¿Cómo se relaciona COBIT 5 y la seguridad de la información?
COBIT
COBIT es una herramienta de gobierno de TI que, desde su publicación en el año 1996, cambió el modo de trabajo de los profesionales en tecnología. El nombre completo en inglés es Control Objectives for Information and related Technology u Objetivos de Control para Información y Tecnologías Relacionadas, en español.
Se trata de una serie de recursos que se utilizan de referencia para la gestión de TI, en el que se debe incluir, un resumen ejecutivo, los objetivos de control, mapas de auditorías, herramientas para la implantación y guías técnicas de gestión.
En el año 2012 se lanzó COBIT 5, siendo la última edición del framework de dicho marco internacional de referencia, que se encuentra centrado en la tecnología y en la información como principales mecanismos para generar valor en las organizaciones. Además, contiene los cinco principios que una organización debe aplicar en la gestión de la tecnología:
- Tener en cuenta la totalidad de activos de la organización.
- Aplicar un modelo de referencia integrado.
- Posibilitar el enfoque general.
- Separar el gobierno de la gestión.
- Cumplir con las necesidades de los accionistas.
COBIT y la seguridad de la información
La seguridad de la información y los datos personales es algo imprescindible hoy en día en cualquier empresa. Y más aún desde que llegó el reglamento general de protección de datos (RGPD). Si la tecnología utilizada en una organización es importante para los accionistas, la seguridad de la información lo es aún más.
Por este motivo, es importante que todos los empleados conozcan los servicios, infraestructuras, aplicaciones, competencias, principios y procesos existentes en la empresa. En este sentido, COBIT 5 ayuda a las organizaciones a minimizar los perfiles de riesgos mediante la administración adecuada de la seguridad.
Si quiere conseguir ciberseguridad real dentro de la organización, deberá recordar que tienen que implantar las medidas adecuadas para proteger los activos frente a las amenazas en la red. Aunque esto no garantiza al 100% la exención de sufrir ataques informáticos, sí que ayuda a prevenirlos, y, sobre todo, a estar preparado.
Objetivos de control para la protección de la información
Un marco de referencia puede ser utilizado por las empresas como guía para la integración de las operaciones que se llevan a cabo con el área de tecnologías de la información, es decir, un conjunto de propósitos que se encuentran definidos y controlados por el responsable de TI.
La última versión del documento COBIT 5 se encuentra enfocado en la seguridad de la información, que tiene como base la mejora da las prácticas, con la característica principal que agrega a las guías prácticas de forma detallada para proteger la información a todos los niveles.
En el documento COBIT 5 se plantea la idea de que la seguridad de la información es una disciplina transversal, por lo que se consideran distintos aspectos de protección de datos en todas las actividades y procesos llevados a cabo por la empresa. Se puede utilizar como complemento, ya que la última versión ofrece una guía básica para definir, operar y monitorear un sistema de gestión de seguridad, como puede ser:
- APO13: Gestión de la seguridad
- DSS04: Gestión de la continuidad
- DSS05: Gestión de servicios de seguridad
Además, es necesario revisar con un elevado nivel de detalle todos los procesos, que se establezcan metas y se especifique la seguridad y protección de cada proceso. Viene definido en el documento COBIT 5. De la misma forma, se establecen distintas prácticas, actividades, entradas y salidas entre procesos, para cada uno de los que conforman el modo de referencia.
Consideraciones de seguridad en COBIT
El documento ha sido llevado a cabo para establecer aspectos puntuales de seguridad de la información que no se encuentran incluidos en el COBIT 5. Se puede establecer un enfoque holístico de la seguridad y protección de la empresa, definiendo las responsabilidades y elementos que permitan el gobierno y la gestión de la seguridad.
Se quiere alinear la seguridad de la información con todos los objetivos de la empresa, mediante las prácticas de gobierno y la gestión enfocada a la seguridad. El proceso DSS05 Gestión de servicios de seguridad, tiene como propósito disminuir el impacto que se genera en el negocio debido a las vulnerabilidades en cuanto a seguridad y protección de la información. Entre las prácticas de gestión que se encuentran la protección frente a malware, la gestión de la seguridad en red, la gestión de seguridad endpoint o la gestión del acceso físico de activos de TI.
El documento para la seguridad de la información incluye todas las actividades para las prácticas descritas en el párrafo anterior. Instalar un antivirus, aplicar filtros, cifrar la información, almacenar la información en distintos equipos, aplicar configuraciones recomendadas, etc.
Con el incremento que ha experimentado la necesidad de protección de la información, de forma general se consideran muchos aspectos puntuales, como pueden ser los niveles de riesgo aceptable, la continua disponibilidad de servicios y sistemas, además de cumplir con la legislación, las regulaciones, los requisitos y las políticas internas.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.