ETAPA 2

JONATHAN BETANCOURT
CARLOS HERNÁNDEZ
BRAYAN GARAY
SANDRO MENDOZA
MAURICIO RAMÍREZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2022

1
 ETAPA 2

CARLOS HERNÁNDEZ
JONATHAN BETANCOURT
BRAYAN GARAY
SANDRO MENDOZA
MAURICIO RAMÍREZ

Nombre
Tutor(a) EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ DC
2022

2
 CONTENIDO

INTRODUCCIÓN 5
1 JUSTIFICACIÓN 6
2 OBJETIVOS 7
2.1 OBJETIVOS GENERAL 7
2.2 OBJETIVOS ESPECÍFICOS 7
3 DESARROLLO DEL TRABAJO 8
3.1 CUADRO COMPARATIVO DE MARCOS NIST Y COBIT 8
3.2 ¿SE DEBEN INCLUIR AMBOS MARCOS EN EL CASO DE ESTUDIO? 9
4 CONCLUSIONES 13
5 BIBLIOGRAFÍA 14

3
 TABLA DE ILUSTRACIONES

Ilustración 1 - Comparación entre NIST y COBIT .................................................... 8

4
 INTRODUCCIÓN

La seguridad informática y de la información a través del tiempo y al paso de la

evolución acelerada que viven las empresas en la actualidad con respecto a los
procesos e inclusión tecnológicos, tiene más participación debido a las
vulnerabilidades, consecuencias y falta de cultura que se halla en las
organizaciones respecto al cuidado de la información y protección informática, de
los sistemas que la gestionan y del gran número de datos que se deben cuidar para
cumplir con el foco del negocio y confidencialidad de la información. Es por esto
que, dentro de los marcos de trabajo para la seguridad informática, encontramos la
NIST y la COBIT, las cuales nos muestran con una idea conjunta y generalizada,
cómo podemos adoptar una posición referente al uso del cuidado y prevención de
los sistemas, de la información y su constante soporte.

En las organizaciones la información es el activo más importante, por eso

protegerlos y manejarlos de la manera más adecuada mitigando riesgos es el ideal
dentro de la comunidad; pero la información en si requiere de otro tipo de recursos
como la tecnología y las personas para generar valor y estos a su vez necesitan de
procesos para cumplir con los objetivos de rentabilidad, para que de una manera
organizada y armoniosa la producción sea la más optima teniendo en cuenta
procesos, actividades y demás; conformando grupos interdisciplinarios para hacer
implementación, seguimiento y evaluación a los procesos. Por lo anterior, existen
marcos de trabajo, los cuales son una pauta para orientar al nivel directivo y
ejecutivo a realizar acciones y aplicar estándares a los procesos con el objetivo de
generar valor en las organizaciones y mitigar riesgos de perdida de información y
recursos; para que estos recursos no sean desaprovechados, sino que por el
contrario proteger la información junto con toda la infraestructura necesaria para su
recepción, almacenamiento, proceso y distribución de la misma.

Basados en el aporte que se nos entrega (Caso de estudio 2022) vamos a enfocar
el proceso investigativo hacia una respuesta del problema, de tal manera que se
expondrá cómo se puede dar la aplicación de estas dentro de la solución que
debemos encontrar.

5
 1 JUSTIFICACIÓN

Debemos estar en la capacidad de entender la importancia de asegurar la

información, los datos y todos los sistemas de una compañía o entidad, esto para
cumplir con los procesos internos de asegurabilidad de los activos más importantes
(los datos), y también del resguardo de la información de los clientes asociados al
negocio y todo lo que conlleva legalmente al tratamiento de la misma.

Se expondrá una conjunción de la NIST y COBIT en base de proceso de

investigación tanto de definiciones, cómo de compatibilidad y la manera en que
envuelve una solución industrial de asegurabilidad. Tras el debate académico, se
definirá entonces de la manera más adecuada el trabajo conjunto de ambas
normatividades con aspectos puntuales a resaltar.

Es indispensable conocer las normatividades NIST y COBIT, puesto que en el

desarrollo diario de nuestras actividades laborales se pueden presentar casos
donde se trabaje con información confidencial de manera digital, dándonos la
responsabilidad y capacidad de manipularla de manera correcta, también se pueden
presentar casos donde se trabaje con mencionadas normatividades de manera
aplicada, presentando la oportunidad de poder ser parte de un grupo de gestión por
el conocimiento que se tiene.

6
 2 OBJETIVOS

Debemos asociar los procesos de la NIST y COBIT al caso de la empresa RTT

Ibérica para poder implementar un sistema de gestión de seguridad de la
información. Para esto, tendremos los siguientes objetivos:

2.1 OBJETIVOS GENERAL

Reconocer los componentes y el alcance de los Marcos de trabajo NIST y COBIT

para determinar la aplicabilidad de cada uno de ellos dentro de las organizaciones.

2.2 OBJETIVOS ESPECÍFICOS

- Identificar el alcance de los marcos de trabajo para contar con la comprensión

sobre en qué momento aplicar NIST y COBIT dentro de los procesos
laborales de las organizaciones.

- Reconocer la estructura de cada Marco de trabajo y sus núcleos a fin de

generar una idea a grandes rasgos de la distribución de sus componentes.

- Realizar un análisis comparativo donde se evidencian diferencias,

similitudes, ventajas y desventajas de cada uno de los marcos de trabajo
objeto de la presente actividad.

- Establecer que características de ambos marcos de trabajo son aplicables al

caso de estudio propuesto.

7
 3 DESARROLLO DEL TRABAJO

3.1 CUADRO COMPARATIVO DE MARCOS NIST Y COBIT

Ilustración 1 - Comparación entre NIST y COBIT

El cuadro que se ha realizado para poder resumir de lado a lado las características
en manera de comparación, ayuda al lector a poder tener una rápida pasada y ver
de que manera los marcos pueden relacionarse y a su vez diferenciarse; siendo de
carácter altamente importante el hecho de tener en cuenta que, si su definición bien
puede traer unos objetivos definidos y marcados que pueden llegarlos a diferenciar,
también tienen en conjunción un propósito que cumplir el cual, en el siguiente
apartado se explicará de una manera mucho mas detallada a raíz del caso de
estudio.

8
3.2 ¿SE DEBEN INCLUIR AMBOS MARCOS EN EL CASO DE ESTUDIO?

Sí, debido a que la muestra de la implementación de un proceso de seguridad no

se encuentra presente dentro de la descripción del problema de la empresa; si bien
se entiende que la compañía no tiene los recursos completos para armar un equipo
robusto de seguridad, si puede empezar por capacitar con gente experta a las
personas con las que cuenta, en principio es algo que debe hacerse ya que siendo
personal del área de tecnología, está en la obligación de manejar los recursos de
una manera más segura a como lo está haciendo actualmente.

De la misma manera la implementación es muy importante ya que se puede

clasificar la información que manejan para poder dar prioridad a ciertos procesos y
buscar la mejor manera de adecuarlos, ejemplo, el hecho de que absolutamente
toda la información del servidor se grabe en unas cintas que rotan semanalmente
(son 4), tengamos en cuenta que el COBIT y la NIST recomiendan que también
debe existir un proceso seguro de la eliminación de los históricos no necesarios, ya
que al no hacerlo con las medidas correspondientes, también puede esto
convertirse en una vulnerabilidad. De esta manera se debe mantener las alianzas
empresariales que está ha creado, ya que se describe en el problema el manejo de
datos, el cual es un punto sensible en la administración y manejo de estos. Así
mismo la seguridad de la información, en referente a equipos, redes y personal de
operarios se debe estructurar, las funciones específicas para no generar posibles
fugas de la información o en su defecto un proceso empresarial de atención al
cliente incompletos que afecten la imagen y buen nombre de la empresa y sus
aliados estratégicos.

El uso de ambos marcos de trabajo sería el más adecuado de manera articulada,

pero teniendo en cuenta el requerimiento actual donde se debe elegir uno de los
dos NIST o COBIT, considero que el más adecuado es COBIT 2019, teniendo en
cuenta actualizaciones que ha tenido y que lleva más de 25 años desde su creación,
este marco de trabajo cuenta con más herramientas para adaptar a las
organizaciones y su gobierno para la toma de decisiones; además dentro de sus
referentes se encuentra NIST.

El marco de trabajo NIST apunta más a un conjunto de buenas prácticas para

mejorar sus capacidades mediante actividades y tareas, ósea parte de los procesos,
pero no los procesos en sí.

Al aplicar este marco de trabajo, el objetivo primordial es el de alinear el negocio en

tres componentes, comenzando por el Gobierno Empresarial TI, relación entre el
modelo de negocio y TI con el fin de crear valor a partir de los recursos de
información y tecnología junto con el gobierno que se efectué a nivel directivo sobre
el uso eficiente de estos recursos.

9
El gobierno de TI dentro de la organización es el responsable de definir mecanismos
que definan e implementen la estructura y procesos. Basados en los principios de
COBIT, primeramente, se identifica cual es el modelo de negocio y los procesos,
para aplicar los objetivos de control del marco de trabajo con el fin de obtener una
gestión eficaz de los recursos como la información y la tecnología, actualmente
muchas organizaciones buscan como mejorar y soportar sus procesos con el fin de
optimizar sus recursos, teniendo en cuenta el caso de estudio se identifican varios
objetivos de gobierno y de gestión aplicables dependiendo de las necesidades de
la organización; aunado a lo anterior se puede hacer uso de los factores de diseño
e involucrando las áreas prioritarias orientadas a buenas prácticas de gobierno, con
todo esto en conjunto se puede diseñar un Sistema de gobierno empresarial
sostenible.

Teniendo en cuenta la estructura organizacional de la empresa, se establece que

hay diferentes departamentos. La aplicación mencionada la cual fue realizada a
medida para la empresa dedicada al alquiler de vehículos, aplicando el marco se
debe de contar con equipo de TI encargado de suministrar el servicio de desarrollo
del sistema de información, teniendo en cuenta la evolución de las necesidades de
la empresa.

Por ejemplo, el departamento Comercial, este proceso se puede automatizar

mediante BIG DATA.

Desde la parte financiera, en este grupo se destaca una particularidad, ya que

algunos de los archivos contables se guardan de manera local en los equipos, esta
es una falencia a nivel de seguridad de la información puesto que no salvaguarda
la accesibilidad, disponibilidad y confidencialidad de la información.

Los Recursos Humanos deberían de contar con la responsabilidad de la

contratación del personal y otro grupo se debería de encargar de las nóminas.

Departamento Técnico es preciso separar y asignar procesos a los entes

correspondientes, se observa que el equipo de tecnología aparte de suministrar este
servicio tecnológico tiene asignada la responsabilidad de asumir las relaciones con
los proveedores tecnológicos.
Se debe de generar un nivel de madurez de los procesos, CMMI cuanta con estos
niveles de operación desde 0 hasta 5.

Se debe de crear un grupo específico responsable de estos procesos desde la parte

de gobierno y de gestión.

Es importante destacar que estos marcos de referencia se caracterizan por un

proceso de mejora continua, no es un proceso que tiene fin, se ejecuta de manera
cíclica.

10
Se deben de trabajar todos los componentes de la estructura de la organización, ya
que todo es un conjunto que bajo una correcta articulación para que todos los
procesos, información, personas funcione de manera armónica.

Enfatizando en los componentes, estos son indispensables, el flujo de la

información, mucha información puede quedar a la deriva, perderse o no contar con
la veracidad requerida, esto afecta de manera global a la organización, ya que
puede generar pérdida de recursos.

Hay procesos, pero se carece de políticas, flujos, como el correcto funcionamiento

aportando a lo que COBIT plantea, ya que inicialmente debería de contar con un
nivel básico de implementación, obviamente aportando a un proceso de mejora
continua.

Procesos operativos y áreas prioritarias:

Automatizar procesos mediante el uso adecuado de herramientas como Devops.

Para el almacenamiento se debe de contar con Cloud service.

Dentro de los aspectos técnicos:

Importante contar con más de un servidor como buena práctica, ya que, si se es

propenso a una falla técnica y todos los servicios se verán afectados, es importante
contar con 1 servidor para cada tipo de servicio, así como se viene manejando es
un riesgo alto para la organización.

Por parte del nivel directivo se pueden encaminar los esfuerzos para crear grupos
interdisciplinarios encargados de supervisar la puesta en práctica de los dominios,
procesos y actividades.

Ejemplo de cómo aplicar COBIT en el ámbito de seguridad a nivel de gobierno

empresarial:
Aplicar los procesos de gobierno y gestión aplicables:

• Proceso de Gobierno.
• EDM04 Asegurar la optimización de recursos.
• Procesos de Gestión.
• Dentro del dominio Alinear, Planificar y Organizar.
• APO13 Gestionar la seguridad.
• Dentro del dominio Entregar, Servir y Proveer Soporte.
• DSS05 Gestionar los servicios de seguridad.

11
Estos grupos interdisciplinarios en las organizaciones se encargan de hacer
evaluación, implementación y seguimiento a las actividades de los procesos dentro
de los dominios correspondientes. Las contraseñas deben de caducar con el fin de
mitigar riesgos de accesos no autorizados. Los usuarios son personales e
intransferibles es por eso por lo que al diseñar e implementar este marco se
obtienen beneficios relacionados con la confiabilidad de los sistemas y la
información, igualmente teniendo en cuenta las referencias normativas como el
SGSI.

El código fuente y los aspectos técnicos deben de ser manejados al interior de la

organización con el objetivo de tener más control de sus activos y la tecnología.
Evitando de esta manera fuga de información o que la información de la empresa
sea secuestrada o vendida a terceros con fines comerciales.

La conexión a internet debería de ser restringida para determinados equipos que

por fuerza mayor requieran el uso de este acceso o autorización.

En aspectos de seguridad de la información COBIT dentro de sus referencias cuenta

con las normas ISO como la 27001 indispensables ya que aporta y tiene en cuenta
los elementos del SGSI.

En cuanto al almacenamiento de la información se debe de contar con más de un

respaldo, puesto que la información ósea los datos en sí son el activo más
importante de las organizaciones junto con la tecnología, porque por estos medios
se puede recibir, almacenar, procesar y distribuir y sacar provecho mediante el
gobierno corporativo para la obtención de valor.

12
 4 CONCLUSIONES

- Es de vital importancia aplicar estos marcos en las organizaciones, para la

vida cotidiana dada la constante evolución y la digitalización de todos los
sectores de la economía, donde las empresas necesitan proteger sus datos,
sacar provecho de ello generando la rentabilidad deseada, pero es más
indispensable destacar que no existe una fórmula mágica que de la noche a
la mañana provea de estas herramientas para ser exitosos en los negocios
con la información y la tecnología, es preciso aplicar procesos, de una
manera organizada con grupos conformados para la evaluación y
seguimiento de los mismos, siempre con el objetivo presente que la mejora
continua no puede faltar, que son proyectos a largo plazo y dependiendo de
su madurez así mismo es la sostenibilidad de las organizaciones y que sus
procesos funcionen de una manera armoniosa, automatizar procesos y
reducir las pérdidas de información y recursos.

- Es indispensable conocer las normatividades NIST y COBIT, puesto que en

el desarrollo diario de nuestras actividades laborales se pueden presentar
casos donde se trabaje con información confidencial de manera digital,
dándonos la responsabilidad y capacidad de manipularla de manera correcta,
también se pueden presentar casos donde se trabaje con mencionadas
normatividades de manera aplicada, presentando la oportunidad de poder
ser parte de un grupo de gestión por el conocimiento que se tiene.

- COBIT es un marco de trabajo muy amplio y que requiere de años para ser
implementado en todos sus niveles, por eso es muy valioso para el perfil
curricular y a nivel laboral y de conocimiento contar con la certificación en
COBIT porque esto abre muchas puertas a nivel mundial y aportando valor a
la sociedad mediante la correcta implementación de sus controles.

- De igual manera NIST entorno a los incidentes de seguridad de la

información aporta herramientas para detectar amenazas y riesgos,
mitigarlos y cómo manejar los riesgos, cómo recuperar información, depurar
información que no sea necesaria y reducir en gran medida mediante un nivel
aceptable de riesgo la probabilidad de ocurrencia de los riesgos.

13
 5 BIBLIOGRAFÍA

- Rojas, C. I. S. (2009). Trabajo de auditoría normas COBIT. Argentina: El

Cid Editor | apuntes. (pp 4 – 28). [Online]. Disponible en https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/28995?page=1

- Ritegno, E. (2019). COBIT 2019. (pp 1-43). [Online]. Disponible en

https://iaia.org.ar/wp-content/uploads/2019/07/COBIT2019-IAIA.pdf

- NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity

(pp 1-44). [Online]. Disponible en
https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

- Editorial Esp. ITIL vs COBIT. ¿Qué marco es más recomendable?.

FreshserviceBlog. 2020. [Online]. Disponible en
https://freshservice.com/es/itil/itil-vs-cobit-que-marco-es-mas-
recomendable-blog/

- . Whithepaper Series. Edición 5. (2020). Marco NIST. Un abordaje integral

de la ciberseguridad. [Online]. Disponible en
https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-
Ciberseguridad-ESP.pdf

- Cummins, Emily. Marco de Seguridad cibernética NIST. AWS – Adopción

segura en la nube. (2019). [Online]. Disponible en
https://d1.awsstatic.com/whitepapers/es_ES/compliance/NIST_Cybersecurit
y_Framework_CSF.pdf

- COBIT. Calameo. Presentación pública y libre. [Online]. Disponible en

https://es.calameo.com/read/007143888132934d8fa10

- Comparación de estándares y marcos de seguridad TI. SoporteTIC.net.

Blog virtual. (2021) [Online]. Disponible en
https://soportetic.net/comparacion-de-estandares-y-marcos-de-seguridad-
de-ti/

- Matías, Maribel. Ventajas y desventajas del COBIT. Blogspot. (2017).

[Online]. Disponible en http://cobitmmatiasc.blogspot.com/2017/03/ventajas-
y-desventajas-de-cobit.html

- Lindstrom, Pete. The Good, the Bad, and the Ugly Subcategories of the
NIST Cybersecurity Framework. IDC, Service blogs. (2021). Disponible en
https://blogs.idc.com/2021/03/31/the-good-the-bad-and-the-ugly-
subcategories-of-the-nist-cybersecurity-framework/

14