Les empreses busquen la idea de les millors pràctiques, definides com a procediments demostrats per obtenir resultats òptims, per optimitzar l'eficiència i el benefici. Els marcs de governança com ISO 27001 i COBIT serveixen com a normes de disciplina molt detallades per gestionar el risc, reduir la pèrdua i reduir la publicitat negativa. Tot i que tant ISO 27001 com COBIT atenen la governança en l'àmbit de les tecnologies de la informació, contribueixen a facilitar les despeses de TI i reduir els riscos de seguretat relacionats amb la tecnologia: aquestes metodologies prominents difereixen en l'enfocament i en els detalls.
Fonaments
L'Organització Internacional per a la Normalització publica ISO 27001, que actua com a marc per a la gestió estandarditzada de la seguretat de la informació i se centra estrictament en les millors pràctiques orientades a la seguretat. L'Institut de Governança de la Tecnologia de la Informació publica COBIT - Objectius de control de la informació i la tecnologia relacionada - que contempla controls, mesures i processos globals de TI. L'enfocament més ampli de COBIT pretén superar la bretxa entre els objectius empresarials i els processos informàtics.
Format
El codi de pràctica ISO 27001, essencialment una guia d'auditoria que estableix els controls que una organització ha d'abordar, abasta vuit grans apartats en 34 pàgines. La metodologia COBIT molt més àmplia presenta 34 objectius de control d'alt nivell i 318 objectius de control detallats agrupats en les àrees de Pla i Organització, Adquisició i Implementació, lliurament i suport i monitorització. Aquestes directrius ofereixen una adreça de gestió per controlar els processos informàtics de les empreses, els assoliments generals i els objectius organitzatius. A diferència del COBIT, ISO 27001 no presenta models de maduresa, que intenten proporcionar una visió general de com les pràctiques d'una organització poden proporcionar resultats sostenibles.
Enfocament i funció
L'enfocament d'ISO 27001 en la direcció i l'auditoria fa que la metodologia sigui un marc de control i gestió més que un marc de procés. Encara que comparteix aquesta estructura amb COBIT, ISO 27001 té un objectiu més específic: la seguretat i, per tant, la gestió de nivell inferior. La metodologia COBIT es dirigeix a les necessitats d'alt nivell d'una empresa, que busca millorar l'orientació empresarial general mitjançant controls i mètriques de TI. Com a tal, COBIT atén a majors, com ara alts directius, administradors de TI i auditors.
Consideracions
ISO 27001 i COBIT no necessiten competir entre ells. De fet, els dos marcs es complementen: mentre que l'ISO 27001 té com a objectiu la seguretat, COBIT actua com una mena de marc "paraigües" que ajuda a connectar ISO 27001 i altres marcs de governança de TI com PMBOK i SEI CMM. Tots dos sistemes ofereixen "què" en comptes de "com" les dades, el que significa que identifiquen i mesuren la sortida i suggereixen la direcció, però no ofereixen mètodes per seguir aquesta direcció. Marcs com ITIL, també un complement per a COBIT i ISO 27001, responen a la pregunta de "com". Al món de la governança de TI, sovint s'executa amb el terme ISO 17799. Aquesta metodologia, també coneguda com BS7799, és la precursor de l'ISO 27001, que conserva gran part de la seva base.