ETAPA 2

EDGAR FERNANDO GUZMAN YOMAYUSA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2020

1
 ETAPA 2

EDGAR FERNANDO GUZMAN YOMAYUSA

EDUARDO ANTONIO MANTILLA TORREZ

Tutor(a) o Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA D. C.
2020

2
CONTENIDO
pág.

3
4
INTRODUCCIÓN

5
JUSTIFICACIÓN

6
OBJETIVOS

7
 CAPITULO 1: MODELOS DE TRABAJO

NIST MARCO CIBERSEGURIDAD - NIST (CYBERSECURITY FRAMEWORK)

NIST proporciona un marco de políticas de seguridad informática guía, sobre

cómo el sector privado organizaciones en los Estados Unidos pueden evaluar y
mejorar su capacidad de prevenir, detectar y responder a los ataques cibernéticos.
El Marco de Ciberseguridad NIST está diseñado para las empresas individuales y
otras organizaciones a utilizar para evaluar los riesgos que enfrentan.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en
estándares, directrices y prácticas existentes para que las organizaciones de
infraestructura crítica gestionen mejor y reduzcan el riesgo de Ciberseguridad.
Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la
seguridad cibernética entre los interesados internos y externos de la
organización".

Objetivos del Marco de Trabajo de Ciberseguridad del NIST

 Identificar estándares de seguridad y guías aplicables de forma trasversal a

todos los sectores de infraestructuras críticas
 Establecer un lenguaje común para gestionar riesgos de Ciberseguridad
 Proveer un visión priorizada, flexible, repetible, imparcial, apoyada en el
desempeño y efectivo en términos de coste-beneficio establecido en las
necesidades del negocio
 Ayudar a los responsables y operadores de infraestructuras críticas a
identificar, inventariar y gestionar riesgos informáticos
 Establecer criterios para la definición de métricas para el control del
desempeño en la implementación

8
  Establecer controles para proteger la propiedad intelectual, la privacidad de
los individuos y las libertades civiles cuando se ejecuten actividades de
Ciberseguridad
 Identificar áreas de avance que permitan ser gestionadas a través de
colaboraciones futuras con sectores particulares y organizaciones
orientadas al proceso de estándares

El NIST está basado y/o hace referencia a los siguientes estándares, directrices y
mejores prácticas:

 Control Objectives for Information and Related Technology (COBIT)

 ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and
Control Systems
 ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and
Control Systems
 ISO/IEC 27001:2013
 NIST SP 800-53 Rev. 4

Esquematización del NIST

El marco de trabajo se encuentra compuesto de tres partes principales: El marco

básico (Framework Core), los niveles de implementación del marco (Framework
Implementation Tiers) y los perfiles del marco (Framework Profiles).

Marco básico (Framework Core)

Es un conjunto de actividades de ciberseguridad, resultados esperados y

referencias aplicables que son comunes a los sectores de infraestructuras críticas,

9
en términos de estándares de la industria, directrices y prácticas que permiten la
comunicación de actividades de ciberseguridad y sus resultados a lo largo de la
organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.
Para ello, emplea cinco funciones fundamentales:
 Identificar: permite desarrollar la comprensión de la organización para
gestionar los riesgos de seguridad cibernética a sistemas, con gestión de
activos, ambiente de negocios, gobernabilidad, evaluación de Riesgos y
estrategia de Gestión de Riesgos.

 Proteger: Permite desarrollar y aplicar las salvaguardas apropiadas para

garantizar la prestación de servicios de infraestructura crítica haciendo uso
de control de acceso, sensibilización y formación, seguridad de datos,
procesos de protección de la información y procedimientos, mantenimiento
y tecnología de protección.

 Detectar: Permite desarrollar e implementar las actividades apropiadas para

asemejar la ocurrencia de un evento de ciberseguridad a través de la
monitorización continua, de anomalías y eventos, seguridad supervisión

 Responder: permite desarrollar e implementar las actividades necesarias

para tomar acción respecto a un evento detectado la seguridad cibernética.,
apoyados de la planificación de respuesta, comunicaciones, análisis,
mitigación y mejoras de las actividades de respuesta de organización.

 Recuperar: Permite desarrollar e implementar las actividades apropiadas

para mantener los planes para la resistencia y para restaurar las
capacidades o servicios que fueron perjudicadas debido a un evento de
seguridad cibernética"

10
Niveles de implementación del marco (Framework Implementation Tiers)

Los niveles de implementación le permiten a la organización catalogarse en un

umbral predefinido en función de las prácticas actuales de gestión de riesgo, el
entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y
misión del negocio y las restricciones de la propia empresa.
Los rangos de los niveles de implementación son los siguientes:
 Nivel 1 – Parcial: En este nivel las prácticas de gestión de riesgos de
ciberseguridad no están formalizadas (ad-hoc) y actúan por lo general de
forma reactiva.
 Nivel 2 – Riesgos informados: las prácticas de gestión de riesgo están
aprobadas por la Dirección, pero pueden no estar establecidas como una
política global.
 Nivel 3 – Repetible: las prácticas formales de gestión de riesgo son
actualizadas regularmente como parte de la aplicación de análisis en
cambios en requerimientos de negocio.
 Nivel 4 - Adaptativo: Las prácticas de ciberseguridad están basadas en
lecciones aprendidas e indicadores predictivos derivados de actividades
previas y actuales de ciberseguridad, a través de un proceso de mejora
continua de adaptación a los cambios.

Perfiles del marco (Framework Profiles)

Los perfiles se emplean para describir el estado actual (Current profile) y el estado
objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis
diferencial entre perfiles permite la identificación de brechas que deberían ser
gestionadas para cumplir con los objetivos de gestión de riesgos.

11
Para ello, se requiere la definición de un plan de acción que incluya una
priorización de actividades dependiendo de las necesidades de negocio y
procesos de gestión de riesgos de la organización. Este enfoque basado en el
riesgo le permite a la organización estimar los recursos necesarios (por ejemplo,
personal y financiación) para lograr las metas de ciberseguridad establecidas de
una manera rentable y priorizada.

COBIT

COBIT (Control Objectives for Information Systems and related Technology) que
traduce Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas, desarrollado por ISACA (Information Systems Audit and Control
Association), lanzado en 1996, es un modelo utilizado para auditar los sistemas de
información de toda la organización, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control.
La estructura del modelo COBIT propone un marco de acción donde se evalúan
los criterios de información, como por ejemplo la seguridad y calidad, provee una
herramienta automatizada, para evaluar de forma ágil y consistente el
cumplimiento de los objetivos de control y se auditan los recursos que
comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre
los procesos involucrados en la organización.
Se divide en 3 niveles, los cuales son los siguientes:
 Dominios: Agrupación natural de procesos, normalmente corresponden a
un dominio o una responsabilidad organizacional.
 Procesos: Conjuntos o series de actividades unidas con demarcación o
cortes de inspección. y control
 Actividades: Acciones requeridas para lograr un resultado medible.

12
Dominios

COBIT define un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro dominios
principales, los cuales presentan objetivos específicos que deben desarrollados:

Planificación y organización: Este dominio cubre la estrategia y las tácticas y se

refiere a la identificación de la forma en que la tecnología de información puede
contribuir de la mejor manera al logro de los objetivos del negocio. Asimismo, la
consecución del enfoque estratégico necesita ser planead0, comunicada y
administrado a partir de diferentes perspectivas:
 Definir el plan estratégico de TI.
 Definir la arquitectura de la información
 Determinar la dirección tecnológica.
 Definir procesos, organización y relaciones de TI.
 Administrar la inversión en TI.
 Informar las aspiraciones y la dirección de la administración
 Administrar recursos humanos de TI.
 Administrar calidad.
 Evaluar y administrar riesgos de TI
 Administrar proyectos.
 Administración de Calidad

Adquisición e Implantación: Para llevar a cabo la estrategia de TI, las soluciones

de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas
e integradas dentro del proceso del negocio.
 Identificar soluciones automatizadas.
 Adquirir y mantener el software aplicativo.
 Adquirir y mantener la infraestructura tecnológica

13
  Facilitar la operación y el uso.
 Adquirir recursos de TI.
 Administrar cambios.

Soporte y servicios: hace referencia a la entrega de los servicios requeridos aquí

se deberán establecerse los procesos de soporte necesarios.
 Definir y administrar niveles de servicio.
 Administrar servicios de terceros.
 Administrar desempeño y capacidad.
 Garantizar la continuidad del servicio.
 Garantizar la seguridad de los sistemas.
 Identificar y asignar costos.
 Educar y entrenar a los usuarios.
 Gestionar la mesa de servicio y los incidentes.
 Administrar la configuración.
 Administrar los problemas.
 Administrar los datos.
 Administrar el ambiente físico.
 Administrar las operaciones.

Monitoreo: realización de pruebas para evaluar regularmente verificando su

calidad y suficiencia en cuanto a los requerimientos
 Monitorear y evaluar el desempeño de TI.
 Monitorear y evaluar el control interno
 Garantizar cumplimiento regulatorio.
 Proporcionar gobierno de TI.

14
Beneficios

 Entendimiento compartido entre todos los interesados basados en un

lenguaje común.
 Desempeño integral de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.
 Suministra una visión comprensible de TI que le permite a los ejecutivos de
negocios comunicar sus metas, objetivos y resultados con Auditores, IT y
otros profesionales, definiendo con claridad la propiedad y
responsabilidades
 Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de TI.
 Logra la confidencialidad de la información.
 Disponibilidad de la información cuando ésta se requiere por el proceso de
negocio en todo momento.
 Optimización de los costos de las TI.
 COBIT integra auditorias, analiza todo su procesos atreves de las
auditorias.

Características

 Orientado al negocio.
 Alineado con estándares y regulaciones "de facto".
 Basado en una revisión crítica y analítica de las tareas y actividades en TI.
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).

15
¿Por qué implementar COBIT en una organización?

 COBIT abarca los procesos de dirección y de la organización.

 Ideal para organizaciones que sin fines de lucros
 Cuenta con la gestión de riesgos que otros no poseen.
 Certificación internacional y es un indicativo de seriedad de un
organización.
Ayuda a las organizaciones a mantener un equilibrio entre la realización de
beneficios y la optimización de los niveles de riesgos y utilización de los recursos.

ITIL

Las siglas de ITIL significan (Information Technology Infrastructure Library) o

Librería de Infraestructura de Tecnologías de Información, es una metodología
desarrollada a finales de los años 80’s por iniciativa de la OGC (Office of
Goverment Comerce) Oficina Gubernativa de Comercio Británica.

Esta metodología es la más mundialmente aceptada para la gestión de servicios

de Tecnologías de Información, ya que es una recopilación de las mejores
prácticas para implementar en las organizaciones.

ITIL propone el establecimiento de estándares que ayudan con el control,

operación y administración de los recursos, lo que nos lleva a una mejora continua
y también propone que cada actividad que se realice tenga la documentación
pertinente, permitiendo que cada miembro involucrado esté al tanto de las
modificaciones.

16
ITIL engloba una sucesión de conceptos y herramientas de gestión de prestación
de servicios, principalmente de tecnologías de la información, y las operaciones
relacionadas con ellas. Esta manera de enfrentar la gestión no es un manual que
se ha de seguir al pie de la letra, ITIL no es severo en cuanto en su
implementación, por lo que se pueden adoptar los aspectos o funcionalidades que
se adapten mejor a nuestro tipo de proyectos y permita optimizar su gestión.

Soporte de Servicio

El Soporte de Servicio se ocupa de asegurar que el usuario tenga acceso a los

servicios apropiados que soporten las funciones de negocio. Los puntos a tratar
en la documentación de ITIL incluyen los siguientes Procesos:
 Gestión del Incidente
 Gestión del Problema
 Gestión de Configuración
 Gestión del Cambio
 Gestión de la Entrega
 Centro de Servicio al Usuario (Función)

17
CONCLUSIONES

18
BIBLIOGRAFÍA

19