Unidad 3

1 //Escenario
Escenario26
Lectura Fundamental

Los procesos
Etapas de un de
planapoyo
de comunicación
de un SGSI
estratégica

Contenido

1 COBIT

2 ITIL

3 Marcos de ciberseguridad

Palabras clave: Gestión de Seguridad, Sistema de Gestión de Seguridad de la Información, Marcos de

Gestión, Estándares, Ciberseguridad.
En muchas organizaciones la responsabilidad en torno a la seguridad informática y la gestión
de equipos tecnológicos de seguridad suele estar en cabeza del área de tecnologías de la
información (TI), esto ha generado que dentro de buenas prácticas y guías de implementación
de tecnología también se tenga en cuenta la seguridad de la información, y así se verá a lo
largo de este escenario.
Esta lectura plantea una revisión de los aspectos y elementos más relevantes de documentos
relacionados con la seguridad de la información para generar la curiosidad del estudiante e
invitarlo a seguir conociendo e investigando. Con este objetivo se busca una comprensión del
alcance y finalidad dichos documentos, tales como el marco de gobierno de tecnologías de
la información (COBIT1 ) (en su versión 5 y con el documento anexo de seguridad); el de la
Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) y los de metodologías
o guías internacionales de ciberseguridad, como las planteadas por NIST, ENISA y otras
entidades o países.

1. COBIT

Los objetivos de control para la Información y la tecnología relacionada, más conocidos por la
sigla COBIT, brindan un marco de trabajo basado en buenas prácticas establecidas sobre un
grupo de dominios y procesos, con el fin de establecer una estructura entendible, aplicable y
lógica para las organizaciones cuando se habla de tecnologías de la información.

Las buenas prácticas expuestas por COBIT, a su vez, son la viva representación de un
consenso global entre expertos de diversas áreas tales como gobierno corporativo, auditoría,
gestión de riesgos y gestión del servicio, entre otros. Estas prácticas están direccionadas hacia
las labores de control, dejando de lado, pero no totalmente, la ejecución. Gracias a esto, la
implementación de estas prácticas permitirá optimizar la inversión y la alineación estratégica
de las tecnologías de la información con el negocio, así como el mismo servicio, sin dejar de
lado una capacidad estructurada para auditar y gestionar proyectos.

Actualmente este documento se encuentra en la versión 5, la cual aborda los siguientes

principios:

1 Disponible para descarga en el sitio web de ISACA a través del enlace http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.

POLITÉCNICO GRANCOLOMBIANO 2
 Satisfacer las
necesidades de
las partes
interesadas

Separar el Cubrir la
gobierno de empresa
la gestión extremo a
extremo

Aplicar un
Hacer posible marco de
un enfoque referencia
holístico único
integrado

Figura 1. Principios de COBIT 5

Fuente: Elaboración propia (2018)

Como se puede observar, la razón de ser de COBIT no es la seguridad de la información, sino

que las áreas de TI pasen de un rol operativo a uno estratégico dentro de las empresas cambiando
sus enfoques y buscando sobre todo generar valor en la medida que se logran cumplir los 5
principios, en especial el relacionado con la satisfacción de las partes interesadas. Esto se busca
a través de dichos principios, un grupo de catalizadores y un grupo de procesos. Analizando lo
anterior, ¿cómo aporta COBIT a la seguridad de la información?

Pues bien, COBIT desde su versión 4.1 adicionó un componente fundamental que consiste en la
gestión de riesgos como parte de las actividades estratégicas que debe desarrollar el área de TI, ya
que sobre estos riesgos promueve acciones y planes de tratamiento. Aquí puede generarse una
disyuntiva dado que la gestión de riesgo en buena parte de las organizaciones o está en cabeza
de un área dedicada a tal fin o puede no existir en la organización. Sin embargo, dentro de los
objetivos de las metodologías actuales de gestión de riesgos, sin distinción, se busca generar una
responsabilidad en cada dueño de riesgo, entendido muchas veces como el responsable de un
proceso o una actividad, así otra área o un tercero lo aplique. Para COBIT 5, la gestión de riesgos

POLITÉCNICO GRANCOLOMBIANO 3
de todo tipo, asociados a tecnologías de la información, deben estar monitoreados y tratados si
así lo requiere.

Por otra parte, COBIT cuenta con una interacción directa con otras normas, estándares y guías
de buenas prácticas, a través de las cuales se puede lograr una mejor estructuración del gobierno
corporativo de TI, la siguiente gráfica presenta esta idea.

ISO 27001 6 SIGMA

ITIL ISO 30001/MAGERIT
PMBOKT OGAF
Figura 2. Interacción de COBIT con algunos esquemas y marcos de trabajo
Fuente: Elaboración propia (2018)

En la gráfica se observa cómo hay una interacción de diferentes marcos de trabajo, estándares y
guías para que COBIT logre establecerse como un medio de generación de valor al negocio. Para
explicar lo que toma de cada uno, se presenta la siguiente tabla:

POLITÉCNICO GRANCOLOMBIANO 4
 Tabla 1. Objetivos de interacción según diferentes normas

Fuente Definición
Establecimiento de la gestión de la seguridad dentro de la
organización. No hace referencia a que se deba implementar el
ISO 27000 / NIST / Marcos estándar ISO/IEC 27001 o las buenas prácticas de ISO/IEC
de ciberseguridad 27002 o alguno en particular. Habla de aprovechar los esfuerzos
existentes y apalancarse en metodologías y guías existentes y así
no arrancar de cero.
Lineamientos para la gestión y desarrollo de proyectos. El
objetivo es tomar las metodologías o modelos de gestión
PMBOK / PRINCE2 / Kanban
existentes en manejo y fomento de proyectos e iniciativas
/ Otros
que surjan desde COBIT. No es necesario reinventar la
rueda.
Prácticas para desarrollo de software con altos niveles de
calidad, en el caso que se maneje este proceso de forma
Capability Maturity Model
interna. Sin embargo, también pueden abarcarse otras
Integration (CMMI2)
guías o estándares para este fin, como calidad a través de
ISO 9000 o incluso con metodologías como Scrum.

Para la gestión de riesgos tecnológicos y de proceso,

ISO31000/MAGERIT/ es posible tomar estas referencias para definir el marco
OCTAVE/CRAMM metodológico de identificación, valoración, tratamiento y
revisión de riesgos.
Para la gestión del servicio de TI, COBIT puede basarse en lo que
la organización cuenta de iniciativas de implementación, como
ITIL / ISO 20000
ITIL e ISO 20000. Se verá más adelante qué aporta ITIL a este
tema.
Metodología de mejora y optimización de procesos. Esto
se observa en organizaciones con un mayor grado de
6 SIGMA
madurez y que hayan avanzado en su gestión de procesos
sobrepasando ISO 9001, por ejemplo.

Fuente: Elaboración propia (2018)

2 Para más referencias sobre CMMI, se puede visitar la biblioteca de recursos del CCMI Institute disponible en http://cmmiinstitute.com/resources/

POLITÉCNICO GRANCOLOMBIANO 5
Cómo se puede observar, COBIT no reinventa mejores prácticas o guías, sino que hace uso
de las mejores del mercado y sobre estas realiza la adaptación para que sea posible interactuar
con proyectos o iniciativas ya existentes en la organización y se optimicen resultados.

Para conocer el detalle de los procesos propuestos por ISACA, en su marco de trabajo,
COBIT, se recomienda el acceso al documento en la web del autor. Así mismo, al hablar
de COBIT y seguridad se pueden mencionar varios procesos, implementables a nivel de TI.
Hablamos de procesos de seguridad con bases en la gestión desarrollada dentro del SGSI o
generar nuevas actividades.

Puntualmente hacemos referencia a:

• EDM03 Asegurar la organización del riesgo
• APO12 Gestionar el riesgo
• APO13 Gestionar la seguridad
• BAI06 Gestionar los cambios
• BAI09 Gestionar los activos
• DSS02 Gestionar las peticiones y los incidentes del servicio
• DSS04 Gestionar los servicios de seguridad
• MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos
Como se puede analizar en el anterior listado, gracias a la gestión que se desarrolla desde
temas de seguridad con, por ejemplo, la gestión de incidentes de seguridad, se puede aportar
al proceso DSS02, y así reducir la afectación del servicio, su percepción e impacto al negocio.

Adicionalmente, existe una guía específica para seguridad denominada “COBIT 5 for Information
Security”3 , la cual entra en mayor detalle respecto a cómo se pueden implementar estos
procesos desde una perspectiva de seguridad estratégica, muy orientada al negocio y no solo a la
operación.

3 El documento se encuentra a la venta por ISACA a través del enlace http://www.isaca.org/cobit/pages/info-sec.aspx.

POLITÉCNICO GRANCOLOMBIANO 6
Como conclusión, si la organización en la que se trabaja o se está asesorando decide implementar
procesos de COBIT, será necesaria la participación de los involucrados en seguridad de la
información desde varios frentes, he ahí la razón por la cual es oportuno aprender de esta guía,
que incluso maneja algunos niveles de certificación para individuos.

2. ITIL

ITIL, cuyas siglas indican Biblioteca de Infraestructura de Tecnologías de la Información, es un

marco de mejores prácticas para la gestión del servicio de TI empleado por las organizaciones
con el fin de mejorar sus actividades y operaciones incrementando la calidad del servicio y
otros factores asociados a este, siempre cumpliendo las necesidades del negocio.

ITIL provee los fundamentos para una gestión de servicio de calidad a través de procesos
probados y documentados que cubren todo el ciclo de vida del servicio. ITIL se encuentra
accesible gracias a un grupo de libros que contienen estas mejores prácticas y que pueden ser
implementadas por un área o departamento de TI.

ITIL tiene varios puntos en común con seguridad de la información, el primero de ellos es el
proceso denominado Gestión de la Seguridad, el cual es el responsable de la gestión de temas
técnicos y no técnicos de la seguridad de la información dentro de una organización, teniendo
en cuenta la trascendencia que tienen los factores tecnológicos dentro de la seguridad. Este
proceso aborda la necesidad de la definición, seguimiento y continua revisión de la política de
seguridad de la información y factores asociados a esta, a través de seguimiento o revisión de
los controles definidos.

Otro punto en común entre la gestión de la seguridad e ITIL es la gestión de incidentes, la

cual, aunque no se basan en la misma definición, es vital para una adecuada gestión de TI, así
como para la seguridad de la información como mecanismo de detección de posibles fallos en
las organizaciones.

3. Marcos de ciberseguridad

La seguridad de la información evoluciona a partir de la ciberseguridad, sin embargo, de que

no haya una completa claridad de las diversas partes acerca del concepto de ciberseguridad.

POLITÉCNICO GRANCOLOMBIANO 7
Para no entrar en estos detalles, que fueron abordados en el módulo de Teoría de seguridad de
la información, resulta oportuno revisar marcos de trabajo y estándares sobre ciberseguridad
y su aplicabilidad para la construcción de SGSI en organizaciones o, simplemente, gestionar la
seguridad de la información.

3.1 NIST Cybersecurity Framework4

Este documento es generado por el Instituto Nacional de Estándares y Tecnología de Estados

Unidos. Se encuentra orientado a definir las prácticas para protección de infraestructuras
críticas en organizaciones estatales de los Estados Unidos, pero es aplicable para otros países.

Gestión de Control de acceso Anomalías y Planeación de Planeación de

activos eventos respuesta recuperación
Entorno del Gestión de conciencia Monitoreo Comunicaciones Planeación de
negocio y entrenamiento continuo de recuperación
seguridad
Gobierno Seguridad de datos Procesos de Análisis Mejoramiento
detección
Gestión de Procesos y
riesgos procedimientos de
protección de la Mitigación Comunicaciones
información
Estratégia de
gestión de Mantenimiento Mejoramiento
riesgos
Tecnología protectora
Figura 3. Procesos abordados dentro del marco de trabajo de ciberseguridad de NIST
Fuente: Elaboración propia (2018)

3.2 ISA – 99 (ISA/IEC 62443)

Son guías y estándares para aseguramiento de sistemas de control industrial y de automatización

a nivel electrónico, de comunicaciones y otros aspectos técnicos. A pesar de estar orientadas
a un entorno específico, como son las organizaciones que emplean este tipo de sistemas, son
consideradas por algunos países como parte de su infraestructura crítica. Estas guías buscan

4 Documento disponible para consulta en https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.

pdf

POLITÉCNICO GRANCOLOMBIANO 8
aportar un marco estricto a nivel de diseño, implementación y operación de estos sistemas
construidos o mejorados en su seguridad, teniendo en cuenta que personas, organizaciones y
países pueden depender de esto.

3.3 ISO 27032:2012

Es un estándar de la familia ISO con lineamientos y prácticas para implementar gestión de

ciberseguridad, teniendo en cuenta los peligros actuales en la red y cómo alinear las partes
interesadas para enfrentarlos.

3.4 Cybersecurity Best Practices Guide5

Es una guía de buenas prácticas del gobierno de Canadá para gestión de ciberseguridad que
tiene como ejes centrales la tecnología, la estrategia, la regulación aplicable y las amenazas
existentes. Algunos de los elementos sobre los que se ha construido esta guía son tomados
de ISO 27035, el cual es una guía propuesta para la gestión de incidentes de seguridad de la
información.

3.5 NCSS Good Practice Guide6

Son mejores prácticas para implementación de ciberseguridad de la Unión Europea y fue

generada por la agencia ENISA. Este documento brinda nociones para la construcción de
estrategias de ciberseguridad para implementación a nivel de estados, pero es aplicable, así
mismo, para organizaciones con un nivel de madurez superior en temas de seguridad.

5 Documento disponible para descarga en http://www.iiroc.ca/industry/Documents/CybersecurityBestPracticesGuide_en.pdf

6 Documento disponible para descarga en https://www.enisa.europa.eu/publications/ncss-good-practice-guide/at_download/fullReport

POLITÉCNICO GRANCOLOMBIANO 9
Referencias
ISACA (2012). COBIT 5, Un Marco de Negocio para el Gobierno y la Gestión de la Empresa.
Recuperado de http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx.
 INFORMACIÓN TÉCNICA

Módulo: Gestión de la seguridad

Unidad 3: Operación de un sistema de gestión de
seguridad de la información
Escenario 6: Marcos de gestión tecnológica y seguridad
Autor: Jeffrey Steve Borbón Sanabria

Asesor Pedagógico: Juan Felipe Marciales Mejía

Diseñador Gráfico: Henderson Jhoan Colmenares López
Asistente: Laura Andrea Delgado Forero
Este material pertenece al Politécnico Grancolombiano.
Por ende, es de uso exclusivo de las Instituciones
adscritas a la Red Ilumno. Prohibida su reproducción
total o parcial.

POLITÉCNICO GRANCOLOMBIANO 11