UNIVERSIDAD NACIONAL DE CAJAMARCA

FACULTAD DE INGENIERIA

ESCUELA ACADEMICO PROFESIONAL DE INGENIERIA DE SISTEMAS

“CASO PRACTICO COBIT 5”

DOCENTE:

 ING. LISI JANET VASQUEZ FERNANDEZ

CURSO :

 GERENCIA DE TI

INTEGRANTE:

 VALENCIA CHILON,PEDRO PABLO

Cajamarca, julio del 2019

 1. RESUMEN

Obtener la aprobación de la alta dirección es una queja común entre los profesionales de
seguridad de la información. Sin embargo, en un banco de Medio Oriente, más
específicamente en Kuwait, el gerente de seguridad de la información no tuvo ese
problema a la hora de implementar COBIT para definir los principios de seguridad de la
información de la empresa porque la alta dirección del banco ya tenía pleno conocimiento
del marco aceptado por la industria. En consecuencia, el informe de evaluación fue
completado rápidamente, aceptado velozmente y agradecido enormemente.

La organización utiliza varios estándares y marcos, incluida la norma ISO 27001, el

Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry
Data Security Standards, PCI DSS) y la Biblioteca de Infraestructura de Tecnología de la
Información (IT Infrastructure Library, ITIL), y deseaba alinear sus procesos y principios
departamentales con un marco común, ampliamente flexible y adaptable, que tuviera
controles y procesos en común con otros marcos de la industria. La organización halló todo
esto en COBIT, que en su versión más actualizada —COBIT 5— proporciona un detallado
cruce con otros marcos, entre ellos, las normas de la Organización Internacional para la
Estandarización (International Organization for Standardization, ISO), el Marco de
Arquitectura del Open Group (The Open Group Architecture Framework, TOGAF) y el
Cuerpo de Conocimientos de Gestión de Proyectos (Project Management Body of
Knowledge, PMBOK).

Ningún otro marco proporciona un cruce tan detallado con diversos estándares aceptados
en la industria. El banco ha utilizado COBIT 5 y COBIT 5 para la Seguridad de la
Información en una amplia variedad de proyectos:

 Se empleó el Kit de herramientas de COBIT 5 para identificar el enunciado de

aplicabilidad (statement of applicability, SOA) de cada dominio, junto con los 37
procesos y los 210 enunciados de práctica correspondientes.

 Los principios de COBIT 5 han sido cruzados con los procesos actuales del
departamento de seguridad de la información con el objeto de identificar toda
brecha posible .

 Se abordaron todas las brechas identificadas durante la evaluación teniendo en

cuenta las guías recomendadas para cada enunciado de práctica.
Principios de seguridad de la información

Como se describió en COBIT 5 para la Seguridad de la Información, los principios de

seguridad de la información comunican las reglas de la empresa que soportan los objetivos
de gobierno y los valores empresariales, según la definición del Consejo y la dirección
ejecutiva. Estos principios deben:

 Ser limitados en cuanto a su número.

 Estar expresados en un lenguaje sencillo y declarar, de la manera más clara posible,

los valores fundamentales de la empresa.

Estos principios son genéricos y se aplican a todas las empresas, y se pueden utilizar como
base para el desarrollo de principios de seguridad de la información exclusivos de la
empresa.
 Figura 1: Principios de seguridad de la información del banco basados en
COBIT 5
Principio Objetivo Descripci Estado Evidencia
ón de
Soporte
1. Soporte al negocio.
Concentrar Garantizar que Las personas que integran la comunidad de Implementa Estrategia
se en el la seguridad de seguridad de la información deben entablar do de seguridad
negocio. la información relaciones con líderes de negocio y demostrar de la
esté integrada el modo en que la seguridad de la información información
a las puede complementar negocios claves y
actividades procesos de gestión de riesgos. Ellas deberían
esenciales del adoptar un enfoque de consultoría respecto de
negocio. la seguridad de la información brindando su
respaldo a los objetivos del negocio por medio
de la asignación de recursos, programas y
proyectos. Se debe proporcionar consultoría de
alto nivel, enfocada a la empresa, para proteger
la información y ayudar a gestionar el riesgo de
la información tanto ahora como en el futuro.
Ofrecer Garantizar que Las partes interesadas internas y externas Implementa Estrategia
calidad y la seguridad deben comprometerse a sostener una do de seguridad
valor a las de la comunicación periódica de modo que se sigan de la
partes información cumpliendo sus requerimientos cambiantes de información
interesadas ofrezca valor y seguridad de la información. Promover el valor
. satisfaga los de la seguridad de la información (tanto
requerimientos financiera como no financiera) permite adquirir
del negocio. apoyo para la toma de decisiones que, a su
vez, puede colaborar con el éxito de la visión
para la seguridad de la información.
 Figura 1: Principios de seguridad de la información del banco basados en COBIT
5
Principio Objetivo Descripci Estado Evidencia
ón de
Soporte
Cumplir los Garantizar que Se deben identificar las obligaciones de Implementa Estado de
do
requerimient se cumplan las cumplimiento, se las debe traducir en cumplimiento de
os
legales y obligaciones requerimientos específicos de seguridad de la PCI, estado de
regulatorios legales, que se información y comunicar a las personas que cumplimiento de
relevantes. gestionen las corresponda. Las sanciones asociadas al ISO 27001
expectativas de incumplimiento deben ser claramente
las partes comprendidas. Los controles deben ser
interesadas, y monitoreados, analizados y actualizados de
modo
que se eviten que cumplan con los requerimientos legales y
sanciones regulatorios nuevos o actualizados.
civiles
o penales.
Proporcionar Brindar apoyo Los requerimientos para la entrega de datos Implementa Informe mensual
a sobre do de
datos los el desempeño de la seguridad de la información gestión de la
exactos
y oportunos requerimientos deben estar claramente definidos y sustentados seguridad de la
sobre el del negocio y con las métricas más relevantes y adecuadas información
(por
desempeño gestionar el ejemplo, cumplimiento, incidentes, estado de
de
la seguridad riesgo de la control y costos) y alineados con los objetivos
del
de la información. negocio. La información debe obtenerse de
información. manera periódica, uniforme y rigurosa para que
continúe siendo precisa y los resultados puedan
presentarse para cumplir los objetivos de las
partes interesadas que correspondan.
Evaluar las Analizar y Las tendencias más importantes y las amenazas Implementa Revisión y
do pruebas
amenazas evaluar las específicas a la seguridad de la información se periódicas a la
actuales y amenazas deben categorizar en un marco integral estándar seguridad.
futuras hacia emergentes de que abarque un amplio espectro de temas como,
la seguridad de la por ejemplo, aspectos políticos, legales,
información.
información de económicos, socioculturales y técnicos. Las
modo que se personas deben compartir y profundizar sus
pueda adoptar conocimientos sobre las amenazas venideras a
fin
acciones de abordar proactivamente sus causas, en lugar
oportunas e de sus síntomas.
informadas
para
mitigar el
riesgo.
Promover la Reducir los Los modelos de negocio organizacionales en Implementa Indicadores clave
do
mejora costos, mejorar constante cambio, junto con las amenazas en de desempeño;
continua en la eficacia y la evolución, exigen la adaptación de técnicas de informes
mensuales
seguridad de eficiencia, y seguridad de la información y la mejora continua y anuales de
la promover una de su nivel de eficacia. Se debe mantener el gestión
información.
cultura de conocimiento sobre las técnicas de seguridad de
mejora la información más recientes aprendiendo de los
continua
en seguridad incidentes y vinculándose con organizaciones de
de
la información. investigación independientes.
2. Defender el negocio.
Adoptar un Garantizar que Se deben examinar las opciones para abordar el Implementado Sistema de gestión
enfoque el riesgo sea riesgo vinculado con la información de modo que se de seguridad de la
basado en el tratado de una puedan tomar decisiones fundamentadas y información
riesgo. manera documentadas sobre el tratamiento del riesgo. El (information
consistente y tratamiento del riesgo implica elegir una o más security
eficaz. opciones, que habitualmente incluyen: management
 Aceptar el riesgo (un integrante de la dirección system, ISMS) y
debe aprobar que ha aceptado el riesgo y que no evaluación de
se requiere ninguna otra acción). riesgos de
 Evitar el riesgo (p. ej., decidiendo que no se cumplimiento de
perseguirá una iniciativa en particular). PCI.
 Transferir el riesgo (p. ej.; tercerizando o
tomando un seguro).
 Mitigar el riesgo (en general, si se aplican las
medidas adecuadas de seguridad de la
información, p. ej. controles de acceso,
monitoreo de red y gestión de incidentes).
Proteger Evitar la La información se debe identificar y, a continuación, Implementado Políticas y
informació divulgación de clasificar de acuerdo con su nivel de confidencialidad estándares de
n información (p. ej., secreta, restringida, interna, pública). La seguridad de la
clasificada. clasificada (p. información confidencial se debe proteger del mismo información
ej., modo en todas las etapas de su ciclo de vida —a
confidencial o partir de la creación y hasta su destrucción—
sensible) a empleando los controles que correspondan, como la
personas no encriptación y las restricciones de acceso.
autorizadas.
Concentrarse Priorizar la Comprender el impacto en la empresa que Implementado Políticas y
en escasez de ocasionaría una falta de integridad o disponibilidad estándares de
aplicaciones recursos de de información importante manipulada por las seguridad de la
críticas del seguridad de aplicaciones de negocio (procesada, almacenada o información
negocio. la información transmitida) ayudará a establecer el nivel de
protegiendo criticidad. Posteriormente, pueden determinarse los
las requerimientos de recursos de seguridad de la
aplicaciones información y puede establecerse la prioridad de
de negocio proteger las aplicaciones que son más críticas para
sobre las que el éxito de la organización.
un incidente
de seguridad
de la
información
podría tener el
mayor impacto
en la empresa.
Desarrollar Desarrollar La seguridad de la información debe ser integral Implementad Estándares de
o
sistemas sistemas de para las fases de alcance, diseño, desarrollo y seguridad de la
seguros. calidad y prueba del ciclo de vida de desarrollo de sistemas información
económicos en (system development life cycle, SDLC). Las
los cuales se buenas prácticas de seguridad de la información
pueda confiar (es (p. ej., la prueba rigurosa de debilidades en cuanto
decir, que sean a la seguridad de la información; la revisión entre
consistentement pares; y la capacidad de lidiar con errores,
e
robustos, excepciones y condiciones de emergencia) deben
precisos y tener un rol fundamental en todas las etapas del
confiables). proceso de desarrollo.
3. Promover un comportamiento responsable respecto de la seguridad de la información.
Actuar de una Asegurarse de que las La seguridad de la información se basa Implementad Verificaciones de
o
manera actividades marcadamente en la capacidad de los antecedentes
profesional y relacionadas con la profesionales de una industria para
ética. seguridad de la desempeñar sus funciones con responsabilidad
información se realicen y con un claro entendimiento del modo en que
de manera confiable, su integridad impactará directamente sobre la
responsable y eficiente. información que se les encarga proteger. Los
profesionales de seguridad de la información
deben comprometerse con un alto nivel de
calidad en su trabajo y demostrar, a la vez, un
comportamiento uniforme y ético y respeto por
las necesidades de la empresa, otras personas
y la información confidencial (a menudo,
personal).
Promover una Ejercer una influencia Se debe hacer énfasis en lograr que la Implementad Reuniones del
o
cultura positiva positiva respecto de la seguridad de la información sea una pieza comité de
respecto de la seguridad de la clave de la empresa y que los usuarios se gobierno de
seguridad de información sobre el concienticen cada vez más sobre la seguridad de la
la información. comportamiento de los seguridad de la información, y en garantizar información
usuarios finales, reducir que estos tengan las destrezas necesarias (information
la probabilidad de que para proteger la información clasificada o security
ocurran incidentes de crítica y los sistemas. Las personas deben governance
seguridad de la reconocer el riesgo que corre la información committee, ISGC).
información y limitar su que tienen en su poder y deben estar
posible impacto en la facultados para tomar las medidas que sean
empresa. necesarias para protegerla.
 2. RESULTADO

El banco alcanzó sus objetivos en poco tiempo, solamente tres meses, y logró mejorar una gran cantidad de
procesos, entre los que cabe mencionar:

 Garantizar el establecimiento y el mantenimiento del marco de gobierno.

 Garantizar la entrega de beneficios.

 Garantizar la optimización del riesgo.

 Garantizar la optimización de recursos.

 Garantizar la transparencia de las partes interesadas.

 Administrar el marco de gestión de TI.

 Gestionar la estrategia.

 Gestionar la arquitectura de la empresa.

 Gestionar la innovación.

 Gestionar la definición de requerimientos.

 Gestionar los activos.

 Gestionar la continuidad.

3. CONCLUSIONES

El banco planea seguir usando este marco de evaluación anualmente y con la frecuencia que otros
proyectos exijan. La versión más reciente de COBIT es fácil de comprender e implementar,
especialmente el kit de herramientas, que proporciona toda la información necesaria para aplicar
COBIT en toda la organización.

4. REFERENCIAS

https://www.cetiuc.com/landing-assets/uploads/noticia146/CLUB%20CIO%20COBIT.pdf
http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-
Volumen-1-enero-de-2014.aspx

http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-
Volumen-1-enero-de-2014.aspx