IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA … · the COBIT 5 governance framework has proven to...

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”

IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA PERSPECTIVA DE

COBIT 5

IMPLEMENTATION OF THE FRAMEWORK FOR CYBERSECURITY NIST CSF FROM PERSPECTIVE OF COBIT 5

Yosvany Castaño Gil1

1 Grupo de Administración Empresarial S.A. (GAE), Cuba, [email protected], Avenida del Puerto 4to piso e/ Jústiz

y Obrapía, Habana Vieja, La Habana. CP 10100

RESUMEN: El auge de la sociedad de la información y el aumento de los niveles de conectividad, han llevado a las organizaciones a mejores mercados económicos para la sostenibilidad. Pero a la par de estos desarrollos, el cibercrimen está creciendo rápidamente, lo que hace que sea vital adoptar y mantener un sólido perfil de ci-berseguridad. Debido a esto, las organizaciones necesitan un enfoque pragmático para implementar la efectivi-dad de las contramedidas de seguridad que les permita ajustar sus estrategias y decidir sobre las inversiones, lo cual significa que la ciberseguridad se convierte en un desafío moderno para la gobernanza. Para ayudar a las organizaciones a abordar y evaluar los aspectos relacionados con la ciberseguridad, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha desarrollado un marco de trabajo para la cibersegu-ridad (NIST CSF) con un conjunto de buenas prácticas. Aun así, cada empresa es diferente, creando desafíos únicos para su implementación. En tal sentido, el marco de gobierno de COBIT 5 ha demostrado ser extrema-damente valioso. Este trabajo describe los pasos para llevar su programa de ciberseguridad NIST CSF bajo una estructura COBIT 5, estableciendo las similitudes de principios, procesos y niveles de madurez con respecto al NIST CSF, lo que hace que el acoplamiento de estos marcos en un enfoque de gobernanza coherente sea una buena decisión.

Palabras Clave: Ciberseguridad, Gobernanza, NIST CSF, COBIT 5.

ABSTRACT: The rise of the information society and the increase in levels of connectivity have led organizations to better economic markets for sustainability. But along with these developments, cybercrime is growing rapidly, which makes it vital to adopt and maintain a strong cybersecurity profile. Because of this, organizations need a pragmatic approach to implement the effectiveness of security countermeasures that allow them to adjust their strategies and decide on investments, which means that cybersecurity becomes a modern challenge for govern-ance. To help organizations to address and evaluate aspects related to cybersecurity, the National Institute of Standards and Technology (NIST) has developed a framework for cybersecurity (NIST CSF) with a set of good practices. Even so, each company is different, creating unique challenges for its implementation. In this regard, the COBIT 5 governance framework has proven to be extremely valuable. This paper describes the steps to take your NIST CSF cybersecurity program under a COBIT 5 structure, establishing the similarities of principles, pro-cesses and maturity levels with respect to the NIST CSF, which makes the coupling of these frameworks into a coherent governance is a good decision.

Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA PERS-PECTIVA DE COBIT 5

”


”

KeyWords: Cybersecurity, Governance, NIST CSF, COBIT 5.

1. INTRODUCCIÓN

La vida moderna depende cada vez más de una multitud de infraestructuras interconectadas e interdependientes. Si bien sectores como el indus-trial, el hidráulico, el de la salud, el del transporte y otros, siempre se han considerado críticos por la infraestructura que los soporta, cada vez más su capacidad de producción y entrega está más comprometida con las Tecnologías de la Informa-ción y las Comunicaciones (TIC) que se han con-vertido en componentes esenciales de la vida cotidiana [1].

La evolución rápida de las TIC ha provocado la búsqueda de mejores soluciones y productos para el mundo digital. El avance tecnológico y una ma-yor conectividad han llevado a las organizaciones a mejores mercados económicos para la sosteni-bilidad. Aparejado al desarrollo tecnológico y el aumento de los niveles de conectividad, el ciber-crimen también está creciendo rápidamente [2].

En consecuencia, las empresas necesitan un en-foque pragmático para monitorear la efectividad de las contramedidas de seguridad que le permi-tan ajustar su estrategia y decidir sobre sus planes de inversiones [6]. De esta manera adoptarían un esquema de gobernabilidad basado en informes o medidas que evalúen la adecuación de la seguri-dad de la información y el retorno de la inversión, de manera tal que se cumplan los objetivos de la organización [6].

El tema de la gobernanza de la ciberseguridad ha evolucionado y ha alcanzado un mayor grado de importancia a medida que las organizaciones au-mentan su eficiencia operativa a través de la tec-nología de la información. Como resultado, las organizaciones deben comprender la profundidad y la amplitud de la investigación sobre el tema de la gobernanza de la seguridad de la información para elegir la mejor metodología para su imple-mentación. Con ello las organizaciones pueden planificar mejor y actuar para obtener ventajas competitivas, evitando penalidades o pérdidas legislativas o la confianza de los accionistas [7].

La ciberseguridad es un desafío moderno para la gobernanza [8]. En la misma medida que los sec-tores público y privado continúen entregando bie-nes a través de medios digitales, el dominio del ciberespacio continuará expandiéndose y será más relevante para el campo de la gobernanza. Este nuevo dominio plantea amenazas a la gober-nanza en forma de guerra cibernética, terrorismo cibernético, ciberespionaje y cibercrimen, y crea nuevas vulnerabilidades como las Infraestructuras

críticas y el Big Data [4].

No prepararse para estas amenazas podría expo-ner a las empresas a la pérdida de ingresos, pér-dida de reputación, operaciones interrumpidas y medidas reguladoras [9]. Para mejorar sus postu-ras de ciberseguridad, se podrían considerar dife-rentes marcos de ciberseguridad, estándares y mejores prácticas. Algunos de estos son el Marco de Ciberseguridad del Instituto Nacional de Están-dares y Tecnología (NIST CSF) [10], [11], la Orga-nización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), ISO / IEC 27001: 2013 [12] y COBIT 5 [13] entre otros.

El presente trabajo describe los pasos para la adopción del marco de ciberseguridad NIST CSF en una organización bajo una estructura COBIT 5, guiado a través de sus principios y las fases del ciclo de vida para la implementación de un marco de gobierno para las TIC.

2. CONTENIDO

2.1 Materiales y Métodos

En la realización de la investigación se utilizaron los siguientes métodos científicos:

Histórico lógico y el dialéctico: para el estudio crítico de trabajos anteriores. También para com-probar la evolución del fenómeno investigado y el comportamiento de este en una secuencia tempo-ral.

Hipotético-deductivo: permite a través de los conocimientos generales abarcados, definir criterios específicos, conceptos del fenómeno investigado y factores de alta influencia en las etapas de la investigación, además de relacionar elementos de conceptos relevantes para lograr el objetivo propuesto en la investigación.

Analítico-sintético: utilizado al descomponer el problema de investigación en elementos por separado y profundizar en el estudio de cada uno de ellos, para luego sintetizarlos en la solución de la propuesta.

Inducción-deducción: para definir criterios específicos a partir de los conocimientos generales, conceptos del fenómeno investigado y factores de alta influencia en las etapas de la investigación a partir del análisis de la bibliografía que se consulta.

Análisis documental: en la consulta de la literatura especializada, para extraer la información necesaria que responda a las características distintivas del problema.

Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA PERSPECTIVA DE COBIT 5

”


”

2.2 Gobernanza de la ciberseguridad

La gobernabilidad de TI (GTI) se ha convertido en elemento fundamental para responder a los reque-rimientos cada vez más exigentes de las TI y con-tribuir a mejorar la calidad de la toma de decisio-nes [14].

El gran problema del gobierno de TI es alinear los objetivos estratégicos de TI con los de la organi-zación y entregar valor [15]. El valor consiste en lograr beneficios comerciales mientras se optimi-zan los riesgos y los recursos. Los elementos en esta definición de "valor" pueden ser explicados de la siguiente manera:

La realización de beneficios. Significa la generación de nuevos beneficios para la empresa, el mantenimiento y ampliación de las formas existentes de beneficios y la eliminación de aquellas iniciativas y acti-vos que no están creando suficiente valor.

La optimización del riesgo. Significa que el apetito y la tolerancia al riesgo de la empresa son entendidos y gestionados de forma óptima.

La optimización de los recursos. Signi-fica que la empresa hace un uso efectivo, eficiente y responsable de todos los recur-sos disponibles: humanos, financieros, equipamiento, inmuebles, etc. [13]

A este desafío de proporcionar valor, se agregan términos como ciberseguridad, cibercrimen y ci-berguerra, los cuales han tomado relevancia en el mundo de la seguridad en general debido, en par-te, a la evolución tecnológica y, en mayor medida, al incremento en las violaciones de seguridad [17].

Aunque la ciberseguridad se ha pensado tradicio-nalmente como un problema tecnológico, el riesgo de ciberseguridad no puede ser dirigido sólo por soluciones técnicas, sino que requiere varios nive-les de esfuerzo que involucran:

Aplicación de la tecnología.

• Supervisión de la Gestión.

• Conciencia legal y regulatoria.

• Capacitación de los empleados.

• La adopción y aplicación de políticas y procedimientos que rijan el entorno de tecnología de la información [16].

En este sentido, la postura de una empresa debe encajar en una estructura integral más amplia del gobierno y la gestión de las TIC. Debe contener una estructura con programas adecuados de go-bernanza, riesgo y control (GRC) y respaldada por

una función de auditoría y aseguramiento comple-ta [17].

La gobernanza juega un papel extremadamente importante en el logro del objetivo de seguridad de la organización no solo para las necesidades ac-tuales, sino también para asegurar planes de miti-gación bien elaborados para los desafíos futuros. Para abordar los problemas actuales, el marco de gobernanza debe contemplar mejoras a las políti-cas de seguridad; la implementación de controles técnicos; auditorías y evaluaciones; e impulsar el conocimiento entre las personas para moldear su actitud hacia comportamientos seguros [18].

La ciberseguridad es un ecosistema; sus compo-nentes están interrelacionados y son inseparables. Requieren intervenciones cualitativas, subjetivas y de riesgo. La ciberseguridad, las TIC las amena-zas son demasiado complejas y volátiles para que las organizaciones gestionen todos los riesgos y vulnerabilidades de manera ágil y oportuna. Las empresas deben desconectarse de redes insegu-ras, encriptar su información más sensible y frenar su apetito por tecnología nueva y no segura [19].

La ciberseguridad es multidimensional y requiere de personal especializado. Las organizaciones necesitan escalar la ciberseguridad hacia una de las prioridades a nivel empresarial y no verla so-lamente subordinada a las TIC e involucrar a es-pecialistas en todos los niveles y fases del ciclo de vida del negocio [19].

2.2.1 Necesidad de un enfoque único y simple para la gobernanza de la ci-berseguridad

Reconociendo que la ciberseguridad no es un tema que sólo compete a las TIC, los directivos deben asegurarse de que en la empresa se desa-rrolle o implemente un marco de trabajo para la gobernanza y gestión de los riesgos y la seguri-dad. Existe una gran variedad de éstos, incluso, hay una gran disponibilidad de buenas prácticas para todo: gobernanza, riesgo, ciclos de desarro-llo, gestión de servicios y por supuesto para ciber-seguridad.

Las listas de estas buenas prácticas incluyen mar-cos de trabajo, cuerpos de conocimiento, estánda-res, metodologías, entre otras. Pueden ser encon-tradas tanto en el dominio público como propieta-rio. Pero el secreto para el éxito en la adopción de éstas buenas prácticas para la organización radica en no creer que un solo marco de trabajo puede gestionar todas las necesidades de la entidad, sino la combinación de todas las buenas prácticas posibles en un marco de trabajo para la gobernan-za que gobierne y gestione el uso de todos estos


”


”

marcos de trabajo de forma integral [17].

Desde una perspectiva de ciberseguridad, la lista de buenas prácticas está creciendo rápidamente y todas ellas presentan proposiciones significativas de valor para las organizaciones si son implemen-tadas de forma correcta. Una solución viable para la ciberseguridad es adoptar un marco de trabajo que gestione marcos de trabajo. Esto se puede llevar a cabo con la intersección del marco de trabajo para la ciberseguridad del NIST (NIST CSF) [10; 11] y COBIT 5 [13] como un marco de trabajo integrador [17].

memorias y los diplomas que otorga la Conven-ción.

2.2.2 La estructura del NIST CSF

El Instituto Nacional de Estándares y Tecnología (NIST) ha confeccionado marco de trabajo para proporcionar orientación a las organizaciones den-tro del sector de las infraestructuras críticas para reducir el riesgo asociado con la ciberseguridad.

El marco se llama NIST Cyber Security Frame-work for Critical Infrastructure (NIST CSF). Ac-tualmente cuenta con dos versiones, una lanzada en el 2014 [10] y otra más reciente lanzada en el 2017 [11]. La implementación del NIST CSF nece-sita alinearse y complementarse con otros marcos existentes. El NIST afirma que el CSF no es un marco de madurez. Por lo tanto, es necesario adoptar un modelo de madurez existente o crear uno para tener una forma común de medir el pro-greso de la implementación del CSF [20].

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, direc-trices y prácticas existentes para que las organi-zaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organiza-ción" [10].

A pesar que el marco de trabajo fue desarrollado teniendo en mente la protección de la infraestruc-tura crítica de Estados Unidos, su implementación es asumible de forma indistinta en cualquier orga-nización independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad. Es importante tener presente que el marco de trabajo no es un documento estático, sino que cada organización puede determinar – con base en sus necesidades – las actividades que conside-ra prioritarias, permitiendo de esa forma un des-pliegue personalizado y paulatino.

Debido a que la base del marco de trabajo está fundamentada en la integración de los criterios de

diferentes estándares, directrices y mejores prác-ticas a nivel internacional, su implementación no está limitada únicamente a Estados Unidos. De hecho, su despliegue fuera de las fronteras de ese país agrega una nueva capa de cooperación e integración global en ciberseguridad, tema que no está restringido a un ámbito geográfico en particu-lar.

El CSF está basado y/o hace referencia a los si-guientes estándares, directrices y mejores prácti-cas:

COBIT 5 [13; 16; 21].

Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC).

ANSI/ISA-62443-2-1 (99.02.01)-2009 [22].

ANSI/ISA-62443-3-3 (99.03.03)-2013 [23].

ISO/IEC 27001:2013 [12].

NIST SP 800-53 Rev. 4 [24].

El marco de trabajo se encuentra compuesto de tres partes principales: El marco bási-co (Framework Core), los niveles de implemen-tación del marco (Framework Implementation Tiers) y los perfiles del marco (Framework Profi-les) [10; 11]. Ver Figura 1.

Figura. 1: Componentes del NIST CFS. Fuente: adaptado de [10; 11]

Marco básico (Framework Core)

Es un conjunto de actividades de ciberseguridad,


”


”

resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunica-ción de actividades de ciberseguridad y sus resul-tados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementa-ción/operación. Para ello, emplea cinco funciones fundamentales:

Identificar (Identify): Permite determinar los sis-temas, activos, datos y competencias de la orga-nización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.

Proteger (Protect): Permite desarrollar e imple-mentar las contramedidas y salvaguardas necesa-rias para limitar o contener el impacto de un even-to potencial de ciberseguridad.

Detectar (Detect): Permite desarrollar e imple-mentar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua.

Responder (Respond): Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.

Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el re-torno a la operación normal después de un inci-dente.

A su vez, cada una de estas funciones cuenta con categorías y sub-categorías con sus referencias informativas relacionadas (estándares, directrices y prácticas). Ver figura 2.

Responder

SubcategoríasReferencias

Informativas

Identificar

Proteger

Detectar

Recuperar

Funciones Categorías

Figura. 2: Estructura del marco básico del NIST CFS. Fuente: adaptado de [10; 11]

Niveles de implementación del marco (Frame-work Implementation Tiers)

Los niveles de implementación le permiten a la organización catalogarse en un umbral predefinido en función de las prácticas actuales de gestión de riesgo, el entorno de amenazas, los requerimien-tos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empre-sa. Ver figura 3.

Los rangos de los niveles de implementación son los siguientes:

Nivel 1 – Parcial (Partial): En este nivel las prác-ticas de gestión de riesgos de ciberseguridad no están formalizadas (ad-hoc) y actúan por lo gene-ral de forma reactiva. La priorización de activida-des no se encuentra alineada con los objetivos de riesgo organizacionales, el entorno de amenazas ni con los requerimientos de negocio. Se cuenta con una mínima participación externa en términos de colaboración y compartición de información.

Nivel 2 – Riesgos informados (Risk Infor-med): En este nivel las prácticas de gestión de riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una política global. Se cuenta con procedimientos y procesos definidos e implementados y con personal cualifi-


”


”

cado. La participación externa se realiza de ma-nera informal.

Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de riesgo son actualizadas regularmente como parte de la apli-cación de análisis en cambios en requerimientos de negocio, amenazas o tecnologías. Se ha esta-blecido un marco de colaboración formal con ter-ceros.

Nivel 4 - Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en lecciones aprendidas e indicadores predictivos derivados de actividades previas y actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de forma activa con terceros, compartiendo informa-ción de eventos de ciberseguridad.

Perfiles del marco (Framework Profiles)

Los perfiles se emplean para describir el estado actual (Current profile) y el estado objetivo (Target profile) de determinadas actividades de cibersegu-ridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberían ser ges-tionadas para cumplir con los objetivos de gestión de riesgos.

Para ello, se requiere la definición de un plan de acción que incluya una priorización de actividades dependiendo de las necesidades de negocio y procesos de gestión de riesgos de la organización. Este enfoque basado en el riesgo le permite a la organización estimar los recursos necesarios (por ejemplo, personal y financiación) para lograr las metas de ciberseguridad establecidas de una ma-nera rentable y priorizada.

Figura. 3: Niveles de implementación del NIST CFS. Fuente: adaptado de [10; 11]

De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo de ciber-seguridad quedaría como muestra la figura 4:


”


”

Perfil Objetivo

NIST CSF

Nivel 4: Adaptativo

Nivel 3: Repetible

Nivel 2: Riesgo

Informado

Nivel 1: Parcial Perfil Actual

Categorías

Marco Básico Niveles Perfiles

Recuperar

Referencias

Informaticas

Responder

SubcategoríasDetectar

Proteger

Funciones

Identificar

Plan de Acción

Figura. 4: Arquitectura del NIST CFS. Fuente: adaptado de [10; 11]

Implementación del NISTCSF

La implementación de un programa de cibersegu-ridad basado en CSF consta de los siguientes pasos iterativos:

Paso 1 – Priorización y definición de alcance.

Paso 2 – Orientación.

Paso 3 – Crear un perfil actual.

Paso 4 – Ejecutar un análisis de riesgos.

Paso 5 – Crear un perfil objetivo.

Paso 6 – Determinar, analizar y priorizar las brechas detectadas.

Paso 7 – Implementar el plan de acción.

Paso 8 – Revisión del plan de acción.

Paso 9 – Gestión del ciclo de vida. Ver figura 5.

Figura. 5: Pasos para la implementación de un programa de ciberseguridad basado en el NIST

CFS. Fuente: adaptado de [10; 11]

2.2.3 Adoptando un programa de ciber-seguridad usando COBIT 5

Independientemente del tipo de marco, la adop-ción puede ser típicamente logrado de una de dos maneras:

a. Adoptar el marco de trabajo gradualmente comenzando con poco para crear ganan-cias rápidas y aprovechando los éxitos ini-ciales para iterar las implementaciones de forma regular.

b. Usando un enfoque de "Big Bang" en toda la empresa [17].

Aunque el enfoque del Big Bang puede ser una solución viable, dependiendo de la situación, ge-neralmente es mejor adoptar la opción 1, el enfo-que gradual. El enfoque de implementación de NIST es muy bueno con el marco COBIT 5, por-que COBIT 5:

Emplea una estructura basada en princi-pios

Proporciona un enfoque holístico

Tiene una metodología de implementación gradual e iterativa

Se usa como referencia informativa en el CSF de NIST

Incluye un programa de evaluación basa-do en estándares de la industria [17]

Por lo tanto, no sorprende que COBIT 5 sea una opción natural para adoptar no solo prácticas sóli-das de GRC, sino también prácticas de cibersegu-ridad basadas en el NIST CSF. La Figura 7 mues-tra la alineación entre los pasos y principios de implementación del NIST CSF y COBIT 5. Usar una metodología de implementación comprobada en la industria es primordial. Debido a que NIST CSF y COBIT 5 se alinean muy bien, es un enfo-que lógico. Los siguientes son los pasos de una implementación empresarial típica.

Paso 1 – Priorización y definición de alcance: El objetivo de este paso es comprender el enfoque actual de la gobernanza y la ciberseguridad en la empresa e identificar las partes interesadas clave, la misión de la organización, los roles y las res-ponsabilidades. Esto se alinea con la fase de im-plementación de COBIT 5 ¿Cuáles son los moti-vos? y el principio Satisfacer las necesidades de las partes interesadas.

El paso 1 es también el momento adecuado para


”


”

realizar un ejercicio de cascada de metas (otra característica en COBIT 5), que es una herramien-ta realmente útil y efectiva. La cascada de metas es una serie de asignaciones que permiten a una empresa vincular las necesidades de las partes interesadas con los objetivos empresariales, los objetivos relacionados con TI y los objetivos de habilitación. La figura 6 muestra una descripción a alto nivel de la cascada de metas.

Figura. 6: Cascada de metas de COBIT 5. Fuen-te: [13]

Paso 2 y 3 – Orientación y Crear un perfil ac-tual: Ahora que las metas en cascada están com-pletas, es hora de identificar amenazas y vulnera-bilidades de esos sistemas y activos. El propósito de estos dos pasos es obtener una comprensión de los sistemas y activos de la organización que permiten la misión descrita en el Paso 1. Estos pasos se alinean con la implementación de COBIT 5, Paso 2, ¿Dónde estamos ahora? y los princi-pios de COBIT 5 Cubrir la empresa de extremo a extremo y Aplicar un marco de referencia único integrado.

Aquí es donde los niveles de implementación del marco entran en la ecuación. Estos son niveles de implementación que pueden ayudar en la evalua-ción y planificación de actividades de ciberseguri-

dad. Los niveles describen los atributos que se deben tener en cuenta al completar el perfil actual y crear un perfil objetivo más adelante, y describir la progresión de la implementación. Estos niveles también se alinean bien con los niveles de capaci-dad de proceso de COBIT 5. La figura 8 muestra los cuatro niveles.

Este paso lleva a cabo una evaluación de estado actual utilizando el enfoque ISO 15504 [25] para procesar la capacidad. La metodología de evalua-ción COBIT 5 [26] se utiliza para completar el perfil actual, iterar a través de cada subcategoría y re-gistrar el estado actual, que va desde no alcanza-do hasta totalmente alcanzado.

Por lo tanto, un perfil actual también se puede denominar estado actual. Este es el resultado clave del paso 3. El NIST CSF proporciona una plantilla para esto, como se ilustra en la tabla I. En esta plantilla de muestra, cada una de las subca-tegorías está vinculada a prácticas específicas de COBIT 5. Estas subcategorías también se pueden vincular a las otras referencias de la industria. La información sobre estas prácticas específicas de COBIT 5 se puede encontrar en la guía COBIT 5: Habilitación de procesos [27].

Paso 4 y 5 – Ejecutar un análisis de riesgos y Crear un perfil objetivo: El propósito de estos dos pasos es identificar las amenazas generales y las vulnerabilidades de los sistemas y activos identificados anteriormente, y determinar la proba-bilidad y el impacto de un evento de ciberseguri-dad. Estos pasos dan como resultado final un catálogo de posibles riesgos de seguridad y una evaluación del impacto en el negocio, un nivel de capacidad objetivo y un perfil objetivo.

Estos dos pasos se alinean con el paso de imple-mentación de COBIT 5, ¿Dónde queremos ir?, y los principios de COBIT 5 Cubrir la empresa de extremo a extremo y Aplicar un marco de referen-cia único integrado.

Paso 6 – Determinar, analizar y priorizar las brechas detectadas: En este paso, la organiza-ción busca comprender y documentar las acciones necesarias para cerrar las brechas entre los en-tornos de estado actuales y de destino. Este paso está alineado con el paso de implementación de COBIT 5 ¿Qué es preciso hacer? y los principios de COBIT 5 Cubrir la empresa de extremo a ex-tremo y Aplicar un marco de referencia único inte-grado.


”


”

1Priorización y definición

de alcance1

¿Cuales son los

motivos?1

Satisfacer las

Necesidades de las Partes Interesadas

2 Orientación

3 Crear un perfil actual

4Ejecutar un análisis de

riesgos

5 Crear un perfil objetivo

6Determinar, analizar y

priorizar las brechas 4 ¿Qué es preciso hacer?

7Implementar el plan de

acción5

¿Cómo conseguiremos

llegar?4 Hacer posible un Enfoque Holístico

8Revisión del plan de

acción6

¿Hemos conseguido

llegar?

9 Gestión del ciclo de vida 7 ¿Cómo mantenemos

vivo el impulso?

5 Separar el Gobierno de la Gestión

Pasos de implementación

del NIST CSF

Pasos de implementación

de COBIT 5Principios de COBIT 5

¿Dónde estamos

ahora?

¿Dónde queremos ir?

2

3

2 Cubrir la Empresa Extremo a Extremo

3Aplicar un Marco de Referencia Único

Integrado

Figura. 7: Alineación en la implementación del NIST CSF y COBIT 5. Fuente: [17]

La entidad registra las diferencias entre los esta-dos actuales y los deseados y utiliza COBIT 5: procesos catalizadores [27] para determinar las prácticas y actividades que deben mejorarse para cerrar las brechas. Además de las lagunas, se debe comprender los recursos y capacidades que se requieren para llevar a cabo estos esfuerzos. Este plan de acción de actividades incluye hitos, responsabilidades y resultados deseados de acuerdo con las prioridades establecidas. Un plan de acción debe incluir lo siguiente:

Identificación

Prioridades

Asunciones y Restricciones

Racionalidad

Acciones específicas

Recursos

Cronogramas / hitos

Estados

Prerrequisitos / dependencias

Asignación de acciones

Los roles de los interesados

Paso 7 – Implementar el plan de acción: Una vez que se conocen las lagunas y se han determi-nado los planes para cerrar esas brechas, la em-presa puede ejecutar el plan que aborda las priori-dades para mejorar la seguridad y cumplir los objetivos de las partes interesadas. Este paso está alineado con el paso de implementación de COBIT 5 ¿Cómo conseguiremos llegar? y el prin-cipio COBIT 5 Hacer posible un enfoque holístico. La entidad debe considerar los desafíos, las cau-sas y los factores de éxito mediante el uso de la guía de implementación de COBIT 5 [28], que incluyen:

Probar el enfoque haciendo pequeñas


”


”

mejoras inicialmente y para proporcionar algunas victorias rápidas.

Involucrar a todos los interesados

Mejorar los procesos antes de intentar aplicar la automatización.

Establecer objetivos claros y medibles que tributen a cuadros de mando que mues-tren cómo marcha el rendimiento.

Comunicar en términos de impacto para el negocio.

Usar principios sólidos de administración de pro-yectos y programas en este paso es clave. Si este paso es exitoso, los resultados incluirán procedi-mientos operativos para elementos de acción im-plementado, informes de rendimiento y métricas.

0 Incompleto

1 Realizado

2 Rieso Informado 2 Gestionado

3 Repetible 3 Consolidado

4 Predecible

5 Optimizado

4 Adaptativo

Niveles de

implementación del

NIST CSF

Niveles de

capacidad de

procesos COBIT 5

1 Parcial

Figura. 8: Alineación de los niveles de imple-mentación del NIST CSF con los niveles de capaci-

dad de procesos de COBIT 5. Fuente: [10; 11]

Tabla I: Plantilla para el perfil actual del NIST CSF

Función Categoría Sub

Categoría

Práctica de COBIT

relacionada

Identificar (ID)

Gestión de activos

ID.AM-1 BAI09.01, BAI09.02

ID.AM-2

BAI09.01, BAI09.02, BAI09.05

ID.AM-3 DSS05.02

ID.AM-4 APO02.02

ID.AM-5

APO03.03, APO03.04, BAI09.02

ID.AM-6 APO01.02, DSS06.03

Paso 8 – Revisión del plan de acción: La enti-dad revisa la aplicación de las prácticas mejora-das de gobernanza y de gestión, y confirma que el plan de acción aportó los beneficios esperados. Este paso está alineado con el paso de implemen-tación de COBIT 5 ¿Hemos conseguido llegar? Además, se evalúan las actividades desde el paso de implementación para garantizar que las mejo-ras logren los objetivos previstos y los objetivos de gestión de riesgos. Se debe documentar las lec-ciones aprendidas e identificar cualquier necesi-dad específica de monitoreo continuo.

Paso 9 – Gestión del ciclo de vida: El objetivo de este paso es proporcionar una revisión / eva-luación continua del éxito general de la iniciativa, identificar otros requisitos de gobernanza y/o ges-tión y respaldar la mejora continua. Este paso está alineado con el paso de implementación de CO-BIT 5 ¿Cómo mantenemos vivo el impulso?

2.2.4 Auditoría y aseguramiento

Se permiten tres niveles diferentes de encabeza-dos a lo largo del artículo:

Tener este marco único e integrado para la gober-nanza y gestión de las TIC y la ciberseguridad en las entidades crea claramente valor para las mis-mas; sin embargo, dar por seguros todos estos esfuerzos es igualmente crítico. Desde la perspec-tiva de la ciberseguridad, una auditoría proporcio-na a la administración una evaluación de la efecti-vidad de las políticas relacionadas con esta activi-dad, la implementación de controles y el logro de los objetivos de los procesos. Estos pueden identi-ficar las deficiencias internas y externas que po-drían afectar la capacidad de la entidad para cum-plir sus objetivos. Teniendo en cuenta las tres líneas del modelo de defensa en la figura 9, la simple adopción de los marcos COBIT 5 y NIST se puede vincular a las dos primeras líneas de defensa. Por lo tanto, teniendo la tercera línea de defensa, el departamento de auditoría, puede proporcionar una vista objetiva de cómo las prácticas y actividades de los marcos son con-fiables, precisas y seguras.


”


”

Figura. 9: Modelo de tres líneas de defensa ba-sado en COBIT 5 para el riesgo. Fuente: [29]

Existen numerosos programas disponibles en la actualidad que brindan sólidos modelos para el aseguramiento. Teniendo en cuenta el tema de este trabajo, tiene sentido adoptar un programa de auditoría que se centre en los marcos de COBIT 5 y NIST CSF. El programa de auditoría / asegura-miento para la ciberseguridad de ISACA basado en NIST CSF, proporciona objetivos de control, controles y pasos de prueba basados en las fun-ciones, categorías, subcategorías y referencias informativas del NIST CSF. Adoptar el modelo de las tres líneas de defensa, incorporado con proce-sos y prácticas sólidas, realmente proporciona un enfoque holístico que satisface las necesidades de las partes interesadas.

3. CONCLUSIONES

Con el presente trabajo se puede concluir que es posible implementar un marco de trabajo de ciberseguridad del NIST (NIST CSF) usando COBIT 5 como marco único de referencia para la gobernanza y la gestión de las TIC en las entidades.

La gobernanza y la gestión de las TIC en las or-ganizaciones, ha adquirido un nuevo significado con el rápido crecimiento de la ciberseguridad y la multitud de mejores prácticas existentes en el mercado. Dada la complejidad, no es de extrañar por qué algunas instituciones continúan luchando con sus esfuerzos o toman acciones incompletas. Aunque existen algunos enfoques excelentes para un programa de ciberseguridad, un factor crítico de éxito es garantizar que existan algunos princi-pios clave: satisfacer las necesidades de las par-tes interesadas, utilizar un enfoque holístico, abar-car toda la empresa y aprovechar un único marco integrado. Todos estos principios conducen al objetivo empresarial de proporcionar valor.

Desde una perspectiva de ciberseguridad y/o ries-

go, adoptando el marco COBIT 5 y el Marco del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la ciberseguridad de las infra-estructuras críticas, puede ser un factor importan-te en la creación de valor para las entidades. Es-tos marcos se complementan bien; Las prácticas de COBIT 5 se sincronizan con las categorías de NIST CSF. Las metodologías de adopción para cada marco tienen un parecido sorprendente, lo que hace que el acoplamiento de estos marcos en un enfoque de gobernanza coherente sea una buena decisión. Estos marcos son modelos flexi-bles que se pueden modificar para satisfacer las necesidades de la empresa y permiten que cual-quier organización tenga un marco central proba-do y repetible.

4. REFERENCIAS BIBLIOGRÁFICAS

[1]. CLEMENTE, D. Cyber Security and Global Interdependence: What is Critical? London: Royal Institute for International Affairs/Chatham House, 2013. 40 p. ISBN 978-1-86203-278-1.

[2]. PATRICK, H. y FIELDS, Z. A Need for Cyber Security Creativity. En Collective Creativity for Responsible and Sustainable Business Practice. 2017, p. 42-61. ISBN 978-1-5225-1823-5.

[3]. KLIMBURG, A. National Cyber Security Framework Manual. NATO Cooperative Cyber Defence Centre of Excellence, 2014. 235 p. ISBN 978-9949-9211-2-6.

[4]. SCHJØLBERG, S. y GHERNAOUTI, S. A global treaty on cybersecurity and cybercrime. 2da ed. AiTOslo, 2011. 98 p. ISBN 978-82-997274-3-3.

[5]. ARORA, A.; NANDKUMAR, A., et al. Does Information Security Attack Frequency Increase with Vulnerability Disclosure? An Empirical Analysis. Information Systems Frontiers, December 2006, vol. 8, nº 5, p. 350–362. [Consultado el: 2017-10-15 20:29:22]. ISSN 1387-3326.

[6]. VOLCHKOV, A. How to Measure Security From a Governance Perspective ISACA Journal, 2013, vol. 5, nº p. 8. Disponible en: https://www.isaca.org/Journal/archives/2013/Volume-5/Pages/How-to-Measure-


”


”

Security-From-a-Governance-Perspective.aspx. ISSN 1526-7407.

[7]. WILLIAMS, K. L. Management Wake-Up and Govern: The Era of the Cyber Security Governance. En 2014 Annual Global Online Conference on Information and Computer Technology. December 3-5 2014. p. 50-52.

[8]. BRUIN, R. D. y SOLMS, S. H. V. Cybersecurity Governance: How can we measure it? En 2016 IST-Africa Week Conference. May 2016 2016. p. 1-9.

[9]. TWENEBOAH-KODUAH, S.; TSETSE, A. K., et al. Evaluation of Cybersecurity Threats on Smart Metering System. En Information Technology - New Generations. Springer, Cham, 2018, p. 199-207. ISBN 978-3-319-54977-4, 978-3-319-54978-1.

[10]. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Framework for Improving Critical Infrastructure Cybersecurity. Gaithersburg, Maryland NIST U.S. Department of Comerce, Versión: 1.0, publicado: Febrero 12 de 2014.

[11]. ---. Framework for Improving Critical Infrastructure Cybersecurity. Gaithersburg, Maryland NIST U.S. Department of Comerce, Versión: 1.1, publicado: Enero 10 de 2017.

[12]. ISO/IEC. ISO/IEC 27001:2013. Information technology — Security techniques — Information security management systems — Requirements. Ginebra, Zwitzerland: International Organization for Standarization., publicado: Octubre de 2013, 23 p.

[13]. ISACA. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2012. ISBN 1604202378, 9781604202373.

[14]. MARULANDA ECHEVERRY, C. E.; LÓPEZ TRUJILLO, M., et al. MODELOS

DE DESARROLLO PARA GOBIERNO TI Scientia et Technica, Mayo 2009, nº 41, p. 6. ISSN 0122-1701

[15]. WEILL, P.; SUBRAMANI, M., et al. IT Infrastructure for Strategic Agility. Social Science Research Network. ID 317307. 2002

[16]. ISACA. Transforming Cybersecurity: Using COBIT 5. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2013. ISBN 1604203412, 9781604203417.

[17]. ---. Implementing the NIST Cybersecurity Framework. Isaca, 2014. 108 p. ISBN 978-1-60420-357-8.

[18]. SLUSKY, L. y GOODRICH, J. A. Human Factors of Cybersecurity Awareness. En EdMedia: World Conference on Educational Media and Technology. Junio 28 2016. p. 436-444.

[19]. TISDALE, S. M. ARCHITECTING A CYBERSECURITY MANAGEMENT FRAMEWORK. Issues in Information Systems, 2016, vol. 17, nº 4, p. 10. [Consultado el: 2017-09-13]. Disponible en: http://www.iacis.org/iis/2016/4_iis_2016_227-236.pdf. ISSN 1529-7314.

[20]. ALMUHAMMADI, S. y ALSALEH, M. Information Security Maturity Model for Nist Cyber Security Framework. En 11th International Conference on Computer Science & Information Technology (CSIT 2017). February 25 2017. p. 51-62.

[21]. ISACA. COBIT 5 para Seguridad de la Información. Traducido por: The Isaca® Madrid Chapter. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2012. 220 p. ISBN 978-1-60420-454-4.

[22]. INTERNATIONAL SOCIETY OF AUTOMATION (ISA). ANSI/ISA–62443-2-1 (99.02.01)–2009 Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program. North


”


”

Carolina: ISA, publicado: Agosto de 2009, 170 p.

[23]. ---. ANSI/ISA-62443-3-3 (99.03.03) Security for industrial automation and control systems Part 3-3: System security requirements and security levels. North Carolina: ISA, publicado: Agosto 12 de 2013, 43 p.

[24]. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Special Publication 800-53 Information Security. Paramount, CA: CreateSpace, 2011. ISBN 978-1-4611-1235-8.

[25]. ISO/IEC. ISO/IEC 15504-2:2003. Information technology -- Process assessment -- Part 2: Performing an assessment. Ginebra, Zwitzerland: International Organization for Standarization., 2003, 46 p.

[26]. ISACA. COBIT Process Assessment

Model (PAM): Using COBIT 5. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2013. ISBN 1604202718, 9781604202717.

[27]. ---. COBIT 5: Enabling Processes. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2013. 230 p. ISBN 9781604202397.

[28]. ---. COBIT 5 Implementación. Traducido por: The Isaca® Madrid Chapter. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2012. 78 p. ISBN 978-1-60420-289-2.

[29]. ---. COBIT 5 for Risk. Rolling Meadows, Ill.: Information Systems Audit and Control Association, 2013. ISBN 1604204575, 9781604204575.

5. SÍNTESIS CURRICULARES DE LOS AU-TORES

Yosvany Castaño Gil, nacido el 27 de julio de 1971 en Santa Clara, Villa Clara. Graduado en ingeniería en sistemas automatizados de dirección en 1995 en el Instituto Técnico Militar (ITM) “José Martí”. Se ha desempeñado por más de 25 años a la especialidad de informática. Dirigió un centro de cálculo y diseño durante 6 años en la provincia de Matanzas y luego fue jefe del Centro de Proyección e Integración de Sistemas de la empresa XETID, siendo más tarde el Director de la División de Servicios Profesionales de esa propia entidad. Es graduado de la Maestría en Informática Avanzada en su primera edición de la Universidad de las Ciencias Informáticas UCI. Se desempeña en este momento como Director de Informática del Grupo de Administración Empresarial S.A. (GAE S.A.). Dirección de correo electrónico: [email protected]

IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA … · the COBIT 5 governance framework has proven to...

Documents

Transcript of IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA … · the COBIT 5 governance framework has proven to...