COBIT es un marco de trabajo que puede ser utilizado por las empresas para optimizar el uso de sus activos de información para darle valor a la operación del negocio. En este post presentamos la forma en que está organizado este framework para visualizar qué contiene y cómo puede abordarse desde el punto de vista de la seguridad.
Cuando se habla de mejorar la gestión de las tecnologías de la información en las organizaciones, aparece ITIL como compendio de mejores prácticas o incluso se habla de estándares como los de la familia ISO para normalizar los procesos dentro de la empresa. Pero COBIT va un paso más allá en la búsqueda de la mejora de los procesos a través de un enfoque holístico de la operación del negocio, es decir, tener en cuenta todos los aspectos que hacen parte del negocio y que influyen en el cumplimiento de sus objetivos.
Particularmente, COBIT en su versión 5 se desarrolla alrededor de cinco principios que buscan: satisfacer las necesidades del negocio, abarcar toda la operación de la empresa, aplicar un solo marco integrado, habilitar un enfoque holístico y separar gobierno de administración. Surge la pregunta entonces de dónde queda el tema de la seguridad de la información y cómo entender lo que es este marco de trabajo.
Dentro de los principios el que trata de aplicar un solo marco integrado, se refiere precisamente a incorporar como parte de la gestión algún estándar de los más relevantes dentro de la industria. Es acá donde hace su aparición la serie de estándares ISO 27000 que precisamente está enfocada en establecer todo un sistema de gestión para garantizar la seguridad de la información.
En pocas palabras lo que persigue la implementación de COBIT es lograr que toda la gestión y la administración de los activos de información de la empresa estén bajo un mismo marco integrador y que no dé lugar a que se tengan sistemas de gestión aislados sin compartir información entre sí.
Es precisamente esto lo que se conoce como el enfoque holístico de la organización. Si bien garantizar la seguridad de la información es vital para una empresa, no es lo único de lo que debe ocuparse. Es así como cualquier sistema de gestión que se implemente debe buscar habilitar la operación para cumplir con los objetivos del negocio. Y dentro de estos factores que buscan garantizar la operación del negocio se encuentran los recursos como la información, la infraesctructura y los servicios, las personas, los procesos y la cultura de la empresa.
Finalmente, la mejor forma de definir COBIT es como un mapa que brinda una guía completa de qué deben tener en cuenta dentro de los departamentos de TI de las empresas para garantizar que las operaciones del negocio se puedan llevar a cabo. No se trata solamente de gestionar la seguridad, de tener aplicaciones, procesos o servidores. Es ir un paso más adelante, es la implementación de un proyecto que permite a cualquier organización integrar toda su gestión de TI y que debería velar por alinearla con la operación del negocio.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research