Professional Documents
Culture Documents
Abstract
La informacin es un activo fundamental dentro de cualquier organizacin y la proteccin de este
activo, a travs de un proceso de seguridad de la informacin es de igual importancia. COBIT e ISO
27001 son los marcos de referencia para la gestin de seguridad de la informacin para ayudar a las
organizaciones a evaluar sus riesgos de seguridad e implementar controles de seguridad apropiados.
Una de las secciones ms importantes de TI en el marco COBIT es la gestin de seguridad de la
informacin que cubren la confidencialidad, integridad y disponibilidad de los recursos. Dado que las
cuestiones planteadas en la gestin de seguridad de la informacin de COBIT, son el rea cubierta
por la norma ISO / IEC27001, la mejor opcin para satisfacer la gestin de seguridad de la
informacin en la infraestructura de COBIT, est utilizando de la norma ISO / IEC27001. Por la
convivencia y el uso complementario de COBIT e ISO 27001, mapeo de procesos de COBIT a la norma
ISO / IEC 27001 controles es beneficioso. Este artculo explora el papel de la seguridad de la
informacin dentro de COBIT y describe el enfoque de mapeo de procesos de COBI T a los controles
ISO / IEC27001 para la gestin de seguridad de la informacin.
Palabras clave: gestin de la seguridad de la Informacin, Cartografa, Organizacin, COBIT, ISO / IEC
27001, ciclo PDCA
1. Introduccin
Todas las organizaciones dependen de sus recursos de tecnologa de la informacin, no slo para
sobrevivir sino tambin para su crecimiento y expansin en mercados altamente competitivos
globales de hoy [1]. Sin embargo, el uso de tecnologas de la informacin conlleva riesgos
significativos a los sistemas de informacin y en particular a los recursos crticos, debido a su propia
naturaleza [2]. Por lo tanto, la seguridad de la informacin debe ser gestionado y controlado
adecuadamente [3]. Seguridad de la informacin es la proteccin de la informacin de una amplia
gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo
empresarial, y maximizar el retorno de las inversiones y oportunidades de negocios [4]. Para la
gestin eficaz de seguridad de la informacin en la organizacin, se desarrollan Sistemas de Gestin
de Seguridad de la Informacin (SGSI) . ISMS administra y opera continuamente el sistema de
seguridad de la informacin, en trminos de tecnologa, gestin y hardware, para el objetivo de la
seguridad de la informacin que es lograr la confidencialidad, integridad y disponibilidad. La
implantacin del SGSI sigue el concepto del ciclo Planificar-Hacer-Verificar-Actuar (PDCA) [5].
Algunas de las mejores prcticas como COBIT e ISO / IEC 27001 puede ser utili zado como una base
para el desarrollo de un proceso de seguridad de la informacin de sonido [6]. Norma ISO / IEC27001
especifica los requisitos para el diseo e implementacin de un sistema de gestin de seguridad de
la informacin adecuada en una organizacin, asegurando que los controles adecuados y
proporcionados son seleccionados para proteger los activos de informacin y para dar confianza a
las partes interesadas [4]. COBIT es un marco de gobierno de TI y herramientas de apoyo que
permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones
tcnicas y riesgos de negocio [7]. El foco principal de COBIT es el desarrollo de polticas claras y
buenas prcticas para la seguridad y el control en TI para su aprobacin en todo el mundo por
ejecutiva. Es una parte integral del gobierno de la empresa y se compone de las estructuras de
direccin y de organizacin y procesos que aseguren que la organizacin es sostiene y extiende las
estrategias y objetivos [10] de la organizacin.
2.2. Caractersticas del marco COBIT
Marco COBIT fue creado con las siguientes caractersticas principales del ser [7]:
2.2.1. Centrada en el negocio: la orientacin de negocios es el tema principal de COBIT. Est
diseado no slo para estar al servicio de los proveedores de se rvicios de TI, los usuarios y los
auditores, sino tambin, y ms importante, para ofrecer una orientacin completa para los dueos
de gestin y procesos de negocio. El marco COBIT se basa en el principio de proporcionar la
informacin que la empresa necesita para lograr sus objetivos, la empresa necesita para invertir y
para administrar y controlar los recursos de TI utilizando un conjunto estructurado de procesos para
proporcionar los servicios que entregan la informacin de la empresa requerida . La gestin y control
de la informacin estn en el centro del marco COBIT y ayudar a asegurar la alineacin con los
requerimientos del negocio. {
Criterio de Informacin
Informacin dada a los procesos de negocio tiene que cumplir con ciertos criterio s, que se
sumariamente caracterizaban como sigue:
Requisitos de calidad:
- Eficacia: Se ocupa de la informacin es relevante y pertinente para el proceso de negocio, adems
de ser entregada de manera oportuna, correcta, consistente y utilizable.
- Eficiencia: Se refiere a la provisin de informacin a travs del ptima (ms productivo y
econmico) uso de los recursos.
Requisitos de seguridad:
- Confidencialidad: se refiere a la proteccin de la informacin confidencial de la divulgacin no
autorizada.
- Integridad: Se refiere a la exactitud e integridad de la informacin, as como a su validez de
acuerdo con los valores y expectativas del negocio.
- Disponibilidad: Se relaciona con la informacin est disponible cuando sea requerido por el
proceso de negocio ahora y en el futuro. Tambin se refiere a la proteccin de los recursos
necesarios y las capacidades asociadas.
Requisitos Fiduciarios:
- Cumplimiento: Se ocupa de cumplir con las leyes, reglamentos y acuerdos contractuales a los que
el proceso de negocio est sujeto, es decir, los criterios de negocio impuestos externamente, as
como las polticas internas.
- Fiabilidad: Se relaciona con el suministro de informacin adecuada para la gestin de operar la
entidad y ejercer sus responsabilidades fiduciarias y de gobernanza.
2.2.2. Orientado a procesos: COBIT divide gobernabilidad tecnologa de la informacin en 34
procesos agrupados en cuatro dominios, y proporciona un objetivo de control de alto nivel para cada
uno de estos 34 procesos. Estos dominios son:
- Planificar y Organizar
- Adquirir e Implementar
- Entregar y Dar Soporte
- Monitorear y Evaluar
Los dominios se asignan a IT reas de responsabilidad tradicionales de planificacin, construccin,
COBIT es compatible con la seguridad debe ser abordado como parte de todas las funciones de
negocio. Mientras que slo un proceso COBIT (DS5) se dedica especficamente a la seguridad, los
objetivos de control que abordan la seguridad se encuentran dispersas en los diferentes procesos de
cada dominio. El documento base de seguridad COBIT [12] pone de relieve los objetivos de control
de COBIT de alto nivel relacionados con la seguridad de la informacin dentro de los cuatro dominios
en el marco COBIT. El DS5 Entrega y Soporte, Garantizar sistemas de proceso de seguridad, se ve
como si contiene los requisitos de la norma ISO / IEC 27001. se asigna a algunos de los controles y
sistema de gestin de requisitos de la norma ISO / IEC 27001. DS5 incluye 21 objetivos de control:
-DS5.1 Administrar Medidas de Seguridad
Control de Usuario Identificacin central -DS5.12 Re-DS5
-DS5.19 De software malintencionado de Prev
Proteccin -DS5.21 de Valor Electrnico
3- ISO / IEC 27001 Estndar
ISO / IEC 27001 tiene su origen a partir de un cdigo de buenas prcticas publicado por el
departamento britnico de Comercio e Industria en 1989, que poco a poco se convirti en BS7799
[13]. ISO / IEC 27001 especifica los requisitos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un Sistema de Gestin de Seguri dad de la Informacin documentada
(SGSI (en el contexto de los riesgos globales de negocio de la organizacin. ISO / IEC 27001 especifica
los requisitos para la aplicacin del controles de seguridad personalizados para las necesidades de
las organizaciones individuales o partes de los mismos. el SGSI est diseado para garantizar la
seleccin de controles adecuados y proporcionados de seguridad que protegen los activos de
informacin y dar confianza a las partes interesadas. los requisitos propuestos se estructuran en una
clasificacin de las 11 clusulas que incluir 39 objetivos orientados por 133 controles [4,14,15].
ISO / IEC 27001 establece cmo una empresa debe hacer frente a los requisitos de confidencialidad,
integridad y disponibilidad de sus activos de informacin e incorporar esto en un Sistema de
Informacin de Gestin de Seguridad (SGSI) [3, 5]. Esta norma se utiliza en todo el mundo por las
organizaciones, tanto comerciales como de gobierno, como la base para la gestin de las polticas y
la aplicacin de seguridad de la informacin de la organizacin. Est siendo utilizado por
organizaciones pequeas, medianas y grandes a travs de una amplia gama de sectores
empresariales. De hecho, el estndar est diseado para ser lo suficientemente flexible para ser
utilizado por todos los tipos de organizacin. La norma se ha convertido de facto "en lengua comn"
para la gestin de seguridad de la informacin [14,15]. La norma introduce un modelo cclico
conocido como "Planificar-Hacer-Verificar-Actuar" modelo (PDCA) que tiene como objetivo
establecer, implementar, monitorear y mejorar la eficacia de SGSI de una organizacin. El ciclo PDCA
tiene estas cuatro fases: [4,6, 7] El ciclo PDCA tiene estas cuatro fases:
a) Fase de "Plan" - establecer el SGSI: Establecer SGSI poltica, objetivos, procesos y procedimientos
relacionados con la gestin del riesgo y la mejora de seguridad de la informacin para conseguir
resultados de acuerdo con las polticas y objetivos generales de la organizacin.
b) Haz fase - implementar y operar el SGSI: Implementar y operar el SGSI de polticas, controles,
procesos y procedimientos.
c) Verificar fase - el seguimiento y la revisin de los SGSI: Evaluar y, en su caso, el rendimiento del
proceso medida contra la poltica del SGSI, los objetivos y la experiencia prctica e informar los
resultados a la gerencia para su revisin.
d) Actuar fase - mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas, basadas en
los resultados de la auditora y la gestin de opinin SGSI internas u otra informacin relevante, para
lograr la mejora continua del SGSI [4]. La figura 2 muestra el modelo PDCA aplicado a procesos SGSI.
Una de las normas que apoyan la implementacin de la norma ISO / IEC 27001 es el cdigo de
prcticas de la norma ISO / IEC 27002. Este cdigo de prcticas proporciona orientacin para la
implementacin de los controles de seguridad de la informacin definidos en la norma ISO / IEC
27001 (Anexo A) [15]. Las reas de control que cubren estas dos normas son: [4,10]
Poltica de Seguridad: compromiso de la direccin y el apoyo a la poltica de seguridad de la
informacin se trata en este dominio.
Organizacional seguridad de la informacin: La coordinacin y gestin de los esfuerzos globales de
seguridad de la informacin de la organizacin se detalla en este dominio. Adems, la
responsabilidad seguridad de la informacin se define en este dominio.
Gestin de activos: activos Todos crticos y / o sensibles se definen en este dominio.
La seguridad de los recursos humanos: Este dominio aborda el conocimiento del usuario y la
formacin. Sensibilizacin de los usuarios y la formacin pueden reducir el riesgo de robo, fraude y
error.
Fsica y Seguridad Ambiental: Este dominio restringe el acceso a las instalaciones al personal
autorizado. Adicionalmente, este dominio direcciones que limitan la cantidad de daos causados a la
planta fsica y la informacin de las organizaciones.
Comunicaciones y Gestin de Operaciones: Este dominio aborda el riesgo de fracaso y las
consecuencias resultantes. Esto se logra asegurando el uso correcto y seguro de las instalaciones de
procesamiento de informacin.
Control de acceso: Este dominio asegura el acceso a los sistemas respectivos y la informacin est
restringido al personal autorizado. La deteccin de actividades no autorizadas tambin se aborda en
este dominio.
Informacin de gestin de incidentes de seguridad: Los eventos de seguridad y debilidades deben
ser reportados. Este dominio se dirige a la definicin de las responsabilidades y los procedimientos
de gestin de incidentes de seguridad y mejora, y recoge evidencia de incidentes de seguridad.
Adquisicin de sistemas de informacin, desarrollo y mantenimiento: Este dominio se refiere a la
prdida y el mal uso de la informacin en las aplicaciones utilizadas en la empresa.
Gestin de Continuidad de Negocio: Este dominio se refiere a la capacidad de la organizacin para
tabla 1
TABLA 2
Aqu, se analizan una serie de escenarios donde la cartografa de COBIT e ISO / IEC 27001 puede ser
muy beneficioso.
4.1 Escenario 1
Supongamos que una empresa se han puesto en marcha un marco de gobierno de TI basado en
COBIT y el departamento de seguridad de la informacin, posteriormente, tambin se haba basado
en los algunos procesos de COBIT. El departamento de seguridad de la informacin ahora decide
utilizar la norma ISO / IEC 27001. Utilizando el mtodo de asociacin, el departamento de seguridad
de la informacin puede trabajar fcilmente con otros departamentos como el departamento de
gestin de riesgos y el departamento de auditora. El beneficio del enfoque de mapeo es que el
departamento de seguridad de la informacin no tiene que cambiar nada y puede determinar
fcilmente cul de las ISO / IEC 27001 objetivos se han implementado a travs del uso de COBIT, y
que an se debe prestar atencin.
4.2 Escenario 2
Supongamos que el departamento de seguridad de la informacin de una empresa utiliza la norma
ISO 27001 como gua de gestin de seguridad de la informacin y el departamento de auditora
decide utilizar COBIT como marco de gobierno de TI. Desde el departamento de seguridad de la
informacin se ha ocupado de los controles de seguridad dentro de la norma ISO 27001, por lo
tanto, una gran parte de los procesos de COBIT han sido cubiertas. Utilizando el mtodo de
asociacin, el departamento de seguridad de la informacin no tiene que gastar un costo adicional y
se puede determinar fcilmente qu procesos de COBIT se han implementado a travs de la norma
ISO 27001.
4.3 Escenario 3
Si una empresa a implementar un marco de gobierno de TI basado en COBIT debido a su amplia
cobertura de temas de tecnologa de la informacin y una gua de gestin de seguridad de la
informacin basado en la norma ISO / IEC 27001, debido a sus requisitos ms detallados seguridad
de la informacin, la compaa puede cumplir mejor con el gobierno de TI y la informacin gestin
de la seguridad. Utilizando el mapeo, compaa capaz de implementar ambos marcos y sin ningn
coste adicional y el tiempo y tambin el departamento de seguridad de la informacin puede
trabajar fcilmente con otros departamentos como el departamento de gestin de riesgos y el
departamento de auditora
confusin y las desviaciones que existen entre TI y Auditora. Para el trabajo futuro, planeamos el
diseo de un marco integral y rentable para el uso de organizaciones para el equilibrio de
establecimiento de la norma ISO / IEC 27001 y los procesos de COBIT.