COSO es un documento que contiene los principales lineamientos para lograr la implementación y gestión de un sistema de control. Puede considerarse como una ampliación de lo que contiene la serie de normas ISO 27000, buscando llevar la gestión de seguridad a todos los niveles de la organización.

El informe COSO se desarrolla en cinco ejes principales:

  1. Ambiente de control: El primero de ellos se refiere a establecer un ambiente de control, lo cual está relacionado con las actividades del personal con respecto al control de sus actividades, desde un punto de vista ético del comportamiento y desarrollo de sus tareas diarias.
  2. Evaluación de riesgos: La evaluación de riesgos, el segundo componente, comprende la identificación y análisis de riesgos relevantes para el negocio, lo cual va  ser la base para determinar como estos riesgos deben ser tratados por la organización. En este punto se puede tener en cuenta alguna metodología para gestionar riesgos.
  3. Actividades de control: El tercer componente tiene que ver con las actividades de control, las cuales deben llevarse a cabo por todos los integrantes de la organización durante el desarrollo de sus actividades diarias. Estas actividades de control están vinculadas con las políticas, sistemas y procedimientos principalmente. Dentro de estas actividades de control destacan los controles generales que deben tener como objetivo asegurar que las actividades de la empresa se puedan desarrollar normalmente, por lo cual de incluirse el control de la seguridad física además de la seguridad lógica, así como la operación propiamente dicha. También deben tenerse en cuenta controles dirigidos hacia cada sistema que garanticen la integridad y confidencialidad de la información.
  4. Información y comunicación: El cuarto componente está relacionado con la información y comunicación, que tiene que ver con la necesidad de que todo lo relacionado con el sistema de gestión sea procesado y comunicado a todos el personal de la empresa de forma adecuada y oportuna para cumplir con sus responsabilidades.
  5. Supervisión y seguimiento: Finalmente, el último componente tiene que ver con la supervisión y seguimiento del sistema de control, es decir hacer un monitoreo de las condiciones y factores tanto externos como internos que afectan los controles establecidos para la gestión de los riesgos. De esta forma se asegura que el sistema mejore continuamente.

Lo más importante es tener presente que tanto COSO como cualquier otro estándar que decida implementarse en una organización debe considerarse como un medio para un fin, y no un fin en sí mismo. Gestionar la seguridad de la información no debe convertirse solamente en aplicar normas, generar procedimientos y controlar hardware; sino también se debe hacer énfasis en involucrar a las personas.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research