INTEGRACIÓN DE MODELOS Y ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

LUIS GERARDO ZAMBRANO GOMEZ

DOCENTE
CHRISTIAN REYNALDO ANGULO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA.
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
PASTO
2020
 INTRODUCCION

El desarrollo del siguiente documento se adapta el modelo de seguridad d

MSPI a el marco de trabajo COBIT, en lo cual se estipulan ciertos objetivos
de control los cuales se integran en las diferentes etapas del modelo.
 1. Integración del modelo MSPI sobre el marco de trabajo COBIT

El marco de trabajo Cobit en sus diferentes dominios cuenta con unos

controles que se articulan especialmente la fase de la planificación del
modelo MSIP, aunque el modelo está diseñado para articularse en su
totalidad bajo la norma ISO 27001, el propósito es analizar y verificar que
también es posible articular ciertos controles que promueve las mejores
prácticas para la seguridad de la información.
El modelo MSIP cuenta con 21 guías que corresponden a ciertas actividades
que permitirá en las diferentes etapas del modelo ir desarrollándolas para
una buena gestión de la información.
A continuación, tenemos las actividades a desarrollar en la etapa de
planificación las cuales se verificará bajo el marco de trabajo Cobit a que
dominio, proceso y objetivo de control aplicaría si se diera el caso.

Tabla 1. Metas, Resultados e Instrumentos de la Fase de Planificación

META Resultado Guía de actividades

MSPI
Política de Seguridad y Documento con la Guía No 2 – Política
Privacidad de la política de seguridad General MSPI
Información de la información
Políticas de seguridad Manual con las Guía No 2 – Política
y privacidad de la políticas de seguridad y General MSPI
información privacidad de la
información
Procedimientos de Procedimientos, Guía No 3 -
seguridad de la debidamente Procedimientos de
información. documentados, Seguridad y Privacidad
socializados y de la Información.
aprobados por el
comité que integre los
sistemas de gestión
institucional
Roles y Acto administrativo a Guía No 4 - Roles y
responsabilidades de través del cual se crea responsabilidades de
seguridad y privacidad o se modifica las seguridad y privacidad
de la información. funciones del comité de la información.
gestión institucional (o
el que haga sus veces),
en donde se incluyan
los temas de seguridad
de la información en la
 entidad, revisado y
aprobado por la alta
Dirección, deberá
designarse quien será
el encargado de
seguridad de la
información dentro de
la entidad
Inventario de activos de Documento con la Guía No 5 - Gestión De
información. metodología para Activos Guía No 20 -
identificación, Transición Ipv4 a Ipv6
clasificación y
valoración de activos
de información,
validado por el comité
de seguridad de la
información o quien
haga sus veces y
revisado y aprobado
por la alta dirección.
Matriz con la
identificación,
valoración y
clasificación de activos
de información.
Documento con la
caracterización de
activos de información,
que contengan datos
personales Inventario
de activos de IPv6
Integración del MSPI Integración del MSPI, Guía No 6 - Gestion
con el Sistema de con el sistema de Documental
Gestión documental gestión documental de
la entidad.
Identificación, Documento con la Guía No 7 - Gestion de
Valoración y metodología de gestión Riesgos Guía No 8 -
tratamiento de riesgo. de riesgos. Documento Controles de Seguridad
con el análisis y
evaluación de riesgos.
Documento con el plan
de tratamiento de
riesgos. Documento
con la declaración de
aplicabilidad.
Documentos revisados
 y aprobados por la alta
Dirección.
Plan de Documento con el plan Guía No 14 - Plan de
Comunicaciones de comunicación, comunicación,
sensibilización y sensibilización y
capacitación para la capacitación
entidad.
Plan de diagnóstico de Documento con el Plan Guía No 20 -
IPv4 a IPv6. de diagnóstico para la Transición IPv4 a IPv6
transición de IPv4 a
IPv6.
Fuente: https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/
 2. Controles COBIT en el modelo MSPI

2.1 Etapa De Planificación

Iniciaremos identificando las actividades correspondientes a la etapa de

planificación verificando cual objetivo de control se ajusta según el marco de
trabajo COBIT.

A continuación, tenemos las etapas correspondientes al modelo MSPI.

Fig. 1. Etapas modelo MSPI

Fuente: https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/

En el modelo MSPI en la etapa de planificación se tiene inicialmente una

actividad de desarrollar la Política de Seguridad y Privacidad de la
Información como se muestra en la tabla No. 2
Tabla 2. Actividad Política de seguridad

META Resultado
Política de Seguridad y Privacidad Documento con la política de
de la Información seguridad de la información

El modelo MSPI en esta actividad contempla actividades desarrollo,

cumplimiento, comunicación, monitoreo y mantenimiento de la política; En el
marco de trabajo COBIT se plantea en el Dominio de Planeación y
organización, en el proceso (PO6) Comunicar las directrices y aspiraciones
gerenciales, en el cual se desarrollan unos objetivos de control los cuales
pretendes generar políticas con las cuales se encajen con los objetivos
corporativos, definiendo responsabilidades, el cumplimiento de esta y así
también brindando la comunicación a los partes interesadas y generar el
respectivo mantenimiento y actualización de estas.

Los objetivos de control propuestos en COBIT son:

6.2 Responsabilidad de la Gerencia en cuanto a Políticas
6.4 Recursos para la implementación de Políticas
6.5 Mantenimiento de Políticas
6.6 Cumplimiento de Políticas, Procedimientos y Estándares

Dentro de estos objetivos de control también se cumple en el modelo MSPI la

actividad descrita en la tabla No. 3.
Tabla 3. Actividad socialización de la política

META RESULTADO
Políticas de seguridad y privacidad Manual con las políticas de seguridad y
de la información privacidad de la información,
debidamente aprobadas por la alta
dirección y socializadas al interior de la
Entidad.

La actividad anterior se relaciona Bajo el control en COBIT 6.3.

Comunicación de las Políticas de la Organización.

En el modelo MSPI continua con una actividad, la cual es definir

procedimientos que permitan el aseguramiento de la información, descrita en
la tabla No. 4
Tabla 4. Actividad definir Procedimientos

META RESULTADO
Procedimientos de seguridad de la Procedimientos, debidamente
información. documentados, socializados y aprobados
por el comité que integre los sistemas de
gestión institucional

Dentro de los procedimientos planteados se tiene:

  procedimiento de capacitación y sensibilización del personal.
 procedimiento de ingreso y desvinculación del personal.
 procedimiento de identificación y clasificación de activos.
 procedimiento para ingreso seguro a los sistemas de información
 procedimiento de gestión de usuarios y contraseñas
 procedimiento de controles criptográficos
 procedimiento de gestión de llaves criptográficas
 procedimiento de control de acceso físico
 procedimiento de protección de activos
 procedimiento de retiro de activos
 procedimiento de mantenimiento de equipos
 procedimiento de gestión de cambios
 procedimiento de gestión de capacidad
 procedimiento de separación de ambientes
 procedimiento de protección contra códigos maliciosos
 procedimiento de aseguramiento de servicios en la red
 procedimiento de transferencia de información
 procedimiento para el tratamiento de la seguridad en los acuerdos con
los proveedores.
 procedimiento adquisición, desarrollo y mantenimiento de software
 procedimiento de control software
 procedimiento de gestión de incidentes de seguridad de la información
 procedimiento de gestión de la continuidad de negocio

Los procedimientos anteriormente mencionados no todos en su totalidad

están definidos en los diferentes Objetivos de control del marco de referencia
COBIT, pero si se mencionan algunos de estos procedimientos, a
continuación, se relaciona los procedimientos que se acoplan con el marco
de trabajo COBIT y el modelo.
Tabla 5. Procedimientos MSPI - COBIT

Procedimiento MSIP Dominio COBIT Proceso Objetivo de control

COBIT
procedimiento de PLANEACIÓN Y 4.0 Definición de 4.14 Procedimientos
ingreso y ORGANIZACIÓN la Organización y políticas para el
desvinculación del y de las personal
personal. Relaciones de Contratado
TI
 7.0 7.6 Procedimientos
Administración para la Acreditación
de Recursos del
Humanos Personal

procedimiento de ADQUISICIÓN E 4.0 4.2 Manual de

capacitación y IMPLEMENTACIÓN Procedimientos Procedimientos para
sensibilización del de Desarrollo y Usuario
personal. Mantenimiento
de TI

procedimiento de ADQUISICIÓN E 6.0 6.5 Documentación

gestión de cambios IMPLEMENTACIÓN Administración y Procedimientos
de Cambios

procedimiento
adquisición,
desarrollo y 1.3 Procedimientos
mantenimiento de de Desempeño
software
procedimiento de ENTREGA DE 4.0 4.1 Marco de
gestión de la SERVICIOS Y Aseguramiento Referencia de
continuidad de SOPORTE de Servicio Continuidad de
negocio Continuo Tecnología de
Información
4.2 Estrategia y
Filosofía del Plan de
Continuidad de
Tecnología de
Información
4.3 Contenido del
Plan de Continuidad
de
Tecnología de
Información
4.4 Minimización de
requerimientos de
Continuidad de
Tecnología de
Información
4.5 Mantenimiento
del Plan de
Continuidad
de Tecnología de
Información
 4.6 Pruebas del Plan
de Continuidad de
Tecnología de
Información
4.7 Entrenamiento
sobre el Plan de
Continuidad de
Tecnología de
Información
4.8 Distribución del
Plan de Continuidad
de
Tecnología de
Información
Procedimiento de ENTREGA DE 9.0 9.7
control software SERVICIOS Y Administración Procedimientos para
SOPORTE de la la Administración de
Configuración la Configuración

En la etapa de planeación del modelo MSPI se tiene la actividad en la cual se

definirán los roles y responsabilidades, la cual permitirá designar
responsables y roles para el buen funcionamiento de la implementación del
modelo, la actividad se describe en la tabla No. 6.
Tabla 6. Actividad definir responsabilidad

META RESULTADO
Roles y Acto administrativo a través del cual se crea o se
responsabilidades de modifica las funciones del comité gestión
seguridad y privacidad institucional (o el que haga sus veces), en donde se
de la información. incluyan los temas de seguridad de la información en
la entidad, revisado y aprobado por la alta Dirección,
deberá designarse quien será el encargado de
seguridad de la información dentro de la entidad

Esta actividad en el marco de trabajo COBIT está definida en el dominio (PO)

PLANEACIÓN Y ORGANIZACIÓN, bajo el proceso (PO4) Definir la
Organización y Relaciones de TI y que se desarrollan los siguientes objetivos
de control:
4.4 Funciones y Responsabilidades
1. 4.5 Responsabilidad del aseguramiento de calidad
2. 4.6 Responsabilidad por la seguridad lógica y física
El modelo también plantea en esta etapa la identificación y valoración de los
riesgos, basada en la confidencialidad, integrada y disponibilidad de la
información, dicha actividad se define en la tabla No. 7.
Tabla 7. Actividad análisis de riesgo

META RESULTADO
Identificación, Valoración y Documento con la metodología de
tratamiento de riesgo. gestión de riesgos. Documento con el
análisis y evaluación de riesgos.
Documento con el plan de tratamiento
de riesgos. Documento con la
declaración de aplicabilidad.
Documentos revisados y aprobados
por la alta Dirección.

Según metodología COBIT 5 se tiene especificado un proceso denominado

APO12 Gestionar el Riesgo en el cual se desarrollan los siguientes objetivos
de control:
APO12.01 Recolectar información
APO12.02 Analizar los riesgos
APO12.03 Mantener un perfil de riesgos
APO12.04 Articular los riesgos
APO12.05 Definir una cartera de acciones de gestión de riesgos
APO12.06 Responder ante los riesgos
Para realizar esta Identificación, Valoración y tratamiento de riesgo COBIT
tiene su propia metodología bajo los procesos anteriormente definidos.

Otra actividad del modelo es la generación de espacios de entrenamiento

sobre la seguridad de la información cubriendo a todas las áreas de la
organización, donde se definir los temas de capacitación, la metodología a
utilizar, evaluar y medir.
A continuación, se define la descripción de la actividad según modelo MSPI
Tabla 8. Actividad Plan de comunicación

META RESULTADO
Plan de Documento con el plan de comunicación,
Comunicaciones sensibilización y capacitación para la entidad.
En el modelo se especifica que se debe identificar las necesidades, para
generar esta actividad, Cobit propone el objetivo de control DS7.1
Identificación de Necesidades de Entrenamiento y Educación, del Dominio
(DS) servicios y soporte, con el cual se quiere lograr establecer un plan de
entrenamiento para cada grupo de empleados.

2.2. Fase De Evaluación

En la fase de evaluación de desempeño se propone un plan de la ejecución

de auditorías el cual medirá el desempeño de los controles propuestos, para
esta actividad en el marco de trabajo COBIT se tiene unos objetivos de
control en el dominio (M) monitoreo, los cuales son los siguientes:
4.1 Estatuto de Auditoría: en el cual se definirán los objetivos de la auditoria,
responsabilidades y tiempos, el cual se revisará periódicamente.

4.6 Ejecución del Trabajo de Auditoría: en esta se desarrolla la auditoria un

personal externo, el cual obtendrá suficientes evidencias que midan la
eficiencia de proceso. Los hallazgos en esta auditoria tendrán un análisis que
permita generar conclusiones y recomendaciones.
 4.1 Aspectos financieros de los controles

Según los objetivos de control abordados bajo el marco de trabajo COBIT, se

realiza la estimación de aproximadamente 4 meses para ejecutar los
controles anteriormente descritos, también se estima que el valor que un
profesional con su respectiva certificación cobraría para realizar las
actividades será de $2.200.000 dicho contrato estará bajo prestación de
servicios para un coste total de $8.800.000, entendiendo que el trabajo solo
será bajo los controles anteriormente identificados.
 Bibliografía

google COBIT (Objetivos de Control para la Información y Tecnologías

Relacionadas) [En línea]. - 15 de 05 de 2020. -
https://sites.google.com/site/auditoriaeninformaticacun/cobit/dominios-y-
procesos.
Ministerio de Tecnologías de la Información y las Comunicaciones
Modelo de Seguridad [En línea]. - 17 de 05 de 2020. -
https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/.