NIST SP800-53 Rev.3 con COBIT 4.

1
Alvarez Alvarez, Gustavo Alexander

UNIVERSIDAD NACIONAL DE TRUJILLO

Escuela de Informática

1. INTRODUCCION:

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of
Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de
los Estados Unidos. La misión de este instituto es promover la innovación y la competencia
industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que
mejoren la estabilidad económica y la calidad de vida.

Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia
de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para
la mayoría de los avances tecnológicos actuales. También están directamente involucrados en el
desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fue
originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre que
tuvo desde 1901 hasta 1988. El progreso e innovación tecnológica de Estados Unidos dependen de
las habilidades del NIST, especialmente si hablamos de cuatro áreas: biotecnología,
nanotecnología, tecnologías de la información y fabricación avanzada.

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la
Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos
y organizaciones académicas para todos los interesados en la seguridad.
Este documento será dedicado al análisis del Documento 800 – 53.

 SP 800-53 Rev. 2 (Noviembre, 2007) DRAFT Recommended Security Controls for Federal
Information Systems.
 SP 800-53 Rev.1 (Diciembre, 2006) Recommended Security Controls for Federal Information
Systems.
 SP 800-53 Rev.3 (Agosto, 2009) Recommended Security Controls for Federal Information
Systems and Organizations.

2. FUNDAMENTOS

2.1. Organización y Estructura del Control de Seguridad

Los controles de seguridad descritos en 800-53 tienen una organización bien definida y
estructurada. Para facilidad de selección del Control de Seguridad y las especificaciones de sus
procesos se organizan en 17 familias.

1
 Id Familia Clase
AC Access Control (Control de Acceso) Técnico
AT Awareness and Training (Sensibilización y Formación) Operativo
AU Audit and Accountability (Auditoria y Rendición de Costos) Técnico
CA Security Assessment and Authorization (Evaluación de la Seguridad Gestión
y Autorización)
CM Configuration Management (Gestión de Configuración) Operativo
CP Contingency Planning (Plan de Contingencia) Operativo
IA Identification and Authentication (Identificación y Autentificación) Técnico
IR Incident Response (Respuesta a Incidentes) Operativo
MA Maintenance (Mantenimiento) Operativo
MP Media Protection (Medios de Protección) Operativo
PE Physical and Environmental Protection (Protección Física y del Operativo
Medio Ambiente)
PL Planning (Planeación) Gestión
PS Personnel Security(Seguridad del Personal) Operación
RA Risk Assessment (Evaluación de Riesgos) Gestión
SA System and Services Acquisition (Sistemas y Servicios de Gestión
Adquisición)
SC System and Communications Protection (Sistemas De Protección y Técnico
Comunicación)
SI System and Information Integrity (Integridad del Sistema y la Operación
Información)
PM Program Management (Programa de Gestión) Gestión
Tabla 1.1 Clases, familias e Identificadores de Control de Seguridad

2.2. Líneas Base de Control de Seguridad

Las organizaciones tienen la obligación de mitigar adecuadamente los riesgos derivados del
uso de la información y sistemas de información en la ejecución de las misiones y funciones
de negocios.

Un reto importante para las organizaciones es determinar el conjunto adecuado de controles

de seguridad, que si se ejecuta y decidido a ser efectiva, sería más rentable a mitigar el riesgo,
mientras cumpla con los requisitos de seguridad definidos por las leyes federales, órdenes
ejecutivas, directivas, políticas, normas o reglamentos.

Para ayudar a las organizaciones en la toma de la selección adecuada de los controles de

seguridad para un sistema de información, se introduce el concepto de los controles de
referencia. Los controles de referencia son el punto de partida para el proceso de selección de
los controles de seguridad descritos en SP800-53 y son elegidos en base a la categoría de
seguridad y nivel de impacto de los asociados del sistema de información determinado de
conformidad con FIPS 199 y FIPS 200 respectivamente. La medida de referencia de control de
seguridad es el conjunto mínimo de controles de seguridad para el sistema de información.
2
 Debido a que la base de referencia está destinado a ser un punto de partida de aplicación
general, los suplementos a la medida de referencia es probable que sea necesario para lograr la
mitigación de riesgos adecuada. La medida de referencia de control de seguridad se
completará sobre la base de una evaluación organizacional de riesgo y los controles que
resulta documentado en el plan de seguridad para el sistema de información.

2.3.Controles Comunes

Los controles más comunes son los controles de seguridad que se pueden heredar de uno o
más sistemas de información de la organización. La organización asigna la responsabilidad de
los controles comunes a los funcionarios apropiados de organización y coordina el desarrollo,
implementación, evaluación, autorización y supervisión de los controles. La identificación de
los mandos común es más eficaz a cabo como una actividad de toda la organización con la
participación activa del responsable de información de alto oficial de seguridad de la
información, el ejecutivo de riesgo (función), se autoriza a los funcionarios, los propietarios
de sistema de información, los propietarios de la información / administradores, y la
información oficiales de seguridad del sistema. La actividad de toda la organización
considera que las categorías de seguridad y niveles de impacto asociados de los sistemas de
información dentro de la organización, de conformidad con FIPS 199 y FIPS 200, así como
los controles de seguridad necesarias para mitigar adecuadamente los riesgos derivados de la
utilización de esos sistemas.

Por ejemplo, los controles comunes pueden ser identificados para todos los sistemas de
información de bajo impacto, teniendo en cuenta los controles de seguridad asociados de
referencia en el Apéndice D. ejercicios similares pueden llevarse a cabo por impacto
moderado y alto impacto de los sistemas de información también. Cuando los controles
comunes de protección de múltiples sistemas de información de la organización de los
diferentes niveles de impacto, los controles se aplican en relación con el nivel más alto
impacto entre los sistemas.

Muchos de los controles de seguridad necesarios para proteger los sistemas de información
de la organización (por ejemplo, los controles de la planificación de contingencia, los
controles de respuesta a incidentes, la formación de seguridad y control de sensibilización, el
personal de los controles de seguridad, los controles de protección física y ambiental, y los
controles de detección de intrusos) son excelentes candidatos para el régimen de control
común.

Programa de información de gestión de seguridad de control (véase el anexo G, la familia

PM) también pueden considerarse controles comunes de la organización dado que el control
se emplean en el nivel de organización y suelen atender a múltiples sistemas de información.
Mediante la gestión centralizada y documentar el desarrollo, implementación, evaluación,
autorización y supervisión de los controles comunes, los gastos de seguridad puede ser
amortizado a través de múltiples sistemas de información.

Controles comunes son por lo general se documenta en la organización en todo el plan de

seguridad de la información del programa a no ser aplicado como parte de un sistema de
información específica, en cuyo caso los controles están documentados en el plan de
seguridad para ese sistema. Las organizaciones tienen la flexibilidad para describir los
controles comunes en un solo documento o en varios documentos. En el caso de varios
documentos, los documentos que describen los controles comunes se incluyen como anexos a
la información del plan de programa de seguridad. Si la información del plan de seguridad del
programa contiene varios documentos, la organización se especifica en cada documento

3
 oficial de la organización o los funcionarios responsables de la elaboración, ejecución,
evaluación, autorización y supervisión de los controles respectivos común. Por ejemplo, la
organización podrá exigir que la Oficina de Gestión de Instalaciones desarrollar,
implementar, evaluar, autorizar y supervisar continuamente los controles de protección física
y ambiental de la familia del PE cuando dichos controles no se asocian con un determinado
sistema de información, sino que, el apoyo a múltiples sistemas.

Cuando los controles comunes se incluyen en un plan de seguridad adicional para un sistema
de información (por ejemplo, controles de seguridad de empleados como parte de un sistema
de detección de intrusos proporcionar protección frontera heredada por uno o más sistemas de
información de la organización), la información del plan de seguridad del programa indica
que el plan de seguridad independiente contiene una descripción de los controles comunes.

Los controles de seguridad no designados como controles comunes se consideran sistema de

controles específicos de los controles o híbridos. Sistema de controles específicos son la
principal responsabilidad de los propietarios de la información y sus respectivos funcionarios
de autorización. Organizaciones de asignar una condición híbrida a un control de seguridad
cuando una parte del control se considera común y otra parte del control se considera
específico del sistema. Por ejemplo, una organización puede implementar la Política de
Respuesta a Incidentes de seguridad y control de los procedimientos (IR-1) como control
híbrido con la parte política de control considera que la parte común y los procedimientos del
control considera específico del sistema.

Controles híbridos también pueden servir como plantillas para el refinamiento de control.
Una organización puede elegir, por ejemplo, para aplicar el control de seguridad de
Planificación de Contingencias (CP-2) como una plantilla para un plan de contingencia
generalizada para todos los sistemas de información de la organización con los propietarios
individuales del sistema de información adaptar el plan, en su caso, para el sistema de usos
específicos.

Particionado en los controles de seguridad común, mixto, y el sistema de controles

específicos puede resultar en un ahorro significativo a la organización en la aplicación y
evaluación de costes, así como una aplicación más coherente de los controles de seguridad en
toda la organización. Si bien el concepto de compartimentación de control de seguridad en
común, híbrido, y el sistema de controles específicos es sencillo e intuitivo, la aplicación
dentro de una organización requiere de una planificación importante y la coordinación.

2.4.Control de Seguridad en Ambientes Externos

Las organizaciones son cada vez más dependiente de los servicios del sistema la información
proporcionada por los proveedores externos para llevar a cabo importantes misiones y
funciones de negocios. Sistema de servicios externos de información son los servicios se
ejecutan fuera de los límites de la autorización establecido por la organización de sus
sistemas de información. Estos servicios externos pueden ser utilizados por, pero no son parte
de, los sistemas de información de la organización. En algunos casos, los servicios externos
del sistema de información puede reemplazar por completo la funcionalidad de los sistemas
de información interna. Las organizaciones son responsables y rendir cuentas de los riesgos
incurridos por el uso de los servicios prestados por proveedores externos y la dirección de
este riesgo mediante la aplicación de controles de compensación, cuando el riesgo es mayor
que el funcionario que autoriza o la organización está dispuesta a aceptar.

4
 Las relaciones con los proveedores externos de servicios estén establecidos en una variedad
de maneras, por ejemplo, a través de empresas mixtas, asociaciones comerciales, acuerdos de
contratación externa (es decir, a través de contratos, acuerdos interinstitucionales, las líneas
de acuerdos comerciales), acuerdos de licencia y / o intercambios de cadena de suministro. La
creciente dependencia de proveedores externos de servicios y que se están forjando nuevas
relaciones con los proveedores presentan desafíos nuevos y difíciles para la organización,
especialmente en el ámbito de la seguridad de la información del sistema. Estos retos
incluyen:

 Definir los tipos de servicios externos proporcionados a la organización.

 Describir cómo los servicios externos se protegerán de acuerdo con la seguridad
los requisitos de la organización.
 La obtención de las garantías necesarias de que el riesgo para las operaciones de la
organización y los bienes, las personas, otras organizaciones, y la Nación derivados de la
utilización de los servicios externos es aceptable.

FISMA y la política de la OMB exigir a los prestadores externos manejo de la información

federal o de funcionamiento de sistemas de información en nombre del gobierno federal para
cumplir los requisitos de seguridad que las agencias federales. Requisitos de seguridad para
los proveedores externos, incluyendo los controles de seguridad para sistemas de
procesamiento de información, almacenar o transmitir información federal se expresan en los
contratos adecuados u otros acuerdos formales con el Marco de Gestión de Riesgos y normas
de seguridad asociados NIST.

Las organizaciones pueden exigir a los proveedores externos para implementar todas las
medidas en el marco de gestión de riesgos descrito en el capítulo tres, con la excepción del
paso de la autorización de seguridad, que sigue siendo una responsabilidad federal inherente
que está directamente vinculada a la gestión de los riesgos relacionados con el uso del
sistema de información externa servicios.

2.5.Aseguramiento del Control de Seguridad

El aseguramiento es la base para la confianza de que los controles de seguridad aplicadas en

un sistema de información sean eficaces en su aplicación. El Aseguramiento puede ser
obtenido en una variedad de maneras, incluyendo:

 Las acciones adoptadas por los desarrolladores, implementadores y operadores en la

especificación, diseño, desarrollo, implementación, operación y mantenimiento de los
controles de seguridad.

 Acciones tomadas por los evaluadores de control de seguridad para determinar el grado
en que los controles se aplican correctamente, funcionan según lo previsto, y producir el
resultado deseado con respecto al cumplimiento de los requisitos de seguridad para el
sistema.

2.6.Revisiones y Extensiones

5
 El conjunto de controles de seguridad que figuran en esta publicación representa el estado
actual-de-la-práctica, las salvaguardias y medidas para los sistemas de información federal y
las organizaciones. Los controles de seguridad serán cuidadosamente examinadas y revisadas
periódicamente para reflejar:

 La experiencia adquirida en el uso de los controles

 Cambio de los requisitos de seguridad
 Nuevas amenazas, vulnerabilidades y los métodos de ataque
 La disponibilidad de nuevas tecnologías.

Los controles de seguridad en el catálogo de control de seguridad se espera que cambien con
el tiempo, como los controles se retiren, revisada, y añadió. Los controles de seguridad
definidos en las líneas de base baja, moderada y alta también se espera que cambie con el
tiempo a medida que el nivel de seguridad y la debida diligencia para mitigar los riesgos
dentro de los cambios organizaciones. Además de la necesidad de cambio, la necesidad de
estabilidad se abordarán, exigiendo que las adiciones propuestas, supresiones o
modificaciones en el catálogo de los controles de seguridad pasan por un riguroso proceso de
examen público para obtener comentarios públicos y privados del sector y crear consenso
para los cambios. Un conjunto estable y flexible y técnicamente rigurosa de los controles de
seguridad se mantendrá en el catálogo de control de seguridad.

3. EL PROCESO

3.1.Gestión de Riesgo

La selección y especificación de los controles de seguridad para un sistema de información se

lleva a cabo como parte de una organización en todo el programa de seguridad de la
información para la gestión del riesgo, es decir, el riesgo para las operaciones de la
organización y los bienes, personas, otras organizaciones y asociados a la Nación el
funcionamiento de un sistema de información. La gestión del riesgo es un elemento clave en
el programa de seguridad de la organización de la información y establece un marco eficaz
para la selección de los controles de seguridad apropiados para un sistema de información-los
controles de seguridad necesarias para proteger a los individuos y de las operaciones y los
activos de la organización. El enfoque basado en riesgos para la selección y especificación de
control de seguridad considera que la eficacia, la eficiencia, y las limitaciones impuestas por
las leyes federales, órdenes ejecutivas, directivas, políticas, reglamentos, normas o
directrices. Las siguientes actividades relacionadas con la gestión del riesgo, incluido como
parte de la Gestión de Riesgos, es fundamental para un programa efectivo de seguridad de la
información y puede ser aplicado tanto a nuevos sistemas tradicionales de información en el
contexto de la Arquitectura Empresarial Federal y el desarrollo del ciclo de vida del sistema.

 Categorizar el sistema de información y la información procesada, almacenada y

transmitida por este sistema basado en un análisis de impacto FIPS 199.
 Seleccionar un conjunto inicial de los controles de seguridad de referencia para el sistema
de información basado en el nivel de impacto en el sistema y los requisitos mínimos de
seguridad definidas en FIPS 200; aplicar la adaptación de orientación; complementar los
controles de seguridad de base a medida basada en una evaluación de la organización de
riesgo y las condiciones locales, incluyendo el medio ambiente de funcionamiento,
organización, requisitos de seguridad específicos, la información sobre amenazas

6
 específicas, análisis de costo-beneficio, o circunstancias especiales, y especificar los
requisitos de seguridad.
 Aplicación de los controles de seguridad y describir cómo los controles están empleados
en el sistema de información y de su entorno de operación.
 Evaluar los controles de seguridad utilizando los procedimientos de evaluación
adecuados para determinar la medida en que los controles se aplican
correctamente, funcionan según lo previsto, y producir el resultado deseado con
respecto al cumplimiento de los requisitos de seguridad para el sistema.
 Autorizar el funcionamiento del sistema de información basado en una determinación del
riesgo para las operaciones de la organización y los bienes, personas, otras
organizaciones, y la Nación como resultado de la operación del sistema de información y
la decisión de que este riesgo es aceptable.
 Supervisar los controles de seguridad en el sistema de información en forma permanente
incluyendo la evaluación de la eficacia del control, la documentación de cambios en el
sistema o de su entorno de operación, realizar análisis de impacto en la seguridad de los
cambios asociados, e informar el estado de seguridad del sistema de organización a los
funcionarios designados.

ESTRATEGIA DE
GESTION DE RIESGO
Descripción de Arquitectura Entradas de la Organización
Misión / Procesos de Negocio Punto de Inicio Leyes, Normas,
Modelos de referencia FEA Política de Orientación
Segmento de soluciones y Metas y objetivos estratégicos
arquitecturas Requisitos de Seguridad de la
Sistema de Información de Paso 1 Información
Fronteras •CATEGORIZAR Las Prioridades y la
• Sistemas de Información
disponibilidad de Recursos
Repetir si es necesario

Paso 6 Paso 2
•MONITORIZAR •SELECCIONAR
• Controles de Seguridad •Controles de Seguridad

FRAMEWORK DE
GESTIÓN DE
RIESGO
Paso 5
Ciclo de Vida Seguro Paso 3
•AUTORIZAR
• Sistemas de Información •IMPLEMENTAR
•Controles de Seguridad

Paso 4
•EVALUAR
•Controles de Seguridad

7
 Figura 3.1 Framework para la Gestión de Riesgo

3.2.Categorización del Sistema de Gestión

FIPS 199, la norma obligatoria de clasificación de seguridad, se basa en una simple y bien
establecido concepto-para determinar las prioridades de seguridad adecuadas para los
sistemas de información de la organización y, posteriormente, aplicar las medidas adecuadas
para proteger adecuadamente los sistemas. Los controles de seguridad aplicados a un
determinado sistema de información se corresponden con los posibles efectos adversos sobre
las operaciones de la organización, los activos de la organización, los individuos, otras
organizaciones, y la Nación debería haber una pérdida de confidencialidad, integridad o
disponibilidad. FIPS 199 exige que las organizaciones de clasificar sus sistemas de
información como de bajo impacto, moderado de impacto o de alto impacto para los
objetivos de seguridad de la confidencialidad, integridad y disponibilidad (RMF Paso 1). El
impacto potencial de los valores asignados a los objetivos de seguridad correspondientes, son
los valores más altos (es decir, alta marca de agua) de entre las categorías de seguridad que se
hayan determinado para cada tipo de información procesada, almacenada o transmitida por
los sistemas de información.

( , ), ( , ),
=
ó
( , )

Donde los valores aceptables para el impacto potencial son bajo, moderado o alto.

Como los valores de impacto potencial de la confidencialidad, integridad y disponibilidad

pueden no ser siempre la misma para un determinado sistema de información, el alto
concepto de la marca de agua se introduce en FIPS 200 para determinar el nivel de impacto
del sistema de información con el expreso propósito de seleccionar un conjunto inicial de los
controles de seguridad de una de las tres líneas de base de control de seguridad.

3.3.Selección de Controles de Seguridad

Una vez que se determina el nivel de impacto del sistema de información, la organización
inicia el proceso de control de seguridad de selección (RMF Paso 2). Hay tres pasos en el
proceso de selección de control llevadas a cabo de forma consecutiva:

(i) la selección de la serie inicial de los controles de seguridad de base

(ii) la adaptación de los controles de seguridad de base
(iii) que complementa la línea de base a medida.

Las secciones siguientes describen cada uno de estos pasos en mayor detalle.

Selección de los Lineamientos del Control de Seguridad

El primer paso en la selección de los controles de seguridad para el sistema de información es

elegir el conjunto adecuado de controles de referencia. La selección de la serie inicial de los
controles de seguridad de referencia se basa en el nivel de impacto del sistema de
8
información que determine el proceso de categorización de seguridad que se describen en la
sección 3.2. La organización selecciona uno de los tres conjuntos de controles de seguridad
de referencia en el apéndice D correspondiente a la incidencia de bajo, moderado impacto, o
de alta calificación de impacto del sistema de información. Tenga en cuenta que no todos los
controles de seguridad son asignados a las líneas de base, tal como indica la frase no
seleccionados. Del mismo modo, no todas las mejoras de control son asignados a las líneas de
base, según lo indicado por el control de seguridad no está seleccionado, o el número entre
paréntesis mejora, que no figuran en ninguna base.

Adaptación de los lineamientos del control de seguridad

Después de seleccionar el conjunto inicial de los controles de seguridad de referencia en el

apéndice D, la organización inicia el proceso de adaptación a modificar adecuadamente y
alinear los controles con las condiciones específicas dentro de la organización (es decir, las
condiciones específicas para el sistema de información o de su entorno de funcionamiento).
El proceso de adaptación incluye:

• Aplicación de información orientativa para la seguridad de referencia inicial de los

controles para obtener un conjunto preliminar de los controles aplicables a la base de
referencia a medida
• Selección (o especificar) compensar los controles de seguridad, si es necesario, para
ajustar el conjunto preliminar de controles para obtener un conjunto equivalente, se
consideró más factible de implementar
• Organización Especificar los parámetros definidos en los controles de seguridad a
través de la asignación explícita y las instrucciones de selección para completar la
definición de la línea de base a medida.

Para lograr un costo-efectiva, enfoque basado en riesgos para proporcionar seguridad de la

información adecuada organización a nivel mundial, la línea de base adaptar las actividades
son coordinadas y aprobada por los correspondientes funcionarios de la organización (por
ejemplo, se autoriza a los funcionarios, se autoriza a los representantes oficiales designados,
ejecutivo de riesgo (función), los directores de información, o agentes de seguridad de la
información) antes de la aplicación de los controles de seguridad. Las organizaciones tienen
la flexibilidad necesaria para realizar el proceso de adaptación en el nivel de organización
para todos los sistemas de información (ya sea como línea de base medida necesaria o como
punto de partida para un sistema específico de adaptación), en el nivel individual de sistema
de información, o mediante una combinación de la organización nivel y el sistema de
enfoques específicos. Adaptación de las decisiones de los controles de seguridad para todos
los afectados en la línea de base seleccionados, incluyendo las razones específicas de esas
decisiones, están documentados en el plan de seguridad para el sistema de información y
aprobado por los correspondientes funcionarios de organización como parte del proceso de
aprobación del plan de seguridad.

Amplitud de la Orientación

La determinación del alcance de orientación proporciona a las organizaciones con los

términos y condiciones específicos sobre la aplicabilidad y la aplicación de los controles de
seguridad individuales en las líneas de base de control de seguridad. Aplicación de

9
información orientativa ayuda a asegurar que las organizaciones de aplicar únicamente los
controles que son esenciales para proporcionar el nivel adecuado de protección para el
sistema de información basado en misión o requisitos específicos de las empresas y entornos
particulares de operación. Hay varias consideraciones de alcance se describe a continuación,
que pueden afectar a cómo los controles de seguridad de base se han aplicado y ejecutado por
las organizaciones:

 Consideraciones relacionadas con los Controles Comunes

Controles de seguridad designado por la organización como los controles comunes, en la

mayoría de los casos, gestionadas por una entidad de organización que no sea el
propietario de la red de la información. Decisiones de la organización en la que los
controles de seguridad son considerados como controles comunes en gran medida puede
afectar a la responsabilidad de los propietarios individuales del sistema de información
con respecto a la aplicación de los controles en una línea de base en particular. Cada
control de seguridad en la medida y completada conjunto de controles para un sistema de
información se identifica en el plan de seguridad como un sistema común y específica, o
un híbrido de control

 Consideraciones Relacionadas con los Objetivos de Seguridad

Controles de seguridad que el apoyo de sólo uno o dos de la confidencialidad, integridad

o disponibilidad de los objetivos de seguridad pueden ser degradados a la del control
correspondiente en un nivel inicial inferior (o modificados o eliminados si no se definen
en un nivel inicial inferior) si y sólo si, la degradación acción:

(i) es coherente con la categoría de seguridad FIPS 199 para el objetivo de seguridad
soportadas (s) antes de pasar al nivel de 200 FIPS de impacto (es decir, de alta marca
de agua)
(ii) el apoyo de una evaluación organizacional de riesgo;
(iii) no afecten negativamente el nivel de protección de la seguridad de la información
pertinente en el sistema de información.

 Consideraciones Relacionadas con la Asignación de Componentes del Sistema

Controles de seguridad en la línea de base representan un sistema de información amplio

conjunto de controles que no sean necesarias o aplicables a cada componente en el
sistema. Controles de seguridad sólo se aplican a los componentes del sistema de
información que proporcionar o apoyar la capacidad de seguridad dirigida por el control
y son fuentes de riesgo de ser mitigado por el control. Por ejemplo, los controles de
auditoría son generalmente asignados a los componentes de un sistema de información
que proporcionan la capacidad de auditoría (por ejemplo, servidores, etc) y no se aplican
necesariamente a todos los usuarios de estaciones de trabajo de nivel dentro de la
organización, o cuando el sistema de información los componentes son de un solo
usuario, no en red, o parte de una red físicamente aislados, uno o más de estas
características puede proveer una fundamentación adecuada para no asignar los controles
seleccionados para ese componente. Las organizaciones a evaluar el inventario de los
componentes del sistema de información para determinar que los controles de seguridad
aplicables a los diversos componentes y, posteriormente, tomar decisiones explícitas
sobre dónde asignar los controles a fin de satisfacer los requisitos de seguridad de la
organización.
10
 Consideraciones Relacionadas con la Tecnología

Los controles de seguridad que se refieren a tecnologías específicas (por ejemplo,

inalámbricas, criptografía, infraestructura de clave pública) sólo son aplicables si esas
tecnologías están empleadas o que son necesarios para ser empleados en el sistema de
información. Controles de seguridad que pueden ser apoyadas por mecanismos
automatizados que no requieren el desarrollo de mecanismos como si los mecanismos
todavía no existen o no son fácilmente disponibles en comerciales o gubernamentales
fuera de los productos disponibles. Por ejemplo, mecanismos automatizados pueden ser
utilizados para mantener al día, completa, exacta, y configuraciones de referencia de fácil
acceso de los sistemas de información de la organización. Si los mecanismos automáticos
no están fácilmente disponibles, rentable, o sea técnicamente posible, compensar a los
controles de seguridad, implementado a través de mecanismos o procedimientos no
automatizado, se utilizan para satisfacer las necesidades específicas de control de
seguridad (ver los términos y condiciones para la selección y aplicación de los controles
de compensación más adelante).

 Consideraciones Relacionadas con la Infraestructura Física

Los controles de seguridad que se refieren a las instalaciones de la organización (por

ejemplo, los controles físicos, como las cerraduras y los guardias, los controles
ambientales de temperatura, humedad, luz, fuego y poder) son aplicables únicamente a
las partes de las instalaciones que proporcionan directamente a la protección, el apoyo, o
se relacionan con el sistema de información (incluyendo sus activos de tecnología de
información como el correo electrónico o servidores web, granjas de servidores, centros
de datos, redes de nodos, estaciones de trabajo, dispositivos de protección de frontera, y
equipo de comunicaciones).

 Consideraciones Relacionadas a las Políticas / Regulaciones

Controles de seguridad que se ocupan de las cuestiones regidas por las leyes federales,
órdenes ejecutivas, directivas, políticas, normas o reglamentos (por ejemplo, las
evaluaciones de impacto en la privacidad) se exigirán únicamente si el empleo de estos
controles es coherente con el tipo de información y sistemas de información cubierta por
las leyes aplicables, órdenes ejecutivas, directivas, políticas, normas o reglamentos.

 Consideraciones Relacionadas con lo Operacional / Medio Ambiente

Los controles de seguridad que se basan en supuestos concretos sobre el entorno

operativo sólo son aplicables si el sistema de información empleado en el medio
ambiente asumido. Por ejemplo, algunos controles de seguridad física no puede ser
aplicable al espacio basado en sistemas de información y controles de temperatura y
humedad pueden no ser aplicables a los sensores remotos que existen fuera de las
instalaciones interiores que contengan sistemas de información.

11
 Consideraciones Relacionadas con la Escalabilidad

Los controles de seguridad son escalables, con respecto a la amplitud y el rigor de la

aplicación. La escalabilidad es guiada por la categorización de los 199 de seguridad FIPS
y 200 asociados FIPS impacto a nivel del sistema de información protegida. Por ejemplo,
un plan de contingencia para un sistema de alta incidencia de información pueden ser
muy largos y contienen una cantidad significativa de detalle de implementación. En
contraste, un plan de contingencia para un sistema de bajo impacto de la información
puede ser considerablemente más corta y contienen detalle de implementación mucho
menos. Discreción de uso de las organizaciones en la aplicación de los controles de
seguridad a los sistemas de información, tomando en consideración los factores de
escalabilidad en entornos particulares. Este enfoque facilita un análisis coste-efectiva,
enfoque basado en riesgos para la aplicación de control de seguridad que gasta más
recursos que los necesarios, sin embargo, logra suficiente y de mitigación de riesgos de
seguridad adecuadas.

 Consideraciones Relacionadas con el Acceso publico

Cuando se permite el acceso del público a los sistemas de información de la

organización, los controles de seguridad se aplican con discreción, ya que algunos
controles de seguridad de las líneas de base de control específicos (por ejemplo, la
identificación y autenticación, el personal de los controles de seguridad) pueden no ser
aplicables al acceso público. Por ejemplo, mientras que los controles de referencia exijan
la identificación y autentificación de personal de la organización que mantener y apoyar
los sistemas de información que prestan los servicios de acceso público, los mismos
controles que podrían no ser necesarios para el acceso a los sistemas de información a
través de interfaces públicas para obtener información disponible al público. Por otro
lado, la identificación y autenticación sería necesario para los usuarios de los sistemas de
acceso a la información a través de interfaces públicas en algunos casos, por ejemplo,
acceder o modificar su información personal.

Compensación de Control de Seguridad

Organizaciones puede resultar necesario en ocasiones, a emplear los controles de

compensación de seguridad. Esto puede ocurrir, por ejemplo, cuando una organización es
incapaz de implementar un control de seguridad en la línea de base o cuando, debido a la
naturaleza específica de un sistema de información o de su entorno de operación, el control
en la línea de base no es un medios rentables de la obtención de la reducción del riesgo
necesarias. Un control de la seguridad es una compensación de gestión, operativos o de
control técnico (es decir, la salvaguardia o de contramedida) empleados por una organización
en lugar de un control de seguridad recomendadas en las líneas de base de bajo, moderado o
alto descrito en el apéndice D, que proporciona un equivalente o nivel comparable de
protección para un sistema de información y la información procesada, almacenada o
transmitida por este sistema. Controles de compensación, elegidas normalmente después de la
aplicación de las consideraciones de alcance en la confección de orientación para el conjunto
inicial de los controles de seguridad de base. Por ejemplo, controles de compensación pueden
ser necesitados por la organización cuando la aplicación de tecnología basada en
consideraciones de hacer frente a la falta de capacidad para apoyar los mecanismos
12
 automatizados, como parte de un control de seguridad o el requisito de mejora de control. Un
control de compensación de un sistema de información sólo pueden ser empleados en las
siguientes condiciones:

• La organización selecciona el control de compensación de NIST Special Publication

800-53, o si un control adecuado de compensación no está disponible, la organización
adopta un control adecuado de compensación de otro origen;
• La organización ofrece apoyo justificación de cómo el control de compensación
ofrece una capacidad de seguridad equivalente en el sistema de información y por qué
los relacionados con el control de seguridad de base no puede ser empleada;
• La organización evalúa y acepta formalmente el riesgo asociado a emplear el control
de compensación en el sistema de información.

3.4.Monitoreo de Controles de Seguridad

Después de los controles de seguridad se aplican y se evaluó su eficacia, el sistema de

información está autorizada para operar conforme a la estrategia de gestión de la organización
de riesgo (RMF los pasos 3, 4 y 5). Posteriormente, inicia la organización específica de
seguimiento de las acciones como parte de un programa amplio de monitoreo continuo. El
programa continuo de monitoreo incluye una evaluación continua de la eficacia de control de
seguridad para determinar si existe la necesidad de modificar o actualizar el actual despliegue
conjunto de controles de seguridad sobre la base de los cambios en el sistema de información
o de su entorno de operación (RMF Paso 6).

En particular, la organización vuelve sobre una base regular, las actividades de gestión de
riesgos descrito en el Marco de Gestión de Riesgos. Además de las actividades en curso
relacionadas con la aplicación del Marco de Gestión de Riesgos, hay ciertos eventos que
pueden desencadenar la inmediata necesidad de evaluar el estado de seguridad del sistema de
información y si es necesario, modificar o actualizar los controles de seguridad actuales.
Estos eventos incluyen, por ejemplo:

 Un incidente en los resultados de una violación al sistema de información, produciendo

una pérdida de confianza por la organización en la confidencialidad, integridad o
disponibilidad de la información procesada, almacenada o transmitida por el sistema;
 Un recién identificada, creíble, un sistema de información relacionada con la amenaza a
las operaciones de la organización y los bienes, personas, organizaciones, o la Nación se
identifica sobre la base de información de inteligencia, información policial o de otras
fuentes fidedignas de información;
 Cambios significativos en la configuración del sistema de información a través de la
eliminación o adición de hardware nuevo o actualizado, el software o el firmware o los
cambios en el entorno operativo podría degradar el estado de seguridad del sistema,
 Cambios significativos en la estrategia de la organización de gestión de riesgos, la
política de seguridad de la información, con el apoyo de misiones y funciones de
negocios, o información procesada, almacenada o transmitida por el sistema de
información.
Cuando ocurren estos eventos, las organizaciones, como mínimo, las siguientes acciones:

Reconfirmar la categoría de seguridad y el nivel de impacto del sistema de información.

La organización revisa la categoría de seguridad FIPS 199 y FIPS 200 impacto a nivel del
sistema de información para confirmar que la categoría de seguridad y el nivel de impacto en
13
el sistema previamente establecido y aprobado por el funcionario que autoriza siguen siendo
válidos. El análisis resultante puede proporcionar nuevas perspectivas en cuanto a la
importancia global del sistema de información al permitir a la organización para cumplir su
misión y responsabilidades de negocios.

Evaluar el estado actual de seguridad del sistema de información y el riesgo para las
operaciones de la organización y los bienes, las personas, otras organizaciones, y la Nación.
La organización investiga la vulnerabilidad del sistema de información (o vulnerabilidades)
explotados por la fuente de la amenaza (o con potencial de explotación por una fuente de la
amenaza) y los controles de seguridad a cabo actualmente en el sistema como se describe en
el plan de seguridad. La explotación de vulnerabilidades del sistema de información por una
fuente de amenaza puede deberse a uno o más factores, incluyendo pero no limitado a:

(i) la falta de controles de seguridad a cabo actualmente;

(ii) falta de controles de seguridad;
(iii) la fuerza insuficiente de controles de seguridad
(iv) un aumento en la capacidad de la fuente de amenaza. Utilizando los resultados de la
evaluación de la situación de seguridad actual, la organización vuelve a evaluar los
riesgos derivados de la utilización del sistema de información.

Planificar y emprender las acciones correctivas necesarias. Basándose en los resultados de

una evaluación actualizada sobre riesgos, la organización determina qué los controles de
seguridad adicionales y / o equipamiento de control o medidas correctivas para los controles
existentes son necesarias para mitigar los riesgos adecuadamente. El plan de seguridad para el
sistema de información se actualiza para reflejar los cambios iniciales en el plan original. Un
plan de acción y puntos de referencia se ha desarrollado para las deficiencias observadas o
deficiencias que no son inmediatamente corregidos y para la aplicación de cualquier
actualización de seguridad de control o controles adicionales.

Después de los controles de seguridad y / o mejoras de control se han aplicado y las otras
debilidades o deficiencias corregidas, los controles se evaluó la eficacia para determinar si los
controles se aplican correctamente, funcionan según lo previsto, y producir los resultados
deseados con respecto a la reunión de seguridad requisitos para el sistema de información. Si
es necesario, el plan de seguridad se actualiza para reflejar las medidas adicionales
correctivas adoptadas por la organización para mitigar el riesgo.

Considere la posibilidad de autorizar de nuevo el sistema de información.

Dependiendo de la severidad del evento, el impacto adverso sobre las operaciones de la
organización y los bienes, personas, otras organizaciones, y la Nación, y el alcance de las
acciones correctivas necesarias para subsanar las deficiencias identificadas o deficiencias en
el sistema de información, la organización puede necesitar a considerar la reautorización del
sistema de información de conformidad con las disposiciones del NIST Special Publication
800-37. El funcionario que autoriza toma la determinación final sobre la necesidad de volver
a autorizar el sistema de información en consulta con el ejecutivo de riesgo (función), el
sistema y la misión o de los propietarios de negocios, el alto oficial de seguridad de la
información, y el director de información. El funcionario que autoriza podrán optar por
realizar una reautorización limitado al centrarse sólo en los componentes afectados del
sistema de información y los controles de seguridad asociados y / o equipamiento de control
que se han cambiado durante la actualización. Autorizar a los funcionarios disponen de
suficiente información de las evaluaciones de control de seguridad para iniciar, con un grado
adecuado de confianza, las acciones correctivas necesarias.

14
4. COBIT

COBIT 4.1 (Control OBjectives for Information and related Technology | Objetivos de Control
para tecnología de la información y relacionada). Publicada originalmente como Los procesos y
las medidas de control de la vinculación a las necesidades del negocio, fue inicialmente utilizado
principalmente por la comunidad de seguros en relación con el negocio y los dueños del proceso.
Con la incorporación de pautas de manejo en 1998, COBIT fue utilizado con más frecuencia como
un marco de gestión, proporcionando herramientas de gestión tales como métricas y modelos de
madurez para complementar el sistema de control. Con el lanzamiento de COBI T 4.0 en 2005, se
convirtió en una más completa estructura de gobierno IT. Las actualizaciones incrementales a C
OBI T 4.0 se hicieron en 2007, ya que pueden verse como un ajuste del marco, no los cambios
fundamentales. La versión actual es COBI T 4.1.

Es el modelo para la Gobernabilidad de la TI desarrollado por la Information Systems Audit and

Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos
que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere
y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa. Enfatiza el cumplimiento normativo,
ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y
simplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con las
versiones anteriores del COBIT, sino que mejora el trabajo hecho.

Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero.

Lo ofrecen como una descarga libre desde http://www.isaca.org/cobit/ y como una ventaja especial
para miembros ISACA, está disponible a miembros exclusivamente durante un período de dos
semanas. Es un marco de gobernabilidad en TI que permite a gerentes acortar el hueco entre
exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo claro
de política y la práctica buena para el control de TI en todas partes de organizaciones.

La última versión del ITGI - COBIT ® 4.1 - acentúa el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en
práctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones más
tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre
aquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativas
de gobernación TI, o cuando una revisión y reparación del marco de control de la empresa es
esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de
regalos en una manera más dinamizada y práctica tan la mejora continua de la gobernación TI es
más fácil que alguna vez para alcanzar.

Esta nueva versión refleja la armonización aumentada con otras normas detalladas, el énfasis
mayor sobre la gobernación TI, el dinamizar de conceptos y lengua, y el análisis detallado de
conceptos de métrico, entre otras mejoras. El nuevo volumen, consistiendo en más de 200 páginas,
incluye una descripción ejecutiva, el marco, el contenido principal (el control de alto nivel
objetivos de control objetivos, detallados, directrices de dirección y el modelo de madurez) para
cada uno de los 34 procesos, y varios apéndices.

4.1. Función de COBIT

Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con

el respaldo de las principales normas técnicas internacionales, un conjunto de mejores
prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para
alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y

15
 medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.

Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente

aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar
las ventajas sacadas por el empleo de tecnología de información y desarrollo de la
gobernación apropiada TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de

COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones
relacionadas e inversiones pueden estar basadas. La toma de decisiones es más eficaz porque
COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la
arquitectura de la información, la adquisición del hardware necesario TI y el software para
ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del
funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de
información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar
para gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda a
identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto
también les ayuda a corroborar sus conclusiones de auditoría.

La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego
autoritario, actualizado, internacional de objetivos de control de tecnología de información
generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. "
Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les
ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que es
necesario para proteger el activo de sus empresas por el desarrollo de un modelo de
gobernación TI.

4.2. FRAMEWORK COBIT

Es un kit de programas de COBIT que se completo es un juego que consiste en seis

publicaciones:

1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en práctica
6. Directrices de Dirección

Resumen (Sumario) Ejecutivo

Las decisiones de negocio están basadas en la información oportuna, relevante y concisa.

Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, el
Resumen (Sumario) COBIT Ejecutivo, consiste en una descripción ejecutiva que proporciona
una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios.
También incluido es un resumen del Marco, que proporciona un entendimiento más detallado
de estos conceptos y principios, identificando los cuatro dominios del COBIT (la
Planificación y la Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo,
la Supervisión) y 34 procesos de TI.-
16
Marco

Una organización acertada es construida sobre un marco sólido de datos e información. El

Marco explica como los procesos de TI entregan la información que el negocio tiene que
alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, un
para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los
siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la
disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la gente, usos,
tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente
apoyar el objetivo de negocio.-

Objetivos de Control

La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamente

es como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la
perspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos
de TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzados
por poniendo en práctica los 215 objetivos de control específicos, detallados en todas partes
de los 34 procesos de TI.-

Directrices De auditoria

Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivos
deseados y objetivos usted y coherentemente constantemente debe revisar sus
procedimientos. Directrices de auditoría perfilan y aconsejan actividades reales ser realizadas
correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando el
riesgo de objetivos de control no siendo encontrados. Directrices de auditoría son un
instrumento inestimable para interventores de sistemas de información en el aseguramiento
de dirección que provee y/o el consejo para la mejora.

Instrumento de puesta en práctica

Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección y el

Diagnóstico de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de
organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que pueden
ser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseñado
para facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizaciones
que rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y la
dirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio es
importante para nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien es
responsable? ¿Son formalizados los procesos y el control?

Directrices de Dirección

Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entre
procesos de negocio y sistemas de información. Las nuevas Directrices de Dirección son
compuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles de
expectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos,
para identificar las acciones más importantes para alcanzar control de los procesos de TI;
Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e
Indicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentra
su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de
preocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la
empresa.
17
4.3. KIT COBIT

Figura 4.3 Diagrama del Kit de Soluciones de COBIT

4.4. Implementación de COBIT

Organizaciones acertadas entienden las ventajas de tecnología de información (TI) y usan

este conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependencia
crítica de muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas de
cumplimiento crecientes reguladoras y las ventajas de riesgo directivo con eficacia. Para
ayudar organizaciones en satisfactoriamente la reunión de desafíos de hoy de negocio, el
Instituto de Gobernación TI ® (ITGI) ha publicado la versión 4.1 de Objetivos de Control
para la Información y ha relacionado la Tecnología (COBIT ®).

Riesgos Relacionado con el Manejo del Negocio:

• El empleo bajo sobre objetivos de negocio en el Marco COBIT

• seleccionan, procesa y controla TI apropiado por la organización de los Objetivos de
Control de COBIT
• funcionan del plan de negocio de organización
• evalúan procedimientos y los resultados con Directrices de Revisión de cuentas de
COBIT
• evalúan el estado de la organización, identifican factores de éxito críticos, miden el
funcionamiento con las Directrices de Dirección

18
COBIT para desarrollar un conjunto sano de procesos:
• escogen los Objetivos de Control que caben los objetivos de negocio
• identifican los modelos de industria que proporcionan la dirección para apoyar
procesos (CMMI, Poblar CMM, ITIL)

COBIT cubre cuatro dominios:

 Planificación y Organización
 Adquiera e Instrumento
 Entregue y Apoyo
 Monitor y Evalúa

La Planificación y la Organización

La Planificación y el dominio de Organización cubren el empleo de tecnología y como mejor

esto puede ser usado en una empresa ayudar alcanzar los objetivos de la empresa y objetivos.
Esto también destaca la forma de organización e infraestructural TI debe tomar para alcanzar
los resultados óptimos y generar la mayor parte de ventajas del empleo de TI. La mesa
siguiente cataloga los objetivos de control nivel altos para el dominio de Organización y la
Planificación.

Objetivos De Control Nivel Altos

Planificación y Organización

PO1 Definen un Plan de TI Estratégico

PO2 Definen la Información Arquitectura
PO3 Determinan Dirección Tecnológica
PO4 Definen los Procesos de TI, Organización y Relaciones
PO5 Manejan la Inversión TI
PO6 Comunican Objetivos de Dirección y Dirección
PO7 Manejan Recursos TI Humanos
PO8 Manejan Calidad
PO9 Evalúan y Manejan Riesgos de TI
PO10 Manejan Proyectos

Adquiera e Instrumento
Identificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica
(realización) dentro de los procesos de negocio corrientes de la empresa. Este dominio
también dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptar
para prolongar la vida de un sistema TI y sus componentes. La mesa siguiente cataloga los
objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición.

Objetivos De Control Nivel Altos

Adquiera e Instrumento

AI1 Identifican Soluciones Automatizadas

AI2 Adquieren y Mantienen Software De aplicación
AI3 Adquieren y Mantienen Infraestructura de Tecnología
AI4 Permiten Operación y Usan AI5 Procuran Recursos TI
AI6 Manejan Cambios
AI7 Instalan y Acreditan Soluciones y Cambios

19
Entrega y Apoyo

La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnología de

información. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y sus
resultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente de
estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educación
(entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para el
dominio de Apoyo y la Entrega.

Objetivos De Control Nivel Altos

Entregue y Apoyo

DS1 Definen y Manejan Niveles de Servicio

DS2 Manejan Servicios de Tercero
DS3 Manejan Funcionamiento y Capacidad
DS4 Aseguran Servicio Continuo
DS5 Aseguran Seguridad de Sistemas
DS6 Identifican y Asignan Gastos
DS7 Educan y Entrenan a Usuarios
DS8 Manejan Escritorio de Servicio e Incidentes
DS9 Manejan la Configuración
DS10 Manejan Problemas
DS11 Manejan Datos
DS12 Manejan el Ambiente Físico
DS13 Manejan Operaciones

Monitor y Evaluación

La Supervisión y el dominio de Evaluación tratan con la estrategia de una empresa en la

evaluación de las necesidades de la empresa y si realmente la corriente TI el sistema todavía
encuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir con
exigencias reguladoras. La supervisión también cubre la cuestión de una evaluación
independiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocio
y los procesos de control de la empresa por interventores internos y externos. La mesa
siguiente cataloga los objetivos de control nivel altos para la Supervisión del dominio.

Objetivos De Control Nivel Altos

Monitor y Evalúa

ME1 Supervisan y Evalúan Procesos de TI

ME2 Supervisan y Evalúan Control Interno
ME3 Aseguran Cumplimiento Regulador
ME4 Proporcionan Gobernación TI

20
5. CONCLUSIONES
 La óptima gestión de la seguridad requiere métricas estandarizadas.
 La selección de métricas depende de las políticas y la madurez de la organización.
 El proceso de implantación de métricas debe ser progresivo.
 El proceso de implantación debe contar con apoyo de la dirección y recursos suficientes.
 El proceso debe ser controlado y revisado de manera continua convirtiéndose en proceso de
mejora continua.

6. BIBLIOGRAFIA
[1] NIST, “SP 800-53-rev3-final-errata”, http://csrc.nist.gov/publications/, 2009
[2] Gobernance Institute, “COBIT4.1”, http://www.itgi.org/, 2007
[3] William Bentley – Peter T. Davis, “Lean SIX Sigma Secrets for the CIO”, 2010
[4] Robert Barton, “Global IT Management – A Practical Approach”, 2003

21