Beruflich Dokumente
Kultur Dokumente
1 //Escenario
Escenario26
Lectura Fundamental
Los procesos
Etapas de un de
planapoyo
de comunicación
de un SGSI
estratégica
Contenido
1 COBIT
2 ITIL
3 Marcos de ciberseguridad
1. COBIT
Los objetivos de control para la Información y la tecnología relacionada, más conocidos por la
sigla COBIT, brindan un marco de trabajo basado en buenas prácticas establecidas sobre un
grupo de dominios y procesos, con el fin de establecer una estructura entendible, aplicable y
lógica para las organizaciones cuando se habla de tecnologías de la información.
Las buenas prácticas expuestas por COBIT, a su vez, son la viva representación de un
consenso global entre expertos de diversas áreas tales como gobierno corporativo, auditoría,
gestión de riesgos y gestión del servicio, entre otros. Estas prácticas están direccionadas hacia
las labores de control, dejando de lado, pero no totalmente, la ejecución. Gracias a esto, la
implementación de estas prácticas permitirá optimizar la inversión y la alineación estratégica
de las tecnologías de la información con el negocio, así como el mismo servicio, sin dejar de
lado una capacidad estructurada para auditar y gestionar proyectos.
1 Disponible para descarga en el sitio web de ISACA a través del enlace http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.
POLITÉCNICO GRANCOLOMBIANO 2
Satisfacer las
necesidades de
las partes
interesadas
Separar el Cubrir la
gobierno de empresa
la gestión extremo a
extremo
Aplicar un
Hacer posible marco de
un enfoque referencia
holístico único
integrado
Pues bien, COBIT desde su versión 4.1 adicionó un componente fundamental que consiste en la
gestión de riesgos como parte de las actividades estratégicas que debe desarrollar el área de TI, ya
que sobre estos riesgos promueve acciones y planes de tratamiento. Aquí puede generarse una
disyuntiva dado que la gestión de riesgo en buena parte de las organizaciones o está en cabeza
de un área dedicada a tal fin o puede no existir en la organización. Sin embargo, dentro de los
objetivos de las metodologías actuales de gestión de riesgos, sin distinción, se busca generar una
responsabilidad en cada dueño de riesgo, entendido muchas veces como el responsable de un
proceso o una actividad, así otra área o un tercero lo aplique. Para COBIT 5, la gestión de riesgos
POLITÉCNICO GRANCOLOMBIANO 3
de todo tipo, asociados a tecnologías de la información, deben estar monitoreados y tratados si
así lo requiere.
Por otra parte, COBIT cuenta con una interacción directa con otras normas, estándares y guías
de buenas prácticas, a través de las cuales se puede lograr una mejor estructuración del gobierno
corporativo de TI, la siguiente gráfica presenta esta idea.
En la gráfica se observa cómo hay una interacción de diferentes marcos de trabajo, estándares y
guías para que COBIT logre establecerse como un medio de generación de valor al negocio. Para
explicar lo que toma de cada uno, se presenta la siguiente tabla:
POLITÉCNICO GRANCOLOMBIANO 4
Tabla 1. Objetivos de interacción según diferentes normas
Fuente Definición
Establecimiento de la gestión de la seguridad dentro de la
organización. No hace referencia a que se deba implementar el
ISO 27000 / NIST / Marcos estándar ISO/IEC 27001 o las buenas prácticas de ISO/IEC
de ciberseguridad 27002 o alguno en particular. Habla de aprovechar los esfuerzos
existentes y apalancarse en metodologías y guías existentes y así
no arrancar de cero.
Lineamientos para la gestión y desarrollo de proyectos. El
objetivo es tomar las metodologías o modelos de gestión
PMBOK / PRINCE2 / Kanban
existentes en manejo y fomento de proyectos e iniciativas
/ Otros
que surjan desde COBIT. No es necesario reinventar la
rueda.
Prácticas para desarrollo de software con altos niveles de
calidad, en el caso que se maneje este proceso de forma
Capability Maturity Model
interna. Sin embargo, también pueden abarcarse otras
Integration (CMMI2)
guías o estándares para este fin, como calidad a través de
ISO 9000 o incluso con metodologías como Scrum.
2 Para más referencias sobre CMMI, se puede visitar la biblioteca de recursos del CCMI Institute disponible en http://cmmiinstitute.com/resources/
POLITÉCNICO GRANCOLOMBIANO 5
Cómo se puede observar, COBIT no reinventa mejores prácticas o guías, sino que hace uso
de las mejores del mercado y sobre estas realiza la adaptación para que sea posible interactuar
con proyectos o iniciativas ya existentes en la organización y se optimicen resultados.
Para conocer el detalle de los procesos propuestos por ISACA, en su marco de trabajo,
COBIT, se recomienda el acceso al documento en la web del autor. Así mismo, al hablar
de COBIT y seguridad se pueden mencionar varios procesos, implementables a nivel de TI.
Hablamos de procesos de seguridad con bases en la gestión desarrollada dentro del SGSI o
generar nuevas actividades.
Adicionalmente, existe una guía específica para seguridad denominada “COBIT 5 for Information
Security”3 , la cual entra en mayor detalle respecto a cómo se pueden implementar estos
procesos desde una perspectiva de seguridad estratégica, muy orientada al negocio y no solo a la
operación.
POLITÉCNICO GRANCOLOMBIANO 6
Como conclusión, si la organización en la que se trabaja o se está asesorando decide implementar
procesos de COBIT, será necesaria la participación de los involucrados en seguridad de la
información desde varios frentes, he ahí la razón por la cual es oportuno aprender de esta guía,
que incluso maneja algunos niveles de certificación para individuos.
2. ITIL
ITIL provee los fundamentos para una gestión de servicio de calidad a través de procesos
probados y documentados que cubren todo el ciclo de vida del servicio. ITIL se encuentra
accesible gracias a un grupo de libros que contienen estas mejores prácticas y que pueden ser
implementadas por un área o departamento de TI.
ITIL tiene varios puntos en común con seguridad de la información, el primero de ellos es el
proceso denominado Gestión de la Seguridad, el cual es el responsable de la gestión de temas
técnicos y no técnicos de la seguridad de la información dentro de una organización, teniendo
en cuenta la trascendencia que tienen los factores tecnológicos dentro de la seguridad. Este
proceso aborda la necesidad de la definición, seguimiento y continua revisión de la política de
seguridad de la información y factores asociados a esta, a través de seguimiento o revisión de
los controles definidos.
3. Marcos de ciberseguridad
POLITÉCNICO GRANCOLOMBIANO 7
Para no entrar en estos detalles, que fueron abordados en el módulo de Teoría de seguridad de
la información, resulta oportuno revisar marcos de trabajo y estándares sobre ciberseguridad
y su aplicabilidad para la construcción de SGSI en organizaciones o, simplemente, gestionar la
seguridad de la información.
POLITÉCNICO GRANCOLOMBIANO 8
aportar un marco estricto a nivel de diseño, implementación y operación de estos sistemas
construidos o mejorados en su seguridad, teniendo en cuenta que personas, organizaciones y
países pueden depender de esto.
Es una guía de buenas prácticas del gobierno de Canadá para gestión de ciberseguridad que
tiene como ejes centrales la tecnología, la estrategia, la regulación aplicable y las amenazas
existentes. Algunos de los elementos sobre los que se ha construido esta guía son tomados
de ISO 27035, el cual es una guía propuesta para la gestión de incidentes de seguridad de la
información.
POLITÉCNICO GRANCOLOMBIANO 9
Referencias
ISACA (2012). COBIT 5, Un Marco de Negocio para el Gobierno y la Gestión de la Empresa.
Recuperado de http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 11