destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta

calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para

ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos

procedimientos son independientes del proveedor y han sido desarrollados para servir de

guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

Las ventajas de ITIL para los clientes y usuarios

• Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados.

• Los servicios se detallan en lenguaje del cliente y con más detalles.

• Se maneja mejor la calidad y los costos de los servicios.

• La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT.

• Una mayor flexibilidad y adaptabilidad de los servicios.

Ventajas de ITIL para TI

• La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización.

• La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar.

• La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing.

• A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad.

• ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

Desventajas

• Tiempo y esfuerzo necesario para su implementación.

• Que no se dé el cambio en la cultura de las área involucradas.

• Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.

• Que el personal no se involucre y se comprometa.

• La mejora del servicio y la reducción de costos puede no ser visible.

• Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

 

¿QUE ES ISM3?

La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestión de seguridad de la información (ISM).

ISM3 nace de la observación del contraste existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión de la seguridad de la información. ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeñas organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones como parte de sus procesos de seguridad de la información...

Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de “código libre”, tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que utilicen estándares como COBIT, ITIL, CMMI y ISO17799.

Está estructurado en niveles de madurez, de modo que cada organización puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas.

En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio.

Permite a la empresa aprovechar la infraestructura actual, fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el sistema de ISM evoluciona.

Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor independiente.