Está en la página 1de 24

Volumen 1, enero de 2014

En este nmero:
Banco de Medio Oriente mejora la seguridad de la informacin
Gestin de seguridad de la informacin en HDFC Bank: Contribucin de los siete facilitadores /
habilitadores
Soportando el cumplimiento de PCI DSS 3.0 con COBIT 5
Desarrollo de un marco de gobierno para la organizacin de soporte mundial en GlaxoSmithKline,
utilizando COBIT

Banco de Medio Oriente mejora la seguridad


de la informacin
Por Abbas K, CISA, CISM, CGEIT, COBIT 5 (Foundation), CEH, C|CISO,
PRINCE2
Como consecuencia de una iniciativa por mejorar la seguridad de la informacin con la
ayuda de COBIT, una entidad bancaria de Medio Oriente obtuvo varios beneficios,
entre ellos:
Mejorar la integracin de la seguridad de la informacin dentro de la organizacin.
Comunicar decisiones vinculadas al riesgo y crear conciencia sobre los riesgos.
Mejorar la prevencin, deteccin y recuperacin.
Reducir (el impacto de) los incidentes vinculados a la seguridad de la informacin.
Aumentar el soporte relacionado con la innovacin y la competitividad.
Mejorar la gestin de costos relacionados con la funcin de seguridad de la
informacin.
Adquirir un entendimiento ms profundo sobre la seguridad de la informacin.
Obtener la aprobacin de la alta direccin es una queja comn entre los profesionales
de seguridad de la informacin. Sin embargo, en un banco de Medio Oriente, ms
especficamente en Kuwait, el gerente de seguridad de la informacin no tuvo ese
problema a la hora de implementar COBIT para definir los principios de seguridad de
la informacin de la empresa porque la alta direccin del banco ya tena pleno
conocimiento del marco aceptado por la industria. En consecuencia, el informe de
evaluacin fue completado rpidamente, aceptado velozmente y agradecido
enormemente.
La organizacin utiliza varios estndares y marcos, incluida la norma ISO 27001, el
Estndar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card
Industry Data Security Standards, PCI DSS) y la Biblioteca de Infraestructura de
Tecnologa de la Informacin (IT Infrastructure Library, ITIL), y deseaba alinear sus
procesos y principios departamentales con un marco comn, ampliamente flexible y
adaptable, que tuviera controles y procesos en comn con otros marcos de la

industria. La organizacin hall todo esto en COBIT , que en su versin ms

actualizada COBIT 5 proporciona un detallado cruce con otros marcos, entre


ellos, las normas de la Organizacin Internacional para la Estandarizacin
(International Organization for Standardization, ISO), el Marco de Arquitectura del

Convocatoria para
presentacin de
artculos
Cmo utiliza COBIT
en su empresa actualmente?
Aceptamos artculos en los que
describa su experiencia con
este marco. Plazos
para la presentacin de una
copia para el
volumen 2, 2014:
10 de marzo de 2014
Enve artculos para
revisin a:
publication@isaca.org

Estudio de casos
Visite las pginas
COBIT Recognition
(Reconocimiento de COBIT) y
Case Studies (Estudio de
Casos) para obtener ms
informacin sobre los estudios
de casos relacionados con
COBIT 5 y COBIT 4.1.

Open Group (The Open Group Architecture Framework, TOGAF) y el Cuerpo de Conocimientos de Gestin de Proyectos
(Project Management Body of Knowledge, PMBOK).
Ningn otro marco proporciona un cruce tan detallado con diversos estndares aceptados en la industria. El banco ha

utilizado COBIT 5 y COBIT 5 para la Seguridad de la Informacin en una amplia variedad de proyectos:
Se emple el Kit de herramientas de COBIT 5 para identificar el enunciado de aplicabilidad (statement of applicability,
SOA) de cada dominio, junto con los 37 procesos y los 210 enunciados de prctica correspondientes.
Los principios de COBIT 5 han sido cruzados con los procesos actuales del departamento de seguridad de la informacin
con el objeto de identificar toda brecha posible (Consulte la columna Evidencia de Soporte en la figura 1 para conocer
los resultados del cruce).
Se abordaron todas las brechas identificadas durante la evaluacin teniendo en cuenta las guas recomendadas para
cada enunciado de prctica.

Principios de seguridad de la informacin


Como se describi en COBIT 5 para la Seguridad de la Informacin, los principios de seguridad de la informacin comunican
las reglas de la empresa que soportan los objetivos de gobierno y los valores empresariales, segn la definicin del Consejo
y la direccin ejecutiva. Estos principios deben:
Ser limitados en cuanto a su nmero.
Estar expresados en un lenguaje sencillo y declarar, de la manera ms clara posible, los valores fundamentales de la
empresa.
Estos principios (figura 1) son genricos y se aplican a todas las empresas, y se pueden utilizar como base para el desarrollo
de principios de seguridad de la informacin exclusivos de la empresa.
Figura 1: Principios de seguridad de la informacin del banco basados en COBIT 5
Principio

Objetivo

Descripcin

Estado

Evidencia de
Soporte

1. Soporte al negocio.
Concentrarse
en el negocio.

Garantizar que la
seguridad de la
informacin est
integrada a las
actividades
esenciales del
negocio.

Las personas que integran la comunidad de


Implementado Estrategia de
seguridad de la informacin deben entablar
seguridad de la
relaciones con lderes de negocio y demostrar el
informacin
modo en que la seguridad de la informacin puede
complementar negocios claves y procesos de
gestin de riesgos. Ellas deberan adoptar un
enfoque de consultora respecto de la seguridad
de la informacin brindando su respaldo a los
objetivos del negocio por medio de la asignacin
de recursos, programas y proyectos. Se debe
proporcionar consultora de alto nivel, enfocada a
la empresa, para proteger la informacin y ayudar
a gestionar el riesgo de la informacin tanto ahora
como en el futuro.

Ofrecer
calidad y valor
a las partes
interesadas.

Garantizar que la
seguridad de la
informacin
ofrezca valor y
satisfaga los
requerimientos
del negocio.

Las partes interesadas internas y externas deben


comprometerse a sostener una comunicacin
peridica de modo que se sigan cumpliendo sus
requerimientos cambiantes de seguridad de la
informacin. Promover el valor de la seguridad de
la informacin (tanto financiera como no
financiera) permite adquirir apoyo para la toma de
decisiones que, a su vez, puede colaborar con el
xito de la visin para la seguridad de la
informacin.

Volumen 1, enero de 2014

Implementado Estrategia de
seguridad de la
informacin

Pgina 2

Figura 1: Principios de seguridad de la informacin del banco basados en COBIT 5


Principio

Objetivo

Descripcin

Cumplir los
requerimientos
legales y
regulatorios
relevantes.

Garantizar que
se cumplan las
obligaciones
legales, que se
gestionen las
expectativas de
las partes
interesadas, y
que se eviten
sanciones civiles
o penales.

Se deben identificar las obligaciones de


cumplimiento, se las debe traducir en
requerimientos especficos de seguridad de la
informacin y comunicar a las personas que
corresponda. Las sanciones asociadas al
incumplimiento deben ser claramente
comprendidas. Los controles deben ser
monitoreados, analizados y actualizados de modo
que cumplan con los requerimientos legales y
regulatorios nuevos o actualizados.

Implementado Estado de
cumplimiento de
PCI, estado de
cumplimiento de
ISO 27001

Proporcionar
datos exactos
y oportunos
sobre el
desempeo de
la seguridad
de la
informacin.

Brindar apoyo a
los
requerimientos
del negocio y
gestionar el
riesgo de la
informacin.

Los requerimientos para la entrega de datos sobre


el desempeo de la seguridad de la informacin
deben estar claramente definidos y sustentados
con las mtricas ms relevantes y adecuadas (por
ejemplo, cumplimiento, incidentes, estado de
control y costos) y alineados con los objetivos del
negocio. La informacin debe obtenerse de
manera peridica, uniforme y rigurosa para que
contine siendo precisa y los resultados puedan
presentarse para cumplir los objetivos de las
partes interesadas que correspondan.

Implementado Informe mensual de


gestin de la
seguridad de la
informacin

Evaluar las
amenazas
actuales y
futuras hacia
la informacin.

Analizar y
evaluar las
amenazas
emergentes de
seguridad de la
informacin de
modo que se
pueda adoptar
acciones
oportunas e
informadas para
mitigar el riesgo.

Las tendencias ms importantes y las amenazas


especficas a la seguridad de la informacin se
deben categorizar en un marco integral estndar
que abarque un amplio espectro de temas como,
por ejemplo, aspectos polticos, legales,
econmicos, socioculturales y tcnicos. Las
personas deben compartir y profundizar sus
conocimientos sobre las amenazas venideras a fin
de abordar proactivamente sus causas, en lugar
de sus sntomas.

Implementado Revisin y pruebas


peridicas a la
seguridad.

Promover la
mejora
continua en
seguridad de
la informacin.

Reducir los
costos, mejorar
la eficacia y la
eficiencia, y
promover una
cultura de
mejora continua
en seguridad de
la informacin.

Los modelos de negocio organizacionales en


constante cambio, junto con las amenazas en
evolucin, exigen la adaptacin de tcnicas de
seguridad de la informacin y la mejora continua
de su nivel de eficacia. Se debe mantener el
conocimiento sobre las tcnicas de seguridad de
la informacin ms recientes aprendiendo de los
incidentes y vinculndose con organizaciones de
investigacin independientes.

Implementado Indicadores clave


de desempeo;
informes mensuales
y anuales de
gestin

Volumen 1, enero de 2014

Estado

Evidencia de
Soporte

Pgina 3

2. Defender el negocio.
Adoptar un
enfoque
basado en el
riesgo.

Garantizar que el
riesgo sea
tratado de una
manera
consistente y
eficaz.

Se deben examinar las opciones para abordar el


riesgo vinculado con la informacin de modo que
se puedan tomar decisiones fundamentadas y
documentadas sobre el tratamiento del riesgo. El
tratamiento del riesgo implica elegir una o ms
opciones, que habitualmente incluyen:
Aceptar el riesgo (un integrante de la direccin
debe aprobar que ha aceptado el riesgo y que
no se requiere ninguna otra accin).
Evitar el riesgo (p. ej., decidiendo que no se
perseguir una iniciativa en particular).
Transferir el riesgo (p. ej.; tercerizando o
tomando un seguro).
Mitigar el riesgo (en general, si se aplican las
medidas adecuadas de seguridad de la
informacin, p. ej. controles de acceso,
monitoreo de red y gestin de incidentes).

Implementado Sistema de gestin


de seguridad de la
informacin
(information security
management
system, ISMS) y
evaluacin de
riesgos de
cumplimiento de
PCI.

Proteger
informacin
clasificada.

Evitar la
divulgacin de
informacin
clasificada (p.
ej., confidencial
o sensible) a
personas no
autorizadas.

La informacin se debe identificar y, a


continuacin, clasificar de acuerdo con su nivel de
confidencialidad (p. ej., secreta, restringida,
interna, pblica). La informacin confidencial se
debe proteger del mismo modo en todas las
etapas de su ciclo de vida a partir de la creacin
y hasta su destruccin empleando los controles
que correspondan, como la encriptacin y las
restricciones de acceso.

Implementado Polticas y
estndares de
seguridad de la
informacin

Concentrarse
en
aplicaciones
crticas del
negocio.

Priorizar la
escasez de
recursos de
seguridad de la
informacin
protegiendo las
aplicaciones de
negocio sobre
las que un
incidente de
seguridad de la
informacin
podra tener el
mayor impacto
en la empresa.

Comprender el impacto en la empresa que


Implementado Polticas y
ocasionara una falta de integridad o disponibilidad
estndares de
de informacin importante manipulada por las
seguridad de la
aplicaciones de negocio (procesada, almacenada
informacin
o transmitida) ayudar a establecer el nivel de
criticidad. Posteriormente, pueden determinarse
los requerimientos de recursos de seguridad de la
informacin y puede establecerse la prioridad de
proteger las aplicaciones que son ms crticas
para el xito de la organizacin.

Volumen 1, enero de 2014

Pgina 4

Desarrollar
sistemas
seguros.

Desarrollar
sistemas de
calidad y
econmicos en
los cuales se
pueda confiar (es
decir, que sean
consistentemente
robustos,
precisos y
confiables).

La seguridad de la informacin debe ser integral


Implementado Estndares de
para las fases de alcance, diseo, desarrollo y
seguridad de la
prueba del ciclo de vida de desarrollo de sistemas
informacin
(system development life cycle, SDLC). Las
buenas prcticas de seguridad de la informacin
(p. ej., la prueba rigurosa de debilidades en cuanto
a la seguridad de la informacin; la revisin entre
pares; y la capacidad de lidiar con errores,
excepciones y condiciones de emergencia) deben
tener un rol fundamental en todas las etapas del
proceso de desarrollo.

3. Promover un comportamiento responsable respecto de la seguridad de la informacin.


Actuar de una
manera
profesional y
tica.

Asegurarse de que las


actividades
relacionadas con la
seguridad de la
informacin se realicen
de manera confiable,
responsable y eficiente.

La seguridad de la informacin se basa


Implementado Verificaciones de
marcadamente en la capacidad de los
antecedentes
profesionales de una industria para
desempear sus funciones con responsabilidad
y con un claro entendimiento del modo en que
su integridad impactar directamente sobre la
informacin que se les encarga proteger. Los
profesionales de seguridad de la informacin
deben comprometerse con un alto nivel de
calidad en su trabajo y demostrar, a la vez, un
comportamiento uniforme y tico y respeto por
las necesidades de la empresa, otras personas
y la informacin confidencial (a menudo,
personal).

Promover una
cultura positiva
respecto de la
seguridad de
la informacin.

Ejercer una influencia


positiva respecto de la
seguridad de la
informacin sobre el
comportamiento de los
usuarios finales, reducir
la probabilidad de que
ocurran incidentes de
seguridad de la
informacin y limitar su
posible impacto en la
empresa.

Se debe hacer nfasis en lograr que la


seguridad de la informacin sea una pieza
clave de la empresa y que los usuarios se
concienticen cada vez ms sobre la
seguridad de la informacin, y en garantizar
que estos tengan las destrezas necesarias
para proteger la informacin clasificada o
crtica y los sistemas. Las personas deben
reconocer el riesgo que corre la informacin
que tienen en su poder y deben estar
facultados para tomar las medidas que sean
necesarias para protegerla.

Implementado Reuniones del


comit de
gobierno de
seguridad de la
informacin
(information
security
governance
committee, ISGC).

Beneficios de la implementacin de COBIT 5


El banco alcanz sus objetivos en poco tiempo, solamente tres meses, y logr mejorar una gran cantidad de procesos, entre
los que cabe mencionar:
Garantizar el establecimiento y el mantenimiento del marco de gobierno.
Garantizar la entrega de beneficios.
Garantizar la optimizacin del riesgo.
Garantizar la optimizacin de recursos.
Garantizar la transparencia de las partes interesadas.
Administrar el marco de gestin de TI.
Gestionar la estrategia.
Gestionar la arquitectura de la empresa.
Gestionar la innovacin.
Gestionar la definicin de requerimientos.
Gestionar los activos.

Volumen 1, enero de 2014

Pgina 5

Gestionar la continuidad.

Conclusin
El banco planea seguir usando este marco de evaluacin anualmente y con la frecuencia que otros proyectos exijan. La
versin ms reciente de COBIT es fcil de comprender e implementar, especialmente el kit de herramientas, que proporciona
toda la informacin necesaria para aplicar COBIT en toda la organizacin.

Abbas K, CISA, CISM, CGEIT, COBIT 5 (Foundation), CEH, C|CISO, PRINCE2


Cuenta con ms de 14 aos de experiencia en sectores multifuncionales de seguridad y riesgo de la informacin. Se desempea
como gerente de seguridad de la informacin en un banco regional lder de Medio Oriente. Anteriormente, trabaj en Ernst &
Young y KPMG. Es un buen conocedor de los marcos y los estndares de TI, como COBIT, ISO 27001, PCI DSS, TOGAF e ITIL.

Gestin de seguridad de la informacin en HDFC Bank:


Contribucin de los siete facilitadores / habilitadores
Por Vishal Salvi, CISM y Avinash W. Kadam, CISA, CISM, CGEIT, CRISC, CBCP, CISSP, CSSLP
HDFC Bank fue incorporado en agosto de 1994 y posee una red nacional de 3062 sucursales y 10 743 cajeros automticos
(automated teller machines, ATM) distribuidos en 1568 ciudades y poblaciones de India.
HDFC Bank opera en un entorno altamente automatizado en trminos de sistemas de TI y comunicacin. Todas las
sucursales de la entidad bancaria cuentan con conectividad en lnea, que permite a sus clientes operar con transferencias de
fondos sin demoras. Tambin se proporciona acceso a mltiples sucursales a clientes minoristas a travs de la red de
sucursales y los ATM.
El banco ha priorizado su compromiso con la tecnologa e Internet como uno de sus objetivos ms importantes y ha hecho
avances significativos en habilitar su core de negocio en la web. En cada uno de sus negocios, el banco ha logrado
aprovechar su posicin en el mercado, su experiencia y su tecnologa a fin de crear una ventaja competitiva y obtener
participacin en el mercado.

Uso de COBIT

Como uno de los primeros en adoptar COBIT 4.1, el HDFC Bank comenz hace ya casi 6 aos el recorrido de gobierno de

TI cuando COBIT 4.1 apenas haba salido al mercado. As fue como la entidad bancaria adopt casi la totalidad de los 34
procesos de TI definidos en COBIT 4.1.

Luego de la introduccin de COBIT 5 en abril de 2012, HDFC Bank se tom un tiempo para considerar una migracin.
Debido a que la experiencia del banco con la implementacin de COBIT 4.1 ha sido muy beneficiosa, no migrar
inmediatamente a COBIT 5. Sin embargo, HDFC Bank adopt de manera intuitiva los siete facilitadores /habilitadores
introducidos por COBIT 5 incluso antes de que estos adquirieran notoriedad pblica en COBIT 5.
COBIT 5 describe siete facilitadores / habilitadores como factores que, de manera individual y colectiva, influyen en que algo
funcione; en este caso, el gobierno y la gestin de TI de la empresa (governance and management of enterprise IT, GEIT):
1. Los principios, las polticas y los marcos son el vehculo para convertir el comportamiento deseado en orientacin
prctica para la gestin diaria.
2. Los procesos describen un conjunto organizado de prcticas y actividades para lograr ciertos objetivos y producir un
conjunto de resultados que sustenten el logro de las metas generales relacionadas con TI.
3. Las estructuras organizacionales son las entidades claves de toma de decisiones en una empresa.
4. La cultura, la tica y el comportamiento de individuos y de la empresa son, a menudo, subestimados como un factor
de xito en las actividades de gobierno y gestin.
5. La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la
empresa. Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel
operativo, la informacin es con frecuencia el producto clave de la misma empresa.

Figura 1: Marco de gobierno de HDFC Bank


6. Los
servicios, la
infraestruct
ura y las
aplicacione
s incluyen la
infraestructur
a, la
tecnologa y
las
aplicaciones
que brindan
a la empresa
servicios y
procesamien
tos de TI.
7. Las
personas,
habilidades
y
competenci
as estn
vinculadas a
las personas
y son
requeridas
para la
finalizacin
exitosa de
todas las
actividades y
para tomar
decisiones
correctas y
aplicar
medidas
correctivas.

Estructuras
organizacional
es
Las estructuras
organizacionales
son las entidades
clave de toma de
decisiones en
una empresa.
La seguridad de
la informacin en
HDFC Bank est
impulsada por su
grupo de
seguridad de la
informacin
(information

Fuente: HDFC Bank. Reimpreso con autorizacin.

Figura 2: Roles y responsabilidades del ISG


Tareas de seguridad de la
informacin
Gobierno
Polticas, procesos y
estndares
Estrategia
Evaluacin de riesgos definicin
Evaluacin de riesgo ejecucin
Gestin de seguridad de la
informacin
Arquitectura de seguridad

Seguridad
de la
informacin

TI

Operaciones

Negocio Jurdico Auditora RR. HH. Dirigentes


Funcionales

A/R

A/R

A/R

A/R

R/C

A/R

Tecnologa de la seguridad

A/R

Ingeniera de la seguridad

A/R

Desarrollo seguro

A/R

Operaciones y entrega de
servicios
Gestin de proyectos

A/R

Auditora, revisin y monitoreo

R/C

A/R

Respuesta a incidentes

A/R

Entorno legal y normativo

A/R

Conocimiento, educacin y
capacitacin

A/R

A/R

C
C

Fuente: HDFC Bank. Reimpreso con autorizacin.

Volumen 1, enero de 2014

Pgina 7

security group, ISG). El grupo est liderado por el director general de seguridad de la informacin (chief information security
officer, CISO), que reporta al director ejecutivo del banco. El ISG es principalmente responsable de identificar, evaluar y
proponer la mitigacin de cada riesgo relacionado con la seguridad de la informacin. Esta responsabilidad se lleva a cabo
interactuando con diversos comits y partes interesadas y preparando planes, propuestas, polticas, procedimientos y guas.
La implementacin de estas directrices se asigna a los equipos de implementacin de todo el banco.
El marco de gobierno en HDFC Bank est impulsado por una gran cantidad de comits de alto nivel (figura 1). La
importancia que se le da a la seguridad de la informacin es notoria puesto que una gran cantidad de comits de alto nivel
han colocado a la seguridad de la informacin en sus agendas.
La definicin de responsabilidades para el ISG han sido bien definidas a travs de una matriz RACI (figura 2). Uno de los
puntos principales que se deben destacar es que, si bien la responsabilidad de la gestin de la seguridad de la informacin
radica en el ISG, la
rendicin de cuentas
Figura 3: Gobierno para la implementacin
recae marcadamente en
los dirigentes funcionales.
De igual modo, si bien es
cierto que el ISG rinde
cuentas por la definicin
de la evaluacin de
riesgos, los dirigentes
funcionales lo son de la
ejecucin de esta
evaluacin. Esta divisin
de responsabilidades y
rendicin de cuentas
determina la propiedad
de la mitigacin del
riesgo y la gestin de
seguridad de la
informacin en los
Procedimientos, controles tcnicos
Poltica, procesos, estndares
dirigentes funcionales.
En la figura 3, se
proporciona el marco
general de gobierno para
la implementacin.

21 componentes
Los 21 componentes se
Seguridad de la aplicacin, criptografa, monitoreo, gestin de incidentes, seguridad
monitorean
bancaria en lnea, gestin de software malicioso (malware), proteccin de datos,
permanentemente hasta
ciclo de vida de desarrollo de software seguro, planificacin de continuidad del
alcanzar un nivel de
negocio, privacidad, gestin de acceso y de identidad, gestin de riesgos...
madurez. La asignacin
de trabajo a los
integrantes del ISG se basa en estos controles.

Principios, polticas y marcos


Los principios, las polticas y los marcos son el vehculo para convertir el comportamiento deseado en gua prctica para la
gestin diaria.
HDFC Bank ha diseado un documento de una poltica integral de unas 100 pginas. La versin actual es 3.x y se encuentra
en proceso de revisin hasta disear la versin 4.0. Este documento abarca los 11 dominios de seguridad de la informacin,
segn se especifica en la norma ISO 27001 de una manera agnstica considerando plataforma y - tecnologa, y est
modelada sobre la Norma de Buenas Prcticas del Foro de Seguridad de la Informacin (Information Security Forum, ISF).
Debido a que el banco emplea entre 30 y 40 tecnologas diferentes, se crean polticas ms detalladas para cada tecnologa. Se
trata de polticas minuciosas especficas de las tecnologas para que el equipo tcnico responsable de implementarlas las tenga
a modo de referencia.
Estas polticas se subdividen an ms en registros para cruzarlas con varios estndares/marcos rectores, por ejemplo, las normas

Volumen 1, enero de 2014

Pgina 8

ISO 27001, COBIT y las guas del Banco de Reservas de la India (Reserve Bank of India, RBI). Estos registros se introducen en
una herramienta de gobierno, riesgo y cumplimiento (governance, risk and compliance, GRC) que proporciona el marco de control
unificado (unified control framework, UCF) interno del banco. De esta manera, se logra identificar el nivel de cumplimiento adquirido
de manera automtica. La herramienta proporciona casi 40 fuentes autorizadas que ya se han cruzado a travs del UCF. Por lo
tanto, resulta fcil encontrar el cumplimiento con cualquier fuente.
El equipo del ISG utiliza la metodologa de Anlisis por factores del riesgo de la informacin (Factored Analysis of Information
Risk, FAIR) para calcular el riesgo probable mediante la captura de la frecuencia de eventos de amenazas y la frecuencia de
eventos de prdida, dando el peso adecuado a cada factor y la creacin de una clasificacin de riesgo para dar prioridad y
tomar decisiones. El equipo del ISG tambin revis la norma ISO 27005 y dise un enfoque slido para la gestin de
riesgos con la ayuda de estos estndares.
Se ha creado una versin corta del documento de la poltica en una gua del usuario de 20 pginas sustentada por una lista
de 10 reglas principales para la seguridad de la informacin.
Hay una gran cantidad de proveedores que prestan servicio a HDFC Bank. La seguridad de la cadena de suministros queda
garantizada por revisiones peridicas de terceros a los proveedores las cuales son llevadas a cabo por firmas de auditora
externa.
HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea obtener el certificado ISO 22301 y ha alcanzado el
92 % de cumplimiento de las guas RBI.
Figura 4: Cascada de metas de COBIT 5
En la actualidad, el ISG se centra en la creacin de un sistema
slido de gestin de incidentes, proveer una proteccin
adecuada de los datos, garantizar la implementacin apropiada
del BYOD - "trae tu propio dispositivo" (bring your own device) y
detectar, contener y remover amenazas persistentes avanzadas
oportunamente.

Procesos
Los procesos describen un conjunto organizado de prcticas y
actividades para lograr ciertos objetivos y producir un conjunto
de resultados respaldando el logro de las metas generales
relacionadas con TI. El ISG sigue un modelo de proceso de
seguridad de la informacin basado en 21 componentes:
1. Seguridad de la aplicacin
2. Criptografa
3. Monitoreo
4. Gestin de incidentes
5. Seguridad bancaria en lnea
6. Gestin de software malicioso (malware)
7. Proteccin de datos
8. Ciclo de vida del desarrollo de software seguro
9. Gestin de proveedores (terceros)
10. Planificacin de continuidad del negocio
11. Privacidad
12. Gestin de identidades y acceso
13. Gestin de riesgos
14. Seguridad fsica
15. Concientizacin
16. Gobierno
17. Poltica
18. Gestin del ciclo de vida de los activos
19. Rendicin de cuentas y propiedad
20. Configuracin del sistema
21. Seguridad de la red
Se efecta la planificacin, diseo, implementacin y monitoreo
de la seguridad de la informacin para estos componentes
individuales. Este enfoque hace que los equipos se mantengan

Volumen 1, enero de 2014

Fuente: ISACA, COBIT 5, EE. UU., 2012

Pgina 9

centrados. Se desarrollan polticas, procedimientos, guas, estndares, tecnologas y herramientas para estos componentes.
Este enfoque proporciona granularidad a la hora de gestionar cada rea de enfoque y tambin conduce a una arquitectura de
defensa en profundidad.
Cada uno de los componentes contribuye con la creacin de estndares y procedimientos de control que satisfacen los
requerimientos de polticas de alto nivel. Este es un enfoque de abajo hacia arriba que permite mitigar las inquietudes de
seguridad de nivel superior para procesos de negocio proporcionando seguridad adecuada para los activos que son
utilizados por estos procesos.
Actualmente, se est llevando a cabo la tarea de cruzar todos los procesos de negocio con los activos. Los procesos de
negocio se estn clasificando en funcin de la criticidad y el impacto que puedan tener en el negocio. Si un activo, por
ejemplo un servidor, aloja mltiples procesos de TI que sustentan mltiples procesos de negocio, esto hace que la
clasificacin se atribuya al proceso de negocio ms crtico.
El enfoque que adopt el ISG de HDFC Bank est ntimamente alineado con la cascada de metas de COBIT 5 (figura 4).
En la figura 5, se muestran los motivadores o factores conductores de las partes interesadas que identific HDFC Bank.
Figura 5: Factores conductores de partes interesadas de HDFC Bank

Fuente: HDFC Bank. Reimpreso con autorizacin.

Niveles de madurez de la seguridad de la informacin


El ISG ha creado un modelo de madurez de seguridad de la informacin. Este modelo ha definido cinco niveles de madurez,
tal como se muestra en la figura 6. El ISG ha definido ocho atributos deseables para los componentes de la seguridad de la
informacin. Estos se detallan en la columna 1. En las columnas subsiguientes, se definen los requerimientos necesarios
para alcanzar el atributo de cada nivel. Por ejemplo, el atributo de poltica estar en el nivel 1 si no se ha definido una poltica
para un componente en particular y en el nivel 5, es decir, en un nivel optimizado, si la poltica se revisa y mejora
continuamente.
El seguimiento de cada uno de los 21 componentes se basa en este modelo. HDFC Bank ha utilizado el modelo de madurez
con muy buenos resultados para construir un concepto de benchmarking dentro de la organizacin. Este modelo permite

Volumen 1, enero de 2014

Pgina 10

detectar reas que requieren mejoras y los ejercicios de evaluacin se realizan en el marco de un taller. Existe una
comunicacin saludable de dos canales que deriva en un sentido de participacin y transparencia respecto de la estrategia y
la visin de la empresa. El modelo se utiliza estrictamente para anlisis de brechas internas y para identificar reas de
mejora. No ha sido pensado para proporcionar aseguramiento a un tercero.
El modelo de madurez que se presenta a continuacin fue creado por el ISG para satisfacer sus necesidades exclusivas de
definicin de planes de mejoras especficas. Este modelo de madurez se basa ligeramente en el modelo definido en COBIT
4.1. Una de las crticas al modelo de madurez de COBIT 4.1 fue que los criterios usados para definir los niveles eran
subjetivos. En estos momentos, HDFC Bank est considerando la posibilidad de corresponder los procesos actuales con el
modelo de evaluacin de procesos (Process Assessment Model, PAM) de COBIT 5, que se basa en la norma ISO 15504.
Figura 6: Modelo de madurez de la seguridad de la informacin
Columna 1

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Inicial

En desarrollo

Definido

Gestionado

Optimizado

Poltica integral
definida y publicada

Poltica publicada e
implementada de manera
uniforme

Revisin y mejora continuas de la


poltica

Poltica

Ausencia de poltica Poltica limitada

Roles y
responsabilidades

Roles y
responsabilidades
no definidos

Roles parcialmente Roles y


definidos
responsabilidades
bien determinados y
definidos

Roles y responsabilidades
definidos y ejecutados

Roles y responsabilidades
revisados de manera continua

Automatizacin

Manual

Semiautomatizada

Automatizada

Automatizada y
completamente operativa

Actualizacin permanente de la
automatizacin

Alcance

No implementado

Cobertura limitada

Activos crticos

Completo

Revisin peridica del alcance


para garantizar la cobertura total

Eficacia

N/A

Baja

Media

Alta

Muy alta

Gestin de
incidentes

Sin seguimiento

Visibilidad limitada

Seguimiento de
incidentes crticos

Seguimiento y cierre de
todos los incidentes

RCA aplicado a todos los


incidentes y solucionados

Medicin

Sin medicin

Medicin limitada

Mediciones
integrales definidas

Medido y revisado de forma Criterios de medicin revisados


peridica
peridicamente

Informes

Sin informes

Informes limitados

Informes definidos

Informes enviados a la alta Requerimientos de informes


direccin y revisados
peridicamente revisados y
actualizados

Fuente: HDFC Bank. Reimpreso con autorizacin.

Servicios, infraestructura y aplicaciones


Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnologa y las aplicaciones que brindan a la
empresa servicios y procesamientos de TI.
HDFC Bank emplea casi 40 tecnologas diferentes. Alrededor de estas tecnologas se desarrollan distintos servicios,
infraestructuras y aplicaciones. Como se describi en la seccin sobre el facilitador / habilitador de procesos, cada uno de
estos servicios est cruzado con el nivel de madurez de la seguridad de la informacin. Una actualizacin continua del nivel
de madurez, que tenga en cuenta atributos tales como la automatizacin, la eficacia, la gestin de incidentes y la medicin,
garantiza un monitoreo muy pormenorizado de estos servicios. Todos los proyectos que pretenden mejorar los servicios se
basan en el nivel de madurez pensado para cada servicio en particular.

Informacin
La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la empresa.
Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel operativo, la
informacin es con frecuencia el producto clave de la misma empresa.
La informacin confiable es un factor clave para la gestin de la seguridad. Habitualmente, la informacin se presenta por
medio de documentacin del Consejo en trminos de estrategia, presupuesto, plan y polticas. Los requerimientos de
seguridad de la informacin se obtienen por medio de un formulario de aceptacin de riesgos (risk acceptance form, RAF) y
son sometidos a una revisin a cargo del comit de gestin de riesgos de la seguridad de la informacin (information security

Volumen 1, enero de 2014

Pgina 11

risk management committee, ISRMC). El ISG tambin prepara varios informes de revisin de seguridad de la informacin,
que incluyen hallazgos de auditora, informes de madurez, anlisis de amenazas, informes de evaluacin de
vulnerabilidades, registros de riesgo de la informacin, informes de brechas y prdidas, e informes de incidentes y problemas
relacionados con la seguridad de la informacin.
El modelo de madurez proporciona entradas adicionales para informacin de buena calidad. Se han creado varias mtricas y
mediciones de seguridad de la informacin basadas en el marco de la norma ISO 27004, que se presentan a modo de
tablero de mando (dashboard). En la actualidad, se est trabajando para implementar una herramienta GRC de TI que
permita captar toda la informacin en la fuente y demostrar cumplimiento de numerosos requerimientos, que incluyen las
guas de RBI, PCI DSS y Basilea II. Adems, la herramienta permite el cruce con diferentes controles de COBIT 4.1.

Personas, habilidades y competencias


Las personas, habilidades y competencias estn vinculadas a las personas y son requeridas para la finalizacin exitosa de
todas las actividades y para tomar decisiones correctas y aplicar medidas correctivas.
HDFC Bank ha empleado una serie
Figura 7: Diez mandamientos de HDFC Bank
de tcnicas para crear conciencia
sobre la seguridad y desarrollar
habilidades y competencias
adecuadas. A continuacin se
incluye una lista de las iniciativas:
Pelcula sobre la seguridad de
la informacin: Una pelcula de
20 minutos de duracin creada y
presentada con todas las
atracciones propias de una
experiencia cinematogrfica
verdadera (p. ej., boletos y
palomitas de maz). La pelcula
ya ha adquirido una enorme
notoriedad y, hasta el momento,
la han visto 40 000 empleados.
Cada programa de capacitacin
comienza con esta pelcula.
Tira cmica sobre seguridad
de la informacin: Se cre una
tira cmica con dos personajes:
uno llamado Sloppy
("Descuidado") y el otro Sly
("Astucia"). Sus hazaas
entretienen a los lectores y tambin transmiten un mensaje muy poderoso sobre la seguridad. Ahora, se est planeando
imprimir esta tira cmica con formato de calendario.
Red de seguridad: La red de seguridad (una Intranet) alberga todo el material relevante, como polticas, estndares,
guas, listas de contactos, planes de continuidad del negocio y notas sobre el enfoque.
Correo electrnico y campaa de imgenes: Se envan mensajes por correo electrnico advirtiendo a todos para que
se mantengan alerta, por ejemplo, se envan mensajes a modo de recordatorio para evitar correos phishing despus de
que se haya producido un intento de ataque phishing exitoso.
Diez mandamientos de seguridad: El documento sobre la poltica del usuario se ha resumido en reglas clave de
seguridad de la informacin fciles de leer y recordar (figura 7).
Curso La seguridad primero: Todos los empleados deben participar en este curso de una hora de duracin cada dos
aos. Es obligatorio tomar el curso y obtener buenas calificaciones. Todos los candidatos que hayan obtenido buenas
calificaciones en el examen recibirn un certificado. El certificado es un reconocimiento de carcter oficial. Adems del
certificado, los mejores promedios sern reconocidos en comunicaciones globales enviadas a todos los empleados del
banco, y tambin recibirn una compensacin econmica.
Taller de un da: Se realiza peridicamente un taller de un da de duracin destinado a la alta direccin, en el que el
CISO explica la importancia de la seguridad de la informacin para el banco y las medidas especficas adoptadas para su

Volumen 1, enero de 2014

Pgina 12

implementacin.

Actualizacin de
bsqueda
Materiales de COBIT 5
recientemente publicados

Cultura, tica y comportamiento


La cultura, la tica y el comportamiento de individuos y de la empresa son, a menudo,
subestimados como un factor de xito en las actividades de gobierno y gestin. No
obstante, son factores importantes para el xito de una empresa.
COBIT 5 ha identificado ocho clases de comportamientos que contribuyen con el desarrollo
de una cultura de seguridad en una organizacin. Varias iniciativas tomadas por HDFC
Bank dieron lugar a la creacin del tipo correcto de comportamientos de seguridad. HDFC
Bank ha utilizado muchos canales de comunicacin, cumplimiento, polticas claras, reglas y
normas. El comportamiento seguro tambin se fomenta a travs del reconocimiento, por
ejemplo, por medio de un certificado, y a travs de mensajes contundentes a quienes no
demuestren tal conducta. El comportamiento seguro est fuertemente influenciado por la
concientizacin.
Las ocho clases de comportamientos se indican a continuacin a modo de referencia junto
con las medidas especficas adoptadas por HDFC Bank para arraigar estas conductas a la
prctica diaria de los empleados del banco:
La seguridad de la informacin se practica en las operaciones diarias. La direccin
de HDFC Bank ha transmitido sus expectativas hacia los empleados destacando el
principio de tolerancia cero en lo que respecta a comportamientos inaceptables
relacionados con la seguridad de la informacin, premio al buen comportamiento,
reconocimiento y recompensa para las personas que trabajan correctamente en la
gestin de riesgos, y recordatorios permanentes del lema Security is incomplete without
U (La segUridad est incompleta sin Usted). De esta manera, se ha garantizado la
prctica de seguridad de la informacin en las operaciones diarias.
Las personas respetan la importancia de las polticas y los principios de
seguridad de la informacin. La cultura de la seguridad se ha gestado a travs de
constantes esfuerzos por crear conciencia al respecto. Ahora los empleados
comprenden la importancia de la seguridad de la informacin y toman las iniciativas
afines con absoluta seriedad. La auditora tambin ha tenido un rol importante para
hacer cumplir las polticas y los principios de seguridad.
Las personas reciben guas suficientes y pormenorizadas de seguridad de la
informacin y se les motiva a participar y retar la situacin actual de la seguridad
de la informacin. HDFC Bank cree que todas las partes interesadas deben
comprometerse con los esfuerzos de seguridad. La introduccin de cualquier proceso
nuevo implica asegurar una interaccin abierta con todas las partes afectadas. Los
temas se debaten en talleres y la aprobacin se obtiene por medio de un dilogo de dos
canales, de modo que todos tengan la posibilidad de aclarar las dudas que surjan. Se
proporciona capacitacin extensiva para cada iniciativa nueva de seguridad de la
informacin, no exclusivamente al grupo que trabaja con la seguridad de la informacin,
sino a todas las partes interesadas.
Todos deben rendir cuentas sobre la proteccin de la informacin dentro de la
empresa. El grupo de seguridad de la informacin es responsable de identificar y
gestionar el riesgo, mientras que los directores del negocio son quienes en ltima
instancia deben rendir cuentas. Esto se ha documentado con claridad en la matriz RACI
analizada previamente. De esta forma, todas las partes interesadas se sienten
responsables as como tambin sienten que deben rendir cuentas sobre la proteccin
de la informacin dentro de la empresa.
Las partes interesadas son conscientes de cmo identificar y responder a amenazas
a la empresa. La identificacin de amenazas forma parte del entrenamiento que se les da a
las partes interesadas. Se las alienta a comunicar incidentes, por ejemplo, enviar un
mensaje por correo electrnico al ISG sobre correo basura o mal intencionado (phishing)
que hayan recibido. La respuesta recibida a diario por el ISG da cuenta de la enorme
conciencia que todos han desarrollado para identificar y comunicar incidentes.

Volumen 1, enero de 2014

COBIT 5: Informacin
Habilitadora

Publicaciones de COBIT 5 del


primer trimestre de 2014 - Prxima
aparicin

Escenarios de riesgo para


COBIT 5

Otras iniciativas de COBIT 5 en


desarrollo

COBIT 5 en lnea: Acceso


a las publicaciones de la
familia de productos COBIT
5 y a otro contenido de
ISACA no relacionado con
COBIT, y a material de GEIT
actual y relevante
(publicacin tentativa
segundo trimestre de 2014)
COBIT 5 para SarbanesOxley (publicacin
tentativa segundo
trimestre de 2014)
Controles y aseguramiento
en la nube: Utilizando
COBIT 5 (publicacin
tentativa segundo
trimestre de 2014)
COBIT 5 en lnea:
Habilidad para
personalizar a COBIT para
que se adapte a las
necesidades de su
empresa con acceso a
varios usuarios
(publicacin tentativa
tercer trimestre de 2014)

Si desea obtener ms
informacin sobre las
publicaciones de COBIT, visite
la pgina de COBIT 5 en el
sitio web de ISACA.
Dispone de traducciones de
COBIT 5 en la pgina COBIT
Product family (Familia de
Productos de COBIT).

Pgina 13

La direccin respalda y anticipa proactivamente innovaciones en cuanto a seguridad de la informacin y


comunica esto a la empresa. La empresa es receptiva para dar cuenta de los nuevos desafos en materia de
seguridad de la informacin y abordarlos. El ISG est permanentemente comprometido con la introduccin de
innovaciones para abordar los desafos de seguridad de la informacin. La direccin brinda su respaldo completo para
interactuar con la industria y compartir sus conocimientos y experiencia con una audiencia mayor, as como para
aprender de otros. Este caso de estudio es un ejemplo de esta apertura.
La direccin del negocio se compromete en una colaboracin multifuncional continua a fin de fomentar la puesta
en marcha de programas de seguridad de la informacin eficientes y eficaces. La estructura de varios comits es
un ejemplo de colaboracin multifuncional continua. Independizar a la seguridad de la informacin de la funcin de TI ha
ampliado en mayor medida el alcance y el acceso directo a varios grupos de negocios en toda la organizacin.
La direccin ejecutiva reconoce el valor de la seguridad de la informacin para el negocio. El CISO trabaja en un
nivel estratgico y reporta a una persona del banco que tiene un cargo ms jerrquico. Esto ha facultado al CISO a
impulsar varias iniciativas de seguridad de la informacin con una gran cuota de libertad. Planteado de esta forma, es un
buen indicador de reconocimiento de la direccin en lo que respecta al valor de la seguridad de la informacin para el
negocio.

El liderazgo como factor influyente


Adems, el liderazgo en HDFC Bank tiene un rol preponderante en el desarrollo de la cultura de la seguridad. La
participacin activa de la direccin ejecutiva y la gestin de las unidades de negocio en los distintos comits de alto nivel,
donde la seguridad de la informacin es un tema importante de la agenda, demuestra el compromiso en los niveles
gerenciales. La participacin de los dirigentes en los ejercicios de planificacin de continuidad del negocio para analizar
diferentes escenarios de desastre tambin demuestra un profundo compromiso.

Vishal Salvi, CISM


Cuenta con ms de 20 aos de experiencia en la industria. Ha trabajado en Crompton Greaves, Development Credit Bank,
Global Trust Bank y Standard Chartered Bank antes de desempearse en su puesto actual como director general de
seguridad de la informacin y vicepresidente snior de HDFC Bank. En HDFC Bank, dirige el grupo de seguridad de la
informacin y es responsable de liderar el desarrollo y la implementacin del programa de seguridad de la informacin en
todo el banco.

Avinash W. Kadam, CISA, CISM, CGEIT, CRISC, CBCP, CISSP, CSSLP


Es una autoridad lder en seguridad de la informacin. Cuenta con cuatro dcadas de experiencia en gestin de TI, auditora
de sistemas de informacin, y consultora y capacitacin en seguridad de la informacin. Actualmente se desempea como
asesor del grupo de trabajo de ISACA en India. Antes, Kadam ocup el cargo de vicepresidente internacional de ISACA de
2006 a 2008 y de presidente del captulo de Bombay de ISACA de 1998 a 2000. Ha recibido el Premio Harold Weiss 2005 de
ISACA.

Soportando el cumplimiento de PCI DSS 3.0 con COBIT 5


Por Stefan Beissel, Ph.D., CISA, CISSP
El Estndar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) tiene por objeto mejorar la seguridad de
los datos de los titulares de tarjetas y es requerido cuando se almacenan, procesan o transmiten los datos de los titulares de

tarjeta o los datos de autenticacin. La implementacin de procesos facilitadores / habilitadores de COBIT 5 puede respaldar
1
el cumplimiento del PCI DSS. COBIT 5 ayuda a las empresas en su gobierno y gestin de TI (GEIT) en trminos generales
y, al mismo tiempo, respalda la necesidad de cumplir los requerimientos de seguridad con procesos facilitadores /
habilitadores y actividades de gestin. El cruce de los procesos facilitadores / habilitadores de COBIT 5 con los
requerimientos de seguridad de PCI DSS 3.0 facilita la aplicacin simultnea de COBIT 5 y PCI DSS 3.0 y ayuda a crear
sinergias dentro de la empresa.

PCI DSS 3.0


El PCI DSS fue introducido por el consejo de estndares de seguridad de PCI (PCI SSC), un panel conformado por cinco
marcas internacionales de pagos (American Express, Discover Financial Services, JCB International, MasterCard Worldwide
y Visa Inc.). El PCI DSS tambin incluye requerimientos para la seguridad de los datos y mtodos de auditora relacionados.

Volumen 1, enero de 2014

Pgina 14

En especial, el nmero de cuenta primario (primary account number, PAN) es el factor determinante en la aplicabilidad de los
requerimientos de PCI DSS.
El objetivo del PCI DSS es
bsicamente proteger la
confidencialidad de los datos de los
titulares de tarjetas. La
confidencialidad, como parte de la
trada de seguridad de la informacin
que incluye integridad y disponibilidad,
es uno de los objetivos principales de la
proteccin y la seguridad de la
informacin. La confidencialidad es la
garanta de que los datos no sern
vistos por personas no autorizadas ni
divulgados a ellas y, en consecuencia,
no se vern comprometidos. Las
medidas que habitualmente se usan
para proteger la confidencialidad
tambin suelen proteger la integridad.
Por ejemplo, si un atacante o software
malicioso compromete los datos, por lo
general tambin se ver afectada la
integridad. La integridad es la garanta
de que los datos continan siendo
exactos e ntegros y ningn medio no
autorizado puede alterarlos o
modificarlos. La disponibilidad significa
que los sistemas o usuarios
autorizados pueden acceder a los datos en cualquier momento deseado. La disponibilidad est garantizada por los sistemas
y la infraestructura, que estn preparados para usar y tener capacidad suficiente para procesar todas las solicitudes tan
pronto como sea necesario. Los atacantes pueden comprometer la disponibilidad de informacin inundando el sistema con
solicitudes de servicio y, en consecuencia, provocando un ataque de negacin del servicio, previniendo el acceso a
informacin o datos crticos.
Figura 1: Tpicos y requerimientos de PCI DSS 3.0

Es necesario que las compaas de procesamiento de tarjetas de crdito configuren un entorno que cumpla con PCI DSS
porque sin l no alcanzaran una parte importante de su modelo de negocio e incurriran en enormes prdidas. Adems,
puede esperarse una prdida de reputacin y posibles multas de las compaas de tarjetas de crdito. Las compaas de
procesamiento de tarjetas de crdito se clasifican en cuatro niveles de cumplimiento comercial (niveles/capas uno a cuatro)
2
en relacin con la cantidad de transacciones afectadas en un perodo de 12 meses. Cada nivel presenta requerimientos de
cumplimiento del PCI DSS especficos. Las compaas clasificadas en los niveles dos a cuatro deben rellenar un cuestionario
de autoevaluacin (self-assessment questionnaire, SAQ) anual y completar un escaneo de red trimestralmente realizado por
un proveedor de servicios de escaneo aprobado (approved scanning vendor, ASV). Las compaas con un nmero de
transacciones anuales de seis millones o ms se clasifican como de nivel uno y deben crear cada ao un informe sobre
cumplimiento (report on compliance, ROC) y ser auditadas por un evaluador de seguridad calificado (Qualified Security
Assessor, QSA). El resultado de la auditora se documenta con un testimonio de cumplimiento (attestation of compliance,
3
AOC).
El PCI DSS aborda 12 requerimientos importantes (figura 1) para medidas de control que se dividen por temas, entre ellos,
red (requerimientos 1 y 2), proteccin de los datos de los titulares de tarjetas (requerimientos 3 y 4), programa de gestin de
vulnerabilidades (requerimientos 5 y 6), medidas de control de acceso (requerimientos 7, 8 y 9), monitoreo y comprobacin
de redes (requerimientos 10 y 11), y poltica de seguridad de la informacin (requerimiento 12). A su vez, cada requerimiento
est dividido en sub-requerimientos y procedimientos de prueba.

Volumen 1, enero de 2014

Pgina 15

Figura 2: Modelo de referencia de procesos de COBIT 5


En noviembre de 2013, se public la versin 3.0
del PCI DSS. Para 2015, el cumplimiento de esta
nueva versin ser vinculante para todas las
compaas de procesamiento de tarjetas. Si se
compara con la versin 2.0, la versin 3.0 contiene
cambios a modo de aclaraciones adicionales,
4
orientacin y requerimientos avanzados. Los
20 requerimientos avanzados tienen por objeto
alcanzar mejoras en las reas de concientizacin,
flexibilidad y responsabilidad hacia la seguridad.

COBIT 5
COBIT 5 proporciona un marco de referencia
exhaustivo que asiste a las empresas a alcanzar
sus objetivos de GEIT. Ayuda a las empresas a
crear un valor ptimo de la TI manteniendo un
equilibrio entre la obtencin de beneficios y la
optimizacin de los niveles de riesgo y el uso de
5
recursos. La familia de productos COBIT 5
tambin incluye guas de facilitadores /
habilitadores, guas profesionales y un entorno de colaboracin en lnea. El cambio ms importante al compararlo con

COBIT 4.1 es la reorganizacin del marco de un modelo de proceso de TI a un marco de gobierno de TI.
El siguiente captulo correlaciona los requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores /
habilitadores claves asociados de COBIT 5. El modelo de referencia de los procesos de COBIT 5 incluye procesos para GEIT
6
(figura 2).

Procesos facilitadores / habilitadores de COBIT por tpico de PCI DSS


Red
Se debe proteger a todos los sistemas sensibles contra el acceso no autorizado desde redes no confiables. Se emplean
firewalls para separar redes de forma segura. Estos firewalls controlan el trfico de la red y bloquean el acceso no deseado
entre redes. Se los puede usar localmente o en estaciones de trabajo, o pueden ser sistemas dedicados dentro de la
infraestructura de red.
El uso de configuraciones restrictivas puede minimizar el riesgo de acceso no autorizado desde el exterior de la red de la
compaa. Los valores predeterminados (default) que estn presentes en la entrega de sistemas y componentes representan
un riesgo para la seguridad. Las contraseas y dems configuraciones especificadas por el fabricante de los sistemas suelen
estar ampliamente disponibles y pueden ser explotadas por personas no autorizadas. Adems, se suele activar una serie de
servicios innecesarios despus de la instalacin inicial de los sistemas operativos. Estos servicios tambin pueden ser
explotados por personas no autorizadas. Los procesos facilitadores / habilitadores clave de COBIT 5 que pueden ayudar a
mitigar el riesgo se detallan en la figura 3.
Figura 3: Procesos de red
Requerimiento de PCI DSS 3.0
1. Instalar y mantener una
configuracin de firewall para proteger
los datos de los titulares de tarjetas.

Proceso de COBIT 5 (Prcticas)


APO01.08 Mantener el cumplimiento de polticas y procedimientos.
APO03.02 Definir la arquitectura de referencia.
APO12.01 Recopilar datos.
BAI03.03 Desarrollar los componentes de la solucin.
BAI03.05 Construir soluciones.
BAI03.10 Mantener soluciones.
BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio.
BAI07.03 Planificar pruebas de aceptacin.
BAI07.05 Ejecutar pruebas de aceptacin.

Volumen 1, enero de 2014

Pgina 16

BAI10.01 Establecer y mantener un modelo de configuracin.


BAI10.02 Establecer y mantener un repositorio de configuracin y una lnea base.
BAI10.03 Mantener y controlar los elementos de configuracin.
DSS01.03 Monitorear la infraestructura de TI.
DSS02.03 Verificar, aprobar y resolver solicitudes de servicio.
DSS05.02 Gestionar la seguridad de la red y las conexiones.
DSS05.04 Gestionar la identidad del usuario y el acceso lgico.
DSS05.05 Gestionar el acceso fsico a los activos de TI.

2. No utilizar los valores


predeterminados (default)
suministrados por el proveedor en las
contraseas del sistema y dems
parmetros de seguridad.

DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la


seguridad.
DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de
autorizacin.
APO01.08 Mantener el cumplimiento de polticas y procedimientos.
APO03.02 Definir la arquitectura de referencia.
BAI03.03 Desarrollar los componentes de la solucin.
BAI03.10 Mantener soluciones.
DSS04.08 Ejecutar revisiones post-reanudacin.
DSS05.03 Gestionar la seguridad de los puntos de destino.
DSS05.05 Gestionar el acceso fsico a los activos de TI.
DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la
seguridad.

Proteccin de datos de titulares de tarjetas


Los datos de los titulares de tarjetas deben almacenarse y mostrarse nicamente en determinadas circunstancias. Los
requerimientos relevantes abordan el almacenamiento, la eliminacin, la encriptacin y el enmascaramiento de datos (figura
4).
El PCI DSS aborda la encriptacin as como cuestiones especficas, por ejemplo, el manejo de llaves electrnicas /
criptogrficas. Cada vez que se transmiten datos de los titulares de tarjetas por redes pblicas abiertas, se requerir una
encriptacin. Si los datos se transmiten (p. ej., por Internet, redes inalmbricas, el sistema global para comunicaciones
mviles [Global System for Mobile Communications, GSM], el servicio general de radiocomunicaciones por paquetes
[General Packet Radio Service, GPRS]), existe un mayor riesgo de que un atacante pueda escuchar furtivamente y manipular
los datos de los titulares de la tarjetas. La aplicacin de encriptacin, segn se especific, es uno de los tantos mtodos
sugeridos para minimizar este riesgo.
Figura 4: Procesos para la proteccin de datos de titulares de tarjetas
Requerimiento de PCI DSS 3.0
Proceso de COBIT 5 (Prcticas)
3. Proteccin de datos de titulares
de tarjetas almacenados.

APO01.06 Definir la propiedad de la informacin (datos) y del sistema.


APO01.08 Mantener el cumplimiento de polticas y procedimientos.
APO13.01 Establecer y mantener un sistema de gestin de seguridad de la
informacin (ISMS).
APO13.03 Monitorear y revisar el ISMS.
BAI08.02 Identificar y clasificar las fuentes de informacin.
BAI08.05 Evaluar y retirar la informacin.
BAI09.02 Gestionar activos crticos.
BAI09.03 Gestionar el ciclo de vida de los activos.
DSS01.01 Ejecutar procedimientos operativos.
DSS04.08 Ejecutar revisiones post-reanudacin.

Volumen 1, enero de 2014

Pgina 17

DSS05.03 Gestionar la seguridad de los puntos de destino.


DSS05.04 Gestionar la identidad del usuario y el acceso lgico.
DSS05.05 Gestionar el acceso fsico a los activos de TI.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
DSS06.04 Gestionar errores y excepciones.
DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su rendicin de
cuentas.
4. Encriptar la transmisin de datos APO11.02 Definir y gestionar los estndares, procedimientos y prcticas de calidad.
de titulares de tarjetas por redes
APO11.05 Integrar la gestin de la calidad en soluciones para el desarrollo y la
pblicas abiertas.
entrega de servicios.
BAI03.03 Desarrollar los componentes de la solucin.
DSS01.01 Ejecutar procedimientos operativos.
DSS01.02 Gestionar servicios externalizados de TI.
DSS01.04 Gestionar el entorno.
DSS01.05 Gestionar las instalaciones.
DSS05.01 Proteger contra software malicioso (malware).
DSS05.02 Gestionar la seguridad de la red y las conexiones.
DSS05.03 Gestionar la seguridad de los puntos de destino.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su rendicin de
cuentas.
Gestin de vulnerabilidades
El uso de un software antivirus es necesario para proteger los sistemas contra software malicioso. Este puede incluir tcnicas
de deteccin basadas en patrones y basadas en comportamientos. Las tcnicas de deteccin basadas en patrones detectan
virus solamente despus de que el software antivirus se haya actualizado con los nuevos patrones de virus. Las tcnicas de
deteccin basadas en comportamientos permiten identificar software maliciosos (malware) sobre la base de patrones de
comportamientos no convencionales, pero estas tcnicas de deteccin pueden ser inexactas y producir resultados falso
positivos y falso negativos.
El desarrollo y el mantenimiento de sistemas y aplicaciones tambin deben ser seguros. Esto incluye la prevencin o la
eliminacin de vulnerabilidades que puedan ser objeto de explotacin por atacantes para comprometer o manipular los datos
de los titulares de tarjetas. Se debe llevar a cabo la instalacin peridica de parches en los sistemas operativos y las
aplicaciones, y se requiere la programacin segura de desarrollos. Pruebas cuidadosas garantizan la deteccin de
vulnerabilidades. (Vea la figura 5).
Figura 5: Procesos para la gestin de vulnerabilidades
Requerimiento de PCI DSS 3.0
5. Usar y actualizar peridicamente los
programas o software antivirus.

Proceso de COBIT 5 (Prcticas)


APO12.01 Recopilar datos.
APO12.03 Mantener un perfil de riesgo.
DSS05.01 Proteger contra software malicioso (malware).

6. Desarrollar y mantener sistemas y


aplicaciones seguras.

APO12.02 Analizar el riesgo.


APO12.04 Expresar el riesgo.
BAI03.03 Desarrollar los componentes de la solucin.
BAI03.05 Construir soluciones.
BAI03.07 Preparar pruebas de la solucin.
BAI03.08 Ejecutar pruebas de la solucin.
BAI03.10 Mantener soluciones.

Volumen 1, enero de 2014

Pgina 18

BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio.


BAI06.02 Gestionar cambios de emergencia.
BAI06.03 Hacer seguimiento e informar cambios de estado.
BAI06.04 Cerrar y documentar los cambios.
BAI07.01 Establecer un plan de implementacin.
BAI07.04 Establecer un entorno de pruebas.
BAI07.05 Ejecutar pruebas de aceptacin.
BAI07.06 Pasar a produccin y gestionar los lanzamientos / liberaciones
(releases).
DSS05.01 Proteger contra software malicioso (malware).
Medidas de control de acceso
El acceso a los datos de titulares de tarjetas debe estar restringido en funcin de los roles correspondientes, segn se definen por
la necesidad del negocio. De acuerdo con los principios de acceso mnimo y de la necesidad de conocer (need-to-know), solo las
personas autorizadas a acceder los datos de titulares de tarjetas con objetivos comerciales deberan tener el acceso permitido.
Esto exige la implementacin de gestin de control y autorizacin, en la cual cada persona puede tener un rol asignado con los
permisos correspondientes (control de acceso basado en roles [role-based access control, RBAC]) (figura 6).
Para cada persona que tenga acceso al sistema, se requiere la asignacin de una identificacin (ID) nica. Esto
generalmente se implementa por medio de cuentas personales. Solo una persona que pueda ser autenticada con xito
utilizando una contrasea, un token u otro mtodo de autenticacin podr acceder a una computadora o sistema.
Tambin se debe restringir el acceso fsico a los datos de los titulares de tarjetas. Los intrusos que obtengan acceso a
oficinas o centros de datos podran hurtar, daar o manipular medios o componentes de computadoras. Los medios pueden
ser electrnicos (como disquetes, CD y discos duros) o documentos en papel. Con control de acceso fsico y el uso visible de
distintivos, ser posible distinguir a una persona no autorizada de un usuario autorizado.
Figura 6: Procesos para medidas de control de acceso
Requerimiento de PCI DSS 3.0
Proceso de COBIT 5 (Prcticas)
7. Restringir el acceso a datos de titulares de
tarjetas por medio de la necesidad de conocer
(need-to-know) del negocio.

DSS05.04 Gestionar la identidad del usuario y el acceso lgico.

8. Asignar una ID nica a cada persona con acceso APO03.02 Definir la arquitectura de referencia.
a la computadora.
APO07.01 Mantener una dotacin de personal suficiente y adecuada.
9. Restringir el acceso fsico a los datos de titulares APO01.06 Definir la propiedad de la informacin (datos) y del sistema.
de tarjetas.
DSS05.04 Gestionar la identidad del usuario y el acceso lgico.
DSS05.05 Gestionar el acceso fsico a los activos de TI.
Monitoreo y comprobacin / prueba de redes
Se debe rastrear, monitorear y registrar todo acceso a los recursos de red y datos de titulares de tarjetas (figura 7). Con los
protocolos correspondientes, es posible identificar y rastrear el acceso no autorizado. Adems, los protocolos resultan tiles
durante el anlisis de fallas tcnicas. El PCI DSS exige el registro de cada acceso a los datos de titulares de tarjetas.
Es preciso probar peridicamente los sistemas y procesos de seguridad. Este procedimiento incluye el escaneo peridico
para detectar vectores de vulnerabilidades y ataques a la seguridad. Amenazas como estas deben identificarse y eliminarse
antes de que puedan ser explotados por posibles atacantes.
Figura 7: Procesos para el monitoreo y Prueba de las redes
Requerimiento de PCI DSS 3.0
Proceso de COBIT 5 (Prcticas)
10. Hacer seguimiento y monitorear todos los
accesos a los recursos de red y datos de titulares
de tarjetas.

Volumen 1, enero de 2014

DSS01.01 Ejecutar procedimientos operativos.


DSS01.03 Monitorear la infraestructura de TI.
DSS04.08 Ejecutar revisiones post- reanudacin.
DSS05.04 Gestionar la identidad del usuario y el acceso lgico.

Pgina 19

DSS05.05 Gestionar el acceso fsico a los activos de TI.


DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
DSS05.07 Monitorear la infraestructura para detectar eventos
relacionados con la seguridad.
DSS06.04 Gestionar errores y excepciones.
DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su
rendicin de cuentas.
11. Probar peridicamente los sistemas y procesos APO03.02 Definir la arquitectura de referencia.
de seguridad.
APO12.03 Mantener un perfil de riesgo.
APO12.01 Recopilar datos.
DSS02.01 Definir esquemas de clasificacin de incidentes y
solicitudes de servicio.
DSS05.07 Monitorear la infraestructura para detectar eventos
relacionados con la seguridad.
MEA01.02 Establecer los objetivos de cumplimiento y rendimiento.
MEA01.03 Recopilar y procesar los datos de cumplimiento y
rendimiento.
MEA01.04 Analizar e informar sobre el rendimiento.
MEA02.01 Monitorear el control interno.
MEA02.02 Revisar la eficacia de los controles sobre los procesos de
negocio.
MEA02.03 Realizar autoevaluaciones de control.
MEA02.04 Identificar y comunicar las deficiencias de control.
Poltica de seguridad de la informacin
Cada compaa debe disear y mantener una poltica de seguridad de la informacin, que debe ser comunicada y cumplida
por todos los empleados (figura 8). La poltica debe contener los requerimientos propios de la seguridad de la informacin
que deben cumplir todos los empleados. Los temas comprendidos dentro de una poltica de seguridad incluyen la
comunicacin de requerimientos del PCI DSS, la capacitacin para crear conciencia sobre la importancia de la seguridad, la
creacin de un plan de respuesta ante incidentes y el monitoreo de una postura sobre seguridad de los proveedores de
servicio.
Figura 8: Procesos para la poltica de seguridad de la informacin
Requerimiento de PCI DSS 3.0

Proceso de COBIT 5 (Prcticas)

12. Mantener una poltica que aborda la seguridad


de la informacin para todo el personal.

APO01.01 Definir la estructura organizativa.


APO01.02 Establecer roles y responsabilidades.
APO01.03 Mantener los facilitadores / habilitadores del sistema de
gestin.
APO01.05 Optimizar la ubicacin de la funcin de TI.
APO01.06 Definir la propiedad de la informacin (datos) y del sistema.
APO13.01 Establecer y mantener un ISMS.

Conclusin
Las compaas que almacenan, procesan o transmiten datos de titulares de tarjetas o datos de autenticacin deben cumplir
con los requerimientos de seguridad segn el PCI DSS. Si estas compaas emplean COBIT 5, podrn abarcar los
requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores / habilitadores de COBIT 5. Desde otra ptica,
pueden utilizar los requerimientos de seguridad de PCI DSS 3.0 para facilitar la implementacin de COBIT 5 y alcanzar los
objetivos de GEIT. De ambas maneras, estas sinergias permiten optimizar los niveles de riesgo y el uso de recursos.

Stefan Beissel, Ph.D., CISA, CISSP


Volumen 1, enero de 2014

Pgina 20

Se desempea como director de seguridad de TI, responsable de la gestin de proyectos relacionados con la seguridad y del
cumplimiento del PCI DSS, en EVO Payments International.

Notas finales
1

El objetivo de este artculo es proporcionar una revisin general de las sinergias que existen entre COBIT 5: Procesos facilitadores / Habilitadores y PCI DSS 3.0. Conocer algunos aspectos
de PCI DSS, del consejo de estndares de seguridad de PCI (PCI SCC), de la familia de productos de COBIT 5 y de las guas habilitadoras disponibles ser de gran ayuda.

Visa, Detalles de validacin de cumplimiento para comerciantes, 2012

PCI SSC, Estndar de seguridad de datos de la industria de tarjetas de pagos (PCI): Requerimientos y procedimientos de evaluacin de la seguridad, Versin 3.0, 2013

4
5
6

PCI SSC, Estndar de seguridad de datos de la Industria de Tarjetas de Pagos (PCI): Resumen de cambios de la versin 2.0 del PCI DSS a la versin 3.0, 2013
ISACA, COBIT 5, 2012
ISACA, COBIT 5: Procesos facilitadores / Habilitadores, 2012

Desarrollo de un marco de gobierno para la organizacin de soporte


mundial en GlaxoSmithKline, utilizando COBIT
Por Steve Williamson
Al igual que la mayora de las organizaciones impulsadas por la innovacin, GlaxoSmithKline (GSK) depende ampliamente

de la TI. Su numeroso grupo de soporte de TI centralizado ha utilizado COBIT 4.1 como base para el desarrollo de un marco

de gobierno de TI organizacional. GSK est iniciando su transicin a COBIT 5.


La misin de GSK es "mejorar la calidad de la vida humana permitiendo a las personas hacer ms, sentirse mejor y vivir ms
tiempo". En virtud de esta misin, GSK desarrolla y fabrica productos farmacuticos para tratar una variedad de afecciones,
que incluyen enfermedades respiratorias, cncer, cardiopatas y epilepsia. GSK investiga y fabrica vacunas que nos protegen
contra enfermedades infecciosas, que incluyen gripe, rotavirus, cncer cervical, sarampin, paperas y rubola. Fabrica
adems productos innovadores para el cuidado de la salud del consumidor general; su cartera de productos incluye marcas
muy conocidas como Horlicks, Panadol y Sensodyne. GSK es una compaa internacional que opera en ms de 115 pases y
cuenta con 100 000 empleados aproximadamente.
Una de las prioridades estratgicas de GSK es simplificar su modelo operativo, lo que reduce la complejidad y, en
consecuencia, la torna ms eficiente. De este modo, se liberarn recursos para invertir en otras reas ms productivas del
negocio. Uno de los resultados de esta estrategia es una organizacin de TI ms centralizada, que proporcione servicios de
soporte de TI estndar a todas las reas de negocio.
El grupo de soporte de la aplicacin fue formado a partir de la fusin de varios grupos de TI autnomos, orientados al
negocio, y es responsable de una cartera de ms de 2000 aplicaciones compatibles con cada etapa de la cadena de valor
(investigacin, desarrollo, fabricacin, y funciones comerciales y corporativas). Este departamento cuenta con cientos de
empleados permanentes, situados en diferentes lugares del mundo. Dos socios comerciales en el extranjero proporcionan
soporte tcnico adicional.
El departamento de soporte de aplicaciones ha desarrollado un marco de gobierno para GSK.

Gobierno para una funcin de soporte de TI


Poco despus de la creacin del nuevo departamento de soporte global, se identific la necesidad de evaluar los procesos
de gobierno. El objetivo era verificar que la organizacin recientemente conformada tuviera las estructuras, los procesos y los
controles correctos para habilitar la ejecucin exitosa de su estrategia y para garantizar la alineacin con la estrategia de la
empresa.
El gobierno organizacional es un trmino de gestin comnmente aceptado, que no todos alcanzan a comprender
profundamente. Sin embargo, intentar definir exactamente en qu consiste el gobierno de TI y cmo se aplica a una
organizacin de TI es, en s, todo un desafo. Por lo tanto, es til recurrir a marcos de la industria que ya han sido

comnmente aceptados. En este caso, el departamento de soporte de aplicaciones de GSK utiliz COBIT (para este
ejercicio, se utiliz la versin 4.1).
ISACA define el gobierno de TI como "La responsabilidad de los ejecutivos y del consejo de administracin. Consiste en el
liderazgo, las estructuras organizacionales y los procesos que aseguran que TI apoya y extiende las estrategias y los
1
objetivos de la empresa".

Volumen 1, enero de 2014

Pgina 21

Por qu COBIT?
Una de las ventajas de COBIT 4.1 es que se presenta como un marco fuertemente centrado en el control, en lugar de la
ejecucin. Abarca una amplia gama de reas de gobierno (por ejemplo, recursos humanos, finanzas, alineacin estratgica,
gestin de riesgos, gestin de servicios) y se puede cruzar con otros estndares de la industria, tales como la norma ISO
27001 para seguridad e ITIL para la gestin de servicios, lo cual se adapt muy bien a la situacin de GSK.

Cmo GSK utiliz COBIT 4.1


COBIT 4.1 es integral, aunque cuenta con una estructura simple, y cada rea de proceso est subdividida en descripcin del
proceso, objetivos de control, guas para la gestin y modelos de madurez. Esto facilita la seleccin de procesos que se aplican
mejor a las metas de la organizacin e ignora aquellos que no son relevantes o que tienen menor importancia. Por ejemplo, los
procesos de COBIT denominados PO2 Definir la arquitectura de la informacin y PO3 Determinar la direccin tecnolgica son la
principal responsabilidad de otro departamento dentro de la empresa, de modo que estos se excluyeron del marco del
departamento de soporte de aplicaciones, mientras que otros procesos de COBIT 4.1 solo se aplicaron parcialmente.
El departamento de soporte de aplicaciones sigui los siguientes pasos para crear su marco de gobierno:
1. Identificar las reas de procesos aplicables de COBIT 4.1.
2. Identificar los objetivos de control aplicables dentro de cada rea de proceso.
3. Realizar la evaluacin de riesgos, es decir, determinar el impacto que tendran las fallas de control de cada proceso en la
organizacin.
4. Identificar qu procesos, procedimientos o prcticas de trabajo existentes abordan esta rea de proceso, y evaluarlos
teniendo en cuenta los objetivos de control.
5. Efectuar revisiones con expertos en la materia y la alta direccin, incluyendo los responsables de implementar los
controles.
6. Documentar toda brecha o control dbil, explicando el riesgo e introduciendo esta informacin en el flujo de trabajo
relevante para la mejora del proceso.
Cuando se identifican debilidades de control, habitualmente implica que una poltica no se est implementando de manera
eficaz. Esto determina la necesidad de recurrir a una accin correctiva, que es responsabilidad de la direccin. Esta clase de
anlisis podra revelar un problema ms fundamental, como un riesgo no reconocido anteriormente o inadecuadamente
mitigado. En una situacin como esa, la accin correctiva implicara efectuar cambios en el marco de la poltica. La direccin
no debera abordar tales acciones, sino la junta de cumplimiento. Esto podra dar lugar a una poltica nueva o enmendada o a
decisiones relacionadas con la tolerancia al riesgo.
El marco de gobierno est estructurado por medio de las reas de enfoque de gobierno de TI (cruzadas con las reas de
proceso de COBIT) e incluyen las siguientes:
Gobierno de relaciones y organizacin de TI.
La alineacin estratgica de los objetivos de negocio y de TI.
Marco de las polticas de calidad, riesgo y control.
Gestin de comunicaciones, capacitacin y conocimiento.
Cartera de inversiones, gestin financiera y gobierno de entrega de valor.
Desarrollo, implementacin y mantenimiento de sistemas.
Gestin de prestacin de servicios de terceros/proveedores.
Para cada rea de enfoque de gobierno, se definieron objetivos de control, factores de riesgo claves y la implementacin
(figura 1).

Volumen 1, enero de 2014

Pgina 22

Figura 1: Estructura de las reas de enfoque de gobierno


Seccin

Descripcin

Objetivos de control

Estos se extrajeron directamente de COBIT 4.1. Se seleccionaron objetivos de control aplicables


(se excluyeron los que solo estaban ligeramente asociados).
Supone el anlisis de los impactos organizacionales a partir de fracasos para cumplir los
objetivos de control eficazmente. Los ejemplos de impactos de riesgo incluyen ineficiencias
operativas, aumento de la probabilidad de brechas a la seguridad, falla normativa y sanciones de
ndole legal.
Esta seccin describe los procedimientos, controles y estructuras organizacionales que estaban
en uso en ese momento y abordaban los objetivos de control. Esto revel brechas y debilidades.

Factores de riesgo clave

Implementacin

Uno podra preguntarse: de qu sirve complicarse para crear un documento separado en lugar de usar el material de
COBIT directamente? La razn es que si se tiene un marco con un contexto empresarial conocido, COBIT se vuelve ms
intuitivo para quienes necesitan usarlo. Su finalidad es evaluar los procesos de GSK teniendo en cuenta un estndar
comnmente aceptado para el gobierno, en lugar de redefinir la mtrica o introducir nuevas formas de trabajo. Esto asegur
que el documento fuera muy til para una amplia variedad de personas, la mayora de las cuales tiene escasa o ninguna
experiencia en el uso de COBIT.

Hallazgos y valor derivado


Los objetivos de control se pueden cumplir con un procedimiento (por ejemplo, proceso de control de cambios) o a travs de
estructuras organizacionales eficaces (por ejemplo, la representacin en equipos de liderazgo), que demostraron claramente
control y rendicin de cuentas. Sin embargo, durante el anlisis, el departamento de soporte de aplicaciones detect que
algunos objetivos de control se cumplan de manera eficaz a travs de mtodos que no implicaban ningn procedimiento. Si
bien es menos formal que un procedimiento aprobado por la direccin, muchos de estos mtodos estaban documentados o
implcitos como parte de descripciones de trabajos, demostrando rendicin de cuentas.
Es relativamente fcil determinar si un procedimiento aborda o no las necesidades del objetivo de control. Juzgar la eficacia
general de un procedimiento en un departamento de TI recientemente consolidado es ms difcil sin una auditora o
recopilacin extensiva de datos. Para ocuparnos de este tema, se utilizaron actividades de monitoreo recientemente
implementadas para evaluar la eficacia de las tcnicas de mitigacin, y fueron la fuente clave de informacin, haciendo
posible la mejora del programa en curso.
En 2013, se efectu una auditora de gobierno en todo el departamento. Este documento de marco de referencia fue la base
para la preparacin de la auditora. No cubri todo lo que los auditores evaluaron, pero ayud a demostrar lo adecuado de las
estructuras de control en uso.

Prximos pasos
El marco proporciona una evaluacin en un momento especfico de los controles del departamento de soporte de
aplicaciones y da lugar a la identificacin de amenazas, vulnerabilidades e ineficacias, factores de riesgo y problemas (que,
de otro modo, no se hubieran detectado). Se mantendr alineado con los cambios organizacionales (por ejemplo, si la
organizacin comienza a ofrecer una variedad ms amplia de servicios de TI, el marco podr expandirse fcilmente).
La siguiente evolucin de este modelo de gobierno incluir modelos de evaluacin de capacidades de procesos para reas
de proceso claves. El modelo de evaluacin de procesos de COBIT 5 constituir la base para el diseo y la implementacin
de estos modelos. Esto tambin marca la transicin a COBIT 5. Las reas de proceso seleccionadas para evaluaciones de
capacidades son las que presentaran el mayor impacto de riesgo si no operaran con eficacia. Como antes, los modelos se
basarn en COBIT, pero referenciarn a las mtricas y a los procesos de GSK. El primer paso es realizar una evaluacin de
lnea base para determinar los niveles actuales de madurez y luego establecer los objetivos de mejora a largo plazo para
garantizar la mejora continua del proceso durante los prximos cinco aos.

Steve Williamson
Es director de gestin de riesgos de TI en GlaxoSmithKline y es responsable de la seguridad de la informacin, el
cumplimiento normativo y la gestin de calidad. Williamson comenz su carrera en TI hace 25 aos como probador de
software en la industria bancaria. Williamson ha trabajado en GSK durante los ltimos 16 aos en varias funciones
relacionadas con gerenciamiento de proyectos y gobierno, riesgo y cumplimiento.

Volumen 1, enero de 2014

Pgina 23

Notas finales
1

ISACA, Glosario

COBIT Focus es una publicacin de ISACA. Las


opiniones expresadas en COBIT Focus
representan los puntos de vista de los autores.
Pueden diferir de las polticas y declaraciones
oficiales de ISACA y sus comits, y de las
opiniones refrendadas por autores, empleados o
editores de COBIT Focus. COBIT Focus no
avala la originalidad del contenido de los
autores.
ISACA. Todos los derechos reservados.
Los instructores pueden fotocopiar artculos
aislados sin cargo para uso no comercial en las
aulas de clase. Para otras copias, reimpresiones o
nuevas publicaciones, se debe obtener el permiso
por escrito de la asociacin. Comunquese con
Julia Fullerton por correo electrnico a
jfullerton@isaca.org.

Comit de marco
Steven A. Babb, CGEIT, CRISC, ITIL, UK, Director
David Cau, ITIL, MSP, Prince2, Francia
Sushil Chatterji, CGEIT, Singapur
Frank Cindrich, CGEIT, CIPP, CIPP/G, EE. UU.
Joanne De Vito De Palma, EE. UU.
Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Austria
Katherine McIntosh, CISA, EE. UU.
Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brasil
Paras Shah, CISA, CGEIT, CRISC, CA, Australia
Contenido editorial
Los comentarios relacionados con el contenido editorial pueden
remitirse a Jennifer Hajigeorgiou, gerente snior de redaccin, al
correo electrnico jhajigeorgiou@isaca.org.

2014 ISACA. Todos los derechos reservados.

Volumen 1, enero de 2014

Pgina 24