Alineación de la publicación especial de NIST SP800-53 con COBIT 4.1

Hola,

Los chavales del IT Governance Institute (ITGI) ha puesto a disposición de los asociados de ISACA un documento de mapeo de marcos de trabajo relacionados con actividades de control en el mundo de la gestión de TI. Lo siento por los no asociados, que no podrán descargar el documento :(

No es el primer mapeo que elaboran, ya que anteriormente, se habían mapeado contra COBIT otros marcos y normas conocidos en el mundillo, como ISO/IEC 17799:2005, PMBOK, CMMI, TOGAF o PRINCE2.

Estos mapeos o alineaciones son esenciales para el trabajo en gestión y auditoría de sistemas y de TI en general, ya que, en un mondo globalizado como en el que vivimos, no podemos pretender que nuestro método made in spain sea siempre útil para desplegarlo en los cinco continentes. Para poder alinearse con marcos muy arraigados no sólo geográficamente o por imperativo regulatorio, sino como consecuencia de la cultura de TI de la oganización receptora de nuestro trabajo de auditoría, es vital si queremos entregar un trabajo útil y aceptado. Es en este contexto donde cobra vital importancia saber alinear una metodología de controles generales de TI como COBIT contra cualquier marco de trabajo que nos interese, por la razón que sea.

Unas veces querremos alinear COBIT con recomendaciones y buenas prácticas de gestión y gobierno de TI, y recurriremos a ISO 17799:2005 (aka familia 27000), otras veces, querremos auditar modelos de madurez, y tiraremos del CMMI del Carnegie Mellon, o quizás nos interese analizar un marco de infraestructura basado en TOGAF. También nos puede interesar la gestión de proyectos, con lo que podremos alinear COBIT con PRINCE2, o con otro clásico en la gestión de proyectos: PMBOK.

El documento que quiero recomendar se llama COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4.1 (PDF, 707K), y proporciona guías para alinear COBIT con la publicación especial SP800-53 de NIST Recommended Security Controls for Federal Information Systems, un marco de trabajo reconocido mundialmente y de especial importancia en los EEUU, donde la presión regulatoria es cada vez más acusada.

¿Utilidad de este documento? Está orientada poder auditar adecuadamente el ambiente general de control en una Institución Federal o que a nivel regulatorio precise heredar los requisitos exigidos a una Institución Federal de los EEUU, aunque debido a la flexibilidad de la publicación SP800-53, podemos aplicarla para analizar prácticamente cualquier ambiente de control en cualquier ámbito normativo.

Un saludo,