RELACIÓN ENTRE EL COBIT Y LA NORMA ISO
27001
EDISON HERNAN CUESTA JUAN DIEGO ESPAÑA
edisoncuesta1@gamail.com juanespana183@gmail.com
codigo: I017213
RESUMEN: El COBIT es precisamente un modelo para
auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores
de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en
el proceso.
ABSTRACT: The COBIT is precisely a model to
audit the management and control of information
systems and technology, aimed at all sectors of
an organization, that is, IT administrators, users
and, of course, the auditors involved in the
process.
I. INTRODUCCIÓN
La Norma ISO 27001 y COBIT se complementan entre sí:
Aunque la ISO 27001 apunta a la seguridad, el COBIT actúa
como una especie de marco "paraguas" que ayuda a conectar a
la norma ISO 27001 y otros marcos de gestión de TI, tales
como PMBOK y SEI CMM.
II. COBIT
El COBIT es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que
abarca controles específicos de IT desde una perspectiva de
negocios. Las siglas COBIT significan Objetivos de Control
para Tecnología de Información y Tecnologías relacionadas
(Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación
con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).
COBIT se aplica a los sistemas de información de toda la
empresa, incluyendo los computadores personales y las redes.
Está basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable
codigo: I046114
que requiere una organización para lograr sus objetivos. La
estructura del modelo.
COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y
calidad, se auditan los recursos que comprenden la tecnología
de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización.
El marco de procesos COBIT, se divide en cuatro dominios:
 Planificar y organizar
 Adquirir y poner en práctica
 Entregar y dar soporte
 Monitorear y evaluar
Para cada proceso, COBIT define las entradas, salidas,
actividades principales, objetivos y medidas de rendimiento.
COBIT tiene mayor nivel de detalle en procesos, pero carece
de detalles técnicos para apoyar la aplicación. [1].
III. ISO 27001 COBIT RELACIÓN ENTRE EL COBIT Y LA
NORMA
La norma ISO 27001 describe cómo administrar la seguridad
de la información en una empresa. Se compone de 11
cláusulas en la parte principal de la norma, y 114 controles de
seguridad agrupados en 14 secciones del Anexo A. La norma
ISO 27001 cuenta con estas secciones:
 Contexto de la organización
 Liderazgo
 Planificación
 Soporte
 Operación
 Evaluación del desempeño
 Mejora continua
La norma ISO 27001 describe los controles que se encuentran
relacionados con la estructura de la empresa en cuanto a los
recursos humanos, la tecnología de la información, la gestión
de proveedores, etc.

Una de las limitaciones que presenta la norma ISO 27001 es

que no proporciona ciertos detalles sobre lo que debe hacer
para cumplir con los requisitos o implementar controles, sólo
de los que necesita para conseguirlos. [2].
IV. RELACIÓN ENTRE EL COBIT Y LA NORMA ISO
27001
Básicamente, COSO, COBIT e ISO 27001 tienen los
siguientes aspectos en común:
CONCLUCIONES
Una combinación de los tres suele ser el mejor enfoque.
COBIT se puede utilizar para determinar si las necesidades de
la empresa están siendo adecuadamente apoyados por IT.ISO
puede ser utilizado para determinar y mejorar la postura de
seguridad de la empresa. Y ITIL se puede utilizar para mejorar
los procesos de TI para cumplir con los objetivos de la empresa
(incluida la seguridad).

 Impulsado por objetivos. Mientras COSO y COBIT

tienen objetivos claramente definidos, la norma ISO REFERENCIAS:
27001 requiere que los objetivos de seguridad de [1] COBIT: MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS
información sean definidos por cada empresa en DE INFORMACIÓN, 10 de mayo del 2007 Disponible en:
función de su contexto en términos de http://www.eafit.edu.co/escuelas/administracion/consultorio-
confidencialidad, integridad y disponibilidad, para contable/Documents/boletines/auditoria-control/b13.pdf
asegurar que la seguridad y los procesos de la
empresa se integran. [2] La norma ISO 27001: Aspectos claves de su diseño e implantación,
Disponible en: https://www.isotools.org/pdfs-pro/iso-27001-sistema-
 Proceso orientado. Los tres marcos que hacen uso del gestion-seguridad-informacion.pdf
enfoque basado en procesos organizan las
actividades, y esto se puede utilizar para formar una
visión sistemática de cómo pueden interactuar. [3] Hector Acevedo Integando Cobit, ITIL E ISO 27001 como parte del
 Utilización de controles. En COSO los controles son gobierno, 20015 disponible en: http://www.magazcitum.com.mx/wp-
genéricos, con el objetivo de cubrir una mayor content/uploads/2010/07/Integrando-CobiT-ITIL-e-ISO-27001-como-
parte-del-Gobierno-de-TI.pdf
cantidad de procesos de negocio. COBIT reduce su
ámbito de aplicación a las tecnologías de la
información. ISO 27001 se centra en la seguridad de
la información. Esto se puede traducir en
oportunidades para solaparlos y optimizar las
acciones de mejora. [3].