¿Cómo integrar COSO, COBIT e ISO 27001?
ISO 27001
La Organización Internacional de Normalización actualizó la norma ISO 9001, ISO 14001 e ISO 27001 para que sea mucho más fácil utilizarlas juntos.
Durante este artículo queremos que conozcáis la forma en la que la norma ISO 27001 se puede utilizar con COSO y COBIT para reducir el esfuerzo administrativo e incrementar los beneficios de cada uno de ellos en la organización.
¿Cuál es COSO?
COSO es una iniciativa conjunta con apoyo de cinco empresas del sector privado en los Estados Unidos para luchar contra el fraude corporativo.
El COSO ayuda en la gestión, los consejos de administración y otras partes interesadas, desde el nivel más elevado al más bajo. Constituye un sistema de control interno. Lo hace mediante la definición de los principios de control para conseguir:
- Efectividad y eficiencia de las operaciones de la empresa
- Falibilidad, puntualidad y transparencia en los informes
- Cumplimiento de la legislación y reglamentos
Los 17 principios de control se dividen en los siguientes componentes:
- Ambiente de control: normas, procesos y estructuras para llevar a cabo el control interno.
- La evaluación del riesgo: proceso para identificar y evaluar los riesgos para la consecución de los objetivos.
- Actividades de control de las acciones: actividades para ayudar a asegurar que las directivas de la administración se llevan a cabo.
- Información y comunicación: la información para apoyar a los componentes del control interno y la comunicación para proporcionar de forma continua, compartir y obtener la información necesaria.
- Seguimiento de las actividades: las evaluaciones para determinar si cada componente y el control se encuentra presente y funciona perfectamente.
COSO destaca por su sentido común sobre la rigurosa gestión de las políticas y procedimientos para tomar decisiones. Esto requiere que los interesados tengan una profunda compresión del contexto organizacional para:
- Determinar la cantidad de control suficiente
- Seleccionar, desarrollar e implementar controles sobre una base diaria
- Supervisar y evaluar la eficacia de los controles
¿Qué es COBIT?
COBIT es un marco de gestión de TI y gobierno administrado por ISACA. Proporciona controles sobre la tecnología de la información. Se organizan los procesos relacionados con el TI y apoyan el cumplimiento de los requisitos del negocio:
- Utilizar de forma eficaz la información. Se deberá tener en cuenta las condiciones de tiempo y entrega.
- Asignación eficaz de los recursos.
- Para proteger la información contra accesos no autorizados.
- Integridad de contenido de información.
- Disponibilidad exigida por los procesos de negocio.
- Cumplir con los requisitos legales.
- Fiabilidad de la información utilizada para tomar decisiones.
El marco de procesos COBIT, se divide en cuatro dominios:
- Planificar y organizar
- Adquirir y poner en práctica
- Entregar y dar soporte
- Monitorear y evaluar
Para cada proceso, COBIT define las entradas, salidas, actividades principales, objetivos y medidas de rendimiento. COBIT tiene mayor nivel de detalle en procesos, pero carece de detalles técnicos para apoyar la aplicación.
Y, ¿qué pasa con la norma ISO 27001?
La norma ISO 27001 describe cómo administrar la seguridad de la información en una empresa. Se compone de 11 cláusulas en la parte principal de la norma, y 114 controles de seguridad agrupados en 14 secciones del Anexo A. La norma ISO 27001 cuenta con estas secciones:
- Contexto de la organización
- Liderazgo
- Planificación
- Soporte
- Operación
- Evaluación del desempeño
- Mejora continua
La norma ISO 27001 describe los controles que se encuentran relacionados con la estructura de la empresa en cuanto a los recursos humanos, la tecnología de la información, la gestión de proveedores, etc.
Una de las limitaciones que presenta la norma ISO 27001 es que no proporciona ciertos detalles sobre lo que debe hacer para cumplir con los requisitos o implementar controles, sólo de los que necesita para conseguirlos.
¿Cómo puede la norma ISO 27001 interactuar con COSO y COBIT?
Básicamente, COSO, COBIT e ISO 27001 tienen los siguientes aspectos en común:
- Impulsado por objetivos. Mientras COSO y COBIT tienen objetivos claramente definidos, la norma ISO 27001 requiere que los objetivos de seguridad de información sean definidos por cada empresa en función de su contexto en términos de confidencialidad, integridad y disponibilidad, para asegurar que la seguridad y los procesos de la empresa se integran.
- Proceso orientado. Los tres marcos que hacen uso del enfoque basado en procesos organizan las actividades, y esto se puede utilizar para formar una visión sistemática de cómo pueden interactuar.
- Utilización de controles. En COSO los controles son genéricos, con el objetivo de cubrir una mayor cantidad de procesos de negocio. COBIT reduce su ámbito de aplicación a las tecnologías de la información. ISO 27001 se centra en la seguridad de la información. Esto se puede traducir en oportunidades para solaparlos y optimizar las acciones de mejora.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.