See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/282329839

Definition of cybersecurity businness framework based on ADM-TOGAF

Conference Paper · June 2015

DOI: 10.1109/CISTI.2015.7170391

CITATION READS

1 946

5 authors, including:

Danilo Rubén Jaramillo Armando A. Cabrera-Silva

Universidad Técnica Particular de Loja Universidad Técnica Particular de Loja
17 PUBLICATIONS   11 CITATIONS    3 PUBLICATIONS   1 CITATION   

SEE PROFILE SEE PROFILE

Marco Abad J. Carrillo Verdún

Universidad Técnica Particular de Loja Universidad Politécnica de Madrid
10 PUBLICATIONS   10 CITATIONS    41 PUBLICATIONS   75 CITATIONS   

SEE PROFILE SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Study of Strategic IT Demand Management in Organizations View project

All content following this page was uploaded by Danilo Rubén Jaramillo on 30 September 2015.

The user has requested enhancement of the downloaded file.

 Definición de un Marco de Referencia de
Ciberseguridad Empresarial basado en ADM-
TOGAF
Definition of Cybersecurity Businness Framework
based on ADM-TOGAF
{djaramillo, aacabrera, mpabad, adtorres}@utpl.edu.ec
Danilo Jaramillo H., Armando Cabrera S., Marco
Abad E., Alfredo Torres V.
Universidad Técnica Particular de Loja
Loja, Ecuador
Resumen – En este trabajo se propone un conjunto de
actividades y pasos que son requeridos para la implementación
de un marco de referencia de ciberseguridad empresarial, para lo
cual, se ha tomado como referencia al Método de Descripción
Arquitectónica ADM-TOGAF y su integración con SABSA
metodología de seguridad empresarial, que definen un conjunto
de fases iterativas adaptadas con las normas de ciberseguridad
definidas en los marcos COBIT 5 y NIST, y en los estándares ISO
27001 e ISO 27032. Además se presentan los resultados obtenidos
luego de la aplicación del marco de referencia al contexto
empresarial local.
Palabras Clave – Ciberseguridad, Arquitectura Empresarial,
ADM, TOGAF.
Abstract - In this paper a set of activities and steps that are
required to implement a framework enterprise cybersecurity is
proposed, for which, is taken as a reference to Method of
Architectural Description ADM-TOGAF and its integration with
SABSA methodology enterprise Security, which define a set of
iterative phases adapted cybersecurity standards defined in NIST
COBIT 5 frames, and the ISO 27001 and ISO standard 27032. In
addition the results obtained after the application of the
framework are presented to local business context.
Keywords – Cybersecurity, Enterprise Architecture, ADM,
TOGAF.
I. INTRODUCCIÓN
El ambiente empresarial va cambiando conforme se
adoptan nuevas tecnologías, donde se presentan oportunidades
que las organizaciones deben aprovechar para mejorar su
gestión; actualmente cada organización busca alinear su
estrategia de negocio con las tecnologías de la información
(TI), utilizando por ejemplo, servicios externos como la nube,
en la cual se ha visto un incremento considerable. Según Eset
[1], se espera que para el año 2016, un 36% de la información
de los usuarios finales esté almacenada en la nube es así que, a
partir de todo este cambio, surge la necesidad de implementar
José Carrillo Verdúm
Universidad Politécnica de Madrid
Madrid, España
jcarrillo@fi.upm.es
controles y procedimientos a través de normas y marcos de
trabajo para minimizar los riesgos de pérdidas de información.
En la actualidad, debido a que todas las funciones de las
organizaciones giran en torno a la tecnología y uso intensivo
del internet para sus operaciones internas y externas, los altos
directivos deben establecer un compromiso colaborativo y así
evitar riesgos potenciales que afecten a la seguridad dentro de
su organización, y, por consiguiente, pérdidas económicas y
de imagen.
Ciberseguridad, “es el conjunto de actividades centradas en
mecanismos defensivos y ofensivos empleados tanto para
proteger el ciberespacio contra el uso indebido del mismo,
defender su infraestructura tecnológica, los servicios que
prestan y la información que manejan” [2].
Arquitectura Empresarial (AE) “es un enfoque para la
gestión de la complejidad de la estructura de la organización,
la tecnología de información (TI) y el entorno empresarial, y
facilitar la integración de estrategia, personal, negocio y TI
hacia un objetivo común” [3]. La AE se ha tomado como base
para la definición del marco de referencia de ciberseguridad,
por ello, nos hemos basado en el método de desarrollo de
arquitectura ADM-TOGAF, el mismo que estipula un
conjunto de fases que se alinearan con las técnicas, métodos,
procedimientos y normas de otros marcos de trabajo para
ciberseguridad como COBIT 5, ISO 27001, ISO 27032 y
NIST para de esta manera proponer una solución que se pueda
gestionar, mantener y mejorar de forma continua. En la
implementación del modelo de referencia de ciberseguridad
fue necesario identificar un marco de trabajo de AE adaptable,
que permita su integración con otros marcos, por lo cual, se
analizó los marcos de referencia de Zachman y TOGAF por
ser los más difundidos a nivel comercial.
II. MARCOS DE TRABAJO DE ARQUITECTURA EMPRESARIAL
Para trabajar con una estructura base que soporte todo el
trabajo de ciberseguridad en un entorno empresarial, se han
seleccionado dos marcos de trabajo, TOGAF y Zachman, que
se detallan a continuación.
A. Zachman Framework
Este marco de trabajo se utiliza para realizar
“representaciones descriptivas o modelos de una empresa.
Sirve fundamentalmente para implementar una AE en las
compañías, siendo el mismo marco que toda compañía grande
o pequeña necesita aplicar conceptos de arquitectura
independientemente de sus características” [4]; Zachman
framework clasifica toda la estructura de una empresa de
manera inteligente y ordenada a través de seis vistas [5]:
Alcance, Modelo empresarial, Modelo de sistema de
información, Modelo tecnológico, Especificación detallada y
Empresa en funcionamiento.
Como tal Zachman, es un modelo de clasificación que se
encuentra en las disciplinas más maduras de arquitectura,
utilizado para clasificar y organizar los artefactos de diseño
relacionados con los productos físicos y lógicos de una
organización.
B. TOGAF
El marco de TOGAF “proporciona los métodos y
herramientas para ayudar en la aceptación, producción, uso y
mantenimiento de una AE, se basa en un modelo de procesos
iterativo, el apoyo de las mejores prácticas y un conjunto
reutilizable de activos existentes” [6]. TOGAF dispone de un
método central llamado ADM, el cual proporciona un proceso
repetible para el desarrollo de arquitecturas, mediante cada
una de sus fases: gestión de requerimientos, fase preliminar,
visión de arquitectura, arquitectura de negocio, arquitectura de
sistemas de información, arquitectura tecnológica,
oportunidades y soluciones, planificación de migración,
gobierno de la implementación y gestión de cambios de la
arquitectura. En resumen TOGAF es un marco de trabajo que
a través del ADM y su proceso iterativo de mejora continua,
mediante varias iteraciones implementa cada fase para la
construcción y mantenimiento de una AE.
C. Comparación entre TOGAF y Zachman Framework
Es necesario identificar el nivel de madurez empresarial y
las capacidades arquitectónicas que posee una organización, a
través de las cuatro dimensiones de AE (arquitectura de
negocio, arquitectura de información, arquitectura de
aplicaciones y arquitectura tecnológica), de acuerdo a estas
dimensiones, y desde el enfoque de construcción de una AE se
han comparado los marcos de trabajo que se detallan en la
tabla 1.
TABLA 1. COMPARACIÓN ENTRE TOGAF Y ZACHMAN FRAMEWORK
Marcos de trabajo
TOGAF
Zachman
Componentes Framework
Aporta beneficios de TI x x
Basado en entregables x x
Adaptable a las necesidades de una empresa x x
Gestión de infraestructura x x
Centrado en las actividades del negocio x de infraestructuras críticas (CS-IC)
Organización y clasificación de artefactos x x
Gestión de requerimientos x Este marco contiene un conjunto de directrices sobre
Gestión de alcance x x
Gestión de cambios x x
Gestión de riesgos x
Adaptable a otros marcos de trabajo x
Reducción de costos x x
Identificación de oportunidades x x
Luego de la comparación de los componentes se ha
tomado al marco de trabajo de TOGAF, como modelo de
referencia a seguir, considerando mayormente aspectos como
adaptabilidad con otros marcos de referencia, basado en
entregables y el trabajo que realiza sobre los cuatro principios
de AE (negocio, datos, aplicaciones y tecnología)
III. NORMAS Y MARCOS DE TRABAJO DE CIBERSEGURIDAD
Se han considerado marcos de trabajo y normas de
ciberseguridad que se integren en el ADM de TOGAF, los
mismos se resumen a continuación:
A. ISO/IEC 27001
Esta norma contiene los requisitos del sistema de gestión de
seguridad de la información; tiene como objetivo proporcionar
una metodología para la implementación de un sistema de
gestión de seguridad de la información (SGSI) en una
organización [7]. En esta norma existen 4 fases (planificación,
implementación, revisión, mantenimiento) que se deben
implementar de forma constante para reducir al mínimo los
riesgos en la confidencialidad, integridad y disponibilidad de la
información. ISO 27001 especifica los requisitos necesarios
para establecer, implementar, mantener y mejorar un sistema
de gestión de la seguridad de la información (SGSI) mediante
sus cuatro fases que son apoyadas por 130 requisitos, 14
dominios y 114 controles para seguridad de la información.
B. ISO/IEC 27032
Proporciona una guía para mejorar el estado de
ciberseguridad, extrayendo los aspectos únicos de esta
actividad y de sus dependencias en otros dominios de
seguridad. Concretamente: información de seguridad,
seguridad de las redes, seguridad en Internet e información de
protección de infraestructuras críticas (CIIP) [8]. ISO 27032,
proporciona directrices para mejorar el estado de la
ciberseguridad, destacando aspectos únicos de dicha actividad
y su dependencia de otros ámbitos de seguridad [9]. Esta norma
ayuda a las organizaciones mediante sus dominios y controles,
en la prevención, protección y gestión de los incidentes hacia
los sistemas de información que se encuentran dentro del
internet.
C. Transformando la ciberseguridad usando Cobit 5 (TCS)
Examina el impacto del cibercrimen, basado en tres
factores como: conectividad permanente, una sociedad cada
vez más centrada en TI y un nuevo sistema de clasificación que
identifica a la gente por habilidades tecnológicas [10]. Esta
guía proporciona las directrices necesarias de cómo administrar
y transformar la seguridad a través de COBIT 5, en donde los
procesos de COBIT se encuentran orientados hacia la
ciberseguridad.
D. NIST - marco de trabajo para mejorar la ciberseguridad
ciberseguridad para ayudar a proteger infraestructuras críticas,
y está basado en la gestión de riesgos para la ciberseguridad
[11], este marco de trabajo se compone de tres partes: el núcleo generados a partir de todo el ciclo de implementación de
del marco de trabajo, presenta estándares de la industria, ciberseguridad.
directrices y prácticas; niveles de aplicación del marco de
trabajo, que proporciona un contexto de cómo una
organización entiende y gestión el riesgo de la ciberseguridad;
perfil del marco de trabajo, representa los resultados de las
necesidades del negocio que se han seleccionado en las
categorías y subcategorías del marco de trabajo.
E. Características de los marcos de trabajo y normas de
ciberseguridad
Para la implementación de ciberseguridad es necesario
conocer los componentes que se pueden ayudar a fortalecer en
una AE, por esta razón se identifican las ventajas (ver tabla 2)
que ofrece cada marco de trabajo y norma de ciberseguridad.

TABLA 2. COMPARACION DE MARCOS DE TRABAJO Y NORMAS DE

CIBERSEGURIDAD

Normas, marcos de
ISO ISO COBIT NIST
trabajo
27001 27032 5 (TCS) (CS-IC)
Parámetros CS Figura 1 – Ciclo de vida de SABSA relacionado el ADM de TOGAF
Políticas de seguridad x x x
Preservación de CID x x x IV. INTEGRACIÓN DEL ADM DE TOGAF Y SABSA ORIENTADA
Gestión de incidentes A CIBERSEGURIDAD
x x x x
informáticos
Gestión de recursos x El ADM cuenta con un conjunto de fases que se pueden
Gestión de riesgos x x utilizar en el desarrollo de actividades, para ayudar en la
Hacking x implementación de un esquema de ciberseguridad, de esta
Seguridad de internet x x x x forma, se puede aprovechar una AE ya implementada junto a
Mejora continua x x x x
sus elementos desarrollados, para determinar un conjunto de
Software malicioso x x
Intercambio de información x x x x
controles y procedimientos que se integren en la arquitectura.
Cloud computing x Analizar el propósito que tiene
Dispositivos móviles x x cada fase dentro del ADM, Definir actividades para cada fase
Gestión de infraestructura x para obtener una idea clara de del ADM, orientadas al trabajo de
Cada marco de trabajo de ciberseguridad y seguridad de la las necesidades requeridas en ciberseguridad en AE.
información disponen de un conjunto de características que sus actividades.
fortalecen y gestionan los diferentes SI de una organización.
Obtener de cada uno de los
F. Integración de ADM-TOGAF y SABSA Comparar las caracteristicas de
marcos de trabajo y normas, los
cada marco y norma de CS,
SABSA es una metodología enfocada en el desarrollo de puntos (controles, categorias,
para asociarlas a las
procesos) que se pueden
arquitecturas de seguridad empresarial. La visión y propósito actividades definidas en el
acoplar a las necesidades de
de la integración de ambos marcos de trabajo es apoyar a los ADM.
cada actividad.
arquitectos empresariales, para tomar en cuenta la gestión del
riesgo operacional proporcionando orientación que describe
cómo TOGAF y SABSA se pueden combinar; de tal manera Integrar los puntos obtenidos
Detallar de forma clara un
de las normas y marcos de
que el riesgo de negocio, y, el enfoque de la arquitectura de ciberseguridad en las
proceso a seguir, para la
seguridad de SABSA promovida por las oportunidades, se actividades definidas para
implementacion de cada
actividad en su respectiva fase.
pueden integrar perfectamente en la estrategia de TOGAF ciberseguridad.
impulsada por el negocio [12]. En la Fig. 1 se observó el
mapeo de las fases del ADM de TOGAF, junto a la interacción
Elaborar las plantillas de
entre sus fases, con el ciclo de vida de SABSA. Cada iteración implementacion y
Implementar una herramienta
realiza un trabajo específico, en iteración de capacidad levantamiento de informacion
para validación de la guia de
arquitectónica se evalúa y define el trabajo que realizará la ciberseguridad en un entorno
de acuerdo a los procesos de
empresarial.
ciberseguridad, y, mediante que herramientas se ejecutará el cada actividad de la guía.
mismo; en la iteración de desarrollo se analiza el estado actual Figura 2 – Proceso de elaboración del modelo de ciberseguridad para AE
y el estado objetivo; además, del proceso requerido para
alcanzar dicho estado objetivo; en la iteración de planificación Para trabajar a través de cada fase del ADM es importante
de transición se evalúan los procedimientos principales para la conocer que se realizará en cada una de ellas de acuerdo a las
implementación de ciberseguridad, y en la iteración de necesidades y requerimientos de ciberseguridad, además de
gobernanza se valida que todo lo propuesto desde el inicio se saber que marcos de trabajo o normas de ciberseguridad se
haya cumplido, así mismo, como gestionar los cambios pueden utilizar. Para obtener las características de cada norma
y marco de trabajo en la elaboración del modelo de Marcos de - TOGAF y SABSA - Marcos de control [12]
ciberseguridad para AE. Se siguió un proceso, el cual se referencia de - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13].
muestra en la Fig. 2.
En cada uno de los puntos mostrados en la Fig. 2 se puede D. Arquitectura de negocio (BA)
ver que es necesario un estudio para relacionar las En esta fase se determinan las leyes y marcos de confianza,
características de cada norma y marco de trabajo, este estudio, independientemente de TI, que se encuentran dentro de la
valida que dentro de cada una de las actividades definidas arquitectura, además, se identifican los diferentes documentos
encajen los controles, características y procesos orientados a que respaldan el trabajo de ciberseguridad. En la tabla 6 se
ciberseguridad. observa cada una de las actividades junto a sus marcos de
trabajo y normas de ciberseguridad.
A. Gestión de requerimientos (RM)
Esta fase trabaja mediante un proceso dinámico la gestión TABLA 6. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE BA
de los atributos del perfil de negocio, y los requerimientos de Actividad Normas y marcos de trabajo considerados
ciberseguridad obtenidos de las partes interesadas. En la tabla Modelo de
3 se pueden ver las normas y marcos de trabajo que apoyan - Guía para el especialista - Formulario de evaluación
riesgo del
de riesgos de TI para empresas [16].
cada una de las actividades de esta fase. negocio
Leyes y - COIP - SECCIÓN TERCERA - Delitos contra la
TABLA 3. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE DE RM regulaciones de seguridad de los activos de los sistemas de
ciberseguridad información y comunicación. [17]
Actividad Normas y marcos de trabajo considerados Marcos de - TOGAF y SABSA - Marcos de control [12]
Atributos del perfil referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
- TOGAF y SABSA -Atributos de negocio de la
de negocio para ciberseguridad marcos [13].
taxonomía de SABSA [12].
ciberseguridad Modelo del
Control de - TOGAF 9.1 -Cap. 17 de Gestión de - TOGAF y SABSA - Modelo del dominio de
dominio de
requerimientos requerimientos de arquitectura [13]. seguridad [12].
ciberseguridad
Protocolos de - ISO 27001 - A.13.1.1, A.13.1.2, A.13.2.1 [18]
B. Fase Preliminar (PP) confianza - NIST (CS-IC) - (ID.AM-3) [11].
Esta fase prepara a la organización para la implementación Organización
- ISO 27001 - A.12.2.1, A.16.1.1, A.16.1.2, A.16.1.3,
del trabajo de ciberseguridad, donde se toman dos aspectos A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7 [18]
de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
principales, como: los principios de ciberseguridad y los ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11]
marcos de trabajo que se van a utilizar. En la tabla 4 se pueden - ISO 27001:2013 - A.5.1.1, A.5.1.2, A.18.2.2) [18]
ver las actividades correspondientes a esta fase, junto a las Arquitectura de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
las políticas de
normas y marcos de trabajo de ciberseguridad. ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11].
- COBIT 5 (TCS) - políticas de ciberseguridad [14].
TABLA 4. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE PP
E. Arquitectura de sistemas de información (ISA):
Actividad Normas y marcos de trabajo considerados
Comprende la arquitectura de datos y de aplicación, en
- COBIT 5 (TCS) -Apartado de principios de seguridad donde se trabaja principalmente con un análisis de brechas para
Principios de
de la información [14].
ciberseguridad
- TOGAF 9.1 -Cap. 23, principios de arquitectura [13].
identificar el estado actual, el estado objetivo y el proceso para
llegar al estado objetivo. En la tabla 7 se pueden ver las
Equipo de - TOGAF-SABSA Plan de recursos de seguridad [12].
ciberseguridad - Proceso (APO01.02) de COBIT 5 (TCS) [14].
actividades relacionadas con las normas y marcos que apoyan
Marcos de - TOGAF y SABSA - Marcos de control [12] el trabajo de ciberseguridad de esta fase.
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13]. TABLA 7. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ISA
- ISACA (RG1.1) - Desarrolla en una empresa el
Áreas de riesgo Actividad Normas y marcos de trabajo considerados
marco específico de gestión de riesgos TI [15].
Catálogo de - TOGAF 9.1 - 43.4. Taxonomía de aplicaciones de la
C. Visión de arquitectura (AV): servicios de plataforma, 43.5. detalle de la taxonomía de la
ciberseguridad plataforma [13].
En esta fase se describe de forma inicial, a través de la Clasificación
identificación de requerimientos e interesados, lo que se desea de servicios de - ISO 27001 - A.8.2.1, A.8.2.2 [18]
realizar y alcanzar con la ciberseguridad. En la tabla 5 se ciberseguridad
pueden ver las normas y marcos de trabajo que apoyan a cada Marcos de - TOGAF y SABSA - Marcos de control [12]
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
una de las actividades. ciberseguridad marcos [13].
- ISO 27001 - A.10.1.1, A.12.2.1, A.12.6.2 [18]
TABLA 5. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE AV - NIST (CS-IC) - ID.AM-4, PR.AC-3. [11]
Análisis de
Actividad Normas y marcos de trabajo considerados - COBIT 5 (TCS) - políticas de ciberseguridad -
brechas
APO02.04 “llevar a cabo un análisis de brechas”,
Partes interesadas
- TOGAF 9.1 - Cap. 24. Gestión de interesados [13] APO02.05 “Definir plan estratégico, hoja de ruta” [14]
de ciberseguridad
- ISO 27001 [18]
- COBIT 5 (TCS) - Gobernanza de ciberseguridad en Reglas y
- COBIT 5 (TCS) [14]
Requerimientos el dominio de EDM (EDM05.01, EDM02.01), y el prácticas de
- NIST (CS-IC) [11]
de ciberseguridad proceso mapeado DSS (DSS01.02) [14]. ciberseguridad
- TOGAF y SABSA - [12].
- TOGAF 9.1-17.2 Desarrollo de requerimientos [13].
F. Arquitectura tecnológica (TA)
Esta fase determina que estándares de seguridad son
necesarios para la protección de los componentes tecnológicos
que soportan los SI. En la tabla 8 se pueden observar las
actividades junto sus normas y marcos de ciberseguridad.
TABLA 8. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE TA
Actividad Normas y marcos de trabajo considerados
Estándares de
- TOGAF y SABSA - Estándares de seguridad [12].
Ciberseguridad
Reglas y
- ISO 27001 - A.14.1.2 [18]
prácticas de
- NIST (CS-IC) - PR.AC-5, PR.DS-2, etc. [11].
ciberseguridad
Marcos de - TOGAF y SABSA - Marcos de control [12]
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13].
G. Oportunidades y soluciones (OS)
Evalúa y determina la importancia de la implementación de
los procesos más relevantes de ciberseguridad para la AE, a
través de la actividad de control de procedimientos de
oportunidades y soluciones. En la tabla 9 se puede observar el
marco de trabajo asociado que apoya a esta actividad.
TABLA 9. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE OS
Normas y marcos de trabajo
Actividad
considerados
Control del procedimientos de - TOGAF 9.1 – Fase E: Oportunidades
oportunidades y soluciones y soluciones [13].
H. Planificación de la migración (MP)
Esta fase trabaja con los riesgos, beneficios, costos y
controles asociados a la transición desde el estado actual al
estado objetivo, a través de la actividad de control de
migración. En la tabla 10 se puede el marco de trabajo que
apoya a esta actividad.
Governanza - TOGAF 9.1 - Fase planificación
J. Gestión de cambios de la arquitectura (ACM)
Esta fase controla continuamente que el trabajo de
ciberseguridad responde a las necesidades de la organización, y
que los cambios que han surgido se gestionen de manera
controlada para que no causen un impacto negativo. En la tabla
12 se encuentran los marcos y normas que soportan el trabajo
de ciberseguridad de las actividades de esta fase.
TABLA 12. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ACM
Actividad Normas y marcos de trabajo considerados
Gestión de - TOGAF 9.1 - 16.2.2. Proceso de gestión de cambios
cambios de la arquitectura empresarial [13].
Gestión de
- TOGAF y SABSA: Gestión de riesgos [12].
riesgos
- COBIT 5 (TCS) - Objetivos de gobernanza de
Gobernanza de
ciberseguridad, Gobernanza de ciberseguridad en el
la
dominio EDM, Gobernanza de ciberseguridad en el
ciberseguridad
dominio APO [14].
V. RESULTADOS
Para el proceso de validación de las actividades se utilizó
una aplicación que permitió evaluar el nivel de ciberseguridad
que posee una organización, a través de un conjunto de ítems
para cada actividad, donde se consideró el punto de vista de las
normas y marcos de referencia citados en cada actividad. De
acuerdo a las pruebas de verificación, en la Fig. 3 se puede
observar el porcentaje de cumplimiento de ciberseguridad de
cada fase, dentro del caso de estudio evaluado en una
organización.

TABLA 10. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE MP

Actividad Normas y marcos de trabajo considerados

Control de - TOGAF 9.1 – Fase F: Planificación de la
migración migración [13].

I. Gobierno de la implementación (IG)

Esta fase asegura que la implementación del proyecto esté
de acuerdo a lo planificado, y, que se garantice que los
procesos y sistemas se adhieran a la arquitectura de seguridad o Figura 3 – porcentaje de cumplimiento de ciberseguridad de acuerdo a cada
seguridad de la información en general. En la tabla 11 se fase de la guía
observa las normas y marcos de trabajo que apoyan las
actividades de ciberseguridad de esta fase. Como se observa en la Fig. 3 normalmente no se lleva un
trabajo de ciberseguridad de acuerdo a las actividades
TABLA 11. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE IG planteadas para el caso evaluado, en donde intervienen las
Actividad Normas y marcos de trabajo considerados
normas y marcos de trabajo de cada actividad; lo se ve
- COBIT 5 (TCS) - Gestión de ciberseguridad,
reflejado en los porcentajes que representan las actividades de
Gestión de oportunidades y soluciones y planificación de la migración.
Controles de seguridad existentes, Procesos de
ciberseguridad
aplicación de ciberseguridad [14].
- OWASP, guía de pruebas [19].
En la Fig. 4 se puede ver la fase de gestión de
Auditoría de - ISO 27001 - A.5.1.2, A.18.2.2. [18]. requerimientos que muestra los ítems, que han sido cumplidos
ciberseguridad - COBIT 5 (TCS) - Auditoria y revisión de la y los que aún no se han cumplido; la validación de esta fase
ciberseguridad [14]. muestra que la mayoría de los ítems evaluados no han sido
Implementar cumplidos, lo que refleja un bajo control en cada una de las
conciencia en - COBIT 5 (TCS) - Conciencia de seguridad [14]. fases del ADM.
ciberseguridad

Figura 4 – Items cumplidos y no cumplidos en la fase de gestión de
requerimientos
En la iteración de evaluación de capacidad arquitectónica,
donde están las actividades de la fase preliminar que alcanza un
52% y la fase de visión de arquitectura que alcanza un 55%,
son las fase que cuentan con un mayor porcentaje de
cumplimiento, las mismas que tienen el objetivo de verificar
que estén claros los lineamientos necesarios para iniciar el
trabajo de implementación de ciberseguridad. Dentro de la
evaluación de la iteración de desarrollo se encuentran las fases
de arquitectura de negocio, arquitectura de SI y la arquitectura
tecnológica. Hay que prestar mucha atención a esta iteración,
puesto que el cumplimiento de la misma determina que existan
los controles y procesos necesarios de ciberseguridad en los
servicios y SI de la organización, que dentro del caso evaluado
solo alcanza un porcentaje que esta alrededor del 25%. En la
iteración de transición interviene la fase de oportunidades y
soluciones y la fase de planificación de la migración, las
mismas que priorizan los procesos a implementar.
VI. CONCLUSIONES
Una organización que cuente con una AE formalmente
definida facilita la integración de ciberseguridad, dentro de la
misma, debido a que se aprovechan los procesos trabajados
dentro de ella. De acuerdo al caso de estudio se observa que si
los procesos de AE, no han sido trabajados formalmente
afectan a cada una de las fases y se refleja en el nivel de la
ciberseguridad.
La flexibilidad proporcionada por el ADM-TOGAF y su
capacidad para trabajar con otras normas y marcos de trabajo,
permiten adaptar las actividades requeridas de ciberseguridad
en cada una de sus fases. Los controles, técnicas y procesos de
estas normas y marcos de trabajo de COBIT 5, ISO 27001, ISO
27032 y NIST, permitieron elaborar un marco de referencia de
ciberseguridad para trabajar dentro del entorno de una AE; en
donde cada actividad que se validó en el caso de estudio, y que
no haya sido cumplida de acuerdo a las normas y marcos de
trabajo propuestos, representan un punto bajo dentro de la fase
a la que pertenecen y por consiguiente en el modelo.
La evaluación que se realiza mediante el análisis de
brechas, durante la fase de Arquitectura de SI para identificar el
estado actual y así definir un estado objetivo, debe ser una
prioridad para mejorar la seguridad en los controles de los SI,
más los puntos elaborados dentro de las políticas de
ciberseguridad de la fase de Arquitectura de Negocio, que
determinan el horizonte a alcanzar con la ciberseguridad.
La importancia que se dé al trabajo y gestión de
ciberseguridad es un tema que debe ser considerado, desde el
nivel más alto de la cadena de mando hasta el más bajo, donde
se lleve una comunicación fluida para actuar ágilmente ante el
riesgo de ataques informáticos, y así mismo resolverlos. Esta
importancia va ligada desde los principios y requerimientos de
ciberseguridad, para así tener claro el trabajo de la
ciberseguridad y lo que se tratara de resolver con la misma.
REFERENCIAS
[1] Equipo de Investigación de ESET Latinoamérica, «Pérdida de
privacidad y mecanismos para proteger la información en internet,»
p. 4, 2014.
[2] X. Servitja Roca, «Ciberseguridad, contrainteligencia y operaciones
encubiertas en el programa nuclear de irán,» IEEE, 7 Mayo 2013.
[3] E. Niemi y S. Pekkola, «Enterprise Architecture Quality Attributes:
A Case Study,» Computer Society, p. 3878, 2013.
[4] N. León Beltrán, Y. Toapanta Bastidas, R. Delgado Rodríguez y D.
Marcillo Parra, Metodología para la creación de arquitecturas de
información empresarial para pequeñas y medianas empresas
(Pyme's) apoyada en las TIC'S y herramientas web 2.0 y 3.0, 2010,
p. 79.
[5] J. Osorio, «Togaf y Zachman Framework,» pp. 19 - 20, 2010.
[6] The Open Group and The SABSA Institute, «TOGAF Architecture
Development Method (ADM),» 2011.
[7] 27001 Academy, «27001 Academy,» 2013. [En línea]. Available:
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001.
[Último acceso: 5 Noviembre 2013].
[8] ISO 27000.ES, «ISO/IEC 27032,» 16 julio 2012. [En línea].
Available: http://www.iso27000.es/iso27000.html. [Último acceso:
16 Noviembre 2014].
[9] ISO, «ISO/IEC 27032:2012,» ISO / IEC 27032:2012, 2012. [En
línea]. Available:
http://www.iso.org/iso/catalogue_detail?csnumber=44375.
[10] ISACA, «New COBIT 5 Guide Identifies Top Three Cybersecurity
Game Changers,» 19 Junio 2013. [En línea]. Available:
http://www.isaca.org/About-ISACA/Press-room/News-
Releases/2013/Pages/New-COBIT-5-Guide-Identifies-Top-Three-
Cybersecurity-Game-Changers.aspx. [Último acceso: 11 Octubre
2014].
[11] NIST, «Framework for Improving Critical Infraestructure
Cybersecurity,» 12 Febrero 2014. [En línea]. [Último acceso: 10
Octubre 2014].
[12] The Open Group TOGAF-SABSA Integration Working Group,
«TOGAF and SABSA Integration,» 2011. [En línea]. [Último
acceso: 3 Noviembre 2014].
[13] The open Group, «The open Group,» 2011. [En línea]. Available:
http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html.
[Último acceso: 11 Febrero 2014].
[14] ISACA, «Transforming Cybersecurity Using COBIT 5,» 2013. [En
línea]. [Último acceso: 18 Julio 2014].
[15] ISACA, «Marco de riesgos de TI,» 2009. [En línea]. [Último acceso:
14 Noviembre 2014].
[16] ISACA, «The Risk IT Practitioner Guide,» 2009. [En línea]. [Último
acceso: 17 Octubre 2014].
[17] Ministerio de Justicia, Derechos Humanos y Cultos, Código
Orgánico Integral Penal (COIP), Quito, Pichincha, 2014, pp. 93 - 95.
[18] ISO, «ISO/IEC 27001:2013 - Information technology -- Security
techniques -- Information security management systems --
Requirements,» 25 Septiembre 2013. [En línea].
[19] OWASP, «OWASP Testing Guide v4,» 17 Mayo 2014. [En línea].
[Último acceso: 6 Julio 2014].
View publication stats