ISO 27001, COBIT 2019, ITIL 4

ISO27001, COBIT e ITIL son estándares y marcos de referencia para la Gestión de la Seguridad de la Información, Gobierno y Gestión de la Tecnología de la Información y Gestión de Servicios de TI correspondientemente.

Aspecto	ISO 27001	COBIT 2019	ITIL 4
Enfoque	Gestión de la seguridad de la información	Gobierno y gestión de la tecnología de la información	Gestión de servicios de TI
Alcance	Organizaciones que quieren implementar, mantener y mejorar un sistema de gestión de la seguridad de la información	Organizaciones que quieren alinear sus objetivos de negocio con sus capacidades de TI, optimizar el valor de la TI, gestionar los riesgos y cumplir con las normativas	Organizaciones que quieren ofrecer servicios de TI de calidad, eficientes y adaptados a las necesidades de los clientes
Estructura	Una serie de normas que especifican los requisitos, las directrices y los controles para la seguridad de la información	Un marco basado en principios, objetivos de gobierno, componentes de gobierno, procesos, prácticas y modelos de madurez	Un sistema de valor de servicio que integra conceptos como el modelo de cadena de valor de servicio, las prácticas de gestión, los principios guía y las dimensiones de servicio
Certificación	Se puede certificar la conformidad con la norma ISO 27001, que establece los requisitos para el sistema de gestión de la seguridad de la información	No hay certificación para las organizaciones, solo para los individuos que demuestran su conocimiento y competencia en el marco	No hay certificación para las organizaciones, solo para los individuos que demuestran su conocimiento y competencia en las mejores prácticas
Nivel de detalle	Alto, ya que la norma ISO 27001 especifica los requisitos y los controles para la seguridad de la información	Medio, ya que el marco COBIT 2019 define los principios, los objetivos, los componentes, los procesos y las prácticas para el gobierno y la gestión de la TI	Bajo, ya que el sistema ITIL 4 proporciona conceptos generales como el modelo de cadena de valor, las prácticas de gestión, los principios guía y las dimensiones de servicio

Los 3 pueden ser implementados en beneficio de la organización, aprovechando las buenas prácticas indicadas en ellos y contando con la certeza de estar tomando las mejores decisiones en nuestras gestiones.

COBIT 2019 e ITIL v4 son parte de la Gestión de TI, mientras que ISO 27001 puede estar dentro o fuera de TI dependiendo del tamaño y complejidad de la organización. Algunas regulaciones especifican que la gestión de seguridad de la información debe mantenerse independiente de la operación de los controles de ciberseguridad a fin de aplicar el principio de los Roles de las tres líneas de defensa para la seguridad de la información y gobierno definidos por ISACA.

Las tres líneas de defensa son un modelo de gestión de riesgos que distingue tres grupos principales que participan en la protección de los datos y los sistemas de información de una organización1. Estos grupos son:

1. 1a línea de defensa: la gestión operativa, que es la responsable de identificar, evaluar y controlar los riesgos, así como de implementar las políticas y los procedimientos de seguridad de la información.
2. 2a línea de defensa: la función de control independiente, que supervisa y monitorea los riesgos y los controles de la primera línea, y proporciona orientación y asesoramiento sobre las mejores prácticas de seguridad de la información.
3. 3a línea de defensa: la auditoría interna, que proporciona una garantía independiente y objetiva sobre la efectividad de los riesgos y los controles de las dos primeras líneas, y recomienda mejoras cuando sea necesario.

👉🏽 Conoce más sobre estándares de ciberseguridad en el siguiente sitio: CIS v8, NIST CSF v2, ISO 27001:2022