Saltear al contenido principal
coso

Cómo integrar los marcos normativos COSO, COBIT e ISO 27001

coso

Marcos normativos COSO, COBIT e ISO 27001

La integración de los marcos normativos COSO, COBIT e ISO 27001 busca facilitar la gestión administrativa gracias a los beneficios que la aplicación conjunta de los mismos, aportará a la organización en cuestión.

Vamos a definir cada uno de ellos para tener un mayor conocimiento de éstos.

COSO

Se trata de una iniciativa conjunta por parte de organizaciones estadounidenses con el objetivo de luchar contra el fraude corporativo.

El marco normativo COSO, cuya última versión vigente es de 2013, pretende ofrecer ayuda a la Adminsitración de la organización, al Consejo de Administración así como a otras partes relevantes de la misma para que ésta comprenda de manera exacta la importancia del sistema de control interno.

Concretamente, COSO define un conjunto de principios  de control cuyo objetivo es:

  • Garantizar que las operaciones sean eficaces y eficientes.
  • Informes fiables, puntuales y transparentes.
  • Cumplimiento de las leyes y reglamentos.

Los principios de control que establece COSO, son un total de 17, los cuales se dividen en los siguientes componentes:

  • Ambiente de control: engloba las normas, los procesos y las estructuras necesarias para aplicar el control interno.
  • Evaluación del riesgo: nos referimos a los procesos necesarios para definir y evaluar el riesgo de cara a alcanzar objetivos.
  • Actividades de control: conjunto de acciones para garantizar la realización de las tareas de dirección.
  • Información y comunicación: necesaria para recabar datos necesarios de cara a apoyar el resto de componentes de control interno.
  • Actividades de seguimiento: para verificar que los componentes de control funcionan del modo adecuado.

CTA 27001 EBOOK BOTON

Descarga gratis e-book: La norma ISO 27001

COBIT

Este marco de gestión es administrado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA). Su última actualización fue en 2012.

Ofrece un conjunto de controles a aplicar sobre las Tecnologías de la Información (TI), los cuales se organizan en una serie de procesos para garantizar el cumplimiento de los siguientes requisitos:

  • Uso de la información de manera efectiva, teniendo en cuenta la relevancia, tiempo y requisitos de entrega.
  • Asignación de recursos eficente.
  • Asegurar la confidencialidad de la información.
  • Mantener la integridad de la misma.
  • Tener la información disponible cuando sea requerida por los procesos de la organización.
  • Garantizar que la información utilizada es fiable de cara a la toma de decisiones.

El marco de procesos COBIT consta de 4 etapas:

  • Planificación y organización: de la utilización de las TI como apoyo para lograr los objetivos.
  • Adquisición e implementación: adquirir las TI necesarias, integrarlas en los procesos y realizar el mantenimiento necesario de las mismas.
  • Entrega y soporte: busca asegurar la ejecución efectiva de las aplicaciones y sus resultados, garantizando la seguridad.
  • Seguimiento y evaluación: para garantizar que las TI empleadas cumplen sus objetivos y son compatibles con la legislación al respecto.

ISO 27001

Esta norma, define los requisitos para garantizar una óptima gestión de la seguridad de la información en una organización.

Concretamente presenta 11 cláusulas que constituyen el cuerpo principal de la norma y un conjunto de 114 controles de seguridad, los cuales se agrupan en 14 secciones contenidos en el conocido Anexo A.

Sin embargo, ISO 27001 no determina qué hacer de manera detallada para dar cumplimiento a sus requisitos o implementar los controles. Tan sólo define los objetivos que pretende que sean alcanzados mediante su aplicación. Para obtener una orientación de cómo proceder, contamos con ISO 27002.

Integración COSO, COBIT e ISO 27001

La aplicación conjunta de estos tres marcos normativos COSO, COBIT e ISO 27001 aporta a la organizción grandes ventajas ya que:

  • COSO asegura la confiabilidad de la información.
  • COBIT respalda un uso de manera efectiva de la información.
  • ISO 27001 define los controles necesarios para garantizar la integridad y disponibilidad de dicha información.

De esta forma, la seguridad de la información queda asegurada en el seno de la organización.

La integración de estos tres marcos normativos en la organización hace que el efecto sobre la seguridad de la información sea mayor que la suma de cada uno aplicado de manera independiente.

Así pues, al analizar qué partes de la ISO 27001 podemos emplear como apoyo para otros marcos como lo son COBO y COBIT, descubrimos nuevas alternativas de optimización de los recursos de nuestra organización, mejorando del mismo modo, la seguridad y el rendimiento de la misma.

Software ISO 27001

ISOTools Excellece ayuda a proteger la seguridad de la información presente en tu organización gracias a la automatización que aporta al Sistema de Gestión de la Seguridad de la Información y el consiguiente incremento de la eficiencia de éste.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba