COSO
El Comité de Organizaciones Patrocinadoras (COSO, por sus siglas en inglés) surgió en 1985 por iniciativa de cinco organizaciones privadas de Estados Unidos relacionadas con la Contabilidad, las Finanzas y la Auditoría.
Como misión principal, se destaca la gestión de riesgos corporativos, el control interno y la disuasión del fraude. En otras palabras, se trata de un estándar de alto nivel, pensado para la gobernanza y estrategia corporativa.
COBIT
En este caso, se trata de Objetivos de Control para las Tecnologías de la Información y Relacionadas, y depende de la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés), presente en 180 países.
Su primera edición fue publicada en 1996. Está específicamente orientado a la Tecnología de la Información, incluye controles de aplicación, niveles de madurez, y 7 “criterios de información”, entre los cuales están la confidencialidad, la integridad y la disponibilidad.
ISO
La Organización Internacional de Estandarización, creada en 1946, se dedica a la elaboración de estándares. Entre muchas otras, se encuentra la ISO 27001 versión 2013, desarrollada en conjunto con la Comisión Electrotécnica Internacional (IEC, por sus siglas en inglés) orientada a la seguridad informática y con un enfoque que abarca el qué y el cómo.
Este organismo es especialmente importante porque otorga certificaciones en caso de cumplir con la normativa. En Argentina es representado por el Instituto Argentino de Normalización y Certificación (IRAM), junto a otros 164 países miembros.
Otros estándares
Entre otros, se pueden mencionar internacionales como el ITIL (Reino Unido, apunta a mejores prácticas asociadas a operaciones e infraestructura IT), Mitre Att&ck (Estados Unidos, con foco esencialmente práctico respecto a tácticas, técnicas y mitigación en ciberseguridad).
También existen nacionales, entre las cuales se encuentran las del Banco Central de la República Argentina, de cumplimiento obligatorio en entidades financieras e incluyendo las normas de seguridad informática “A-6017” y “A-6375”, o las Oficina Nacional de Tecnologías de Información, con injerencia en la Administración Pública.
A todo ello, podrían agregarse leyes, como la Ley Nacional Nº 25.326 de Protección de Datos Personales, con su equivalente en otros países o regiones (por ejemplo, la Unión Europea).
Conclusiones
Entonces, ¿Qué estándar elegir?
Elegir un estándar específico (parcial o en su totalidad), o bien un mix, dependerá de la organización objeto de análisis, en función de sus necesidades y particularidades.