¿Qué es COSO?

COSO es una iniciativa conjunta con apoyo de cinco empresas del sector privado en los Estados
Unidos para luchar contra el fraude corporativo.

COSO ayuda en la gestión, los consejos de administración y otras partes interesadas, desde
el nivel más elevado al más bajo. Constituye un sistema de control interno.

Lo hace mediante la definición de los principios de control para conseguir:

 Efectividad y eficiencia de las operaciones de la empresa

 Falibilidad, puntualidad y transparencia en los informes
 Cumplimiento de la legislación y reglamentos

Los 17 principios de control se dividen en los siguientes componentes:

 Ambiente de control: normas, procesos y estructuras para llevar a cabo el control interno.
 La evaluación del riesgo: proceso para identificar y evaluar los riesgos para la consecución de los
objetivos.
 Actividades de control de las acciones: actividades para ayudar a asegurar que las directivas de
la administración se llevan a cabo.
 Información y comunicación: la información para apoyar a los componentes del control interno
y la comunicación para proporcionar de forma continua, compartir y obtener la información
necesaria.
 Seguimiento de las actividades: las evaluaciones para determinar si cada componente y el
control se encuentra presente y funciona perfectamente.

COSO destaca por su sentido común sobre la rigurosa gestión de las políticas y procedimientos
para tomar decisiones.

Esto requiere que los interesados tengan una profunda compresión del contexto
organizacional para:

 Determinar la cantidad de control suficiente

 Seleccionar, desarrollar e implementar controles sobre una base diaria
 Supervisar y evaluar la eficacia de los controles

¿Qué es COBIT?

COBIT es un marco de gestión de TI y gobierno administrado por ISACA.

Proporciona controles sobre la tecnología de la información.

Se organizan los procesos relacionados con el TI y apoyan el cumplimiento de los requisitos

del negocio:
  Utilizar de forma eficaz la información. Se deberá tener en cuenta las condiciones de tiempo y
entrega.
 Asignación eficaz de los recursos.
 Asegurar la confidencialidad de la información.
 Integridad del contenido de la información.
 Disponibilidad exigida por los procesos de negocio.
 Cumplir con los requisitos legales.
 Fiabilidad de la información utilizada para tomar decisiones.

El marco de procesos COBIT, se divide en cuatro dominios:

 Planificación y organización: de la utilización de las TI como apoyo para lograr los objetivos.
 Adquisición e implementación: adquirir las TI necesarias, integrarlas en los procesos y realizar el
mantenimiento necesario de las mismas.
 Entrega y soporte: busca asegurar la ejecución efectiva de las aplicaciones y sus resultados,
garantizando la seguridad.
 Seguimiento y evaluación: para garantizar que las TI empleadas cumplen sus objetivos y son
compatibles con la legislación al respecto.

Para cada proceso, COBIT define las entradas, salidas, actividades principales, objetivos y
medidas de rendimiento.

COBIT tiene mayor nivel de detalle en procesos, pero carece de detalles técnicos para apoyar la
aplicación.

¿Qué pasa con la norma ISO 27001?

La norma ISO 27001 describe cómo administrar la seguridad de la información en una

empresa.

Se compone de 11 cláusulas en la parte principal de la norma, y 114 controles de seguridad

agrupados en 14 secciones del Anexo A.

La norma ISO 27001 cuenta con estas secciones:

 Contexto de la organización
 Liderazgo
 Planificación
 Soporte
 Operación
 Evaluación del desempeño
 Mejora continua

La norma ISO 27001 describe los controles que se encuentran relacionados con la estructura de
la empresa en cuanto a los recursos humanos, la tecnología de la información, la gestión de
proveedores, etc.
Una de las limitaciones que presenta la norma ISO 27001 es que no proporciona ciertos
detalles sobre lo que debe hacer para cumplir con los requisitos o implementar controles, sólo
de los que necesita para conseguirlos.

¿Cómo puede la norma ISO 27001 interactuar con COSO y COBIT?

Básicamente, COSO, COBIT e ISO 27001 tienen los siguientes aspectos en común:

 Impulsado por objetivos. Mientras COSO y COBIT tienen objetivos claramente definidos, la
norma ISO 27001 requiere que los objetivos de seguridad de información sean definidos por
cada empresa en función de su contexto en términos de confidencialidad, integridad y
disponibilidad, para asegurar que la seguridad y los procesos de la empresa se integran.
 Proceso orientado. Los tres marcos que hacen uso del enfoque basado en procesos organizan
las actividades, y esto se puede utilizar para formar una visión sistemática de cómo pueden
interactuar.
 Utilización de controles. En COSO los controles son genéricos, con el objetivo de cubrir una
mayor cantidad de procesos de negocio. COBIT reduce su ámbito de aplicación a las tecnologías
de la información. ISO 27001 se centra en la seguridad de la información. Esto se puede traducir
en oportunidades para solaparlos y optimizar las acciones de mejora.

https://www.pmg-ssi.com/2016/10/como-integrar-coso-cobit-e-iso-27001/