Las tecnologías de la información son aquellas herramientas

computacionales e informáticas que procesan, almacenan, recuperan y

presentan información representada de la más variada forma Uno de los
aspectos de las tecnologías de la información que más importancia tiene en la
actualidad es el de la seguridad, entendida en un doble sentido.

El desarrollo y uso de modelos que permitan representar la relación entre

estrategias de negocio y las Tecnologías de Información (TI) tiene como
objetivo demostrar la función estratégica que éstas han adquirido dentro de las
organizaciones, función que cada vez tiene mayor impacto en la estrategia del
negocio en cuestiones tan importantes como el desarrollo de ventajas
competitivas sostenibles.

En un entorno de competencia donde los elementos que permiten diferenciar a

una organización de otra son cada vez más escasos y las ventajas
competitivas son imitadas por participantes de un determinado sector, la
alineación de las estrategias de TI con las del negocio se han convertido en
uno de los factores más importantes para lograr y sostener una posición de
ventaja competitiva.

Por una parte la seguridad para evitar accesos indeseados a los centros de
datos, versión moderna de los antiguos centros de cálculo, a los ordenadores y
a los programas e información contenidos en ellos, que con la facilidad de
acceso a las redes y el desarrollo de medios como Internet se han multiplicado.
Por otro lado, y dada la presencia de ordenadores en todo tipo de negocios,
empresas o instituciones, es necesario un tipo de seguridad que garantice la
continuidad de las actividades y de los negocios.

Una parte de los profesionales del sector de las tecnologías de la información

centra sus esfuerzos en todos los temas de seguridad como soporte a la
gestión de las entidades y trata de reducir y eliminar los riesgos y amenazas,
los ciberataques, etc.Hay otros muchos aspectos que destacan en la evolución
de las TI en la actualidad, como son la factura electrónica, que tiene como
finalidad eliminar este tipo de documentos en papel y ofrecer todas las
posibilidades que brinda la digitalización, y el manejo de grandes volúmenes de
datos que se generan en muchos campos de actividad.

Es lo que se denomina business intelligence en el entorno empresarial o de

forma más general big data. La gestión y el aprovechamiento de esa
información que se genera y almacena en algunos de esos campos traen
consigo importantes retos para las tecnologías de la información y muchas
oportunidades de desarrollo comercial y de beneficio para la sociedad.

Cuando hablamos de la protección de la información en las organizaciones, no

importa si nos referimos a empresas públicas o privadas, grandes o pequeñas,
 lucrativas o no, ya que cada una de ellas tiene un objetivo primordial, que se ve
reflejado en su misión, su razón de ser.

Para lograrla, llevan a cabo múltiples tareas que conducen hacia este
propósito, al tiempo que se evitan otras acciones que impidan su cumplimiento.
En este escenario toma relevancia la información, un recurso clave desde el
momento en el que es creada hasta su destrucción, de manera que sea posible
evadir las amenazas que pudieran afectarla.

Con la intención de proteger los datos, otros activos y en general el negocio,

las organizaciones pueden adoptar prácticas y medidas de seguridad (que
generalmente están plasmadas en documentos especializados en seguridad de
la información). Por ejemplo COBIT for Information Security, mismo que
abordaremos en esta publicación.

Un marco de referencia que puede ser utilizado en las empresas como guía
para la integración de las operaciones relacionadas con el área de Tecnologías
de Información es COBIT (Control Objectives for Information and related
Technology), es decir, un conjunto de propósitos definidos y controles de
TI que tiene como principio la implementación de un marco para el gobierno y
gestión de TI.

Dentro de la familia de documentos de COBIT, en la última versión existe uno

completamente enfocado en la seguridad de la información (COBIT 5 for
Information Security), que tiene como base el framework de mejores prácticas,
con la característica de que agrega guías prácticas detalladas para la
protección de la información para todos los niveles en las organizaciones.

e plantea la idea de que la seguridad de la información es una disciplina

transversal, por lo que considera aspectos de protección de datos en cada
actividad y proceso desempeñado. Además, sirve como un complemento de
COBIT 5, ya que este último considera algunos procesos que brindan una guía
básica para definir, operar y monitorear un sistema para gestión de la
seguridad, como son:

 APO13 Gestión de la seguridad (treceavo proceso del dominio Alineación,

Planeación y Organización)

 DSS04 Gestión de la continuidad (cuarto proceso del dominio Entrega, Soporte

y Servicio)
 DSS05 Gestión de servicios de seguridad (quinto proceso del mismo dominio)

Por lo que además de revisar con más detalle estos procesos, se agregan
metas y métricas específicas de seguridad para cada proceso definido en los
dominios de COBIT 5. Del mismo modo, se establecen prácticas, actividades,
entradas y salidas entre procesos, para cada uno de los que conforman el
modelo de referencia descrito en esta versión.

Consideraciones de ciberseguridad en COBIT

establecer el enfoque holístico de la seguridad en una empresa, para definir las

responsabilidades y elementos que permiten el gobierno y la gestión de la
seguridad (como las estructuras adecuadas o políticas requeridas). En el
mismo, se pretende alinear la seguridad de la información con los objetivos de
la empresa, a través de las ya mencionadas prácticas de gobierno y gestión
completamente enfocadas en la seguridad.

Por ejemplo, el proceso DSS05 Gestión de servicios de seguridad, tiene como

propósito minimizar el impacto al negocio debido a vulnerabilidades e
incidentes de seguridad de la información. Entre las prácticas de gestión que
involucra, se encuentra la protección contra el malware (DSS05.01), gestión de
la seguridad en red y conectividad (DSS05.02), gestión de la
seguridad endpoint (DSS05.03) o gestión del acceso físico a activos de TI
(DSS05.05).

Como agregado, el documento para la seguridad de la información incluye

nuevas actividades para cada práctica descrita en el párrafo anterior. Por
ejemplo, la instalación de software antivirus, aplicación de mecanismos de
filtrado de contenido, cifrado de información (de acuerdo a su clasificación)
almacenada en equipos y en tránsito, aplicación de configuraciones,
concientización sobre la seguridad física, entre muchas otras.

Consideraciones y pautas principales para la seguridad de la información

No se puede negar que la aplicación de medidas de protección para la

información se ha convertido en una necesidad, ya que se trata de un activo útil

para muchos propósitos, por ejemplo, un trasfondo de mayor alcance

relacionado con la continuidad de las operaciones y la protección del negocio,

la razón de ser de las organizaciones.

Los distintos procesos, actividades o iniciativas se pueden complementar con

las propuestas realizadas en este y otros documentos, mismos que son el

resultado del consenso de expertos en el tema, así como un continuo

desarrollo de mejores prácticas. Esto ocurre precisamente con COBIT, ya que

lejos de ofrecer a los usuarios una disyuntiva sobre cuál framework utilizar, se

puede aplicar en concordancia con otras opciones como ISO 27001 o NIST.

5 contribuye a la alineación de los objetivos?¿Cómo es que COBIT 5 es un

marco de referencia integral que contribuye, dentro de laCOBIT organización,
al logro de los objetivos estratégicos del negocio y entregar valor a través de un
efectivo gobierno y gestión de las Tecnologías de la Información. 5 posibilita
que las TI sea gobernadas y gestionadas en forma holísticaCOBIT para toda
la organización, tomando en consideración el negocio y áreas funcionales de
extremo a extremo, así como los interesados internos y externos. Este marco
de referencia puede aplicarse a organizaciones del sector privado o público o
entidades sin fines de lucro. 5, éstaCuando una empresa integra un marco
de referencia como COBIT podrá hacer más eficientes sus procesos, tener
operaciones más seguras y confiables, permitiéndole tener un amplio
panorama donde se identifiquen

claramente los riesgos y las fortalezas o debilidades de su estrategia de TI. De

la misma forma, su organización podrá identificar cómo puede asegurar que las
Tecnologías de la Información tengan la dirección adecuada, es decir que
estén alineadas a los objetivos estratégicos de negocio.

Como conclusión quisiera regresar al título de este artículo y resaltar la

importancia que tiene para las organizaciones el asegurar que las Tecnologías
de Información apalanquen sus objetivos estratégicos. Asimismo hay que 5
para facilitar quedestacar la utilidad de un marco integral como COBIT esto
se logre, sin dejar de lado la importancia de aplicar una estrategia de
implementación efectiva y eficiente que haya sido probada con éxito en
organizaciones a nivel mundial.