INTEGRACIÓN DE MODELOS Y ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

LUIS GERARDO ZAMBRANO GOMEZ

DOCENTE
CHRISTIAN REYNALDO ANGULO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA.
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
PASTO
2020
 INTRODUCCION

El desarrollo del siguiente documento se adapta el modelo de seguridad d

MSPI a el marco de trabajo COBIT, en lo cual se estipulan ciertos objetivos
de control los cuales se integran en las diferentes etapas del modelo.
 1. Integración del modelo MSPI sobre el marco de trabajo COBIT

El marco de trabajo Cobit en sus diferentes dominios cuenta con unos

controles que se articulan especialmente la fase de la planificación del modelo
MSIP, aunque el modelo está diseñado para articularse en su totalidad bajo la
norma ISO 27001, el propósito es analizar y verificar que también es posible
articular ciertos controles que promueve las mejores prácticas para la
seguridad de la información.
El modelo MSIP cuenta con 21 guías que corresponden a ciertas actividades
que permitirá en las diferentes etapas del modelo ir desarrollándolas para una
buena gestión de la información.
A continuación, tenemos las actividades a desarrollar en la etapa de
planificación las cuales se verificará bajo el marco de trabajo Cobit a que
dominio, proceso y objetivo de control aplicaría si se diera el caso.

Tabla 1. Metas, Resultados e Instrumentos de la Fase de Planificación

META Resultado Guía de actividades

MSPI
Política de Seguridad y Documento con la Guía No 2 – Política
Privacidad de la política de seguridad de General MSPI
Información la información
Políticas de seguridad y Manual con las políticas Guía No 2 – Política
privacidad de la de seguridad y General MSPI
información privacidad de la
información
Procedimientos de Procedimientos, Guía No 3 -
seguridad de la debidamente Procedimientos de
información. documentados, Seguridad y Privacidad
socializados y de la Información.
aprobados por el comité
que integre los sistemas
de gestión institucional
Roles y Acto administrativo a Guía No 4 - Roles y
responsabilidades de través del cual se crea o responsabilidades de
seguridad y privacidad se modifica las seguridad y privacidad
de la información. funciones del comité de la información.
gestión institucional (o
el que haga sus veces),
en donde se incluyan
los temas de seguridad
de la información en la
entidad, revisado y
 aprobado por la alta
Dirección, deberá
designarse quien será
el encargado de
seguridad de la
información dentro de la
entidad
Inventario de activos de Documento con la Guía No 5 - Gestión De
información. metodología para Activos Guía No 20 -
identificación, Transición Ipv4 a Ipv6
clasificación y
valoración de activos de
información, validado
por el comité de
seguridad de la
información o quien
haga sus veces y
revisado y aprobado
por la alta dirección.
Matriz con la
identificación,
valoración y
clasificación de activos
de información.
Documento con la
caracterización de
activos de información,
que contengan datos
personales Inventario
de activos de IPv6
Integración del MSPI Integración del MSPI, Guía No 6 - Gestion
con el Sistema de con el sistema de Documental
Gestión documental gestión documental de
la entidad.
Identificación, Documento con la Guía No 7 - Gestion de
Valoración y metodología de gestión Riesgos Guía No 8 -
tratamiento de riesgo. de riesgos. Documento Controles de Seguridad
con el análisis y
evaluación de riesgos.
Documento con el plan
de tratamiento de
riesgos. Documento
con la declaración de
aplicabilidad.
Documentos revisados
 y aprobados por la alta
Dirección.
Plan de Documento con el plan Guía No 14 - Plan de
Comunicaciones de comunicación, comunicación,
sensibilización y sensibilización y
capacitación para la capacitación
entidad.
Plan de diagnóstico de Documento con el Plan Guía No 20 - Transición
IPv4 a IPv6. de diagnóstico para la IPv4 a IPv6
transición de IPv4 a
IPv6.
Fuente: https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/
 2. Controles COBIT en el modelo MSPI

2.1 Etapa De Planificación

Iniciaremos identificando las actividades correspondientes a la etapa de

planificación verificando cual objetivo de control se ajusta según el marco de
trabajo COBIT.

A continuación, tenemos las etapas correspondientes al modelo MSPI.

Fig. 1. Etapas modelo MSPI

Fuente: https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/

En el modelo MSPI en la etapa de planificación se tiene inicialmente una

actividad de desarrollar la Política de Seguridad y Privacidad de la
Información como se muestra en la tabla No. 2
Tabla 2. Actividad Política de seguridad

META Resultado
Política de Seguridad y Privacidad Documento con la política de seguridad
de la Información de la información

El modelo MSPI en esta actividad contempla actividades desarrollo,

cumplimiento, comunicación, monitoreo y mantenimiento de la política; En el
marco de trabajo COBIT se plantea en el Dominio de Planeación y
organización, en el proceso (PO6) Comunicar las directrices y aspiraciones
gerenciales, en el cual se desarrollan unos objetivos de control los cuales
pretendes generar políticas con las cuales se encajen con los objetivos
corporativos, definiendo responsabilidades, el cumplimiento de esta y así
también brindando la comunicación a los partes interesadas y generar el
respectivo mantenimiento y actualización de estas.

Los objetivos de control propuestos en COBIT son:

6.2 Responsabilidad de la Gerencia en cuanto a Políticas
6.4 Recursos para la implementación de Políticas
6.5 Mantenimiento de Políticas
6.6 Cumplimiento de Políticas, Procedimientos y Estándares

Dentro de estos objetivos de control también se cumple en el modelo MSPI la

actividad descrita en la tabla No. 3.
Tabla 3. Actividad socialización de la política

META RESULTADO
Políticas de seguridad y privacidad Manual con las políticas de seguridad y
de la información privacidad de la información,
debidamente aprobadas por la alta
dirección y socializadas al interior de la
Entidad.

La actividad anterior se relaciona Bajo el control en COBIT 6.3. Comunicación

de las Políticas de la Organización.

En el modelo MSPI continua con una actividad, la cual es definir

procedimientos que permitan el aseguramiento de la información, descrita en
la tabla No. 4
Tabla 4. Actividad definir Procedimientos

META RESULTADO
Procedimientos de seguridad de la Procedimientos, debidamente
información. documentados, socializados y aprobados
por el comité que integre los sistemas de
gestión institucional

Dentro de los procedimientos planteados se tiene:

 • procedimiento de capacitación y sensibilización del personal.
• procedimiento de ingreso y desvinculación del personal.
• procedimiento de identificación y clasificación de activos.
• procedimiento para ingreso seguro a los sistemas de información
• procedimiento de gestión de usuarios y contraseñas
• procedimiento de controles criptográficos
• procedimiento de gestión de llaves criptográficas
• procedimiento de control de acceso físico
• procedimiento de protección de activos
• procedimiento de retiro de activos
• procedimiento de mantenimiento de equipos
• procedimiento de gestión de cambios
• procedimiento de gestión de capacidad
• procedimiento de separación de ambientes
• procedimiento de protección contra códigos maliciosos
• procedimiento de aseguramiento de servicios en la red
• procedimiento de transferencia de información
• procedimiento para el tratamiento de la seguridad en los acuerdos con
los proveedores.
• procedimiento adquisición, desarrollo y mantenimiento de software
• procedimiento de control software
• procedimiento de gestión de incidentes de seguridad de la información
• procedimiento de gestión de la continuidad de negocio

Los procedimientos anteriormente mencionados no todos en su totalidad están

definidos en los diferentes Objetivos de control del marco de referencia COBIT,
pero si se mencionan algunos de estos procedimientos, a continuación, se
relaciona los procedimientos que se acoplan con el marco de trabajo COBIT y
el modelo.
Tabla 5. Procedimientos MSPI - COBIT

Procedimiento MSIP Dominio COBIT Proceso Objetivo de control

COBIT
procedimiento de PLANEACIÓN Y 4.0 Definición de 4.14 Procedimientos
ingreso y ORGANIZACIÓN la Organización y políticas para el
desvinculación del y de las personal
personal. Relaciones de Contratado
TI
 7.0 7.6 Procedimientos
Administración para la Acreditación
de Recursos del
Humanos Personal

procedimiento de ADQUISICIÓN E 4.0 4.2 Manual de

capacitación y IMPLEMENTACIÓN Procedimientos Procedimientos para
sensibilización del de Desarrollo y Usuario
personal. Mantenimiento
de TI

procedimiento de ADQUISICIÓN E 6.0 6.5 Documentación

gestión de cambios IMPLEMENTACIÓN Administración y Procedimientos
de Cambios

procedimiento
adquisición,
desarrollo y 1.3 Procedimientos
mantenimiento de de Desempeño
software
procedimiento de ENTREGA DE 4.0 4.1 Marco de
gestión de la SERVICIOS Y Aseguramiento Referencia de
continuidad de SOPORTE de Servicio Continuidad de
negocio Continuo Tecnología de
Información
4.2 Estrategia y
Filosofía del Plan de
Continuidad de
Tecnología de
Información
4.3 Contenido del
Plan de Continuidad
de
Tecnología de
Información
4.4 Minimización de
requerimientos de
Continuidad de
Tecnología de
Información
4.5 Mantenimiento
del Plan de
Continuidad
de Tecnología de
Información
 4.6 Pruebas del Plan
de Continuidad de
Tecnología de
Información
4.7 Entrenamiento
sobre el Plan de
Continuidad de
Tecnología de
Información
4.8 Distribución del
Plan de Continuidad
de
Tecnología de
Información
Procedimiento de ENTREGA DE 9.0 9.7
control software SERVICIOS Y Administración Procedimientos para
SOPORTE de la la Administración de
Configuración la Configuración

En la etapa de planeación del modelo MSPI se tiene la actividad en la cual se

definirán los roles y responsabilidades, la cual permitirá designar responsables
y roles para el buen funcionamiento de la implementación del modelo, la
actividad se describe en la tabla No. 6.
Tabla 6. Actividad definir responsabilidad

META RESULTADO
Roles y Acto administrativo a través del cual se crea o se
responsabilidades de modifica las funciones del comité gestión institucional
seguridad y privacidad (o el que haga sus veces), en donde se incluyan los
de la información. temas de seguridad de la información en la entidad,
revisado y aprobado por la alta Dirección, deberá
designarse quien será el encargado de seguridad de
la información dentro de la entidad

Esta actividad en el marco de trabajo COBIT está definida en el dominio (PO)

PLANEACIÓN Y ORGANIZACIÓN, bajo el proceso (PO4) Definir la
Organización y Relaciones de TI y que se desarrollan los siguientes objetivos
de control:
4.4 Funciones y Responsabilidades
1. 4.5 Responsabilidad del aseguramiento de calidad
2. 4.6 Responsabilidad por la seguridad lógica y física