ISO 27001, COBIT 2019, ITIL 4

ISO27001, COBIT e ITIL son estándares y marcos de referencia para la Gestión de la Seguridad de la Información, Gobierno y Gestión de la Tecnología de la Información y Gestión de Servicios de TI correspondientemente.

AspectoISO 27001COBIT 2019ITIL 4
EnfoqueGestión de la seguridad de la informaciónGobierno y gestión de la tecnología de la informaciónGestión de servicios de TI
AlcanceOrganizaciones que quieren implementar, mantener y mejorar un sistema de gestión de la seguridad de la informaciónOrganizaciones que quieren alinear sus objetivos de negocio con sus capacidades de TI, optimizar el valor de la TI, gestionar los riesgos y cumplir con las normativasOrganizaciones que quieren ofrecer servicios de TI de calidad, eficientes y adaptados a las necesidades de los clientes
EstructuraUna serie de normas que especifican los requisitos, las directrices y los controles para la seguridad de la informaciónUn marco basado en principios, objetivos de gobierno, componentes de gobierno, procesos, prácticas y modelos de madurezUn sistema de valor de servicio que integra conceptos como el modelo de cadena de valor de servicio, las prácticas de gestión, los principios guía y las dimensiones de servicio
CertificaciónSe puede certificar la conformidad con la norma ISO 27001, que establece los requisitos para el sistema de gestión de la seguridad de la informaciónNo hay certificación para las organizaciones, solo para los individuos que demuestran su conocimiento y competencia en el marcoNo hay certificación para las organizaciones, solo para los individuos que demuestran su conocimiento y competencia en las mejores prácticas
Nivel de detalleAlto, ya que la norma ISO 27001 especifica los requisitos y los controles para la seguridad de la informaciónMedio, ya que el marco COBIT 2019 define los principios, los objetivos, los componentes, los procesos y las prácticas para el gobierno y la gestión de la TIBajo, ya que el sistema ITIL 4 proporciona conceptos generales como el modelo de cadena de valor, las prácticas de gestión, los principios guía y las dimensiones de servicio

Los 3 pueden ser implementados en beneficio de la organización, aprovechando las buenas prácticas indicadas en ellos y contando con la certeza de estar tomando las mejores decisiones en nuestras gestiones.

COBIT 2019 e ITIL v4 son parte de la Gestión de TI, mientras que ISO 27001 puede estar dentro o fuera de TI dependiendo del tamaño y complejidad de la organización. Algunas regulaciones especifican que la gestión de seguridad de la información debe mantenerse independiente de la operación de los controles de ciberseguridad a fin de aplicar el principio de los Roles de las tres líneas de defensa para la seguridad de la información y gobierno definidos por ISACA.

Las tres líneas de defensa son un modelo de gestión de riesgos que distingue tres grupos principales que participan en la protección de los datos y los sistemas de información de una organización1. Estos grupos son:

  1. 1a línea de defensa: la gestión operativa, que es la responsable de identificar, evaluar y controlar los riesgos, así como de implementar las políticas y los procedimientos de seguridad de la información.
  2. 2a línea de defensa: la función de control independiente, que supervisa y monitorea los riesgos y los controles de la primera línea, y proporciona orientación y asesoramiento sobre las mejores prácticas de seguridad de la información.
  3. 3a línea de defensa: la auditoría interna, que proporciona una garantía independiente y objetiva sobre la efectividad de los riesgos y los controles de las dos primeras líneas, y recomienda mejoras cuando sea necesario.
👉🏽 Conoce más sobre estándares de ciberseguridad en el siguiente sitio: CIS v8, NIST CSF v2, ISO 27001:2022

Comentarios

Artículos mas populares de la última semana