Una aproximacin al mapa de procesos de COBIT a la norma ISO / IEC 27001

Seguridad de la Informacin controles de gestin

Abstract
La informacin es un activo fundamental dentro de cualquier organizacin y la proteccin de este
activo, a travs de un proceso de seguridad de la informacin es de igual importancia. COBIT e ISO
27001 son los marcos de referencia para la gestin de seguridad de la informacin para ayudar a las
organizaciones a evaluar sus riesgos de seguridad e implementar controles de seguridad apropiados.
Una de las secciones ms importantes de TI en el marco COBIT es la gestin de seguridad de la
informacin que cubren la confidencialidad, integridad y disponibilidad de los recursos. Dado que las
cuestiones planteadas en la gestin de seguridad de la informacin de COBIT, son el rea cubierta
por la norma ISO / IEC27001, la mejor opcin para satisfacer la gestin de seguridad de la
informacin en la infraestructura de COBIT, est utilizando de la norma ISO / IEC27001. Por la
convivencia y el uso complementario de COBIT e ISO 27001, mapeo de procesos de COBIT a la norma
ISO / IEC 27001 controles es beneficioso. Este artculo explora el papel de la seguridad de la
informacin dentro de COBIT y describe el enfoque de mapeo de procesos de COBI T a los controles
ISO / IEC27001 para la gestin de seguridad de la informacin.
Palabras clave: gestin de la seguridad de la Informacin, Cartografa, Organizacin, COBIT, ISO / IEC
27001, ciclo PDCA
1. Introduccin
Todas las organizaciones dependen de sus recursos de tecnologa de la informacin, no slo para
sobrevivir sino tambin para su crecimiento y expansin en mercados altamente competitivos
globales de hoy [1]. Sin embargo, el uso de tecnologas de la informacin conlleva riesgos
significativos a los sistemas de informacin y en particular a los recursos crticos, debido a su propia
naturaleza [2]. Por lo tanto, la seguridad de la informacin debe ser gestionado y controlado
adecuadamente [3]. Seguridad de la informacin es la proteccin de la informacin de una amplia
gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo
empresarial, y maximizar el retorno de las inversiones y oportunidades de negocios [4]. Para la
gestin eficaz de seguridad de la informacin en la organizacin, se desarrollan Sistemas de Gestin
de Seguridad de la Informacin (SGSI) . ISMS administra y opera continuamente el sistema de
seguridad de la informacin, en trminos de tecnologa, gestin y hardware, para el objetivo de la
seguridad de la informacin que es lograr la confidencialidad, integridad y disponibilidad. La
implantacin del SGSI sigue el concepto del ciclo Planificar-Hacer-Verificar-Actuar (PDCA) [5].
Algunas de las mejores prcticas como COBIT e ISO / IEC 27001 puede ser utili zado como una base
para el desarrollo de un proceso de seguridad de la informacin de sonido [6]. Norma ISO / IEC27001
especifica los requisitos para el diseo e implementacin de un sistema de gestin de seguridad de
la informacin adecuada en una organizacin, asegurando que los controles adecuados y
proporcionados son seleccionados para proteger los activos de informacin y para dar confianza a
las partes interesadas [4]. COBIT es un marco de gobierno de TI y herramientas de apoyo que
permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones
tcnicas y riesgos de negocio [7]. El foco principal de COBIT es el desarrollo de polticas claras y
buenas prcticas para la seguridad y el control en TI para su aprobacin en todo el mundo por

organizaciones comerciales, gubernamentales y profesionales [8]. Dado que las cuestiones

planteadas en la gestin de seguridad de la informacin de COBIT como la confidencialidad,
integridad y disponibilidad, son el rea cubierta por la norma ISO / IEC 27001, La mejor opcin para
cumplir con la gestin de seguridad de la informacin en la infraestructura de COBIT, est utilizando
de la norma ISO / IEC 27001 estndar.
En este trabajo se describe un mapeo entre los procesos de COBIT a ISO / IEC 27001 controles para
investigar la convivencia y el uso complementario de COBIT e ISO / IEC 27001 para la gestin de
seguridad de la informacin. El mapeo describe la relacin entre los sujetos y los parmetros de
control de ambas normas. Resto del documento est organizado de la siguiente manera: La seccin 2
presenta una visin general de marco COBIT. La seccin 3 describe la norma ISO / IEC 27001. En la
seccin 4, se describe un mapeo de procesos de COBIT con la norma ISO / IEC 27001 controles para
la gestin de seguridad de la informacin. Por ltimo, en la seccin 5, se presenta conclusin del
trabajo.
2. Marco COBIT
Los Objetivos de Control para la Informacin y Tecnologas Relacionadas (COBIT) es un conjunto de
mejores prcticas para la gestin de la tecnologa de informacin creado por la Asociacin de
Auditora y Control de Sistemas de Informacin (ISACA) y el IT Governance Institute (ITGI) [7, 9].
COBIT proporciona a los administradores, auditores y usuarios de TI con un conjunto de medidas
generalmente aceptadas, indicadores, procesos y mejores prcticas para ayudarles a maximizar los
beneficios derivados a travs del uso de tecnologas de la informacin y el desarrollo de la
gobernanza de TI adecuada y el control en una empresa. La misin de COBIT es investigar,
desarrollar, difundir y promover un, conjunto autorizado, actualizada, internacional de los objetivos
de control de tecnologa de la informacin generalmente aceptadas para el uso del da a da por los
gerentes de empresas y auditores. Los gerentes, auditores y usuarios se benefician del desarrollo de
COBIT porque ayuda a entender sus sistemas de TI y decidir el nivel de seguridad y control que es
necesario para proteger los activos de sus empresas a travs del desarrollo de un modelo de
gobernanza de TI [7, 9] . COBIT puede ser ampliamente aplicada a diversos fines. COBIT cubre la
seguridad, adems de todos los otros riesgos que pueden ocurrir con el uso de las TI.
2.1. Descripcin de la Orientacin y contenido del COBIT
Gobierno de la empresa (el sistema por el cual las organizaciones se rigen y controlan) y el gobierno
de TI (el sistema por el cual de TI se rige y controla la organizacin) son, desde un punto de vista
COBIT, muy relacionadas. Gobierno de la empresa es insuficiente sin el gobierno de TI y viceversa.
Adems, puede extenderse e influir en el desempeo de la organizacin, pero tiene que ser objeto
de una gobernanza adecuada. Por otra parte, los procesos de negocio requieren informacin de los
procesos de TI, y esta interrelacin tiene que ser gobernado as [10].
En esta materia, ciclo PDCA se hace evidente. El concepto del ciclo PDCA se utiliza por lo general en
los procesos de mejora continua de problemas y estructurado. Tanto la necesidad de informacin
(gobierno de la empresa) y la oferta de informacin (gobierno de TI) tienen que planificarse con
indicadores medibles y constructivas (plan). La informacin y, posiblemente, los sistemas de
informacin tiene que ser implementado, entregado y utilizado (hacer). El resultado de la
informacin suministrada y utilizada se medir contra los indicadores definidos en la fase de
planificacin (verificar). La desviacin se investiga y se tomen medidas correctivas (actuar). Teniendo
en cuenta estas interdependencias, es evidente que los procesos de TI no son un fin en s mismos.
Son un medio para un fin que est muy integrada con la gestin de procesos de negocio . La siguiente
definicin es de ITGI: gobierno de TI es la responsabilidad del consejo de administracin y direccin

ejecutiva. Es una parte integral del gobierno de la empresa y se compone de las estructuras de
direccin y de organizacin y procesos que aseguren que la organizacin es sostiene y extiende las
estrategias y objetivos [10] de la organizacin.
2.2. Caractersticas del marco COBIT
Marco COBIT fue creado con las siguientes caractersticas principales del ser [7]:
2.2.1. Centrada en el negocio: la orientacin de negocios es el tema principal de COBIT. Est
diseado no slo para estar al servicio de los proveedores de se rvicios de TI, los usuarios y los
auditores, sino tambin, y ms importante, para ofrecer una orientacin completa para los dueos
de gestin y procesos de negocio. El marco COBIT se basa en el principio de proporcionar la
informacin que la empresa necesita para lograr sus objetivos, la empresa necesita para invertir y
para administrar y controlar los recursos de TI utilizando un conjunto estructurado de procesos para
proporcionar los servicios que entregan la informacin de la empresa requerida . La gestin y control
de la informacin estn en el centro del marco COBIT y ayudar a asegurar la alineacin con los
requerimientos del negocio. {
Criterio de Informacin
Informacin dada a los procesos de negocio tiene que cumplir con ciertos criterio s, que se
sumariamente caracterizaban como sigue:
Requisitos de calidad:
- Eficacia: Se ocupa de la informacin es relevante y pertinente para el proceso de negocio, adems
de ser entregada de manera oportuna, correcta, consistente y utilizable.
- Eficiencia: Se refiere a la provisin de informacin a travs del ptima (ms productivo y
econmico) uso de los recursos.
Requisitos de seguridad:
- Confidencialidad: se refiere a la proteccin de la informacin confidencial de la divulgacin no
autorizada.
- Integridad: Se refiere a la exactitud e integridad de la informacin, as como a su validez de
acuerdo con los valores y expectativas del negocio.
- Disponibilidad: Se relaciona con la informacin est disponible cuando sea requerido por el
proceso de negocio ahora y en el futuro. Tambin se refiere a la proteccin de los recursos
necesarios y las capacidades asociadas.
Requisitos Fiduciarios:
- Cumplimiento: Se ocupa de cumplir con las leyes, reglamentos y acuerdos contractuales a los que
el proceso de negocio est sujeto, es decir, los criterios de negocio impuestos externamente, as
como las polticas internas.
- Fiabilidad: Se relaciona con el suministro de informacin adecuada para la gestin de operar la
entidad y ejercer sus responsabilidades fiduciarias y de gobernanza.
2.2.2. Orientado a procesos: COBIT divide gobernabilidad tecnologa de la informacin en 34
procesos agrupados en cuatro dominios, y proporciona un objetivo de control de alto nivel para cada
uno de estos 34 procesos. Estos dominios son:
- Planificar y Organizar
- Adquirir e Implementar
- Entregar y Dar Soporte
- Monitorear y Evaluar
Los dominios se asignan a IT reas de responsabilidad tradicionales de planificacin, construccin,

ejecutar y controlar. El marco COBIT brinda un modelo de procesos de referencia y un lenguaje

comn para todo el mundo en una empresa para ver y gestionar las actividades de TI. La
incorporacin de un modelo operativo y un lenguaje comn para todas las partes del negocio
involucrado en TI es uno de los pasos iniciales ms importantes hacia el buen gobierno. Tambin
proporciona un marco para medir y monitorear el desempeo de TI, la comunicacin con los
proveedores de servicios y la integracin de las mejores prcticas de gestin. Un modelo de
procesos fomenta la propiedad de procesos, permitiendo a las responsabilidades y la rendicin de
cuentas por definir.
2.2.3. Controles basados: COBIT define los objetivos de control de los 34 procesos, as como proceso
global y controles de aplicacin. El control se define como las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para proporcionar una seguridad razonable de que los
objetivos de negocio sern alcanzados y los eventos no deseados sern prevenidos o detectados y
corregidos.
2.2.4. Medicin impulsado: Una necesidad bsica de toda empresa es entender la situacin de sus
propios sistemas de TI y decidir qu nivel de la gestin y el control de la empresa debe proporcionar.
Para decidir sobre el nivel adecuado, la gerencia debe preguntarse: Hasta dnde vamos y es el
costo justificado por el beneficio? Las empresas tienen que medir dnde estn y dnde se requieren
mejoras, e implementar un conjunto de herramientas de gestin para monitorear esta mejora. Estas
caractersticas COBIT enfatizan el principio bsico del marco COBIT y es que los recursos de TI son
gestionados por los procesos de TI para alcanzar los objetivos de TI que respondan a los
requerimientos del negocio.
2.3. COBIT Marco Modelo
El propsito del marco COBIT es proporcionar la gestin con un modelo de gobierno que les ayuda a
controlar y gestionar la informacin y la tecnologa relacionada. El Marco se explica cmo los
procesos de TI entregar la informacin que la empresa necesita para alcanzar sus objetivos. Esta
entrega es controlada a travs de 34 objetivos de control de alto nivel, una para cada proceso de TI,
que figuran en los cuatro dominios. El Marco identifica cul de los siete criterios de informacin
(eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y fiabilidad), as como
que de los recursos de TI (personas, aplicaciones, tecnologa, instalaciones y datos) son importantes
para los procesos de TI para apoyar plenamente los objetivos de negocio [11]. IT Governance
Institute ha identificado cuatro dominios como los bloques de construccin del marco COBIT, como
se ilustra en la Figura 1: [11]
FIGURAAAA
Esta estructura se basa en el ciclo PDCA.
2.4. COBIT como una Fundacin para la Gestin de Seguridad de la Informacin
Seguridad de la informacin eficaz requiere un conjunto completo e integrado de los procesos de
seguridad, gestin y gobierno para planificar, organizar y contrarrestar los riesgos de seguridad de la
informacin de la organizacin. COBIT brinda un marco de gobernanza, gestin y proceso integrado
para implementar y ejecutar seguridad de la informacin. COBIT se describen los procesos de
sonido, las prcticas y los objetivos de control de la gestin y operacin de los sistemas de TI,
incluyendo su estado de seguridad. Las organizaciones que utilizan el marco reportan una mayor
capacidad para ofrecer un servicio de alta calidad a sus clientes, lo que incluye la capacidad de medir
y satisfacer a la confidencialidad, la disponibilidad y los requisitos de integridad.

COBIT es compatible con la seguridad debe ser abordado como parte de todas las funciones de
negocio. Mientras que slo un proceso COBIT (DS5) se dedica especficamente a la seguridad, los
objetivos de control que abordan la seguridad se encuentran dispersas en los diferentes procesos de
cada dominio. El documento base de seguridad COBIT [12] pone de relieve los objetivos de control
de COBIT de alto nivel relacionados con la seguridad de la informacin dentro de los cuatro dominios
en el marco COBIT. El DS5 Entrega y Soporte, Garantizar sistemas de proceso de seguridad, se ve
como si contiene los requisitos de la norma ISO / IEC 27001. se asigna a algunos de los controles y
sistema de gestin de requisitos de la norma ISO / IEC 27001. DS5 incluye 21 objetivos de control:
-DS5.1 Administrar Medidas de Seguridad
Control de Usuario Identificacin central -DS5.12 Re-DS5
-DS5.19 De software malintencionado de Prev
Proteccin -DS5.21 de Valor Electrnico
3- ISO / IEC 27001 Estndar
ISO / IEC 27001 tiene su origen a partir de un cdigo de buenas prcticas publicado por el
departamento britnico de Comercio e Industria en 1989, que poco a poco se convirti en BS7799
[13]. ISO / IEC 27001 especifica los requisitos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestin de Seguri dad de la Informacin documentada
(SGSI (en el contexto de los riesgos globales de negocio de la organizacin. ISO / IEC 27001 especifica
los requisitos para la aplicacin del controles de seguridad personalizados para las necesidades de
las organizaciones individuales o partes de los mismos. el SGSI est diseado para garantizar la
seleccin de controles adecuados y proporcionados de seguridad que protegen los activos de
informacin y dar confianza a las partes interesadas. los requisitos propuestos se estructuran en una
clasificacin de las 11 clusulas que incluir 39 objetivos orientados por 133 controles [4,14,15].
ISO / IEC 27001 establece cmo una empresa debe hacer frente a los requisitos de confidencialidad,
integridad y disponibilidad de sus activos de informacin e incorporar esto en un Sistema de
Informacin de Gestin de Seguridad (SGSI) [3, 5]. Esta norma se utiliza en todo el mundo por las
organizaciones, tanto comerciales como de gobierno, como la base para la gestin de las polticas y
la aplicacin de seguridad de la informacin de la organizacin. Est siendo utilizado por
organizaciones pequeas, medianas y grandes a travs de una amplia gama de sectores

empresariales. De hecho, el estndar est diseado para ser lo suficientemente flexible para ser
utilizado por todos los tipos de organizacin. La norma se ha convertido de facto "en lengua comn"
para la gestin de seguridad de la informacin [14,15]. La norma introduce un modelo cclico
conocido como "Planificar-Hacer-Verificar-Actuar" modelo (PDCA) que tiene como objetivo
establecer, implementar, monitorear y mejorar la eficacia de SGSI de una organizacin. El ciclo PDCA
tiene estas cuatro fases: [4,6, 7] El ciclo PDCA tiene estas cuatro fases:
a) Fase de "Plan" - establecer el SGSI: Establecer SGSI poltica, objetivos, procesos y procedimientos
relacionados con la gestin del riesgo y la mejora de seguridad de la informacin para conseguir
resultados de acuerdo con las polticas y objetivos generales de la organizacin.
b) Haz fase - implementar y operar el SGSI: Implementar y operar el SGSI de polticas, controles,
procesos y procedimientos.
c) Verificar fase - el seguimiento y la revisin de los SGSI: Evaluar y, en su caso, el rendimiento del
proceso medida contra la poltica del SGSI, los objetivos y la experiencia prctica e informar los
resultados a la gerencia para su revisin.
d) Actuar fase - mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas, basadas en
los resultados de la auditora y la gestin de opinin SGSI internas u otra informacin relevante, para
lograr la mejora continua del SGSI [4]. La figura 2 muestra el modelo PDCA aplicado a procesos SGSI.

Una de las normas que apoyan la implementacin de la norma ISO / IEC 27001 es el cdigo de
prcticas de la norma ISO / IEC 27002. Este cdigo de prcticas proporciona orientacin para la
implementacin de los controles de seguridad de la informacin definidos en la norma ISO / IEC
27001 (Anexo A) [15]. Las reas de control que cubren estas dos normas son: [4,10]
Poltica de Seguridad: compromiso de la direccin y el apoyo a la poltica de seguridad de la
informacin se trata en este dominio.
Organizacional seguridad de la informacin: La coordinacin y gestin de los esfuerzos globales de
seguridad de la informacin de la organizacin se detalla en este dominio. Adems, la
responsabilidad seguridad de la informacin se define en este dominio.
Gestin de activos: activos Todos crticos y / o sensibles se definen en este dominio.
La seguridad de los recursos humanos: Este dominio aborda el conocimiento del usuario y la
formacin. Sensibilizacin de los usuarios y la formacin pueden reducir el riesgo de robo, fraude y
error.
Fsica y Seguridad Ambiental: Este dominio restringe el acceso a las instalaciones al personal
autorizado. Adicionalmente, este dominio direcciones que limitan la cantidad de daos causados a la
planta fsica y la informacin de las organizaciones.
Comunicaciones y Gestin de Operaciones: Este dominio aborda el riesgo de fracaso y las
consecuencias resultantes. Esto se logra asegurando el uso correcto y seguro de las instalaciones de
procesamiento de informacin.
Control de acceso: Este dominio asegura el acceso a los sistemas respectivos y la informacin est
restringido al personal autorizado. La deteccin de actividades no autorizadas tambin se aborda en
este dominio.
Informacin de gestin de incidentes de seguridad: Los eventos de seguridad y debilidades deben
ser reportados. Este dominio se dirige a la definicin de las responsabilidades y los procedimientos
de gestin de incidentes de seguridad y mejora, y recoge evidencia de incidentes de seguridad.
Adquisicin de sistemas de informacin, desarrollo y mantenimiento: Este dominio se refiere a la
prdida y el mal uso de la informacin en las aplicaciones utilizadas en la empresa.
Gestin de Continuidad de Negocio: Este dominio se refiere a la capacidad de la organizacin para

responder rpidamente a cualquier interrupcin de los sistemas crticos de negocio. La interrupcin

de estos sistemas puede ser causado por fallos de hardware, incidentes y desastres naturales.
Cumplimiento: Este dominio aborda el cumplimiento legal de la empresa. Adicionalmente, este
dominio se asegura de que los objetivos establecidos por la direccin de nivel superior s e estn
siguiendo y se reunieron
Estas reas de controles proporcionan una amplia cobertura de las necesidades de organizacin de
la gestin de riesgos en toda la empresa que involucra personas, informacin, procesos, servicios de
TI y los activos fsicos. Hay 39 objetivos de control de acuerdo a los controles de seguridad 11 de la
norma ISO / IEC 27001, que se enumeran en la Tabla 1. Estos objetivos de control abarcan la
especificacin de requisitos funcionales para la arquitectura de gestin de seguridad de la
informacin de una organizacin [4].

tabla 1

4. Mapeo de Procesos COBIT a ISO Controles / IEC27001

La diferencia bsica entre COBIT y ISO27001 es que la ISO 27001 slo se centra en la seguridad de la
informacin, mientras que COBIT se centra en controles ms generales de tecnologa de
informacin. Por lo tanto, COBIT tiene una cobertura ms amplia de informacin general temas de
tecnologa, pero no tiene el mayor nmero de requisitos de seguridad de informacin detalladas
como ISO 27001. Si una organizacin aborda todos los controles de seguridad dentro de la norma
ISO 27001, entonces ser que cubre una gran parte de COBIT en el proceso - especialmente la
seccin DS5 Garantizar Sistemas de Seguridad. Sin embargo, COBIT cubre un conjunto mucho ms
amplio de temas relacionados con la gestin de la tecnologa de la informacin, y se suele utilizar
como parte de un marco general de gobierno corporativo.
Una de las secciones ms importantes de la tecnologa de la informacin en el marco COBIT, es la
gestin de seguridad de la informacin que cubren la confidencialidad, integridad y disponibilidad de
los recursos. Dado que las cuestiones planteadas, son el rea cubierta por la norma ISO / IEC 27001,
y la norma tambin ha considerado un ciclo PDCA como la infraestructura, la mejor opcin para
cumplir las especificaciones de seguridad de la informacin en la infraestructura de COBIT, est
utilizando de la norma ISO / IEC 27001 estndar. Por la convivencia y el uso complementario de
COBIT e ISO / IEC 27001, una asignacin entre COBIT e ISO / IEC27001 es beneficioso.
El propsito de la asignacin se proporciona de forma integrada para el uso complementario de
COBIT e ISO / IEC 27001 para la gestin de seguridad de la informacin. Mapeo de la norma ISO / IEC
27001 en los procesos de COBIT permite a la organizacin para reducir el costo general de mantener
los niveles de seguridad aceptables, gestionar eficazmente los riesgos y reducir los niveles de riesgo
en general. Para la cartografa de estos marcos, cada proceso COBIT se investiga, y el
correspondiente, la ISO 27001 Anexo A se indican los objetivos de control. De acuerdo con la norma
ISO / IEC 27001: 2005 dominios y procesos de COBIT, la relacin entre los sujetos y los parmetros
de control de ambas normas se dan en la Tabla 2

TABLA 2

Aqu, se analizan una serie de escenarios donde la cartografa de COBIT e ISO / IEC 27001 puede ser
muy beneficioso.
4.1 Escenario 1
Supongamos que una empresa se han puesto en marcha un marco de gobierno de TI basado en
COBIT y el departamento de seguridad de la informacin, posteriormente, tambin se haba basado
en los algunos procesos de COBIT. El departamento de seguridad de la informacin ahora decide
utilizar la norma ISO / IEC 27001. Utilizando el mtodo de asociacin, el departamento de seguridad
de la informacin puede trabajar fcilmente con otros departamentos como el departamento de
gestin de riesgos y el departamento de auditora. El beneficio del enfoque de mapeo es que el
departamento de seguridad de la informacin no tiene que cambiar nada y puede determinar
fcilmente cul de las ISO / IEC 27001 objetivos se han implementado a travs del uso de COBIT, y
que an se debe prestar atencin.
4.2 Escenario 2
Supongamos que el departamento de seguridad de la informacin de una empresa utiliza la norma
ISO 27001 como gua de gestin de seguridad de la informacin y el departamento de auditora
decide utilizar COBIT como marco de gobierno de TI. Desde el departamento de seguridad de la
informacin se ha ocupado de los controles de seguridad dentro de la norma ISO 27001, por lo
tanto, una gran parte de los procesos de COBIT han sido cubiertas. Utilizando el mtodo de
asociacin, el departamento de seguridad de la informacin no tiene que gastar un costo adicional y
se puede determinar fcilmente qu procesos de COBIT se han implementado a travs de la norma
ISO 27001.
4.3 Escenario 3
Si una empresa a implementar un marco de gobierno de TI basado en COBIT debido a su amplia
cobertura de temas de tecnologa de la informacin y una gua de gestin de seguridad de la
informacin basado en la norma ISO / IEC 27001, debido a sus requisitos ms detallados seguridad
de la informacin, la compaa puede cumplir mejor con el gobierno de TI y la informacin gestin
de la seguridad. Utilizando el mapeo, compaa capaz de implementar ambos marcos y sin ningn
coste adicional y el tiempo y tambin el departamento de seguridad de la informacin puede
trabajar fcilmente con otros departamentos como el departamento de gestin de riesgos y el
departamento de auditora

5. Conclusiones y trabajos futuros

Seguridad de la informacin juega un papel importante en la proteccin de los activos de una
organizacin. Como hay una frmula nica puede garantizar 100% de seguridad, hay una necesidad
de un conjunto de parmetros o niveles para ayudar a garantizar un nivel adecuado de seguridad se
alcanza, los recursos se utilicen de manera eficiente, y se adoptan las mejores prcticas de
seguridad. Sistemas como COBIT e ISO / IEC 27001 pueden utilizarse juntos como una base para el
desarrollo de un proceso de seguridad de la informacin de sonido. Por la convivencia y el uso
complementario de COBIT e ISO / IEC 27001 como marcos de referencia para la gestin de seguridad
de la informacin, mapeo de procesos de COBIT para controlar los objetivos de la norma ISO / IEC
27001 puede ser utilizado. En este trabajo se describe la asignacin entre COBIT e ISO / IEC 27001.
Mapeo de la norma ISO / IEC 27001 en los procesos de COBIT permite a la organizacin a reducir el
costo general de mantener los niveles de seguridad aceptables, gestionar eficazmente los riesgos y
reducir los niveles de riesgo en general. Por otra parte, el uso de la cartografa tambin reducir la

confusin y las desviaciones que existen entre TI y Auditora. Para el trabajo futuro, planeamos el
diseo de un marco integral y rentable para el uso de organizaciones para el equilibrio de
establecimiento de la norma ISO / IEC 27001 y los procesos de COBIT.