You are on page 1of 40

UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO

FACULTAD DE CIENCIAS QUMICAS, FSICAS Y MATEMTICAS


CARRERA PROFESIONAL DE INGENIERA INFORMTICA Y DE SISTEMAS

DISEO DE GOBIERNO Y GESTION CORPORATIVA DE


LA SEGURIDAD DE LA INFORMACIN PARA ENTIDADES
FINANCIERAS, BASADO EN COBIT 5

AUTORES
Br. Carlos Rafael Mendoza Barrio de Mendoza
Br. Giul Luciano Cruz Fernndez Baca

ASESOR
Ing. Manuel Aurelio Pealoza Figueroa

Cusco Per
2014

NDICE
NDICE ......................................................................................................................... 1
INTRODUCCIN .......................................................................................................... 2
Captulo 1. Generalidades ............................................................................................ 3
1.1.

Planteamiento del problema ........................................................................... 3

1.2.

Justificacin .................................................................................................... 3

1.3.

Formulacin del problema .............................................................................. 4

1.4.

Objetivos ........................................................................................................ 4

1.4.1.

Objetivo general ...................................................................................... 4

1.4.2.

Objetivos especficos ............................................................................... 4

1.5.

Alcance y limitaciones .................................................................................... 4

1.5.1.

Alcance.................................................................................................... 4

1.5.2.

Limitaciones ............................................................................................ 4

1.6.

Metodologa de investigacin ......................................................................... 5

1.7.

Plan de actividades......................................................................................... 5

Captulo 2. Marco terico tentativo................................................................................ 7


2.1.

Estado del arte ............................................................................................... 7

2.1.1.

Trabajos relacionados ............................................................................. 7

2.1.1.1.
Diseo de un modelo de gobierno de TI con enfoque de seguridad de
informacin para empresas prestadoras de servicios de salud bajo la ptica de
COBIT 5.0 7
2.1.1.2.
Diseo de un sistema de gestin de seguridad de informacin para
una compaa de seguros .................................................................................. 8
2.1.2.

Casos de estudio ..................................................................................... 9

2.1.2.1.

Banco de medio oriente mejora la seguridad de la informacin ........ 9

2.1.2.2.
Gestin de seguridad de la informacin en HDFC Bank: Contribucin
de los 7 catalizadores....................................................................................... 11

2.2.

2.1.2.3.

Implementacin de COBIT 4.0 en Scotiabank, Costa Rica ............. 20

2.1.2.4.

COBIT: Caso de EstudioBanco Supervielle S.A., Argentina ........ 22

Marco terico ................................................................................................ 23

2.2.1.

Modelos, estndares y marcos de referencia......................................... 23

2.2.1.1.

COBIT ............................................................................................ 23

2.2.1.2.

Normas ISO/IEC 27000 .................................................................. 34

2.2.1.3.

Normas ISO/IEC 27001 .................................................................. 36

2.2.1.4.

Normas ISO/IEC 27002 .................................................................. 37

2.2.1.5.

Normas ISO/IEC 27003 .................................................................. 38

2.2.2.

Marco legal y regulatorio ....................................................................... 39

2.2.2.1.

Circular N G-140-2009 .................................................................. 39

INTRODUCCIN
La informacin, en el tiempo, ha ido tomando relevancia en el mbito de las
organizaciones. Hoy es considerado un recurso clave y durante todo su ciclo de vida
(desde que se crea hasta que se destruye), la tecnologa va tomando un papel cada vez
ms importante.
Como resultado de la creciente dependencia de las organizaciones respecto a la
tecnologa para el manejo de su informacin y del incremento de interconectividad en el
ambiente comercial, la informacin cada vez est ms expuesta a una diversa gama de
amenazas y ataques; por lo que debe considerarse aplicar un conjunto de medidas
preventivas y correctivas de las organizaciones y sistemas tecnolgicos que tengan por
objetivo proteger y resguardar la informacin, buscando mantener la confidencialidad,
disponibilidad e integridad de la misma.
El objetivo base de toda empresa es la creacin de valor para sus accionistas, esto
implica la generacin de beneficios a un costo ptimo de recursos y optimizando el
riesgo. Dicho de otra forma, las necesidades de las partes interesadas deben
transformarse en una estrategia corporativa, y es aqu que la seguridad de la
informacin puede y debe tener un rol fundamental dentro de cada actividad y proceso
realizado, alineando sus objetivos con los objetivos corporativos de la organizacin.
Bajo este contexto y, en aras de salvaguardar la informacin, se elaboran y actualizan
constantemente estndares, buenas prcticas, principios, polticas y marcos de trabajo
que permitan alcanzar este objetivo.
En busca de un marco de trabajo aplicable a la situacin de las organizaciones privadas
de nuestro medio, especficamente empresas del sector financiero, es que optamos por
implementar uno que combine principios, buenas prcticas, polticas de estndares
internacionales y de amplia aceptacin, bajo un enfoque integral, orientado hacia un
buen gobierno y gestin corporativa de seguridad de la informacin, donde se incluyan
aspectos como estructuras organizativas con sus respectivos roles y responsabilidades
asignados, polticas y cultura que en conjunto permitan la relacin y enlace de la
seguridad de la informacin con los objetivos estratgicos de la empresa.

Captulo 1. Generalidades
1.1.

Planteamiento del problema

Las organizaciones se trazan objetivos que les permitan generar valor y ser
competitivos. Estos objetivos son alcanzados mediante la gestin adecuada de recursos
tangibles como las tecnologas de informacin e intangibles como la informacin que
administra la organizacin. Estos recursos necesitan ser evaluados, supervisados y
correctamente gestionados a travs de polticas y procesos que proporcionen prcticas
de gestin y control con la finalidad de salvaguardar la informacin procurando que est
protegida contra su divulgacin a usuarios no autorizados (confidencialidad),
modificacin inadecuada (integridad) y su falta de acceso cuando se le necesita
(disponibilidad), debiendo ser considerado uno de los retos ms importantes. Frente a
esta situacin, se han desarrollado normas, estndares, polticas y cdigos de buenas
prcticas, mediante los cuales se pueden implementar medidas preventivas y
correctivas ante situaciones o escenarios de riesgo de vulnerabilidad y amenaza de la
informacin.
En nuestro medio, la seguridad de la informacin est tomando relevancia en los
procesos y actividades diarias de las organizaciones; ya sea por factores internos, por
ejemplo una creciente necesidad de proteger su informacin debido a incidentes que
implicaron un costo alto para ser controlado, o factores externos como regulaciones y
leyes que el Estado decreta con el fin de promover la seguridad de la informacin, por
ejemplo la ley de proteccin de datos personales promulgada el ao 2011 y su
respectivo reglamento aprobado por Decreto Supremo N 003-2013-JUS. En el caso
particular de las entidades financieras se ve reflejado en la normatividad y regulaciones
legales exigidas por la Superintendencia de Banca y Seguros (SBS) -ente encargado de
regular a entidades financieras de nuestro pas- la cual exige desde el ao 2009 la
implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
basado en el estndar internacional ISO/IEC: 27001 a travs de la circular G-140-2009.
El desarrollo de un SGSI implica un gran desafo para las organizaciones debido a
factores internos y externos que dificultan su implementacin tales como el entorno
cambiante de las tecnologas de informacin, el riesgo constante, resistencia al cambio
y falta de cultura y tica organizacional. Para superar estos obstculos es necesario
contar con un marco de trabajo que permita establecer y planificar iniciativas de
seguridad que se traduzcan en actividades habituales gestionadas de forma adecuada
dentro de un marco de gobierno de seguridad de la informacin alineado al cumplimiento
de los objetivos de la organizacin.

1.2.

Justificacin

Mediante un gobierno y gestin corporativa de seguridad de la informacin se cubre la


necesidad de asegurar la informacin, mitigar los riesgos, gestionar los recursos, medir
el desempeo de las tecnologas relacionadas con la informacin y cumplir la
normatividad impuesta por el Estado.
Incluir el cumplimiento de la circular G-140-2009 decretado por la Superintendencia de
Banca y Seguros y la ley de proteccin de datos personales, ley N29733, supervisada
por la Autoridad Nacional de Proteccin de Datos, constituye un progreso como parte
del cumplimiento con la regulaciones impuestas en nuestro pas y la realizacin de
beneficios que estos proporcionan.

1.3.

Formulacin del problema

Cmo el marco de trabajo COBIT 5 permite realizar un diseo de Gobierno y Gestin


Corporativa de Seguridad de la Informacin en entidades financieras?

1.4.

Objetivos
1.4.1. Objetivo general
Realizar el diseo de Gobierno y Gestin Corporativa de Seguridad de la
Informacin en entidades financieras basado en COBIT 5.

1.4.2. Objetivos especficos

1.5.

Establecer el ciclo de vida de gobierno y gestin corporativa de seguridad de


la informacin segn COBIT 5 adaptado a la organizacin.
Desarrollar el caso de negocio que justifique un programa de implementacin
de gobierno y gestin corporativa de seguridad de la informacin.
Identificar los objetivos corporativos y de TI, y elaborar el Balanced
ScoreCard respectivo.
Identificar los procesos catalizadores para seguridad de la informacin.
Modelar los procesos del negocio (Diagramas BPMN 2.0).
Aplicar los procesos catalizadores para seguridad de la informacin en los
procesos del negocio.
Determinar el estado de los procesos catalizadores de seguridad de la
informacin en la organizacin.

Alcance y limitaciones
1.5.1. Alcance
Nuestro proyecto de tesis realiza el diseo de gobierno y gestin corporativa
de seguridad de la informacin para entidades financieras.
El proyecto a desarrollar permite establecer un gobierno y gestin corporativa
de seguridad de la informacin alineado a la circular N G-140-2009 dispuesta
por la SBS y la ley de proteccin de datos personales supervisada por la
Autoridad Nacional de Proteccin de Datos Personales.

1.5.2. Limitaciones
Dada la categora de la informacin necesitada, se espera no disponer de
toda la informacin suficiente para el anlisis de la situacin actual de la
organizacin.
El tiempo que la empresa puede brindarnos durante la recoleccin de
informacin.
El proyecto contempla solo el diseo de un gobierno y gestin corporativa de
seguridad de la informacin debido al tiempo que llevara su implementacin.
La eleccin de los procesos de negocio es establecida por la prioridad que dio
la organizacin basada en sus necesidades.
Nuestro proyecto de investigacin est orientado a la seguridad de la
informacin bajo el enfoque de COBIT 5, por lo que solo comprende los
procesos y polticas de esta versin.

1.6.

Metodologa de investigacin

En nuestro proyecto de tesis se emplea el mtodo general de la investigacin


descriptiva, debido a la indagacin y recoleccin de la informacin con respecto al tema
a desarrollar, complementada con la observacin participativa de una situacin real que
permite plantear la transformacin de una situacin en trminos ms convenientes.
Mediante la investigacin descriptiva que utiliza el mtodo de anlisis se logra
caracterizar un objeto de estudio o una situacin concreta, sealar sus caractersticas y
propiedades.

1.7.

Plan de actividades

Nombre de tarea
Diseo del Gobierno y Gestin Corporativa de Seguridad de la
Informacin para entidades financieras, basado en COBIT 5
1. Ante-Proyecto
1.1. Eleccin del tema de tesis
1.2. Revisin del estado del arte
1.3. Anlisis del Problema
1.4. Recoleccin y anlisis de informacin
1.5. Planteamiento y definicin del problema
2. Desarrollo del Proyecto
2.1. Establecer el ciclo de vida de gobierno y gestin
corporativa de seguridad de la informacin segn COBIT 5
adaptado a la organizacin.
2.1. Cules son los motivos?
2.2. Dnde estamos ahora?
2.3. Dnde queremos ir?
2.4. Qu es preciso hacer?
2.5. Cmo conseguiremos llegar?
2.6. Hemos conseguido llegar?
2.7. Cmo mantenemos vivo el impulso?
2.2. Desarrollar el caso de negocio que justifique un
programa de implementacin de gobierno y gestin
corporativa de seguridad de la informacin. Se utiliza la
siguiente estructura:
2.2.1. Resumen ejecutivo
2.2.2. Posicionamiento del programa de seguridad de la
informacin
2.2.3. Identificacin de la necesidad de actuar
2.2.4. Alternativas consideradas
2.2.5. Anlisis costo beneficio
2.2.6. Solucin propuesta
2.2.7. Alcance y metodologa del programa
2.2.8. Entregables del programa
2.2.9. Cuadro comparativo del estado actual y el estado
esperado (Anlisis de brecha)
2.2.10. Programa de riesgos
2.2.11. Retos y factores de xito
2.3. Identificar los objetivos corporativos y de TI, y
elaborar el Balanced ScoreCard respectivo. (A travs de la
cascada de objetivos y el BSC propuesto por COBIT).
2.3.1. Identificacin de objetivos corporativos
2.3.2. Identificacin de objetivos corporativos con
objetivos de COBIT 5.

Duracin

Comienzo

Fin

300 das mi 01/01/14

mar 16/12/14

234 das
7 das
14 das
14 das
185 das
14 das
66 das

mi 01/01/14
mi 01/01/14
jue 09/01/14
sb 25/01/14
mar 11/02/14
lun 15/09/14
mi 01/10/14

mar 30/09/14
mi 08/01/14
vie 24/01/14
lun 10/02/14
sb 13/09/14
mar 30/09/14
mar 16/12/14

16 das

mi 01/10/14 sb 18/10/14

2 das
2 das
3 das
3 das
2 das
2 das
2 das

mi 01/10/14
vie 03/10/14
lun 06/10/14
jue 09/10/14
lun 13/10/14
mi 15/10/14
vie 17/10/14

jue 02/10/14
sb 04/10/14
mi 08/10/14
sb 11/10/14
mar 14/10/14
jue 16/10/14
sb 18/10/14

20 das

lun 20/10/14

mar 11/11/14

1 da

lun 20/10/14

lun 20/10/14

1 da

mar 21/10/14 mar 21/10/14

4 das
1 da
1 da
3 das
1 da
1 da

mi 22/10/14
lun 27/10/14
mar 28/10/14
mi 29/10/14
sb 01/11/14
lun 03/11/14

3 das

mar 04/11/14 jue 06/11/14

2 das
2 das

vie 07/11/14
lun 10/11/14

6 das

mi 12/11/14 mar 18/11/14

2 das

mi 12/11/14

jue 13/11/14

1 da

vie 14/11/14

vie 14/11/14

sb 25/10/14
lun 27/10/14
mar 28/10/14
vie 31/10/14
sb 01/11/14
lun 03/11/14

sb 08/11/14
mar 11/11/14

2.3.2.1. Identificacin de mtricas de objetivos


corporativos de COBIT
2.3.3. Identificacin de objetivos relacionados con TI
2.3.3.1. Identificacin de mtricas de objetivos
relacionados con TI
2.3.4. Desarrollo del cuadro de mando integral (Balanced
ScoreCard)
2.4. Identificar los procesos catalizadores para seguridad
de la informacin.
2.4.1. Mapeo de procesos catalizadores con los objetivos
relacionados con TI
2.4.2. Identificacin de procesos catalizadores para
seguridad de la informacin.
2.5. Modelar los procesos del negocio (BPMN 2.0).
2.6. Aplicar los procesos catalizadores para seguridad de
la informacin en los procesos del negocio.
2.6.1. Alineacin de procesos catalizadores para seguridad
de la informacin con los procesos del negocio.
2.6.2. Aplicacin de los procesos catalizadores para
seguridad de la informacin con los procesos del negocio.
2.7. Determinar el estado de los procesos catalizadores
de seguridad de la informacin en la organizacin.
(Tomando en cuenta el modelo de capacidad de procesos
de COBIT 5)
2.8. Entrega del Proyecto

1 da

vie 14/11/14

vie 14/11/14

1 da

sb 15/11/14 sb 15/11/14

1 da

sb 15/11/14

sb 15/11/14

2 das

lun 17/11/14

mar 18/11/14

4 das

mi 19/11/14 sb 22/11/14

2 das

mi 19/11/14

jue 20/11/14

2 das

vie 21/11/14

sb 22/11/14

6 das

lun 24/11/14

sb 29/11/14

10 das

lun 01/12/14

jue 11/12/14

5 das

lun 01/12/14

vie 05/12/14

5 das

sb 06/12/14

jue 11/12/14

3 das

vie 12/12/14

lun 15/12/14

1 da

mar 16/12/14 mar 16/12/14

Captulo 2. Marco terico tentativo


2.1.

Estado del arte


2.1.1. Trabajos relacionados
2.1.1.1.

Diseo de un modelo de gobierno de TI con enfoque de


seguridad de informacin para empresas prestadoras de
servicios de salud bajo la ptica de COBIT 5.0
Repositorio de tesis de la PUCP, abril del 2014.
Resumen
Las empresas prestadoras de servicios de salud han ido creciendo
tras la necesidad de los clientes por contar con un servicio de excelencia
para toda la familia y deteccin de enfermedades, por ello se crean
nuevos programas para tener acceso a estos servicios, teniendo como
consecuencia el incremento de datos e informacin.
Por esa razn, se ven en la necesidad de incrementar y/o mejorar su
infraestructura tecnolgica para soportar sus procesos de negocio,
mejorando la calidad y rapidez de sus servicios, integrando datos
provistos por otras entidades y velando por la confidencialidad de la
ellos de acuerdo al marco regulatorio al que estn sujetas. No obstante,
se debe garantizar el alineamiento estratgico y la correspondencia de
esta tecnologa con los objetivos de negocio que aseguren el retorno de
la inversin.
A partir de lo expuesto, se plantea una solucin integrada que
brinde un enfoque estratgico y comprometa a la Alta Direccin para
que participe del cambio que conlleve a que las empresas logren
sus objetivos de la mano de tecnologa correctamente gestionada.
Esta solucin es disear un Gobierno de Tecnologa de Informacin
con enfoque a seguridad de informacin, velando por el cumplimiento de
los cinco (5) pilares que son el alineamiento estratgico, la entrega de
valor o retorno de inversin, medicin del desempeo de TI, gestin de
riesgos y gestin de recursos.
Para el proyecto se emplear un marco de negocio mundialmente
reconocido, COBIT 5.0, que brinda buenas prcticas para implementar
esta solucin dentro de cualquier organizacin segn sea el contexto.
As mismo, integra una serie de marcos reconocidos y permite su
uso desde una alta perspectiva de negocio y finalmente presentarse
como una alternativa de solucin ante una problemtica generalizada
a nivel estratgico y tecnolgico en las empresas prestadoras de servicio
de salud.

2.1.1.2.

Diseo de un sistema de gestin de seguridad de


informacin para una compaa de seguros
Repositorio de tesis de la PUCP, abril del 2014.
Resumen
La Superintendencia de Banca, Seguros y AFP, en el 2009, elabor la
circular G140, que estipula que todas las empresas peruanas que son
reguladas por este organismo deben contar con un plan de seguridad de
informacin. La presente tesis busca disear un sistema de gestin de
seguridad de informacin para una compaa de seguros que cubra lo
que pide la circular para evitar problemas regulatorios con este
organismo.
Para esto, se utilizarn estndares y buenas prcticas reconocidos
mundialmente para poder desarrollar cada una de las etapas del diseo
del Sistema de Gestin de Seguridad de Informacin (SGSI) y as poder
tener una base que se pueda implementar en cualquier compaa de
seguros. Cabe resaltar que estos estndares y buenas prcticas indican
qu es lo que se debe realizar, pero no especifican cmo se deben
implementar los controles. Estos van a depender de la necesidad de la
empresa y de la inversin que desee realizar en temas de seguridad, con
lo que se puede afirmar que lo expuesto en la tesis es una forma de cmo
se puede disear un SGSI.

2.1.2. Casos de estudio


2.1.2.1.

Banco de medio oriente mejora la seguridad de la


informacin
Como consecuencia de una iniciativa por mejorar la seguridad de la
informacin con la ayuda de COBIT, una entidad bancaria de Medio
Oriente obtuvo varios beneficios, entre ellos:

Mejorar la integracin de la seguridad de la informacin dentro de la


organizacin.
Comunicar decisiones vinculadas al riesgo y crear conciencia sobre
los riesgos.
Mejorar la prevencin, deteccin y recuperacin.
Reducir (el impacto de) los incidentes vinculados a la seguridad de
la informacin.
Aumentar el soporte relacionado con la innovacin y la
competitividad.
Mejorar la gestin de costos relacionados con la funcin de seguridad
de la informacin.
Adquirir un entendimiento ms profundo sobre la seguridad de la
informacin.

Obtener la aprobacin de la alta direccin es una queja comn entre los


profesionales de seguridad de la informacin. Sin embargo, en un banco
de Medio Oriente, ms especficamente en Kuwait, el gerente de
seguridad de la informacin no tuvo ese problema a la hora de
implementar COBIT para definir los principios de seguridad de la
informacin de la empresa porque la alta direccin del banco ya tena
pleno conocimiento del marco aceptado por la industria. En
consecuencia, el informe de evaluacin fue completado rpidamente,
aceptado velozmente y agradecido enormemente.
La organizacin utiliza varios estndares y marcos, incluida la norma ISO
27001, el Estndar de Seguridad de Datos de la Industria de Tarjetas de
Pago (Payment Card Industry Data Security Standards, PCI DSS) y la
Biblioteca de Infraestructura de Tecnologa de la Informacin (IT
Infrastructure Library, ITIL), y deseaba alinear sus procesos y principios
departamentales con un marco comn, ampliamente flexible y adaptable,
que tuviera controles y procesos en comn con otros marcos de la
industria. La organizacin hall todo esto en COBIT, que en su versin
ms actualizada COBIT 5 proporciona un detallado cruce con otros
marcos, entre ellos, las normas de la Organizacin Internacional para la
Estandarizacin (International Organization for Standardization, ISO), el
Marco de Arquitectura del Open Group (The Open Group Architecture
Framework, TOGAF) y el Cuerpo de Conocimientos de Gestin de
Proyectos (Project Management Body of Knowledge, PMBOK).
Ningn otro marco proporciona un cruce tan detallado con diversos
estndares aceptados en la industria. El banco ha utilizado COBIT 5 y
COBIT 5 para la Seguridad de la Informacin en una amplia variedad
de proyectos:

Se emple el Kit de herramientas de COBIT 5 para identificar el


enunciado de aplicabilidad (statement of applicability, SOA) de cada
dominio, junto con los 37 procesos y los 210 enunciados de prctica
correspondientes.
Los principios de COBIT 5 han sido cruzados con los procesos
actuales del departamento de seguridad de la informacin con el
objeto de identificar toda brecha posible.
Se abordaron todas las brechas identificadas durante la evaluacin
teniendo en cuenta las guas recomendadas para cada enunciado de
prctica.

Principios de seguridad de la informacin


Como se describi en COBIT 5 para la Seguridad de la Informacin, los
principios de seguridad de la informacin comunican las reglas de la
empresa que soportan los objetivos de gobierno y los valores
empresariales, segn la definicin del Consejo y la direccin ejecutiva.
Estos principios deben:

Ser limitados en cuanto a su nmero.


Estar expresados en un lenguaje sencillo y declarar, de la manera
ms clara posible, los valores fundamentales de la empresa.

Estos principios son genricos y se aplican a todas las empresas, y se


pueden utilizar como base para el desarrollo de principios de seguridad
de la informacin exclusivos de la empresa.
a) Dar soporte al negocio
Centrarse en el negocio.
Dar calidad y valor a las partes interesadas.
Cumplir con los requisitos legales y regulatorios relevantes.
Proporcionar informacin oportuna y exacta sobre el desempeo
de la seguridad de la informacin.
Evaluar las amenazas actuales y futuras.
Promover la mejora continua en la seguridad de la informacin.
b) Defender el negocio
Adoptar una estrategia basada en el riesgo.
Proteger la informacin clasificada.
Concentrarse en las aplicaciones crticas para el negocio para
priorizar los escasos recursos de seguridad de la informacin.
Desarrollar los sistemas de forma segura para construir sistemas
de calidad y rentables.
c) Promover un comportamiento responsable en seguridad de la
informacin
Actuar de manera profesional y tica.
Fomentar una cultura positiva de seguridad de la informacin

Beneficios de la implementacin de COBIT 5


El banco alcanz sus objetivos en poco tiempo, solamente tres meses, y
logr mejorar una gran cantidad de procesos, entre los que cabe
mencionar:
Garantizar el establecimiento y el mantenimiento del marco de
gobierno.
Garantizar la entrega de beneficios.
Garantizar la optimizacin del riesgo.
Garantizar la optimizacin de recursos.
Garantizar la transparencia de las partes interesadas.
Administrar el marco de gestin de TI.
Gestionar la estrategia.
Gestionar la arquitectura de la empresa.
Gestionar la innovacin.
Gestionar la definicin de requerimientos.
Gestionar los activos.
Gestionar la continuidad.

2.1.2.2.

Gestin de seguridad de la informacin en HDFC Bank:


Contribucin de los 7 catalizadores
HDFC Bank fue incorporado en agosto de 1994 y posee una red nacional
de 3062 sucursales y 10 743 cajeros automticos (automated teller
machines, ATM) distribuidos en 1568 ciudades y poblaciones de India.
HDFC Bank opera en un entorno altamente automatizado en trminos de
sistemas de TI y comunicacin. Todas las sucursales de la entidad
bancaria cuentan con conectividad en lnea, que permite a sus clientes
operar con transferencias de fondos sin demoras. Tambin se
proporciona acceso a mltiples sucursales a clientes minoristas a travs
de la red de sucursales y los ATM.
El banco ha priorizado su compromiso con la tecnologa e Internet como
uno de sus objetivos ms importantes y ha hecho avances significativos
en habilitar su core de negocio en la web. En cada uno de sus negocios,
el banco ha logrado aprovechar su posicin en el mercado, su experiencia
y su tecnologa a fin de crear una ventaja competitiva y obtener
participacin en el mercado.
Uso de COBIT
Como uno de los primeros en adoptar COBIT 4.1, el HDFC Bank
comenz hace ya casi 6 aos el recorrido de gobierno de TI cuando
COBIT 4.1 apenas haba salido al mercado. As fue como la entidad
bancaria adopt casi la totalidad de los 34 procesos de TI definidos en
COBIT 4.1.

Luego de la introduccin de COBIT 5 en abril de 2012, HDFC Bank se


tom un tiempo para considerar una migracin. Debido a que la
experiencia del banco con la implementacin de COBIT 4.1 ha sido muy
beneficiosa, no migrar inmediatamente a COBIT 5. Sin embargo, HDFC
Bank adopt de manera intuitiva los siete catalizadores introducidos por
COBIT 5 incluso antes de que estos adquirieran notoriedad pblica en
COBIT 5.
COBIT 5 describe siete catalizadores como factores que, de manera
individual y colectiva, influyen en que algo funcione; en este caso, el
gobierno y la gestin de TI de la empresa (governance and management
of enterprise IT, GEIT):
i.

ii.

iii.
iv.

v.

vi.

vii.

Los principios, las polticas y los marcos son el vehculo para


convertir el comportamiento deseado en orientacin prctica para
la gestin diaria.
Los procesos describen un conjunto organizado de prcticas y
actividades para lograr ciertos objetivos y producir un conjunto de
resultados que sustenten el logro de las metas generales
relacionadas con TI.
Las estructuras organizacionales son las entidades claves de toma
de decisiones en una empresa.
La cultura, la tica y el comportamiento de individuos y de la
empresa son, a menudo, subestimados como un factor de xito en
las actividades de gobierno y gestin.
La informacin es generalizada en cualquier organizacin e incluye
toda la informacin producida y utilizada por la empresa. Se
requiere la informacin para mantener a la organizacin en
funcionamiento y bien gobernada, pero a nivel operativo, la
informacin es con frecuencia el producto clave de la misma
empresa.
Los servicios, la infraestructura y las aplicaciones incluyen la
infraestructura, la tecnologa y las aplicaciones que brindan a la
empresa servicios y procesamientos de TI.
Las personas, habilidades y competencias estn vinculadas a las
personas y son requeridas para la finalizacin exitosa de todas las
actividades y para tomar decisiones correctas y aplicar medidas
correctivas.

Estructuras organizacionales
La seguridad de la informacin en HDFC Bank est impulsada por su
grupo de seguridad de la informacin (information security group, ISG).
El grupo est liderado por el director general de seguridad de la
informacin (chief information security officer, CISO), que reporta al
director ejecutivo del banco. El ISG es principalmente responsable de
identificar, evaluar y proponer la mitigacin de cada riesgo relacionado
con la seguridad de la informacin. Esta responsabilidad se lleva a cabo
interactuando con diversos comits y partes interesadas y preparando
planes, propuestas, polticas, procedimientos y guas. La implementacin

de estas directrices se asigna a los equipos de implementacin de todo


el banco.
El marco de gobierno en HDFC Bank est impulsado por una gran
cantidad de comits de alto nivel. La importancia que se le da a la
seguridad de la informacin es notoria puesto que una gran cantidad de
comits de alto nivel han colocado a la seguridad de la informacin en
sus agendas.

La definicin de responsabilidades para el ISG ha sido bien definida a


travs de una matriz RACI. Uno de los puntos principales que se deben
destacar es que, si bien la responsabilidad de la gestin de la seguridad
de la informacin radica en el ISG, la rendicin de cuentas recae
marcadamente en los dirigentes funcionales. De igual modo, si bien es
cierto que el ISG rinde cuentas por la definicin de la evaluacin de
riesgos, los dirigentes funcionales son responsables de la ejecucin de
esta evaluacin. Esta divisin de responsabilidades y rendicin de
cuentas determina la propiedad de la mitigacin del riesgo y la gestin de
seguridad de la informacin en los dirigentes funcionales.

Principios, polticas y marcos


HDFC Bank ha diseado un documento de una poltica integral de unas
100 pginas. La versin actual es 3.x y se encuentra en proceso de
revisin hasta disear la versin 4.0. Este documento abarca los 11
dominios de seguridad de la informacin, segn se especifica en la norma
ISO 27001 de una manera agnstica considerando plataforma y tecnologa, y est modelada sobre la Norma de Buenas Prcticas del
Foro de Seguridad de la Informacin (Information Security Forum, ISF).
Debido a que el banco emplea entre 30 y 40 tecnologas diferentes, se
crean polticas ms detalladas para cada tecnologa. Se trata de polticas
minuciosas especficas de las tecnologas para que el equipo tcnico
responsable de implementarlas las tenga a modo de referencia.
Estas polticas se subdividen an ms en registros para cruzarlas con
varios estndares/marcos rectores, por ejemplo, las normas ISO 27001,
COBIT y las guas del Banco de Reservas de la India (Reserve Bank of
India, RBI). Estos registros se introducen en una herramienta de
gobierno, riesgo y cumplimiento (governance, risk and compliance, GRC)
que proporciona el marco de control unificado (unified control framework,
UCF) interno del banco. De esta manera, se logra identificar el nivel de
cumplimiento adquirido de manera automtica. La herramienta
proporciona casi 40 fuentes autorizadas que ya se han cruzado a travs
del UCF. Por lo tanto, resulta fcil encontrar el cumplimiento con cualquier
fuente.

El equipo del ISG utiliza la metodologa de Anlisis por factores del riesgo
de la informacin (Factored Analysis of Information Risk, FAIR) para
calcular el riesgo probable mediante la captura de la frecuencia de
eventos de amenazas y la frecuencia de eventos de prdida, dando el
peso adecuado a cada factor y la creacin de una clasificacin de riesgo
para dar prioridad y tomar decisiones. El equipo del ISG tambin revis
la norma ISO 27005 y dise un enfoque slido para la gestin de riesgos
con la ayuda de estos estndares.
Se ha creado una versin corta del documento de la poltica en una gua
del usuario de 20 pginas sustentada por una lista de 10 reglas
principales para la seguridad de la informacin.
Hay una gran cantidad de proveedores que prestan servicio a HDFC
Bank. La seguridad de la cadena de suministros queda garantizada por
revisiones peridicas de terceros a los proveedores las cuales son
llevadas a cabo por firmas de auditora externa.
HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea
obtener el certificado ISO 22301 y ha alcanzado el 92% de cumplimiento
de las guas RBI.
En la actualidad, el ISG se centra en la creacin de un sistema slido de
gestin de incidentes, proveer una proteccin adecuada de los datos,
garantizar la implementacin apropiada del BYOD - "trae tu propio
dispositivo" (bring your own device) y detectar, contener y remover
amenazas persistentes avanzadas oportunamente.
Procesos
El ISG sigue un modelo de proceso de seguridad de la informacin
basado en 21 componentes:
1. Seguridad de la aplicacin
2. Criptografa
3. Monitoreo
4. Gestin de incidentes
5. Seguridad bancaria en lnea
6. Gestin de software malicioso (malware)
7. Proteccin de datos
8. Ciclo de vida del desarrollo de software seguro
9. Gestin de proveedores (terceros)
10. Planificacin de continuidad del negocio
11. Privacidad
12. Gestin de identidades y acceso
13. Gestin de riesgos
14. Seguridad fsica
15. Concientizacin
16. Gobierno
17. Poltica
18. Gestin del ciclo de vida de los activos

19. Rendicin de cuentas y propiedad


20. Configuracin del sistema
21. Seguridad de la red
Se efecta la planificacin, diseo, implementacin y monitoreo de la
seguridad de la informacin para estos componentes individuales. Este
enfoque hace que los equipos se mantengan centrados. Se desarrollan
polticas, procedimientos, guas, estndares, tecnologas y herramientas
para estos componentes. Este enfoque proporciona granularidad a la
hora de gestionar cada rea de enfoque y tambin conduce a una
arquitectura de defensa en profundidad.
Cada uno de los componentes contribuye con la creacin de estndares
y procedimientos de control que satisfacen los requerimientos de polticas
de alto nivel. Este es un enfoque de abajo hacia arriba que permite mitigar
las inquietudes de seguridad de nivel superior para procesos de negocio
proporcionando seguridad adecuada para los activos que son utilizados
por estos procesos.
Actualmente, se est llevando a cabo la tarea de cruzar todos los
procesos de negocio con los activos. Los procesos de negocio se estn
clasificando en funcin de la criticidad y el impacto que puedan tener en
el negocio. Si un activo, por ejemplo un servidor, aloja mltiples procesos
de TI que sustentan mltiples procesos de negocio, esto hace que la
clasificacin se atribuya al proceso de negocio ms crtico.
En la siguiente figura se muestran los motivadores o factores conductores
de las partes interesadas que identific HDFC Bank.

Niveles de madurez de la seguridad de la informacin


El ISG ha creado un modelo de madurez de seguridad de la informacin.
Este modelo ha definido cinco niveles de madurez, ocho atributos
deseables para los componentes de la seguridad de la informacin y los
requerimientos necesarios para alcanzar el atributo de cada nivel.
El seguimiento de cada uno de los 21 componentes se basa en este
modelo. HDFC Bank ha utilizado el modelo de madurez con muy buenos
resultados para construir un concepto de benchmarking (evaluacin
comparativa) dentro de la organizacin. Este modelo permite detectar
reas que requieren mejoras y los ejercicios de evaluacin se realizan en
el marco de un taller. Existe una comunicacin saludable de dos canales
que deriva en un sentido de participacin y transparencia respecto de la
estrategia y la visin de la empresa. El modelo se utiliza estrictamente
para anlisis de brechas internas y para identificar reas de mejora. No
ha sido pensado para proporcionar aseguramiento a un tercero.
El modelo de madurez que se presenta a continuacin fue creado por el
ISG para satisfacer sus necesidades exclusivas de definicin de planes
de mejoras especficas. Este modelo de madurez se basa ligeramente en
el modelo definido en COBIT 4.1. Una de las crticas al modelo de
madurez de COBIT 4.1 fue que los criterios usados para definir los niveles
eran subjetivos. En estos momentos, HDFC Bank est considerando la
posibilidad de corresponder los procesos actuales con el modelo de
evaluacin de procesos (Process Assessment Model, PAM) de COBIT 5,
que se basa en la norma ISO 15504.

Servicios, infraestructuras y aplicaciones


HDFC Bank emplea casi 40 tecnologas diferentes. Alrededor de estas
tecnologas se desarrollan distintos servicios, infraestructuras y
aplicaciones. Como se describi en la seccin sobre el catalizador de
procesos, cada uno de estos servicios est cruzado con el nivel de
madurez de la seguridad de la informacin. Una actualizacin continua
del nivel de madurez, que tenga en cuenta atributos tales como la
automatizacin, la eficacia, la gestin de incidentes y la medicin,
garantiza un monitoreo muy pormenorizado de estos servicios. Todos los
proyectos que pretenden mejorar los servicios se basan en el nivel de
madurez pensado para cada servicio en particular.
Informacin
Habitualmente, la informacin se presenta por medio de documentacin
del Consejo en trminos de estrategia, presupuesto, plan y polticas. Los
requerimientos de seguridad de la informacin se obtienen por medio de
un formulario de aceptacin de riesgos (risk acceptance form, RAF) y son
sometidos a una revisin a cargo del comit de gestin de riesgos de la
seguridad de la informacin (information security risk management
committee, ISRMC). El ISG tambin prepara varios informes de revisin
de seguridad de la informacin, que incluyen hallazgos de auditora,
informes de madurez, anlisis de amenazas, informes de evaluacin de
vulnerabilidades, registros de riesgo de la informacin, informes de
brechas y prdidas, e informes de incidentes y problemas relacionados
con la seguridad de la informacin.
El modelo de madurez proporciona entradas adicionales para informacin
de buena calidad. Se han creado varias mtricas y mediciones de
seguridad de la informacin basadas en el marco de la norma ISO 27004,
que se presentan a modo de tablero de mando (dashboard). En la
actualidad, se est trabajando para implementar una herramienta GRC
de TI que permita captar toda la informacin en la fuente y demostrar
cumplimiento de numerosos requerimientos, que incluyen las guas de
RBI, PCI DSS y Basilea II. Adems, la herramienta permite el cruce con
diferentes controles de COBIT 4.1.
Personas, habilidades y competencias
HDFC Bank ha empleado una serie de tcnicas para crear conciencia
sobre la seguridad y desarrollar habilidades y competencias adecuadas.
A continuacin se incluye una lista de las iniciativas:

Pelcula sobre la seguridad de la informacin


Tira cmica sobre la seguridad de la informacin
Red de seguridad (Intranet)
Correo electrnico y campaa de imgenes
Diez mandamientos de seguridad
Curso: La seguridad primero
Taller de un da

Cultura, tica y comportamiento


COBIT 5 ha identificado ocho clases de comportamientos que
contribuyen con el desarrollo de una cultura de seguridad en una
organizacin. Varias iniciativas tomadas por HDFC Bank dieron lugar a la
creacin del tipo correcto de comportamientos de seguridad. HDFC Bank
ha utilizado muchos canales de comunicacin, cumplimiento, polticas
claras, reglas y normas. El comportamiento seguro tambin se fomenta a
travs del reconocimiento, por ejemplo, por medio de un certificado, y a
travs de mensajes contundentes a quienes no demuestren tal conducta.
El comportamiento seguro est fuertemente influenciado por la
concientizacin.

2.1.2.3.
Implementacin de COBIT 4.0 en Scotiabank, Costa Rica
Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los
cinco grandes bancos de Canad. Ha existido por ms de 178 aos y
tiene presencia en ms de 50 pases incluyendo Per.
En BNS se dio inicio con el proyecto de implementacin de COBIT 4.0
con una encuesta internacional dirigida a los encargados de las
direcciones de TI en BNS, para conocer si alguno de ellos aplica una
normativa que implique la obligatoriedad de contar con procesos basados
en el marco de referencia de COBIT en cualquiera de sus versiones; no
encontrando ninguna otra sucursal que posea regulaciones semejantes
a la costarricense, tales como el acuerdo SUGEF 14-091 aprobado por el
Consejo Nacional de Supervisin del Sistema Financiero de Costa Rica
(SUGEF), la cual aprob el reglamento sobre la gestin de la TI,
aplicable para todas las entidades bancarias y financieras del pas, a
partir de 2009, estableciendo la obligatoriedad de implementar los 34
procesos de COBIT y alcanzar el tercer nivel de madurez en los prximos
tres aos.
Uno de los factores crticos del xito en la implementacin de un buen
gobierno de TI, fue utilizar la actual estructura organizacional; para que
planifique, organice, dirija, coordine, monitoree y tome las decisiones
adecuadas y oportunas para aprovechar las ventajas, beneficios y
oportunidades que se derivan de su utilizacin. Esto permiti que la
unidad de cumplimiento se convirtiera en el nico canal autorizado para
recibir y entregar requerimientos de parte de los auditores ya fueran
internos o externos. La junta directiva tiene responsabilidad total para el
buen gobierno de TI, sin embargo se delegan funciones a las distintas
unidades del banco; cuyo control, evaluacin y rendimiento de cuentas
sigue el esquema de autoridad y responsabilidad que mantiene vigente
el banco.
BNS dise un plan de ruta (plan diseado para lograr cumplir en el
menor tiempo posible los objetivos de control de COBIT) para la
priorizacin de las medidas a seguir para cumplir con xito el
requerimiento. Este plan contempl en primer trmino, el involucramiento
del comit de TI con la participacin activa de la alta gerencia y los
principales ejecutivos del banco.
En un segundo plano se verific la adecuada implementacin de los
controles utilizando los documentos existentes y realizar la tarea de
acondicionarlos, referenciarlos y realizar las homologaciones necesarias,
para cumplir tanto con los controles detallados como con los
requerimientos de los niveles de madurez de COBIT requeridos por el
SUGEF, para cada uno de los procesos. Se asignaron dos funcionarios
dedicados de tiempo completo al proyecto, para asegurar la continuidad
y el seguimiento del plan de ruta.

Estrategia de Implementacin
La estrategia de implementacin defini con claridad los objetivos
generales y especficos, que permitieran al equipo de TI alcanzar los
mismos de manera efectiva, eficiente y econmica, as como garantizar
la disponibilidad de los recursos requeridos de acuerdo a las tareas
programadas, la asignacin de personal comprometido y capaz de
ejecutar con excelencia las labores encomendadas y el seguimiento
activo permanente del avance del proyecto por parte del comit de TI.
Como parte del proceso se realizaron capacitacin en COBIT para el
personal participante de la implementacin como se recomienda
habitualmente.
Resultados Obtenidos
Entre los beneficios que BNS ha recibido al utilizar el marco conceptual
de COBIT 4.0 se encuentran los siguientes:

Fortalecimiento del alineamiento entre las estrategias de negocio y


de TI, por medio de la coherencia entre dominios y procesos de
COBIT.
Creacin de procesos definidos con estructuras internacionalmente
aceptadas, auditables, medibles y que integren las mejores
prcticas de la industria bancaria.
Identificacin de los controles claves que deben ser reforzados e
implementados para asegurar un adecuado control interno para TI.
Procesos mejorados y ms confiables que fortalecen la aplicacin
de las prcticas relacionadas con la gestin de los cinco elementos
de control que constituyen el buen gobierno de TI.

La estrategia planteada con anticipacin, el seguimiento y toma de


decisiones oportunas y acertadas para retomar el rumbo han rendido los
resultados esperados, que si bien apenas comienzan a emerger,
seguramente generarn un banco ms competitivo, gil, con procesos
fortalecidos, con mayor enfoque de negocio y con una buena cultura
tecnolgica.

2.1.2.4.

COBIT: Caso de EstudioBanco Supervielle S.A.,


Argentina
El Banco Supervielle es uno de los principales Bancos privados de la
Repblica Argentina cuyos orgenes se remontan a 1887 y actualmente
se concentra principalmente en la provisin de servicios bancarios y
financieros a individuos y pequeas y medianas empresas. En| los
ltimos aos la Alta Direccin del Banco comenz a trabajar en un plan
con el objetivo de mejorar la alineacin de la TI al negocio, su entrega de
valor, y a la vez administrar los riesgos y los recursos de manera ms
eficaz y eficiente.
En el ao 2009 el Banco lanzo un proyecto de Gobierno de TI, liderada
por la Gerencia Coordinadora de TI y auspiciada por Gerencia General
del Banco. Los desafos que tena el proyecto era los de mejorar la
alineacin estratgica al negocio, tratar de generar un lenguaje que el
negocio pueda interpretar y que las reas de TI tambin lo puedan
manejar, mejorar y entender el cumplimiento del control interno de la TI
como as tambin concientizar en la responsabilidad que cumple cada rol
dentro de los procesos de TI y el desafo del cumplimiento normativo y
regulatorio que los diferentes entes de control regulan en la actividad
financiera. En consecuencia con la justificacin previa, COBIT era el
mejor marco de referencia para tener de gua para el cumplimiento del
proyecto.
Dado que se contaba con otras normativas, como tarea inicial se realiz
una medicin de nivel de madurez de los procesos actuales. Basados en
COBIT, mejores prcticas (ITIL, ISO, IRAM, etc.) y normativas locales.
Para dicho trabajo se utilizaron formularios y se plasmaron en un
resultado resumen para un mejor entendimiento. Luego la alta gerencia y
el directorio discuti el nivel de madurez deseado y los tiempos estimados
para lograr dicho nivel, estipulando metas a corto, mediano y largo plazo.
A continuacin se listan algunos planes en los que se utiliza a COBIT
como herramienta de gobierno:

Capacitacin.
Redefinicin de los procesos internos de TI, basados en los dominios
de COBIT
Redefinicin de Roles, Responsabilidades y nuevas funciones.
Tablero de Control medir el cumplimiento de los principales
actividades de control de los dominios.
Anlisis de Riesgos.

COBIT como marco de referencia, permitieron al Banco Supervielle,


trazar un camino para alcanzar el nivel de madurez fijado como meta
tanto en tiempo como en calidad. Un nmero importante de iniciativas se
encuentran bajo ejecucin y muchas de ellas como las relacionadas a
mejorar la continuidad del negocio han mejorado su nivel de madurez
demostrando que COBIT es un marco de referencia efectivo a corto
plazo.

2.2.

Marco terico
2.2.1. Modelos, estndares y marcos de referencia
2.2.1.1.
COBIT
Objetivos de Control para Informacin y Tecnologas Relacionadas,
conocido como COBIT (por sus siglas en ingls Control Objectives for
Information and related Technology), es una gua de mejores prcticas,
dirigida al control y supervisin de tecnologa de la informacin (TI) a
travs de una serie de recursos que pueden servir de modelo de
referencia para el gobierno y la gestin de TI, incluyendo un framework,
objetivos de control, mapas de auditora, herramientas para su
implementacin y principalmente, guas de tcnicas de gestin y temas
de riesgos, cumplimiento, aseguramiento, gobierno de TI, etc.
Dicho de otra forma, ayuda a las organizaciones a crear un valor ptimo
a partir de las TI, al mantener un equilibrio entre la realizacin de
beneficios y la optimizacin de los niveles de riesgo y utilizacin de los
recursos. Permitiendo que las tecnologas de la informacin y tecnologas
relacionadas se gobiernen y administren como un conjunto (enfoque
holstico) a nivel de toda la organizacin, incluyendo el alcance completo
de todas las reas funcionales con roles y responsabilidades definidos.
Este enfoque holstico logra unir el gobierno de TI y la gestin del riesgo
con el gobierno del negocio. En consecuencia, COBIT delinea de mejor
manera el involucramiento de los interesados del negocio y las
responsabilidades en la utilizacin de TI. Diseado para hacer ms fcil
la incorporacin en el negocio de las actividades de TI para un desarrollo
en conjunto de mejores prcticas que reflejan la naturaleza de la totalidad
de la empresa en el uso de TI.
COBIT se preocupa porque las organizaciones puedan satisfacer las
necesidades de las partes interesadas. En un sistema de gobierno se
trata de negociar y decidir entre los diversos intereses de beneficio de las
diferentes partes interesadas. Se deben considerar a todas las partes
interesadas al tomar decisiones con respecto a la evaluacin de riesgos,
los beneficios y el manejo de recursos. En consecuencia, sus
necesidades deben ser transformadas en una estrategia accionable para
la organizacin.
COBIT 5
ISACA (Information Systems Audit and Control Association) combina los
tres procesos de sus marcos de referencia (COBIT, ValIT, RiskIT) en la
ltima versin de este framework, denominado COBIT 5, aadindose a
ste un nuevo enfoque orientado a la seguridad de la informacin.
Mediante esta fusin, se ha construido eficazmente un marco de
referencia para ayudar a las personas a entender los procesos de
negocios de arriba hacia abajo de modo que puedan gobernar su
negocio, gracias a una TI efectiva.

A pesar del enfoque de un trabajo en conjunto, COBIT 5 separa el


gobierno y la gestin, reconocindolas como fases diferentes. La fase de
gobierno involucra un modelo evaluado de monitoreo. Y en el nivel ms
bajo hay un marco de referencia de gestin para que se puedan
instrumentar los procesos de administracin que son lgicos y prcticos.
COBIT 5 est alineado con los ltimos marcos y normas relevantes
usados por las organizaciones. A nivel corporativo con COSO, COSO
ERM, ISO/IEC 9000, ISO/IEC 31000; mientras que en relacin con las TI
y seguridad de la informacin, ISO/IEC 38500, ITIL, TOGAF,
PMBOK/PRINCE2, CMMI, la serie ISO/IEC 27000, el Estndar de
Buenas Prcticas para Seguridad de la Informacin de ISF y el SP80053A del U.S. National Institute of Standards and Technology (NIST).
COBIT 5 para la Seguridad de la Informacin
COBIT 5 define a la seguridad de la informacin como un catalizador de
negocio que est intrnsecamente unido a la confianza de las partes
interesadas, ya sea tratando los riesgos de negocio o creando valor para
la empresa como una ventaja competitiva.
Esta ltima versin de COBIT, incluye una gua prctica para la seguridad
de la informacin basada en el marco de COBIT 5, tomando como base
el BMIS (Business Model for Information Security) de ISACA. Este modelo
presenta un enfoque integral y orientado al negocio para la gestin de la
seguridad de la informacin, establece un lenguaje comn para referirse
a la proteccin de la informacin, propone una visin de inversin en
seguridad de la informacin diferente y explica en forma detallada el
modelo de negocio para gestionar la seguridad de la informacin,
invitando a utilizar una perspectiva sistmica.

El BMIS consiste en 4 elementos: Diseo y estrategia de la organizacin,


personas, procesos y tecnologa. Estos elementos estn relacionados por
6 interconexiones dinmicas: gobierno, cultura, habilitacin y soporte,
aparicin, factores humanos y arquitectura. Todos los aspectos del
modelo interactan entre s. Si cualquier parte del modelo se cambia, no
se aborda o es manejada inadecuadamente, el modelo estar
potencialmente en riesgo. Las interconexiones dinmicas actan como
tensiones, ejerciendo una fuerza de jala y empuja en reaccin a cambios
en la empresa, permitiendo al modelo adaptarse segn sea necesario.
El modelo beneficia a las partes interesadas mediante la reduccin de
costos, mejora del rendimiento, fomento de un mejor entendimiento de
los riesgos organizacionales, aumento de la colaboracin y reduccin de
la duplicidad de esfuerzos.
COBIT 5 para Seguridad de la informacin se enfoca en la seguridad de
la informacin y proporciona una gua ms detallada y prctica para los
profesionales de seguridad de la informacin y otras partes interesadas
a todos los niveles de la empresa.
As se permite a la organizacin utilizar COBIT 5 como integrador macro
en el marco de gobierno y administracin de la seguridad de la
informacin.
Principios
COBIT 5 con un enfoque a seguridad de la informacin, pero siempre
alineado al marco integral de este framework, se define en cinco
principios, expuestos en el siguiente diagrama:

Cascada de metas
Como se mencion antes, COBIT prioriza a la organizacin y las
necesidades de las partes interesadas, indicando que stas deben
transformarse en una estrategia corporativa factible. La cascada de
metas de COBIT 5 es el mecanismo para traducir dichas necesidades en
acciones para alcanzar los objetivos estratgicos.

Como cada empresa tiene objetivos diferentes, debe utilizar la cascada


de metas para personalizar COBIT 5 a su propio contexto. En la cascada
de metas, las necesidades de las partes interesadas (influenciadas por
diferentes motivos) se traducen y concretan en metas de empresa que
deben satisfacerse. Para cumplir con stas, se requiere alcanzar las
metas relacionadas con TI, y finalmente traducirse en metas para los
catalizadores.
La seguridad de la informacin es una necesidad importante para las
partes interesadas, y esto se traduce en metas relacionadas con
seguridad de la informacin para la empresa, para TI y finalmente para
los catalizadores que los soportan.
En ese sentido, se definen metas especficas de seguridad de la
informacin para procesos como apoyo a las necesidades de las partes
interesadas relacionadas con la seguridad de la informacin. De la misma
manera, se definen metas especficas para el resto de catalizadores
relacionados con la seguridad de la informacin.

Catalizadores
Un gobierno y gestin de seguridad de la informacin de la empresa,
efectivos y eficientes, requiere de un enfoque holstico que tenga en
cuenta varios componentes que interactan. COBIT 5 define un conjunto
de catalizadores para apoyar la implementacin de un sistema de
gobierno y gestin global para seguridad de la informacin de la empresa,
presentando una estrategia holstica y sistmica hacia la seguridad de la
informacin. Los catalizadores se dirigen por la cascada de metas, es
decir, las metas de alto nivel de las TI definen lo que los diferentes
catalizadores deberan lograr.
Las 7 categoras de catalizadores que define COBIT 5 se muestran en la
siguiente figura:

Modelo de procesos
Los diferentes roles del gobierno y gestin de la seguridad de la
informacin se hacen visibles mediante el modelo de procesos de COBIT
5, que incluye procesos de gestin y procesos de gobierno agrupados en
dominios, cada uno con sus propias responsabilidades. Los que estn
representados en la siguiente figura:

Ciclo de mejora continua


La implementacin del ciclo de vida proporciona a las empresas una
manera de solucionar la complejidad y los desafos que normalmente
aparecen durante las implementaciones usando COBIT para contemplar
la seguridad de la informacin.
Existen tres componentes interrelacionados en el ciclo de vida: el ncleo
del ciclo de vida de la mejora continua, la facilitacin del cambio
(contemplando los aspectos culturales y de comportamiento de la
implementacin o mejora), y la gestin del programa.
Durante la implementacin, las iniciativas son presentadas como ciclos
de vida continuos enfatizando el hecho de que no son actividades
excepcionales, sino que forman parte del proceso de implementacin y
mejora que se convertirn en habituales, momento en el cual el
programa puede ser retirado.

La implementacin y el programa de mejora son normalmente continuos


e iterativos (se identifican 7 fases). Durante la ltima fase, los nuevos
objetivos y requerimientos sern identificados y se iniciar un nuevo ciclo
de vida.

En resumen, COBIT 5 ayuda a asegurar el alineamiento estratgico y


dirige lo que se debe hacer, con el apoyo de la cascada de objetivos de
la organizacin a objetivos de TI relativos a seguridad de la informacin
y a los procesos de seguridad, de la siguiente manera:
-

Objetivos corporativos
- Objetivos relacionados con TI
- Requisitos de gobierno y gestin
- Procesos de seguridad de la informacin crticos
- Prcticas y actividades priorizadas de gobierno y gestin

Modelo de capacidad de procesos


El modelo de capacidad de procesos, basado en la norma ISO/IEC 15504
de Ingeniera de Software Evaluacin de Procesos. Este modelo
alcanza los mismos objetivos generales de evaluacin de procesos y
apoyo a la mejora de procesos, es decir, que proporcionar un medio
para medir el desempeo de cualquiera de los procesos de gobierno o de
gestin y permitir identificar reas de mejora.

Cabe resaltar que este enfoque proporciona informacin del estado de


los procesos catalizadores, que es uno de los siete catalizadores
definidos por COBIT 5; los dems tambin necesitan ser evaluados
adecuadamente.
El enfoque de capacidad de procesos se puede resumir en la siguiente
figura:

Enfoque de evaluacin de la capacidad


Este enfoque es una extensin del modelo de capacidad de procesos y
est incluido en la publicacin COBIT 5 Modelo de evaluacin de proceso
(PAM).
El PAM es un modelo bidimensional de capacidad de proceso (mostrado
en la siguiente figura). En una dimensin (dimensin del proceso) los
procesos son definidos y clasificados en categoras de procesos. En la
otra dimensin (dimensin de la capacidad), se define un conjunto de
atributos de proceso agrupados en niveles de capacidad.

La dimensin de proceso toma en cuenta el modelo de referencia de


procesos de COBIT, compuesto por los 37 procesos catalizadores ya
mencionados.
La dimensin de capacidad provee las medidas de la capacidad de
proceso, expresada en trminos de atributos de proceso agrupados en
niveles de capacidad, como se muestra en la siguiente figura:

Existen seis niveles de capacidad que un proceso puede alcanzar,


incluida la designacin de proceso incompleto si las prcticas definidas
en el proceso no alcanzan la finalidad prevista:

0 Proceso incompleto El proceso no est implementado o no


alcanza su propsito. A este nivel, hay muy poca o ninguna evidencia
de ningn logro sistemtico del propsito del proceso.
1 Proceso ejecutado (un atributo) El proceso implementado
alcanza su propsito.
2 Proceso gestionado (dos atributos) El proceso ejecutado descrito
anteriormente est ya implementado de forma gestionada
(planificado, supervisado y ajustado) y los resultados de su ejecucin
estn establecidos, controlados y mantenidos apropiadamente.
3 Proceso establecido (dos atributos) El proceso gestionado
descrito anteriormente est ahora implementado usando un proceso
definido que es capaz de alcanzar sus resultados de proceso.
4 Proceso predecible (dos atributos) El proceso establecido
descrito anteriormente ahora se ejecuta dentro de lmites definidos
para alcanzar sus resultados de proceso.
5 Proceso optimizado (dos atributos) El proceso predecible descrito
anteriormente es mejorado de forma continua para cumplir con los
metas empresariales presentes y futuros.

Un proceso catalizador est en condiciones de lograr un nuevo nivel de


capacidad slo cuando el nivel inferior se ha alcanzado por completo.
Existe una diferencia significativa entre el nivel 1 de capacidad de
procesos y los niveles superiores. Alcanzar el nivel 1 requiere que el
atributo de rendimiento sea alcanzado ampliamente, lo que significa que
el proceso se ejecuta con xito y la organizacin obtiene los resultados
esperados. Es entonces cuando los niveles de capacidad superiores
aaden diferentes atributos al proceso. En este esquema de evaluacin,
alcanzar un nivel 1 de capacidad, incluso en una escala de 5, es ya un
logro importante para la organizacin. Ha de tenerse en cuenta que
(basndose en motivos de viabilidad y coste-beneficio) cada empresa de
forma individual deber elegir su objetivo o nivel deseado, que raramente
ser uno de los ms altos.
Cada atributo de proceso es tasado usando una escala estndar definida
en la ISO/IEC 15504. Los ratios de esta escala se muestran en la
siguiente figura:

El enfoque de la evaluacin facilita los siguientes objetivos que han sido


claves para el enfoque COBIT desde el 2000 para:

Habilitar al rgano de gobierno y de gestin para establecer un punto


de referencia para la evaluacin de la capacidad.
Habilitar chequeos sobre el estado en que se encuentran (as-is) y
el estado objetivo (to-be) de alto nivel para asistir al rgano de
gobierno y a la gestin de la empresa en la toma de decisiones de
inversiones relativas a la mejora de procesos.
Proporcionar anlisis de carencias e informacin sobre la
planificacin de mejoras para apoyar la definicin de proyectos de
mejora justificables.
Proporcionar al rgano de gobierno y de gestin de la empresa con
ratios de evaluacin para medir y monitorizar la capacidad actual.

2.2.1.2.
Normas ISO/IEC 27000
Publicada el 1 de Mayo de 2009, revisada con una segunda edicin de
01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de 2014.
Esta norma proporciona una visin general de las normas que componen
la serie 27000, indicando para cada una de ellas su alcance de actuacin
y el propsito de su publicacin. Recoge todas las definiciones para la
serie de normas 27000 y aporta las bases de por qu es importante la
implantacin de un Sistema de Gestin de Seguridad de la Informacin
(SGSI), una introduccin a los SGSI, una breve descripcin de los pasos
para el establecimiento, monitorizacin, mantenimiento y mejora de un
SGSI (la ltima edicin no aborda ya el ciclo Plan-Do-Check-Act para
evitar convertirlo en el nico marco de referencia para la mejora continua).
Alcance de la estructura del estndar
Como los riesgos de seguridad de la informacin y la efectividad de los
controles cambian en funcin de las circunstancias cambiantes, las
organizaciones necesitan:

Monitorear y evaluar la efectividad de los controles y procedimientos


implementados.
Identificar riesgos emergentes a ser tratados.
Seleccionar, implementar y mejorar controles apropiados, segn sea
necesario.

Para interrelacionar y coordinar dichas actividades de seguridad de la


informacin, cada organizacin necesita establecer su poltica y objetivos
de seguridad de la informacin y lograr efectivamente los objetivos
mediante el uso de un sistema de gestin.
Principios
Esta norma define los siguientes principios para contribuir a la exitosa
implementacin de un SGSI:
Conciencia de la necesidad de seguridad de la informacin.
Asignacin de la responsabilidad de seguridad de la informacin.
Incorporar el compromiso de la administracin y los intereses de las
partes interesadas.
Mejora de los valores sociales.
Evaluaciones de riesgo que determinan los controles adecuados
para llegar a los niveles aceptables de riesgo.
Seguridad incorporada como un elemento esencial de las redes y
sistemas de informacin.
Prevencin y deteccin de incidentes de seguridad de la informacin.
Asegurar un enfoque integral de la gestin de la seguridad de la
informacin.
Reevaluacin continua de la seguridad de la informacin y las
modificaciones apropiadas.

Fases de un sistema de gestin de seguridad de la informacin


En un Sistema de Gestin de Seguridad de la informacin, se deben
considerar las siguientes fases: establecer, monitorear, mantener y
mejorar; y las organizaciones deben emprender, adems, los siguientes
pasos dentro de cada una de estas fases:
a) Identificar los activos de informacin y sus requerimientos de
seguridad de la informacin asociados.
b) Evaluar y tratar los riesgos de seguridad de la informacin.
c) Seleccionar y aplicar los controles pertinentes para gestionar los
riesgos inaceptables.
d) Monitorear, mantener y mejorar la efectividad de los controles
asociados a los activos de informacin de la organizacin.
Para garantizar que el SGSI est protegiendo eficientemente los activos
de la organizacin de manera continua, es necesario que estos pasos se
repitan continuamente para identificar cambios en los riesgos o en las
estrategias de la organizacin o en los objetivos del negocio.
Mejora continua del SGSI
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad
de alcanzar los objetivos relacionados a la preservacin de la
confidencialidad, integridad y disponibilidad de la informacin. El enfoque
de mejora continua es buscar oportunidades de mejora y no suponer que
las actividades de gestin existentes son lo suficientemente buenas o tan
buenas como sea posible.

2.2.1.3.
Normas ISO/IEC 27001
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de
2013. Es la norma principal de la serie y contiene los requerimientos del
sistema de gestin de seguridad de la informacin.
Este estndar provee los requerimientos para establecer, implementar,
mantener y mejorar continuamente un Sistema de Gestin de Seguridad
de la Informacin (SGSI) dentro del contexto de la organizacin.
Considera la adopcin de un SGSI como una decisin estratgica. Seala
que el establecimiento e implementacin del Sistema de Gestin de
Seguridad de la Informacin en la organizacin est determinado por sus
necesidades y objetivos, requerimientos de seguridad, procesos
organizacionales, y el tamao y estructura de la empresa.
Asimismo, incluye requerimientos para la evaluacin y tratamiento de los
riesgos de seguridad de la informacin, ajustados a las necesidades de
la organizacin.
Estructura de la norma
A continuacin, se muestra la estructura de esta norma:
Contexto de la organizacin

Entender la organizacin y su contexto


Entender las necesidades y expectativas de las partes interesadas
Determinar el alcance del sistema de gestin de seguridad de la
informacin
Sistema de gestin de seguridad de la informacin

Liderazgo

Liderazgo y compromiso
Poltica
Roles, responsabilidades y autoridades de la organizacin

Planificacin

Acciones para orientar los riesgos y las oportunidades


Objetivos de seguridad de la informacin y la planificacin para
alcanzarlos

Apoyo

Recursos
Competencias
Conciencia
Comunicacin
Informacin documentada

Operacin

Planificacin y control operacional


Evaluacin de riesgos de seguridad de la informacin
Tratamiento de riesgos de seguridad de la informacin

Evaluacin de rendimiento

Monitoreo, medicin, anlisis y evaluacin


Auditora interna
Revisin de la direccin

Mejora

Inconformidad y acciones correctivas


Mejora continua

2.2.1.4.
Normas ISO/IEC 27002
La ltima revisin fue publicada en octubre del 2013, lleva el ttulo de
Information technology - Security techniques - Code of practice for
information security management, la cual fiel a su ttulo describe un cdigo
de buenas prcticas para la gestin de la informacin y los controles
recomendables relacionados con la seguridad.
Estructura de la norma
Esta norma contiene 14 dominios, 35 objetivos de control, y 114
controles. La norma ISO/IEC 27001:2013 contiene un anexo que resume
los controles de la ISO/IEC 27002:2013 y cabe declarar que esta norma
no es certificable. [ISO 27002] Cada dominio contiene un nmero de
objetivos de seguridad principales. Los catorce dominios (acompaadas
por el nmero de objetivos de seguridad principales incluidas dentro de
cada dominio) son:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)

Poltica de seguridad (1).


Aspectos organizacionales de la seguridad de la informacin (2).
Seguridad ligada a los recursos humanos (3).
Gestin de Activos (3).
Control de Accesos (4).
Cifrado (1).
Seguridad Fsica y Ambiental (2).
Seguridad Operativa (7).
Seguridad en telecomunicaciones (2).
Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin (3).
k) Relaciones con suministradores (2).
l) Gestin de incidentes en la seguridad de la informacin (1).
m) Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio (2).
n) Cumplimiento (2).

Esta norma puede servir como una gua prctica para desarrollar
estndares organizacionales de seguridad y prcticas efectivas de la
gestin de seguridad. De igual manera, permite proporcionar confianza
en las relaciones entre organizaciones como parte de su visin
corporativa. Las recomendaciones que se establecen en esta norma se
deben elegir cuidadosamente y utilizarse de acuerdo con la legislacin
aplicable en la materia contemplando las necesidades de cada
organizacin de manera que sean viables desde todo punto de vista.

2.2.1.5.
Normas ISO/IEC 27003
Esta norma contiene una gua para el diseo e implementacin exitoso
de un Sistema de Gestin de Seguridad de la Informacin de acuerdo con
la norma ISO/IEC 27001. En esta norma se describe el proceso de
especificacin y diseo del SGSI desde el inicio hasta la elaboracin de
planes de implementacin, describe el proceso de obtener la aprobacin
de la gestin para implementar un SGSI, define un proyecto para
implementar un SGSI, y proporciona orientacin sobre como planificar el
proyecto de SGSI lo que resulta en un plan de ejecucin final del
proyecto.
Esta norma tambin propone recomendaciones y aclaraciones, no
especifica ningn requerimiento lo cual ayuda a seleccionar y a elegir. En
cuanto a su estructura presenta las siguientes clausulas:
a)
b)
c)
d)
e)

Obtencin de la aprobacin de la alta gerencia para iniciar el SGSI.


Definir el alcance y la poltica para el SGSI.
Conduccin del anlisis de la organizacin.
Conduccin de la valorizacin y el plan de tratamiento de riesgos.
Disear el SGSI.

2.2.2. Marco legal y regulatorio


2.2.2.1.
Circular N G-140-2009
La presente Circular tiene como objeto obligar a las entidades financieras
reguladas por la Superintendencia de Banca y Seguros a establecer,
criterios mnimos para una adecuada gestin de seguridad de la
informacin tomando como referencia estndares internacionales como
el ISO 17799 e ISO 27001.
Esta circular obliga a establecer, mantener y documentar un Sistema de
Gestin de Seguridad de la Informacin (SGSI) y de igual manera contar
con una estructura organizacional que permita implementar y mantener
un SGSI, estas obligaciones son expresadas en el artculo 3 y 4
respectivamente. Como parte del SGSI se deben considerar, como
mnimo, la implementacin de los siguientes controles, especificados en
el artculo 5:

Seguridad lgica
Seguridad de personal
Seguridad fsica y ambiental
Inventario de activos y clasificacin de la informacin
Administracin de las operaciones y comunicaciones
Adquisicin, desarrollo y mantenimiento de sistemas informticos
Procedimientos de respaldo
Gestin de incidentes de seguridad de informacin.
Cumplimiento normativo
Privacidad de la informacin

En el contenido de la presente circular considera otros aspectos de


seguridad de la informacin en sus artculos finales tales como Seguridad
en operaciones de transferencia de fondos por canales electrnicos,
subcontratacin y subcontratacin significativa de procesamiento de
datos en el exterior.

You might also like