COBIT, del acrónimo Control Objectives for Information and related Technology, es decir, Objetivos de Control para la información y tecnología asociada han estado en boga los últimos años. Su versión 5.0, se divide en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y finalmente Supervisión y Evaluación.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Por otro lado COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del mismo. COBIT Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero.
Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apoyado en procesos tecnológicos.
Pero, ¿Cómo se garantiza la seguridad con COBIT?
De varias formas, una es logrando que la seguridad de las TI estén en la misma dirección que el mismo negocio. Por otro lado, Un plan de Seguridad de las TI, un plan de prevención de riesgos es muy útil. La administración de la identidad, un punto clave. Todos los usuarios de un SIA en una red deben ser identificados de forma única, y sus derechos de acceso tienen que estar alineados conforme al organigrama de la empresa y a los requerimientos de la misma. Además de ello es indispensable incluir un procedimiento sobre como gestionar estos derechos de acceso y quien es el responsable. La seguridad debe ser Proactiva, no reactiva, aquello debe quedar garantizado, además debe evitarse que sea susceptible de sabotaje tanto la seguridad como por sobre todo su documentación. Por último y no menor se debe garantizar la seguridad de la red y la proactividad en la prevención de la inserción de código malicioso.
No hay comentarios:
Publicar un comentario