O KGIs (key goal indicators) indicam se os objetivos foram alcançados. Pela sua natureza a posteriori, também são chamados de lag indicators.

As práticas de controle do COBIT são consideradas práticas necessárias para alcançar objetivos de segurança, tais como prevenir, individualizar e corrigir eventos não desejados.

Os níveis de maturidade podem ser definidos em função de seis variáveis que identificam as características dos processos da função de sistemas informativos, dentro de um contexto empresarial específico. Entre essas variáveis, é correto citar as ferramentas de suporte e as competências.

No COBIT 4.1, um dos domínios consiste em: entradas e saídas do processo; o gráfico RACI (responsible, accountable, consulted and/or informed); objetivos; e métricas.

O COBIT define as atividades de TI em um modelo genérico de processo, dentro de 4 domínios: planejar e organizar; adquirir e implementar; entregar e dar suporte; e monitorar e avaliar.

A saída de um processo deve ser conforme normas operacionais que são derivadas de objetivos do negócio. Se o produto está conforme ao conjunto de normas, o processo pode ser considerado efetivo.

Em uma organização orientada ao produto, o fluxo de atividades e processos deve ter, necessariamente, um fluxo consecutivo de processos em uma seqüência linear em que o foco é o produto e as atividades de gerência e controle têm uma forte relevância.

Os serviços definidos na camada de operações estão relacionados ao gerenciamento de segurança nos processos de gerenciamento de problemas, gerenciamento de versões, controle de incidentes e help desk, entre outros.

A camada intermediária mostra os processos táticos, agrupados no conjunto de entrega de serviços (delivery set). É nessa camada que os SLAs (service level agreements) são acordados, e o serviço é fornecido em função desses acordos.

A camada de estratégia se refere aos processos que são coletados no conjunto de serviços de suporte. Em relação à segurança da informação, esse conjunto é particularmente importante em virtude de focar na organização de atividades de segurança da informação do provedor de serviços de TI.