Vamos a explicarlo todo sobre COBIT, un marco de referencia muy potente en gobierno y gestión de TI, cada vez más usado en ciberseguridad, auditoría y cumplimiento normativo.
¿Qué es COBIT?
Relacionado: NIS2. Controles. 2025 02 20 Seguridad iOS memoria permisos y sandboxing. Sistema de Gestion de la Seguridad de la Informacion.
COBIT significa:
Control Objectives for Information and related Technology
Es un marco de gobierno y gestión de tecnologías de la información (TI) desarrollado por ISACA, que permite:
-
Alinear TI con los objetivos del negocio
-
Gestionar los riesgos tecnológicos
-
Cumplir con normas, leyes y auditorías
-
Mejorar la madurez y control de los procesos TIC
COBIT no es una norma técnica, sino un modelo de gobierno empresarial de TI.
Objetivo de COBIT
Proporcionar un modelo estructurado y auditable para gobernar los servicios digitales, la seguridad de la información y la gestión de riesgos TI, desde la perspectiva de la alta dirección.
Está pensado para que la dirección, auditores, gestores y técnicos hablen un lenguaje común.
Versiones más relevantes
-
COBIT 4.1 (2005) → Enfoque más técnico, muy usado en auditorías clásicas.
-
COBIT 5 (2012) → Integra ITIL, ISO, CMMI. Gestión + gobierno TI.
-
COBIT 2019 (actual) → Más flexible, adaptable, orientado a objetivos de negocio (enterprise goals).
Componentes clave de COBIT 2019
1. Objetivos de gobierno y gestión
Organizados en dos grandes dominios:
| Dominio | Para qué sirve | Ejemplos |
|---|---|---|
| Governance (EDM) | Evalúa, dirige, monitoriza | EDM01: Asegurar gobernanza |
| Management (APO, BAI, DSS, MEA) | Planifica, construye, entrega y evalúa | APO12: Gestión del riesgo, DSS05: Seguridad |
2. Componentes del sistema
Incluyen:
-
Procesos
-
Políticas
-
Roles
-
Habilidades
-
Cultura
-
Información
-
Infraestructura y aplicaciones
3. Modelo de madurez (capacidad)
Cada proceso puede evaluarse en niveles del 0 al 5:
| Nivel | Descripción |
|---|---|
| 0 | Inexistente |
| 1 | Inicial / ad hoc |
| 2 | Repetible pero intuitivo |
| 3 | Definido |
| 4 | Gestionado y medido |
| 5 | Optimizado |
Muy parecido al modelo CMMI.
¿Para qué sirve COBIT en ciberseguridad?
-
Diseñar y evaluar controles de seguridad
-
Integrar seguridad como parte del gobierno corporativo
-
Aplicar medidas de seguridad desde la dirección
-
Definir políticas y procesos que sean auditable y repetibles
-
Relacionar IT con estándares como ISO 27001, NIST, ENS o DORA
Ejemplos de procesos COBIT aplicables a seguridad
| Código | Proceso |
|---|---|
| APO12 | Gestión del riesgo |
| APO13 | Gestión de la seguridad |
| DSS01 | Entrega de servicios TI |
| DSS04 | Continuidad de servicios |
| DSS05 | Seguridad de servicios |
| MEA01 | Supervisión del rendimiento y cumplimiento |
| MEA02 | Supervisión del control interno |
️ Relación con otras normativas
| Norma | Relación con COBIT |
|---|---|
| ISO 27001 | COBIT ayuda a estructurar la implantación y evaluación del SGSI |
| ENS | Muchos controles del ENS pueden alinearse con procesos COBIT |
| NIS2 / DORA | COBIT ofrece trazabilidad y control para cumplimiento continuo |
| CISA (ISACA) | COBIT es el marco de referencia principal para los auditores |
Conclusión
COBIT es una herramienta estratégica para gobernar y auditar la ciberseguridad y los servicios TI, desde la alta dirección hasta la operación.
Permite diseñar, medir, madurar y justificar las decisiones y los procesos de seguridad en términos de valor, control y cumplimiento.
¿Quieres que te prepare una tabla de procesos COBIT con sus descripciones aplicables al ENS o ISO 27001? ¿O un ejemplo de uso de COBIT para justificar controles en una auditoría o licitación?