Documente Academic
Documente Profesional
Documente Cultură
COBIT 5.0
APO
01
Gestionar el
marco de gestin
de TI
ISO 27001
Requerimientos
Cobertur
a
Justificacin
A+
APO
01.01
Definir la
estructura
organizacional.
4.1 Entender la
organizacin y su
contexto
APO
01.02
Establecer roles y
responsabilidades
.
5.3 Roles
organizacionales,
responsabilidades
y autoridades
C
APO
01.03
Mantener los
habilitadores del
sistema de
administracin.
(N/A)
5.1 Liderazgo y
Compromiso
6.2 Objetivos de
seguridad de
informacin y
planes para
alcanzarlos.
APO
01.04
Comunicar
objetivos y
direccin de
administracin.
APO
01.05
Optimizar la
colocacin de la
funcin de TI.
APO
01.06
Definir
informacin
7.4
Comunicaciones
En este requerimiento se
determinan los protocolos de
comunicacin y lo que debe
ser comunicado
(N/A)
7.5 Dcumentar
Informacin /
A+
(datos) y
propietarios del
sistema .
7.5.1 General
APO
01.07
Administrar la
mejora continua
de procesos.
10 Mejora / 10.2
Mejora continua
A+
APO
01.08
Mantener la
conformidad con
polticas y
procedimientos.
5. Politicas
APO02
COBIT 5.0
APO02
Entender la
direccin de la
APO02.01 empresa
Requerimientos
4.2)
Comprendiendo
las necesidades y
expectativas de
las partes
interesadas
Cobertura Justificacin
A+
Evaluar el
entorno actual,
las
capacidades y
APO02.02 el rendimiento.
5.3) Roles
organizacionales,
responsabilidades
y autoridades
A
Definir las
capacidades
de TI y sus
APO02.03 objetivos
A-
Conducir un
APO02.04 anlisis GAP.
No se puede
mapear
(N/A)
No aplica
Definir el plan
estratgico y el
plan de
proyectos y
objetivos a
APO02.05 seguir,
Comunicar la
estrategia y la
APO02.06 direccin de TI.
5) Liderazgo
7.4)
Comunicacion
APO03
COBIT 5.0
ISO 27001
APO 03
Gestionar la
Arquitectura
Empresarial
APO03.01
Desarrollar la
visin de la
Arquitectura
Empresarial
APO03.02
Definir la
arquitectura de
referencia
APO03.03
Seleccionar
oportunidades y
soluciones
APO03.04
Definir la
implementacin
de la
arquitectura
APO03.05
Proporcionar
servicios de
Arquitectura
Empresarial
Requisito
s
Cobertura
Justificacin
La implementacin de la
arquitectura empresarial no es
mencionada en la ISO.
No se menciona el proceso de
suministro de servicios, monitoreo
o medicin de la arquitectura
empresarial.
APO04
COBIT 5.0
APO04
Gestionar la
Seguridad
Requerimientos
Cobertura Justificacin
APO04.
1
Crear un ambiente
propicio para la
innovacin.
No se puede
mapear
(N/A)
No aplica
A+
APO04.
2
Mantener un
entendimiento del
ambiente de la
empresa.
4.2)
Comprendiendo las
necesidades y
expectativas de las
partes interesadas
APO04.
3
Monitorear y
observar el
ambiente
tecnolgico.
9.1 Monitoreo,
medicion, analisis y
evaluacion
A-
APO04.
4
Evaluar el
potencial de
tecnologas
emergente y de
ideas innovadoras.
No se puede
mapear
(N/A)
No aplica
APO04.
5
Recomendar ms
iniciativas
apropiadas.
10.2) Mejora
continua
APO04.
6
Monitorear la
implementacin y
el uso de la
innovacin.
9.1 Monitoreo,
medicion, analisis y
evaluacion
APO05
COBIT 5.0
APO 05
APO 05.01
ISO 27001
Gestionar el portafolio
Establecer la combinacin
de agentes de inversin
Requerimientos
Cobertura
Justificacin
En la ISO no se
habla nada
sobre agentes
de inversin
APO 05.02
Determinar la disponiblidad
y fuentes de financiamiento
En la ISO no se
habla nada
sobre fuentes de
financiamiento
APO 05.03
7.1 Recursos /
A-
En ambos casos
financiar
APO 05.04
APO 05.05
APO 05.06
Monitorear, optimizar y
reportar el desempeo del
portafolio de inversin
7.4
Comunicacione
s
no se hablan de
programas de
financiamiento
en s, pero si del
manejo de la
informacin en
todos los
procesos de una
organizacin. Sin
embargo, en
comunicaciones
y recursos se
habla sobre
temas de manejo
de los mismos.
9.1 Monitoreo,
medicin,
anlisis y
evaluacin
A-
Apartado b) Los
mtodos de
monitoreo,
medicin,
anlisis y
evaluacin se
deben aplicar
para asegurar
los resultados
vlidos.
ISO no
menciona nada
sobre algn
"portafolio" y
menos algn
control
estructurado de
todos sus
proyectos de TI,
solo habla sobre
el monitoreo a
los sistemas de
seguridad de la
informacin.
Mantenimiento de
portafolios
Gestin de beneficios
logrados
9.3 Revisin de
la gestin
Monitoreo y
medicin de
resultados
(aparatado c2);
no
conformidades y
acciones
correctivas
(aparatado c1) ;y
retroalimentacin
de las partes
interesadas
(aparatado d)
APO06
COBIT 5.0
ISO 27001
APO 06
Gestionar el
presupuesto
y los costes
APO 06.01
Administrar
finanzas y
contabilidad
APO 06.02
Priorizar
distribucin
de recursos
APO 06.03
Crear y
mantener
presupuesto
s
APO 06.04
Modelar y
distribuir
costos
APO 06.05
APO07
Administrar
costos
Requerimiento
s
7.1 Resources
7.1 Resources
7.1 Resources
7.1 Resources
7.1 Resources
Cobertur
a
Justificacin
(A-)
(A-)
(A-)
(A-)
(A-)
COBIT 5.0
APO 07
APO 07.01
ISO 27001
Gestionar los
Recursos
humanos
Matener una
asignacin
de tareas
adecuada y
apropiada.
Requerimiento
s
Cobertur
a
Justificacin
A-
A+
7.1 Recursos /
9.1 Monitoreo,
medicin,
anlisis y
evalucacin /
9.2 Auditora
Interna
A+
El planeamiento y administracin
de recursos humanos se
considera parte del requerimiento
7.1 recursos. El seguimiento y
evaluacin se tratan en los
requerimientos 9.1 y 9.2
enfocados al anlisis y evaluacin
generales y a la auditora interna
de la emrpesa.
7.2
A-
7.2
Competencias
APO 07.02
Identificar
presonal de
TI clave.
7.2
Competencias
APO 07.03
Mantener las
habilidades y
competencia
s del
personal.
7.2
Competencias
APO 07.04
Evaluar el
desempeo
laboral del
personal.
9.1 Monitoreo,
medicin,
anlisis y
evalucacin /
9.2 Auditora
Interna
APO 07.05
Planear y
hacer
seguimiento
del uso de
recursos
humanos de
TI y de
negocio.
APO 07.06
Administrar
personal de
Se puede considerar el
requerimiento de competencias de
contrato.
Competencias
APO08
COBIT 5.0
APO 08
Requerimientos
Entender las
expectativas del negocio
4.2
Comprendiendo
las necesidades
y expectativas
de las partes
interesadas
APO08.02
Identificar las
oportunidades, riesgos y
limitaciones de TI para
mejorar el negocio
6.1 Acciones
para dirigir los
riesgos y
oportunidades,
6.1.2
Evaluacion de
riesgos de
seguridad de
informacion
APO08.03
Gestionar la relacion
comercial
APO08.01
Cobertura
Justificacin
Pues se debe
saber hacia
donde va y
apunta el
negocio y la ISO
indica que se
tiene que
comprender las
necesidades de
las partes
interesadas
la ISO indica
que se deben
planear y dirigir
los riesgos y las
orportunidades
pra guiar el
direccionamiento
del negocio
N/A
APO08.04
APO08.05
Coordinar y comunicar
Aportaciones a la mejora
continua de los servicios
7.4
Comunicacion,
7.5.2 Creando y
Actualizando,
10.2 Mejora
continua
se deben de
comunicar
necesariamente
los cambios
realizados en las
gestion de
infotmacion para
mantener
integramente la
seguridad.
A+
Realizar simpre
mejoras e la
gestion de
sistemas de
seguridad de
informacion y
mantener
siempre los
documentos
ordenados y
bien
documentados
al alcance de
todas las partes
interesadas,
ademas de
comunicar las
mejoras que se
realicen
APO09
COBIT 5.0
APO 09
ISO 27001
Gestionar los
Contratos de
Servicios
Requerimientos
Cobertura Justificacin
A
Catalogo de
servicios
7.5.3 Control de la
permitidos por informacion
APO09.02 IT
documentada
Definir y
preparar los
acuerdos de
APO09.03 servicio
N/A
Monitorear y
reportar los
niveles de
APO09.04 servicio
9.1 Monitoreo,
medicion, analisis y
evaluacion
Revisar los
acuerdos y
contratos de
APO09.05 servicios
N/A
APO10
COBIT 5.0
APO 10
APO10.01
ISO 27001
Gestionar los
Proveedores
Identificar y
evaluar las
relaciones y
contratos con
el proveedor
Requisitos
Cobertura
4.2
A
Comprendiendo
las necesidades
y expectativas
de las partes
interesadas
Justificacin
La ISO menciona
la tarea de
conocer las
necesidades de
las partes
interesadas,
incluyendo los
contratos. Sin
embargo, no llega
al nivel de detalle
que lo definido en
COBIT.
APO10.02
APO10.03
APO10.04
APO10.05
Seleccionar
proveedores
Gestionar las
relaciones y
contratos con
el proveedor
Gestionar el
riesgo del
proveedor
Monitorear el
desempeo y
cumplimiento
del proveedor
La ISO no
menciona el
proceso de
seleccin de
proveedor.
La ISO, al igual
que COBIT,
menciona la
necesidad de
gestionar
permanentemente
la informacin del
proveedor.
Manteniendo y
mejorando la
misma, cada vez
que sea
necesario.
La ISO no
contempla la
identificacin y
manejo del riesgo
relacionado a la
capacidad de los
proveedores de
brindar sus
servicios
continuamente.
A.15.2.1
Monitoreo y
revisin de los
servicios del
proveedor
A.15.2.2
Gestin de
cambios de los
servicios del
proveedor
La ISO, al igual
que COBIT,
menciona la
necesidad de
monitorear y
auditar
regularmente los
servicios
brindados por el
proveedor
APO11
COBIT 5.0
APO 11
Gestionar la
Calidad
Requerimientos
Cobertur
a
Justificacin
APO11.0
1
Establecer un
sistema de
gestin de la
calidad.
No se puede
mapear
N/A
APO11.0
2
Definir y gestionar
los estndares,
prcticas y
procedimientos de No se puede
calidad.
mapear
N/A
La ISO no menciona
procedimientos de calidad.
APO11.0
3
Enfocar la gestin
de calidad hacia
los clientes
No se puede
mapear
N/A
La ISO no menciona
aspectos de enfoques de
calidad hacia clientes
APO11.0
4
Ejecutar
monitoreo, control
y revisiones de la
calidad.
No se puede
mapear
N/A
APO11.0
5
Integrar la gestin
de la calidad en la
entrega de
soluciones para el
desarrollo y el
servicio.
No se puede
mapear
N/A
La ISO no menciona la
integracin de la calidad.
APO11.0
6
Gestionar la
mejora continua.
5.1 (liderazgo y
Compromiso), 5.2
(Poltica),6(Planeami
ento),7.1(SoporteRecrusos) y 10.2
(Mejora Contnua)
La ISO menciona
principalmente la mejora
continua en el aspecto de la
seguridad de informacin. En
el punto 5.1.g)
Principalemente nos habla
del liderazgo y compromiso
APO12
COBIT 5.0
APO 12
ISO 27001
Gestionar el Riesgo
Requerimiento
s
Cobertura
Justificacin
APO 12.01
Recolectar data
ISO no menciona
ningn requerimiento
referente a la
identificacin de
riesgos en los
procesos que maneja
la organizacin
APO 12.02
Analizar el riesgo
8.2 Evaluacin
A+
Considera la
APO 12.03
APO 12.04
APO 12.05
APO 12.06
APO13
Articular el riesgo
de riesgos de
seguridad de
informacin
evaluacin de los
riesgo en un
determinado intervalo
para determinar como
se ven afectados ante
algn cambio u
ocurrencia.
Considera el resultado
de la evaluacin de
riesgos y el estado del
riesgo luego del plan
de tratamiento.
A+
Planifica acciones
para abordar los
riesgos y
oportunidades y como
integrarlos en los
procesos de gestin
de la seguridad de
informacin.
Asimismo, evalua la
efectividad de estas
acciones.
Considera la
implementacin del
plan de tratamiento de
riesgos de seguridad
de informacin
9.3 Revisin de
la gestin
Definir un portafolio de
gestin de riesgos
6.1 Acciones
para abordar
los riesgos y
oportunidades
Respuesta al riesgo
8.3 Tratamiento
de riesgos de
seguridad de
informacin
COBIT 5.0
APO 13
APO13.0
1
APO13.0
2
Establecer
y mantener
un SGSI
(Sistema
de Gestin
de
Seguridad
de la
Informacin
).
Definir y
administrar
un plan de
tratamiento
de riesgos
de la
seguridad
de la
informacin
.
Requerimiento
s
4(Contexto de
la
Organizacin),
5(Liderazgo),6(
Planeamiento),
7(Soporte) y
9(Evaluacin
de
Performance)
6(Planeamient
o):Principalme
nte 6.1 y 6.2
en un pequeo
aspecto. 8.2,
8.3(Principale
s) y 9.3
Cobertura
Justificacin
A+
APO13.0
3
Monitorear
y revisar el
SGSI.
7(Soporte),9(P
erformance
evaluation),10
(Mejora)
Se menciona explicitamente lo
referido al monitoreo y la revisin del
Sistema de Gestin de Seguridad de
Informacin. Principlamente en la
revisin peridica del SGSI para
poder corregir aspectos importantes,
para esto se menciona la importancia
de recolectar y analizar informacin
continuamente. Se menciona el tema
de auditoras internas, as como la
realziacin de examenes para medir
el grado de efectividad de SGSI
actual. Adems, estipula que se debe
proporcionar informacin pertienete
para el mantenimiento ya que esto
nos ayudara a tener resultados
correctos del seguimiento; nos habla
tambin de guardar acciones que
podran tener impacto en el
redimiento del SGSI en la empresa.