ETAPA 2

NOMBRE DEL (OS) ESTUDIANTE (ES)

Nicolás Fernando David C

Jessica Fernanda Corredor Cuesta

Giovanni Barreto Murcia

Eduardo Bonilla Martinez

Bibiana Patricia Buchely Pabón

Grupo 219019_13

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

1
 ETAPA 2

NOMBRE DEL (OS) ESTUDIANTE (ES)

Nicolás Fernando David C

Jessica Fernanda Corredor Cuesta

Giovanni Barreto Murcia

Eduardo Bonilla Martinez

Bibiana Patricia Buchely Pabón

Nombre

Tutor(a) o Director de Curso

Eduard Antonio Mantilla Torres

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

2
 TABLA DE CONTENIDO

OBJETIVOS..............................................................................................................8

1.1 OBJETIVOS GENERAL......................................................................8

1.2 OBJETIVOS ESPECÍFICOS...............................................................8

DESARROLLO DEL TRABAJO...............................................................................9

1.2.1 Tabla 1. Comparación marco COBIT Y NIST. Autoría

propia. 17

2 Análisis de la pertinencia marco COBIT..................................................18

2.1 Planificación y Organización (PO).................................................18

2.1.1 PO1. Definición de un plan estratégico TI...........................18

2.1.2 PO2. Definición de la arquitectura de la información..........19

2.1.3 PO3. Determinación de la dirección y relaciones de TI.......20

2.1.4 PO4. Definición de la organización y relaciones TI.............21

2.1.5 PO5. Administrar las inversiones de TI...............................21

2.1.6 PO6. Comunicación de los objetivos y expectativas de la

gerencia.............................................................................................22

2.1.7 PO7. Administración de los recursos humanos...................22

2.1.8 PO8. Garantía del cumplimiento de requisitos externos.....22

2.1.9 PO9. Evaluación de riesgos.................................................23

2.1.10 PO10. Administración de proyectos..................................24

2.1.11 PO11. Administración de calidad......................................24

3
 2.2 ADQUIRIR E IMPLEMENTAR (AI)...................................................25

2.2.1 AI1. Identificación de soluciones..........................................25

2.2.2 AI2. Adquisición y mantenimiento de software de aplicación.

26

2.2.3 AI3. Adquisición y mantenimiento de arquitectura

tecnológica.........................................................................................27

2.2.4 AI4. Desarrollo y mantenimiento de TI.................................28

2.2.5 AI5. Instalación y acreditación de sistemas..........................28

2.2.6 AI6. Administración de cambios...........................................29

2.3 Evaluar y monitorizar (EM)..............................................................29

2.3.1 M1. Monitoreo de procesos.................................................31

2.3.2 M2. Evaluación del control interno.......................................31

2.3.3 M3. Obtención de certificación independiente.....................31

2.3.4 M4. Provisión de auditoría independiente...........................31

3 BankSecure (normas ISO 27001-27002)...................................................32

CONCLUSIONES....................................................................................................38

BIBLIOGRAFÍA.......................................................................................................39

4
 INTRODUCCIÓN

La institución financiera Banksecure está a la vanguardia del desarrollo

tecnológico para la optimización de sus productos y satisfacer de manera oportuna

a sus clientes o usuarios. La trasformación digital requiere reglas de negocio,

variedad de procesos y procedimientos realizados a nivel digital.

Por tal motivo se requiere alinear dichos procedimientos a las tecnologías TI con la

entidad financiera surge el marco de trabajo COBIT que determina a las entidades

a ser gestionadas y gobernadas de una manera adecuada y eficaz abarcándolas

de inicio a fin maximizando sus beneficios y minimizando sus riesgos

En este informe se realizará un análisis del marco de trabajo para el gobierno y la

gestión de tecnologías de la información (TI), así como del marco de

ciberseguridad NIST. Este análisis involucrara las características, similitudes,

ventajas y desventajas de estos dos ejes temáticos, permitiendo identificar su

posible interoperabilidad.

5
 JUSTIFICACIÓN

Las instituciones financieras están atravesando una etapa de

transformación, con importantes inversiones en tecnología y requerimientos altos

de recursos humanos especializados, con el fin de implementar un modelo de

negocio que permita brindar servicios de manejo financieros a los diferentes

usuarios a distancia y a lo largo y ancho del país. Banksecure, ha tomado gran

relevancia en la actualidad, por su alcance y una importante cantidad de usuarios

inscritos diariamente.

Dentro de los diferentes procesos Banksecure, depende cada vez más de la

tecnología al alcance de la institución, se encuentran los procesos administrativos

de diversos departamentos, como el área financiera, de recursos humanos,

tecnologías, auditorias, operaciones y otras dependientes. La afluencia diaria de

usuarios o clientes del banco implica una mayor cantidad de información que es

manejada de manera digital en la plataforma del banco.

Esto último se ha convertido en los últimos años en un foco importante para las

amenazas en seguridad, considerando la situación de esta era digital es preciso y

se buscará mediante este trabajo hacer un aporte en seguridad de la información

que promueva o mejore la situación presente y futura de los procesos críticos,

soportados en la infraestructura virtual a cargo de la TI.

6
Además, surge la oportunidad de realizar una investigación que permita intervenir

la situación de la seguridad de la información de la institución financiera

Banksecure con la metodología de trabajo COBIT, y consolidar un Plan Director.

7
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Proponer la metodología del marco COBIT a la entidad financiera Banksecure

para optimizar la seguridad de la información de los usuarios de la entidad.

1.2 OBJETIVOS ESPECÍFICOS

 Diagnosticar el estado actual del banco Banksecure

 Analizar los procesos del departamento de TI

 Determinar la influencia del departamento de TI con el negocio

 Diseñar la metodología COBIT en la entidad financiera.

8
 DESARROLLO DEL TRABAJO

1. Cuadro comparativo que consolide la indagación realizada por los

integrantes del grupo, sobre los diferentes marcos de trabajo para la

seguridad informática.

INDICADORES COBIT NIST

OBJETIVO

Características Hace una clasificación de los Aplicabilidad Amplia: Este

procesos de la siguiente marco es relevante para una

manera: planificación, amplia gama de organizaciones

organización, adquisición, que dependen de la tecnología,

entrega, soporte del servicio, ya sea en el ámbito de la

evaluación. Se divide en tres tecnología de la información (TI),

fases: dominio, proceso, sistemas de control industrial

actividades. (ICS), sistemas ciberfísicos (CPS)

o dispositivos conectados,

incluyendo el Internet de las

Cosas (IoT).

Referencias Normativas: Cada

subcategoría en el núcleo del

Marco incluye referencias

9
 normativas a otros marcos o

estándares reconocidos, como

ISO 27001, COBIT 5, NIST SP-

83, ISA62443, entre otros.

Enfoque Complementario: El

Marco no reemplaza los

programas de gestión de riesgos

o ciberseguridad existentes en

una organización; en su lugar,

complementa estos programas.

El Marco NIST proporciona un

lenguaje común y una

estructura: Que facilita la

comunicación eficaz entre las

partes interesadas de una

organización, lo que es esencial

para una gestión efectiva de la

seguridad cibernética.

ESTRUCTURA En cuanto a la estructura de Estructura en Tres Partes: El

10
tres niveles, los requisitos del Marco consta de tres partes bien

negocio consisten en: definidas:

disponibilidad, eficacia,

eficiencia, integridad, Núcleo del Marco: Este núcleo

cumplimiento, fiabilidad, contiene funciones y actividades

confidencialidad de seguridad cibernética

comunes a todos los sectores y la

infraestructura crítica. Estas

funciones son Identificar,

Proteger, Detectar, Responder y

Recuperar. Proporcionan una

visión estratégica de alto nivel del

ciclo de vida del proceso de

gestión de riesgos de la

seguridad cibernética de una

organización.

Niveles de Implementación: El

NIST Framework ofrece niveles

de implementación que permiten

a las organizaciones medir y

comunicar su progreso en la

implementación de las funciones

11
 y categorías del núcleo. Ayuda a

adaptar la seguridad cibernética a

las necesidades específicas de

cada organización.

Perfiles del Marco: Los perfiles

permiten a las organizaciones

personalizar y adaptar el marco

según sus requisitos y riesgos

específicos. Ayudan a identificar

las áreas de enfoque y a tomar

decisiones informadas sobre

cómo gestionar los riesgos de

seguridad cibernética.

DIFERENCIAS  Se centra en los  Se centra en la gestión de

controles específicos de riesgos

TI desde una visión de  Se especifica en la

negocio. practicas relacionadas con

 Ofrece el paso a paso la ciberseguridad.

para adoptar practicas

de buena gobernanza.

SIMILITUD  Enfoque holístico  Enfoque holístico para un

basándose en un programa solido de

12
 conjunto de facilitadores ciberseguridad.

VENTAJAS  Proporciona un marco  El Marco de Ciberseguridad

de gobernanza integral del NIST ayuda a las

que alinea estrategias organizaciones a

de TI con objetivos comprender, gestionar y

comerciales. reducir drásticamente los

 Ofrece un enfoque riesgos cibernéticos.

estructurado y Proporciona una sólida

sistemático para la protección para sistemas,

mejora de los procesos redes y datos, lo que

de TI. disminuye la probabilidad de

 Establece un lenguaje amenazas cibernéticas.

estandarizado y un

conjunto de prácticas
 Cubren áreas cruciales como
para que las
la gestión de accesos,
organizaciones
detección de amenazas,
planifiquen y gestionen
respuesta a incidentes y
las actividades de
concienciación sobre
ciberseguridad.
seguridad. Ayuda a las

organizaciones a

implementar medidas de

13
 seguridad adecuada y

efectiva.

 El marco NIST alinea los

esfuerzos de seguridad de

las organizaciones con

estándares y enfoques

ampliamente aceptados.

 Facilita el establecimiento de

indicadores clave de

rendimiento (KPIs) y métricas

para evaluar el progreso en la

gestión de riesgos y la

implementación de controles.

DESVENTAJAS  Su implementación  La cantidad de controles y

puede generar costos prácticas puede requerir un

elevados, dependiente tiempo significativo para

del estado actual de la comprender y aplicar

compañía. adecuadamente.

 Requiere un estudio  La implementación

detallado para su completa del marco NIST

implementación. puede ser costosa, ya que

 Es necesario el cambio puede requerir inversiones

14
 de mentalidad en la en tecnología, recursos

organización para humanos y capacitación.

satisfacer los  Dado que la ciberseguridad

requerimientos que es un campo en constante

puedan presentarse en evolución, el marco NIST

la implementación. requiere actualizaciones

regulares para mantenerse

al día con las últimas

amenazas y mejores

prácticas.

1.2.1 Tabla 1. Comparación marco COBIT Y NIST. Autoría propia.

15
Análisis de la pertinencia marco COBIT

1.3 PLANIFICACIÓN Y ORGANIZACIÓN (PO)

En COBIT para el dominio Planificación y Organización (PO) perteneciente a la

financiera BankSecure es uno de los dominios clave que proporciona un marco de

referencia para la gestión de la tecnología de la información (TI). Este dominio se

centra en las actividades y procesos relacionados con la planificación estratégica y

la organización de los recursos de TI para garantizar que estén alineados con los

objetivos y las necesidades de la BankSecure.

Para el caso de la financiera BankSecure del marco COBIT del dominio

Planificación y Organización se identifica que el departamento de operaciones es

responsabilidad de este dominio porque la planificación y organización de las

operaciones diarias, incluyendo la gestión de datos confidenciales y la integridad

de las transacciones, requiere una estrategia y estructura adecuadas de TI.

Se aplican los procesos de dominio:

1.3.1 PO1. Definición de un plan estratégico TI

 Realizar un análisis exhaustivo de las necesidades tecnológicas

actuales y futuras de la organización, considerando la seguridad de

la información como un pilar clave.

 El plan estratégico de TI se enfoca en garantizar la continuidad de

las operaciones, la seguridad de los datos y la mejora continua de la

infraestructura tecnológica.

16
  Metas y objetivos claros, como la implementación de soluciones

avanzadas de seguridad, la adopción de la nube para aumentar la

flexibilidad y la resiliencia, y la capacitación continua del personal en

temas de seguridad.

 El plan estratégico se revisa y actualiza regularmente para adaptarse

a las cambiantes amenazas de seguridad y las oportunidades

tecnológicas emergentes, asegurando así la alineación constante

con los objetivos de negocio y de seguridad de la información.

1.3.2 PO2. Definición de la arquitectura de la información

 La definición de la arquitectura de la información en BankSecure es

un proceso que implica la identificación de tipos de datos críticos, su

clasificación según su nivel de sensibilidad y la estructuración de la

forma en que se almacenan, procesan y protegen.

 Se puede establecer una jerarquía de acceso a los datos,

asegurando que solo las personas autorizadas tengan acceso a la

información más sensible.

 Estándares de seguridad, como la encriptación de datos en reposo y

en tránsito, para garantizar la confidencialidad e integridad de los

datos en todo momento.

17
1.3.3 PO3. Determinación de la dirección y relaciones de TI

 Colaboración estrecha entre los departamentos de TI y Operaciones

para garantizar que la tecnología sea un aliado en la consecución de

los objetivos operativos.

 Participación activa de TI en las decisiones estratégicas de la

organización, asegurando que la tecnología esté alineada con la

visión y misión de BankSecure.

1.3.4 PO4. Definición de la organización y relaciones TI

 Las relaciones de colaboración entre TI y otros departamentos, como

Cumplimiento y Operaciones, para garantizar una alineación efectiva

y el cumplimiento de los objetivos de seguridad y operativos.

 Cultura organizativa que valora la importancia de la seguridad de la

información y la tecnología como elementos críticos para el éxito de

BankSecure.

1.3.5 PO5. Administrar las inversiones de TI

 La inversión se orienta hacia soluciones de alta calidad que cumplan

con los estándares de seguridad y regulaciones aplicables en el

sector financiero.

 Procesos de revisión y aprobación de inversiones de TI que involucra

a múltiples departamentos, incluyendo TI y Operaciones, para

18
 garantizar que las inversiones estén alineadas con los objetivos

estratégicos de la organización y las necesidades operativas.

 Actualización de hardware y software para garantizar la seguridad y

la eficiencia de las operaciones diarias.

1.3.6 PO6. Comunicación de los objetivos y expectativas de la gerencia

 Enfoque de cascada de comunicación para asegurarse de que los

mensajes clave lleguen a todos los niveles del departamento de

Operaciones.

 Creación de políticas y procedimientos específicos que reflejen estos

objetivos y que estén disponibles para todo el personal.

1.3.7 PO7. Administración de los recursos humanos

 La administración de los recursos humanos en el Departamento de

Operaciones de BankSecure se centra en garantizar que el personal

esté debidamente capacitado en seguridad de la información.

 Programa de formación continua en seguridad que abarca a todo el

equipo, desde los empleados de nivel básico hasta los directivos.

1.3.8 PO8. Garantía del cumplimiento de requisitos externos

19
  La garantía del cumplimiento de requisitos externos en el

Departamento de Operaciones de BankSecure se basa en la revisión

y adaptación constantes a las regulaciones externas relevantes.

 Equipo dedicado a supervisar los cambios en las regulaciones y a

asegurarse de que las políticas y prácticas cumplan con los

requisitos aplicables.

 Auditorías regulares internas y externas para verificar el

cumplimiento y se toman medidas correctivas cuando sea necesario.

1.3.9 PO9. Evaluación de riesgos

 Se identifican los riesgos específicos, se evalúa su probabilidad y el

impacto potencial en las operaciones y la seguridad de la

información.

 Herramientas y metodologías de evaluación de riesgos para priorizar

las acciones de mitigación y se implementan controles adecuados

para minimizar los riesgos identificados.

 Revisión periódica de la evaluación de riesgos para asegurarse de

que esté actualizada y refleje las amenazas cambiantes.

1.3.10 PO10. Administración de proyectos

 Metodología de gestión de proyectos reconocida, como Agile o PMI,

para planificar, ejecutar y controlar proyectos de manera efectiva.

20
  Se establecen planes de contingencia específicos para proyectos

críticos que aborden posibles amenazas de seguridad y garantice la

continuidad de las operaciones en caso de problemas

1.3.11 PO11. Administración de calidad

 Auditorías internas regulares para evaluar la eficacia de los procesos

en términos de calidad y seguridad de la información.

 La retroalimentación y la mejora continua son parte integral de la

cultura organizativa, permitiendo identificar oportunidades de mejora

y aplicarlas en los procesos operativos y de seguridad.

1.4 ADQUIRIR E IMPLEMENTAR (AI)

Para el caso de BankSecure con relación al dominio de Adquirir e Implementar

del marco COBIT se aplican varias características que se manejan en esta

situación de estudio. Dentro del proceso de ejecución de la estrategia de TI es

necesario identificar, desarrollar o adquirir soluciones de TI que permitan

garantizar la seguridad de los datos. Posterior a los procesos indicados

anteriormente se requiere implementar e integrar estos aspectos en el proceso del

negocio.

21
En cuanto al caso de BankSecure se identifica que el departamento de Tecnología

de la Información es el responsable de gestionar la infraestructura tecnológica

encargada de brindar la seguridad a los distintos procesos tecnológicos que

manejan datos críticos, para lo cual se pueden aplicar los procesos del dominio de

adquirir e implementar de la siguiente manera:

1.4.1 AI1. Identificación de soluciones.

 La institución financiera BankSecure cuenta con una solución de Firewall

el cual se encarga de restringir el tráfico de red no autorizado y detectar las

posibles amenazas que puedan afectar la infraestructura tecnológica y los

datos.

 Bases de datos de las distintas aplicaciones.

 Grupo Servidores encargados de proporcionar el almacenamiento, gestión

y procesamiento de las aplicaciones, bases de datos y dominio de red.

 Sistema de Detección de Intrusos (IDS).

 Programas de antivirus.

1.4.2 AI2. Adquisición y mantenimiento de software de aplicación.

22
  Se debe realizar el mantenimiento de las aplicaciones, con el fin de

garantizar su estabilidad y eficiencia. Estas labores deben ir encaminadas a

la actualización del versionamiento y corrección de fallas.

 Con relación a la solución de antivirus se debe ofrecer una actualización

permanente de su base de datos y versión, de acuerdo con las indicaciones

del fabricante, así como verificar la instalación en los servidores y máquinas

de usuario.

 Las bases de datos también deben ser incluidas en este proceso.

1.4.3 AI3. Adquisición y mantenimiento de arquitectura tecnológica.

 Este proceso garantiza el mantenimiento del grupo de servidores, que

involucre el hardware y sistema operativo de los mismos, con el fin de evitar

daños por desgaste en componentes o falta de mantenimiento.

 Mantenimiento de la solución de Firewall que asegure tanto el

funcionamiento del hardware como la actualización del firmware y la

correcta configuración dependiendo de los cambios en el negocio o de

nuevos ajustes requeridos.

 Mantenimiento a los diferentes equipos de red que incluya centros de

cableado, Switches, Router, cableado estructurado y conexiones a nivel

WAN. Este manteamiento debe garantizar que los proveedores de servicio

cumplan con los distintos acuerdos de niveles de servicio.

23
  Para fortalecer la seguridad se pueden implementar distintos equipos que

fortalecen y complementan los sistemas actuales, entre los que se pueden

incluir se encuentra: Sambox (sistema de aislamiento de procesos), CIEM

(Gestión de derechos de infraestructura en la nube) y WAF (Firewall de

aplicaciones Web).

1.4.4 AI4. Desarrollo y mantenimiento de TI.

 Este proceso garantiza en la organización BankSecure el desarrollo de

nuevas soluciones que permitan facilitar y fortalecer la seguridad del

manejo de la información, así como la constante capacitación del personal

de TI, permitiendo especializar a los integrantes de grupo en las distintas

disciplinas de TI.

1.4.5 AI5. Instalación y acreditación de sistemas.

 Para la gestión, mantenimiento e implementación de los diferentes

sistemas y equipos tecnológicos de BankSecure se debe garantizar el

correcto funcionamiento e instalación, contando con el personal idóneo para

estas actividades y aplicando los estándares y certificaciones generadas

para cada ámbito.

 El grupo de servidores debe contar con sistemas operativos actualizados y

licenciados.

24
  La red debe estar certificada de acuerdo con los estándares

internacionales.

 Los equipos de seguridad informática perimetral deben contar con

versiones de S.O actualizadas y licenciadas.

1.4.6 AI6. Administración de cambios.

 Para los cambios que se requieran en los diferentes sistemas se debe

contar con un comité de cambios, el cual se encarga de analizar las

repercusiones que producirá cada cambio, con el fin de identificar los

riesgos y minimizar las consecuencias que estos puedan traer. Este comité

debe estar integrado por un grupo interdisciplinario que garantice el

conocimiento en todos los sistemas.

1.5 EVALUAR Y MONITORIZAR (EM)

Teniendo en cuenta la evaluación y la monitorización es imprescindible vigilar y

evaluar todos los procesos de TI, a medida que el tiempo pasa, para poder

determinar la calidad y el cumplimiento de los requerimientos de control

correspondiendo a la vigilancia gerencial en sus funciones de procesos de control

de la organización y una garantía provista por la auditoria interna o externa para el

debido cumplimiento de dichas normas.

25
¿Se mide el desempeño de TI para detectar problemas antes de que sea

demasiado tarde?

Dentro de la métrica de desempeño de Banksecure las auditorías realizadas por el

personal de departamento de cumplimiento y auditoria en el manejo de la TI y el

tratamiento confidencial de datos.

¿La administración se asegura que los controles internos sean efectivos y

eficientes?

Para ello cuenta con los departamentos de tecnología de la información y el

departamento de auditoria.

¿Es posible establecer la relación entre el desempeño de TI y las metas del

negocio?

La seguridad de la información plantea un plan complejo para evaluar a

proveedores y socios, dado que se debe manejar la información

seleccionadamente para que no hay intrusos en el sistema y se genere un colapso

económico.

¿Existen mecanismos para medir y reportar los riesgos, el control,

cumplimiento y desempeño de TI?

Si. Se efectúa mantenimiento y seguridad a la red interna, a las bases de

datos, a la seguridad en los servidores. El control por medio de Firewall y

antivirus, encriptación de datos, procesos de doble autenticación y usuarios y

contraseñas. Sin embargo, los ataques a la ciberseguridad pueden ser

replanteados en la red.

26
Se debe definir algunos procesos para este dominio.

1.5.1 M1. Monitoreo de procesos

Dentro del monitoreo de procesos se observa que el departamento de

auditoría y cumplimiento regula las normas vigentes y los procesos de

operación de seguridad de los datos de los clientes basados en un sistema de

filtros de seguridad implementado controles necesarios para la protección de la

información.

1.5.2 M2. Evaluación del control interno

La evaluación del control interno está dada por la gerencia y el

departamento de auditoria, su objetivo es brindar la calidad y trasparencia de

los procesos en el banco, además contribuye a la idoneidad y suficiencia de los

controles. Se realiza auditorias regulares para dicho cumplimiento en

Banksecure dada la afluencia de clientes cada día manteniendo actualizada las

regulaciones y normas correspondientes.

1.5.3 M3. Obtención de certificación independiente

Dominio no influyente.

1.5.4 M4. Provisión de auditoría independiente

En este subdominio Banksecure no cuenta con una auditoría independiente

ya que cuenta con auditoria interna, sin embargo, es necesario establecer una

auditoria externa provisional para tener un amplio panorama de dichas

auditorias y realizar puntos de comparación y establecer condiciones de mejora

en los procesos.

27
 2 BANKSECURE (NORMAS ISO 27001-27002)

La institución financiera BankSecure enfrenta numerosos desafíos para

proteger sus datos confidenciales y garantizar la seguridad de la información. En

cuanto a los activos de información críticos maneja una gran cantidad de datos

confidenciales, como información personal de los clientes, datos financieros,

registros contables y estrategias comerciales. Estos activos deben protegerse de

manera adecuada para evitar el acceso no autorizado, la pérdida o la alteración y

es allí donde se hace necesario adoptar la norma ISO 27001 ofreciendo un marco

integral para establecer, implementar, mantener y mejorar continuamente los

Sistemas de Gestión de Seguridad de la Información (SGSI) de Banksecure

fortaleciendo sus defensas contra las amenazas cibernéticas, demostrando su

compromiso con la protección de la información de sus clientes y manteniendo el

cumplimiento normativo.

BankSecure tiene como objetivo principal garantizar la seguridad de la

información y proteger los activos de información críticos de la organización y de

sus clientes. Esto se logrará a través de la implementación de políticas y

procedimientos de seguridad de la información, la adopción de controles técnicos

y organizativos implementando la norma ISO

27001 se abordarían y enfocarían en los riesgos, permitiendo a esta institución

identificar y priorizar amenazas potenciales cubriendo aspectos cruciales como la

28
gestión de activos, el control de acceso y la planificación de respuesta a

incidentes. La implementación de estas medidas dentro de su SGSI permitiría a

"BankSecure" mitigar eficazmente los riesgos, mejorando la postura general de

seguridad de la información y garantizando el cumplimiento de las regulaciones de

la industria.

Un componente clave de ISO 27001 que aplicaría de manera eficaz en

"BankSecure" en su entorno de medidas de seguridad físicas y lógicas, como el

control de acceso a las instalaciones, la encriptación de datos, la autenticación de

usuarios y el monitoreo de seguridad seria su énfasis en la mejora continua y las

auditorías periódicas garantizando que permanezca activa en cuanto a su

seguridad de la información. Este enfoque fomentaría una cultura de resiliencia, lo

que permitiría a "BankSecure" adaptarse a las amenazas emergentes

manteniendo al mismo tiempo medidas de seguridad sólidas. Como resultado, ISO

27001 sería un marco indispensable para "BankSecure", porque le proporcionara

las herramientas necesarias para salvaguardar los datos confidenciales y

mantener la confianza de los clientes en un mundo cada vez más digital.

"BankSecure" requerirá la participación y colaboración de todos los empleados

de su entidad, desde los altos directivos hasta el personal de apoyo para empezar

a experimentar mejoras significativas en sus medidas de seguridad de la

información, apoyándose de la norma iso 27001 protegiéndose de esta manera

eficazmente los datos confidenciales de los clientes. La adopción de este sólido

29
estándar mejoraría su postura de seguridad y mostraría su dedicación para

preservar la confianza del cliente y cumplir con estrictas regulaciones de la

industria. Llevándose a cabo una amplia capacitación en seguridad de la

información para concientizar a los empleados sobre las mejores prácticas de

seguridad y promover una cultura de seguridad en toda la organización.

La norma ISO 27002 se aplicaría e implementaría en "BankSecure"

estableciendo directrices y principios generales para iniciar, implementar,

mantener y mejorar la gestión de la seguridad de la información en la organización

incluyendo la selección, implementación y administración de controles, teniendo

en cuenta los entornos de riesgo encontrados en la empresa lo que sería muy

importante para esta ya que ayudaría en gran manera a realizar de manera

satisfactoria uno de sus desafíos el cual es mejorar continuamente la seguridad

de la información, ser una institución financiera líder en el sector. Implementando

esta norma permitiría a la organización proteger los activos de información críticos

y mantener la confianza de sus clientes en un entorno de amenazas en constante

evolución garantizando la seguridad de la información y la protección de los

activos financieros y datos sensibles proporcionando de esta manera un conjunto

de controles y mejores prácticas de seguridad de la información que ayudarían de

gran manera a "BankSecure" fortaleciendo su postura de seguridad y

cumpliendo con las regulaciones específicas de esta institución bancaria

evaluando los riesgos comenzando con una evaluación exhaustiva de estos,

identificando los activos críticos, amenazas y vulnerabilidades, y evaluando el

impacto potencial de los incidentes de seguridad en la operación bancaria

30
determinando qué partes de "BankSecure" estarán cubiertas por el sistema de

gestión de seguridad de la información (SGSI) basado en ISO 27002. lo que

incluiría áreas como la gestión de cuentas, la banca en línea, la gestión de activos,

entre otras.

La norma ISO 27002 incluiría un conjunto de controles de seguridad aplicables

en "BankSecure". Estos controles se agruparían en categorías como políticas de

seguridad, gestión de activos, acceso lógico y físico, seguridad en la comunicación

y otros en donde se seleccionarían controles los cuales serían relevantes para las

necesidades y riesgos específicos en la entidad.

Una vez seleccionados los controles, se implementaría un plan para poner en

práctica estos controles de seguridad en toda la organización. incluyendo la

creación de políticas y procedimientos, la capacitación del personal y la

configuración de sistemas de seguridad.

La norma ISO 27002 se enfatizaría en la importancia de monitorear y medir el

desempeño de los controles de seguridad de "BankSecure” lo que implicaría la

implementación de sistemas de monitoreo y la realización de auditorías de

seguridad periódicas.

El SGSI basado en ISO 27002 sería un proceso llevado a cabo de manera

continua en la entidad ya que se ha comprometido a garantizar la seguridad de la

información y proteger la confidencialidad, integridad y disponibilidad de los datos

sensibles de sus clientes. Para lograr esto, la organización ha decidido

implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que

31
permita una mejora continua en las medidas de seguridad implementadas

revisando y mejorando constantemente sus medidas de seguridad de acuerdo con

los cambios en el entorno de amenazas y los requisitos regulatorios en evolución

asegurándose de que la implementación de ISO 27002 cumpla con las

regulaciones específicas de la industria bancaria, como la Ley Gramm-Leach-

Bliley (GLBA) en los Estados Unidos o la Directiva de Servicios de Pago (PSD2)

en la Unión Europea.

32
 CONCLUSIONES

Utilizando los modelos desarrollados para cada uno de los procesos IT de

COBIT, la gerencia podrá identificar:

 El desempeño real de la empresa y donde se encuentra

 El estatus actual de la empresa. Puntos de comparación.

 El objetivo de mejora de la empresa. Donde quiere estar.

33
 BIBLIOGRAFÍA

(Anónimo). Oas.org. Retrieved September 12, 2023,

https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-

ESP.pdf

Definición de COBIT. (2014, 19 de agosto). Actualícese |; Actualícese.

https://actualicese.com/definicion-de-cobit/

El Marco de Ciberseguridad del NIST y su área de recuperación. (2020, 27 de

octubre). ValoraData. https://www.valoradata.com/blog/el-marco-de-

ciberseguridad-del-nist-y-su-area-recuperacion/

Los cinco principios de COBIT 5. (Dakota del Norte). Edu.pe. Recuperado el 12 de

septiembre de 2023, de https://www.esan.edu.pe/conexion-esan/los-cinco-

principios-de-cobit-5

NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (pp 1-

44). https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

Office of the Government Chief Information Officer. (2022). An Overview of

ISO/IEC 27000 family of Information Security Management System Standards. (pp

4-6).

34
https://www.ogcio.gov.hk/en/our_work/information_cyber_security/collaboration/

doc/overview_of_iso_27000_family.pdf

¿Qué es COBIT? Definiciones, funciones y características. (2021, 28 de junio).

Pensamientos de Freshservice. https://www.freshworks.com/freshservice/es/que-

es-cobit-definicion-ventajas-y-funciones-blog/

Ritegno, E. (2019). COBIT 2019. (pp 1-43)

https://iaia.org.ar/wp-content/uploads/2019/07/COBIT2019-IAIA.pdf

Valencia, F. (2021). Sistema de gestión de seguridad de la información basado en

la familia de normas ISO/IEC 27000 (pp 72, 74-75, 127-128).

http://www.fadmon.unal.edu.co/fileadmin/user_upload/extension/cursos/

imagenes_cursos/digitales_septiembre/sistema_de_gestion_de_seguridad-1.pdf

35