Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control
Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin,
seguridad y aseguramiento TI. Como consecuencia de su rpida difusin internacional, ambas instituciones
disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de
Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para
Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos
fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan
evolucionado segn las prcticas sealadas por CobiT estn ms cerca de adaptarse y lograr la certificacin
en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada
proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de
control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin
completa de cmo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra
No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo
personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified
Information Security Manager (CISM), "Certified in the Governance of Enterprise IT" (CGEIT) y "Certified
privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan
informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido
una definicin comn de controles internos, normas y criterios contra los cuales las empresas y
COSO est patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de
contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association
(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995
y COSO de 1992/94).
Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de
riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con
Las cuatro categoras de objetivos (estrategia, operaciones, informacin y conformidad) estn representadas
por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad,
Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.
Informacin adicional en el informe ejecutivo y marco general de la norma.
COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestin TI.
COSO est teniendo una difusin muy importante en relacin a la conocida como Ley Sarbanes-Oxley. No se
trata de un marco o estndar especfico de seguridad de la informacin pero, por el impacto que est
teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la informacin, conviene
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores
frente a una falsa presentacin de la situacin de las empresas. Entr en vigor el 30 de julio de 2002 y tiene
validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de
aquel pas.
Adems del registro en un servicio de inspeccin pblica, SOX exige el establecimiento de un sistema de
control interno para la elaboracin de informes financieros. La ley requiere una mayor transparencia de
informacin, ampla los deberes de publicacin y formaliza los procesos que preceden a la elaboracin de un
informe de la empresa.
Es la ya famosa Seccin 404 la que establece que la gerencia debe generar un informe anual de control
procedimientos y una estructura de control interno adecuados para la informacin financiera. El marco ms
empleado por las empresas para cumplir con esta obligacin es, precisamente, el de gestin del riesgo
empresarial de COSO.
Este sistema de control tiene tambin un importante reflejo en el rea de seguridad de la informacin. Uno
de los marcos que ms se utilizan para implantar el sistema en esta rea es CobiT. Ms especficamente,
ITIL
IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin
de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias
de BSI, itSMF y OGC, con el propsito de que los dos conjuntos de publicaciones formen parte de la misma
ITIL v2 (versin 2) sirve de base para el estndar ISO 20000 y consta de 7 bloques principales: Managers
Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y
Environmental.
Las reas cubiertas por ITIL en cada documento publicado por la OGC son:
Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es
Entrega del servicio: administracin de los servicios de soporte y mantenimiento que se prestan al cliente.
organizacin.
Administracin de aplicaciones: conjunto de buenas prcticas para la gestin de todo el ciclo de vida de las
Administracin de activos de software: pautas necesarias para la gestin del software adquirido y/o de
desarrollo propio.
principales, concretamente: Diseo de Servicios de TI, Introduccin de los Servicios de TI, Operacin de los
Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte