Le aziende guardano all'idea delle migliori pratiche, definite come procedure comprovate per produrre risultati ottimali, per ottimizzare efficienza e profitto. I quadri di governance come ISO 27001 e COBIT servono come standard di disciplina altamente dettagliati volti a gestire il rischio, ridurre le perdite e ridurre la pubblicità negativa. Sebbene sia ISO 27001 che COBIT si occupino di governance nell'area delle tecnologie dell'informazione - contribuendo a ridurre le spese IT e riducendo i rischi per la sicurezza legati alla tecnologia - queste metodologie di rilievo differiscono per focalizzazione e dettagli.
Nozioni di base
L'International Organization for Standardization pubblica ISO 27001, che funge da framework per la gestione standardizzata della sicurezza delle informazioni e si concentra rigorosamente su best practice orientate alla sicurezza. L'Information Governance Institute pubblica il COBIT - Control Objectives for Information and related Technology - che si occupa di controlli, misure e processi IT. L'obiettivo principale di COBIT mira a colmare il divario tra gli obiettivi aziendali e i processi IT.
Formato
Il codice di condotta ISO 27001, essenzialmente una guida all'auditing che espone i controlli che un'organizzazione deve affrontare, comprende otto sezioni principali su 34 pagine. La metodologia COBIT molto più ampia prevede 34 obiettivi di controllo di alto livello e 318 obiettivi di controllo dettagliati raggruppati nelle aree di Pianificare e Organizzare, Acquisire e Implementare, Fornire, Supportare e Monitorare. Queste linee guida offrono indicazioni gestionali per il controllo dei processi IT aziendali, dei risultati complessivi e degli obiettivi organizzativi. Al contrario di COBIT, ISO 27001 non presenta modelli di maturità, che tentano di fornire una panoramica di come le pratiche di un'organizzazione possono fornire risultati sostenibili.
Focus e funzione
L'attenzione di ISO 27001 sull'indirizzamento e sul controllo rende la metodologia un quadro di controllo e gestione piuttosto che una struttura di processo. Sebbene condivida questa struttura con COBIT, ISO 27001 ha un obiettivo più specifico - la sicurezza - e quindi si rivolge alla gestione di livello inferiore. La metodologia COBIT si rivolge alle esigenze di livello superiore di un'azienda, cercando di migliorare l'orientamento generale dell'azienda tramite controlli e metriche IT. Come tale, COBIT si rivolge a più alti livelli come senior manager, IT manager e auditor.
considerazioni
ISO 27001 e COBIT non devono essere in concorrenza tra loro. In effetti, i due framework si completano a vicenda: mentre ISO 27001 ha come obiettivo la sicurezza, COBIT agisce come una sorta di framework "ombrello" che aiuta a collegare ISO 27001 e altri framework di governance IT come PMBOK e SEI CMM. Entrambi i sistemi offrono dati "cosa" piuttosto che "come", nel senso che identificano e misurano l'output e suggeriscono la direzione, ma non offrono metodi per perseguire tale direzione. I framework come ITIL, anche un complemento di COBIT e ISO 27001, rispondono alla domanda di "come". Nel mondo della governance IT, spesso si imbocca il termine ISO 17799. Questa metodologia, nota anche come BS7799, è la precursore della ISO 27001, che conserva gran parte delle sue fondamenta.
