ISO 27001:2013 y COBIT v4 son dos estándares de buenas prácticas para la seguridad de la información. Ambos modelos establecen las pautas necesarias para establecer, implantar, mantener y mejorar un SGSI (Sistema de Gestión de la Seguridad de la Información). El primero pertenece a la Organización Internacional de Estandarización y el segundo a ISACA (Asociación de Auditoría y Control de Sistemas de Información). Por mi experiencia personal es más común ISO 27001 que COBIT, o al menos su certifiación es más solicitada. Además COBIT es mucho más extenso en sus controles, quizás por ello sea menos práctico.
Durante el Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid realizamos un trabajo conjunto con Gonzalo y Katia que consistió en mapear los objetivos de control entre ambos estándares en once de sus dominios. Aunque COBIT ya se encuentra en su versión 5 esta comparativa puede servirle a alguno para ver «visualmente» las diferencias entre ambos estándares.
Fig1. ISO27001 vs COBIT
Fig2. ISO27001 vs COBIT
Fig3. ISO27001 vs COBIT
Fig4. ISO27001 vs COBIT
Fig5. ISO27001 vs COBIT
Aquí el enlace para su descarga en formato PDF.