COSO, COBIT, ISO y otros. ¿Qué elegir?

A los fines de diseñar e implementar una política de seguridad informática, no siempre resulta sencillo elegir qué estándar tomar como referencia. En función de eso, es importante marcar las diferencias entre los mismos.

COSO

El Comité de Organizaciones Patrocinadoras (COSO, por sus siglas en inglés) surgió en 1985 por iniciativa de cinco organizaciones privadas de Estados Unidos relacionadas con la Contabilidad, las Finanzas y la Auditoría.

Como misión principal, se destaca la gestión de riesgos corporativos, el control interno y la disuasión del fraude. En otras palabras, se trata de un estándar de alto nivel, pensado para la gobernanza y estrategia corporativa.

COBIT

En este caso, se trata de Objetivos de Control para las Tecnologías de la Información y Relacionadas, y depende de la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés), presente en 180 países.

Su primera edición fue publicada en 1996. Está específicamente orientado a la Tecnología de la Información, incluye controles de aplicación, niveles de madurez, y 7 “criterios de información”, entre los cuales están la confidencialidad, la integridad y la disponibilidad.

ISO

La Organización Internacional de Estandarización, creada en 1946, se dedica a la elaboración de estándares. Entre muchas otras, se encuentra la ISO 27001 versión 2013, desarrollada en conjunto con la Comisión Electrotécnica Internacional (IEC, por sus siglas en inglés) orientada a la seguridad informática y con un enfoque que abarca el qué y el cómo.

Este organismo es especialmente importante porque otorga certificaciones en caso de cumplir con la normativa. En Argentina es representado por el Instituto Argentino de Normalización y Certificación (IRAM), junto a otros 164 países miembros.

Otros estándares

Entre otros, se pueden mencionar internacionales como el ITIL (Reino Unido, apunta a mejores prácticas asociadas a operaciones e infraestructura IT), Mitre Att&ck (Estados Unidos, con foco esencialmente práctico respecto a tácticas, técnicas y mitigación en ciberseguridad).

También existen nacionales, entre las cuales se encuentran las del Banco Central de la República Argentina, de cumplimiento obligatorio en entidades financieras e incluyendo las normas de seguridad informática “A-6017” y “A-6375”, o las Oficina Nacional de Tecnologías de Información, con injerencia en la Administración Pública.

A todo ello, podrían agregarse leyes, como la Ley Nacional Nº 25.326 de Protección de Datos Personales, con su equivalente en otros países o regiones (por ejemplo, la Unión Europea).

Conclusiones

 

Entonces, ¿Qué estándar elegir?

Elegir un estándar específico (parcial o en su totalidad), o bien un mix, dependerá de la organización objeto de análisis, en función de sus necesidades y particularidades.

Ricardo Nicolao - Staff Platinum ciber-seguridad
Ricardo Nicolao Analista de ciberseguridad
Platinum ciber

Platinum ciber

Leave a Replay

Acerca de nosotros

Somos una experimentada empresa de Ciberseguridad que proveemos servicios de calidad a nuestros clientes en la región.

Publicaciones recientes

Últimos videos

Tutoriales

Suscribase a las novedades

Scroll to Top