ISO 27001 vs. Cobit

Las empresas recurren a la idea de las mejores prácticas, que se definen como procedimientos probados para producir resultados óptimos, para optimizar la eficiencia y el beneficio. Marcos de gestión como ISO 27001 y COBIT sirven como normas muy detalladas de disciplina destinadas a gestionar el riesgo, reducir pérdidas y reducir la publicidad negativa. Aunque las normas ISO 27001 y COBIT atienden la gestión en el ámbito de la tecnología de la información (ayudan a aliviar los gastos de TI y reducen los riesgos de seguridad relacionados con la tecnología), estas metodologías tienen importantes diferencias en el enfoque y los detalles.

La Organización Internacional de Normalización publica ISO 27001, que actúa como un marco para la gestión de seguridad de la información estandarizada y se centra estrictamente en las mejores prácticas orientadas a la seguridad. El Instituto de Gestión de Tecnología de la Información publica COBIT (por sus iniciales en inglés), Objetivos de Control para la Información y Tecnologías Relacionadas, que atiende a los controles generales de TI, medidas y procesos. El enfoque más amplio de COBIT está orientado a reducir la brecha entre los objetivos del negocio y los procesos de TI.

El código ISO 27001 de la práctica, es esencialmente una guía de auditoría que establece los controles que una organización debe hacer frente, abarca ocho secciones principales a través de 34 páginas. La metodología COBIT es mucho más amplia, cuenta con 34 objetivos de control de alto nivel y 318 objetivos de control detallados que se agrupan en las áreas de planificación y organización, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear. Estas directrices ofrecen una orientación de gestión para el control de los negocios de procesos de TI, los logros generales y objetivos de la organización. En contraste con COBIT, ISO 27001 no dispone de modelos de madurez, que tratan de ofrecer una visión general de cómo las prácticas de una organización pueden proporcionar resultados sostenibles.

El enfoque de abordar y auditar la norma ISO 27001 hace la metodología de control y marco de gestión en lugar de un marco de procesos. A pesar de que comparte esta estructura con COBIT, ISO 27001 tiene un objetivo más específico: la seguridad y por lo tanto es especial para la gestión de nivel inferior. La metodología COBIT se dirige a las necesidades de alto nivel de la empresa, buscando mejorar la orientación general del negocio a través de los controles de TI y métricas. Como tal, COBIT abastece a los de arriba, como los altos directivos, los administradores de TI y los auditores.

ISO 27001 y COBIT no tienen que competir entre sí. De hecho, los dos marcos se complementan entre sí: ​​Aunque ISO 27001 apunta a la seguridad, COBIT actúa como una especie de marco "paraguas" que ayuda a conectar a la norma ISO 27001 y otros marcos de gestión de TI, tales como PMBOK y SEI CMM. Ambos sistemas ofrecen datos de "qué" en lugar de "cómo", lo que significa que identifican y miden la producción y sugieren dirección, pero no ofrecen métodos para la consecución de dicha dirección. Los marcos como ITIL, también un complemento de COBIT e ISO 27001, responden a la pregunta de "cómo". En el mundo de la gestión de TI, a menudo te encuentras con el término ISO 17799. Esta metodología, también conocida como BS7799, es el precursor de la ISO 27001, que conserva gran parte de su base.