Las empresas buscan la idea de las mejores prácticas, definidas como procedimientos probados para producir resultados óptimos, para optimizar la eficiencia y el beneficio. Los marcos de gobierno tales como ISO 27001 y COBIT sirven como estándares de disciplina altamente detallados destinados a gestionar el riesgo, reducir pérdidas y reducir la publicidad negativa. Aunque tanto la norma ISO 27001 como la COBIT se adaptan a la gobernanza en el área de tecnología de la información (lo que ayuda a reducir los gastos de TI y reduce los riesgos de seguridad relacionados con la tecnología), estas metodologías prominentes difieren en el enfoque y los detalles.
Lo esencial
La Organización Internacional para la Estandarización publica ISO 27001, que actúa como un marco para la gestión estandarizada de la seguridad de la información y se enfoca estrictamente en las mejores prácticas orientadas a la seguridad. El Instituto de Gobernanza de la Tecnología de la Información publica COBIT - Objetivos de control para la información y la tecnología relacionada - que atiende a los controles, medidas y procesos generales de TI. El enfoque más amplio de COBIT apunta a cerrar la brecha entre los objetivos comerciales y los procesos de TI.
Formato
El código de práctica ISO 27001, esencialmente una guía de auditoría que establece los controles que debe abordar una organización, abarca ocho secciones principales en 34 páginas. La metodología COBIT, mucho más amplia, incluye 34 objetivos de control de alto nivel y 318 objetivos de control detallados agrupados en las áreas de Planificar y Organizar, Adquirir e Implementar, Entregar, Soporte y Monitorear. Estas pautas ofrecen una dirección de gestión para controlar los procesos de TI de las empresas, los logros generales y los objetivos de la organización. A diferencia de COBIT, ISO 27001 no presenta modelos de madurez, que intentan proporcionar una visión general de cómo las prácticas de una organización pueden proporcionar resultados sostenibles.
Enfoque y funcion
El enfoque de ISO 27001 en el direccionamiento y la auditoría hace que la metodología sea un marco de control y gestión en lugar de un marco de procesos. Aunque comparte esta estructura con COBIT, la norma ISO 27001 tiene un objetivo más específico, la seguridad, y por lo tanto se dirige a la gestión de nivel inferior. La metodología COBIT se enfoca en las necesidades de alto nivel de una empresa, buscando mejorar la orientación comercial general a través de controles y métricas de TI. Como tal, COBIT se dirige a personalidades superiores como gerentes senior, gerentes de TI y auditores.
Consideraciones
ISO 27001 y COBIT no necesitan competir entre sí. De hecho, los dos marcos se complementan: mientras que ISO 27001 se enfoca en la seguridad, COBIT actúa como una especie de marco "paraguas" que ayuda a conectar a ISO 27001 y otros marcos de gobierno de TI como PMBOK y SEI CMM. Ambos sistemas ofrecen "qué" en lugar de "cómo" los datos, lo que significa que identifican y miden la salida y sugieren la dirección, pero no ofrecen métodos para seguir dicha dirección. Marcos como ITIL, también un complemento de COBIT e ISO 27001, responden a la pregunta de "cómo". En el mundo del gobierno de TI, a menudo se encontrará con el término ISO 17799. Esta metodología, también conocida como BS7799, es la Precedente a la ISO 27001, que conserva gran parte de su fundamento.
