Volumen 1, enero de 2014

En este nmero:

Convocatoria para

presentacin de artculos

Cmo utiliza COBIT

en su empresa actualmente?

Aceptamos artculos en los que describa su experiencia con

este marco. Plazos para la presentacin de una

copia para el volumen 2, 2014:

10 de marzo de 2014

Enve artculos para revisin a:

publication@isaca.org

Estudio de casos

Visite las pginas COBIT Recognition

(Reconocimiento de COBIT) y Case Studies (Estudio de Casos) para obtener ms

informacin sobre los estudios de casos relacionados con

COBIT 5 y COBIT 4.1.

Banco de Medio Oriente mejora la seguridad de la informacin Gestin de seguridad de la informacin en HDFC Bank: Contribucin de los siete facilitadores /

habilitadores Soportando el cumplimiento de PCI DSS 3.0 con COBIT 5 Desarrollo de un marco de gobierno para la organizacin de soporte mundial en GlaxoSmithKline,

utilizando COBIT

Banco de Medio Oriente mejora la seguridad de la informacin Por Abbas K, CISA, CISM, CGEIT, COBIT 5 (Foundation), CEH, C|CISO, PRINCE2 Como consecuencia de una iniciativa por mejorar la seguridad de la informacin con la ayuda de COBIT, una entidad bancaria de Medio Oriente obtuvo varios beneficios, entre ellos: Mejorar la integracin de la seguridad de la informacin dentro de la organizacin. Comunicar decisiones vinculadas al riesgo y crear conciencia sobre los riesgos. Mejorar la prevencin, deteccin y recuperacin. Reducir (el impacto de) los incidentes vinculados a la seguridad de la informacin. Aumentar el soporte relacionado con la innovacin y la competitividad. Mejorar la gestin de costos relacionados con la funcin de seguridad de la

informacin. Adquirir un entendimiento ms profundo sobre la seguridad de la informacin.

Obtener la aprobacin de la alta direccin es una queja comn entre los profesionales de seguridad de la informacin. Sin embargo, en un banco de Medio Oriente, ms especficamente en Kuwait, el gerente de seguridad de la informacin no tuvo ese problema a la hora de implementar COBIT para definir los principios de seguridad de la informacin de la empresa porque la alta direccin del banco ya tena pleno conocimiento del marco aceptado por la industria. En consecuencia, el informe de evaluacin fue completado rpidamente, aceptado velozmente y agradecido enormemente.

La organizacin utiliza varios estndares y marcos, incluida la norma ISO 27001, el Estndar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standards, PCI DSS) y la Biblioteca de Infraestructura de Tecnologa de la Informacin (IT Infrastructure Library, ITIL), y deseaba alinear sus procesos y principios departamentales con un marco comn, ampliamente flexible y adaptable, que tuviera controles y procesos en comn con otros marcos de la industria. La organizacin hall todo esto en COBIT, que en su versin ms actualizada COBIT 5 proporciona un detallado cruce con otros marcos, entre ellos, las normas de la Organizacin Internacional para la Estandarizacin (International Organization for Standardization, ISO), el Marco de Arquitectura del

Open Group (The Open Group Architecture Framework, TOGAF) y el Cuerpo de Conocimientos de Gestin de Proyectos (Project Management Body of Knowledge, PMBOK).

Ningn otro marco proporciona un cruce tan detallado con diversos estndares aceptados en la industria. El banco ha utilizado COBIT 5 y COBIT 5 para la Seguridad de la Informacin en una amplia variedad de proyectos: Se emple el Kit de herramientas de COBIT 5 para identificar el enunciado de aplicabilidad (statement of applicability,

SOA) de cada dominio, junto con los 37 procesos y los 210 enunciados de prctica correspondientes. Los principios de COBIT 5 han sido cruzados con los procesos actuales del departamento de seguridad de la informacin

con el objeto de identificar toda brecha posible (Consulte la columna Evidencia de Soporte en la figura 1 para conocer los resultados del cruce).

Se abordaron todas las brechas identificadas durante la evaluacin teniendo en cuenta las guas recomendadas para cada enunciado de prctica.

Principios de seguridad de la informacin Como se describi en COBIT 5 para la Seguridad de la Informacin, los principios de seguridad de la informacin comunican las reglas de la empresa que soportan los objetivos de gobierno y los valores empresariales, segn la definicin del Consejo y la direccin ejecutiva. Estos principios deben: Ser limitados en cuanto a su nmero. Estar expresados en un lenguaje sencillo y declarar, de la manera ms clara posible, los valores fundamentales de la

empresa.

Estos principios (figura 1) son genricos y se aplican a todas las empresas, y se pueden utilizar como base para el desarrollo de principios de seguridad de la informacin exclusivos de la empresa.

Figura 1: Principios de seguridad de la informacin del banco basados en COBIT 5

Principio Objetivo Descripcin Estado Evidencia de Soporte

1. Soporte al negocio.

Concentrarse en el negocio.

Garantizar que la seguridad de la informacin est integrada a las actividades esenciales del negocio.

Las personas que integran la comunidad de seguridad de la informacin deben entablar relaciones con lderes de negocio y demostrar el modo en que la seguridad de la informacin puede complementar negocios claves y procesos de gestin de riesgos. Ellas deberan adoptar un enfoque de consultora respecto de la seguridad de la informacin brindando su respaldo a los objetivos del negocio por medio de la asignacin de recursos, programas y proyectos. Se debe proporcionar consultora de alto nivel, enfocada a la empresa, para proteger la informacin y ayudar a gestionar el riesgo de la informacin tanto ahora como en el futuro.

Implementado Estrategia de seguridad de la informacin

Ofrecer calidad y valor a las partes interesadas.

Garantizar que la seguridad de la informacin ofrezca valor y satisfaga los requerimientos del negocio.

Las partes interesadas internas y externas deben comprometerse a sostener una comunicacin peridica de modo que se sigan cumpliendo sus requerimientos cambiantes de seguridad de la informacin. Promover el valor de la seguridad de la informacin (tanto financiera como no financiera) permite adquirir apoyo para la toma de decisiones que, a su vez, puede colaborar con el xito de la visin para la seguridad de la informacin.

Implementado Estrategia de seguridad de la informacin

Volumen 1, enero de 2014 Pgina 2

Figura 1: Principios de seguridad de la informacin del banco basados en COBIT 5

Principio Objetivo Descripcin Estado Evidencia de Soporte

Cumplir los requerimientos legales y regulatorios relevantes.

Garantizar que se cumplan las obligaciones legales, que se gestionen las expectativas de las partes interesadas, y que se eviten sanciones civiles o penales.

Se deben identificar las obligaciones de cumplimiento, se las debe traducir en requerimientos especficos de seguridad de la informacin y comunicar a las personas que corresponda. Las sanciones asociadas al incumplimiento deben ser claramente comprendidas. Los controles deben ser monitoreados, analizados y actualizados de modo que cumplan con los requerimientos legales y regulatorios nuevos o actualizados.

Implementado Estado de cumplimiento de PCI, estado de cumplimiento de ISO 27001

Proporcionar datos exactos y oportunos sobre el desempeo de la seguridad de la informacin.

Brindar apoyo a los requerimientos del negocio y gestionar el riesgo de la informacin.

Los requerimientos para la entrega de datos sobre el desempeo de la seguridad de la informacin deben estar claramente definidos y sustentados con las mtricas ms relevantes y adecuadas (por ejemplo, cumplimiento, incidentes, estado de control y costos) y alineados con los objetivos del negocio. La informacin debe obtenerse de manera peridica, uniforme y rigurosa para que contine siendo precisa y los resultados puedan presentarse para cumplir los objetivos de las partes interesadas que correspondan.

Implementado Informe mensual de gestin de la seguridad de la informacin

Evaluar las amenazas actuales y futuras hacia la informacin.

Analizar y evaluar las amenazas emergentes de seguridad de la informacin de modo que se pueda adoptar acciones oportunas e informadas para mitigar el riesgo.

Las tendencias ms importantes y las amenazas especficas a la seguridad de la informacin se deben categorizar en un marco integral estndar que abarque un amplio espectro de temas como, por ejemplo, aspectos polticos, legales, econmicos, socioculturales y tcnicos. Las personas deben compartir y profundizar sus conocimientos sobre las amenazas venideras a fin de abordar proactivamente sus causas, en lugar de sus sntomas.

Implementado Revisin y pruebas peridicas a la seguridad.

Promover la mejora continua en seguridad de la informacin.

Reducir los costos, mejorar la eficacia y la eficiencia, y promover una cultura de mejora continua en seguridad de la informacin.

Los modelos de negocio organizacionales en constante cambio, junto con las amenazas en evolucin, exigen la adaptacin de tcnicas de seguridad de la informacin y la mejora continua de su nivel de eficacia. Se debe mantener el conocimiento sobre las tcnicas de seguridad de la informacin ms recientes aprendiendo de los incidentes y vinculndose con organizaciones de investigacin independientes.

Implementado Indicadores clave de desempeo; informes mensuales y anuales de gestin

Volumen 1, enero de 2014 Pgina 3

2. Defender el negocio.

Adoptar un enfoque basado en el riesgo.

Garantizar que el riesgo sea tratado de una manera consistente y eficaz.

Se deben examinar las opciones para abordar el riesgo vinculado con la informacin de modo que se puedan tomar decisiones fundamentadas y documentadas sobre el tratamiento del riesgo. El tratamiento del riesgo implica elegir una o ms opciones, que habitualmente incluyen: Aceptar el riesgo (un integrante de la direccin

debe aprobar que ha aceptado el riesgo y que no se requiere ninguna otra accin).

Evitar el riesgo (p. ej., decidiendo que no se perseguir una iniciativa en particular).

Transferir el riesgo (p. ej.; tercerizando o tomando un seguro).

Mitigar el riesgo (en general, si se aplican las medidas adecuadas de seguridad de la informacin, p. ej. controles de acceso, monitoreo de red y gestin de incidentes).

Implementado Sistema de gestin de seguridad de la informacin (information security management system, ISMS) y evaluacin de riesgos de cumplimiento de PCI.

Proteger informacin clasificada.

Evitar la divulgacin de informacin clasificada (p. ej., confidencial o sensible) a personas no autorizadas.

La informacin se debe identificar y, a continuacin, clasificar de acuerdo con su nivel de confidencialidad (p. ej., secreta, restringida, interna, pblica). La informacin confidencial se debe proteger del mismo modo en todas las etapas de su ciclo de vida a partir de la creacin y hasta su destruccin empleando los controles que correspondan, como la encriptacin y las restricciones de acceso.

Implementado Polticas y estndares de seguridad de la informacin

Concentrarse en aplicaciones crticas del negocio.

Priorizar la escasez de recursos de seguridad de la informacin protegiendo las aplicaciones de negocio sobre las que un incidente de seguridad de la informacin podra tener el mayor impacto en la empresa.

Comprender el impacto en la empresa que ocasionara una falta de integridad o disponibilidad de informacin importante manipulada por las aplicaciones de negocio (procesada, almacenada o transmitida) ayudar a establecer el nivel de criticidad. Posteriormente, pueden determinarse los requerimientos de recursos de seguridad de la informacin y puede establecerse la prioridad de proteger las aplicaciones que son ms crticas para el xito de la organizacin.

Implementado Polticas y estndares de seguridad de la informacin

Volumen 1, enero de 2014 Pgina 4

Desarrollar sistemas seguros.

Desarrollar sistemas de calidad y econmicos en los cuales se pueda confiar (es decir, que sean consistentemente robustos, precisos y confiables).

La seguridad de la informacin debe ser integral para las fases de alcance, diseo, desarrollo y prueba del ciclo de vida de desarrollo de sistemas (system development life cycle, SDLC). Las buenas prcticas de seguridad de la informacin (p. ej., la prueba rigurosa de debilidades en cuanto a la seguridad de la informacin; la revisin entre pares; y la capacidad de lidiar con errores, excepciones y condiciones de emergencia) deben tener un rol fundamental en todas las etapas del proceso de desarrollo.

Implementado Estndares de seguridad de la informacin

3. Promover un comportamiento responsable respecto de la seguridad de la informacin.

Actuar de una manera profesional y tica.

Asegurarse de que las actividades relacionadas con la seguridad de la informacin se realicen de manera confiable, responsable y eficiente.

La seguridad de la informacin se basa marcadamente en la capacidad de los profesionales de una industria para desempear sus funciones con responsabilidad y con un claro entendimiento del modo en que su integridad impactar directamente sobre la informacin que se les encarga proteger. Los profesionales de seguridad de la informacin deben comprometerse con un alto nivel de calidad en su trabajo y demostrar, a la vez, un comportamiento uniforme y tico y respeto por las necesidades de la empresa, otras personas y la informacin confidencial (a menudo, personal).

Implementado Verificaciones de antecedentes

Promover una cultura positiva respecto de la seguridad de la informacin.

Ejercer una influencia positiva respecto de la seguridad de la informacin sobre el comportamiento de los usuarios finales, reducir la probabilidad de que ocurran incidentes de seguridad de la informacin y limitar su posible impacto en la empresa.

Se debe hacer nfasis en lograr que la seguridad de la informacin sea una pieza clave de la empresa y que los usuarios se concienticen cada vez ms sobre la seguridad de la informacin, y en garantizar que estos tengan las destrezas necesarias para proteger la informacin clasificada o crtica y los sistemas. Las personas deben reconocer el riesgo que corre la informacin que tienen en su poder y deben estar facultados para tomar las medidas que sean necesarias para protegerla.

Implementado Reuniones del comit de gobierno de seguridad de la informacin (information security governance committee, ISGC).

Beneficios de la implementacin de COBIT 5 El banco alcanz sus objetivos en poco tiempo, solamente tres meses, y logr mejorar una gran cantidad de procesos, entre los que cabe mencionar: Garantizar el establecimiento y el mantenimiento del marco de gobierno. Garantizar la entrega de beneficios. Garantizar la optimizacin del riesgo. Garantizar la optimizacin de recursos. Garantizar la transparencia de las partes interesadas. Administrar el marco de gestin de TI. Gestionar la estrategia. Gestionar la arquitectura de la empresa. Gestionar la innovacin. Gestionar la definicin de requerimientos. Gestionar los activos.

Volumen 1, enero de 2014 Pgina 5

Gestionar la continuidad.

Conclusin El banco planea seguir usando este marco de evaluacin anualmente y con la frecuencia que otros proyectos exijan. La versin ms reciente de COBIT es fcil de comprender e implementar, especialmente el kit de herramientas, que proporciona toda la informacin necesaria para aplicar COBIT en toda la organizacin.

Abbas K, CISA, CISM, CGEIT, COBIT 5 (Foundation), CEH, C|CISO, PRINCE2 Cuenta con ms de 14 aos de experiencia en sectores multifuncionales de seguridad y riesgo de la informacin. Se desempea como gerente de seguridad de la informacin en un banco regional lder de Medio Oriente. Anteriormente, trabaj en Ernst & Young y KPMG. Es un buen conocedor de los marcos y los estndares de TI, como COBIT, ISO 27001, PCI DSS, TOGAF e ITIL.

Gestin de seguridad de la informacin en HDFC Bank: Contribucin de los siete facilitadores / habilitadores Por Vishal Salvi, CISM y Avinash W. Kadam, CISA, CISM, CGEIT, CRISC, CBCP, CISSP, CSSLP HDFC Bank fue incorporado en agosto de 1994 y posee una red nacional de 3062 sucursales y 10 743 cajeros automticos (automated teller machines, ATM) distribuidos en 1568 ciudades y poblaciones de India. HDFC Bank opera en un entorno altamente automatizado en trminos de sistemas de TI y comunicacin. Todas las sucursales de la entidad bancaria cuentan con conectividad en lnea, que permite a sus clientes operar con transferencias de fondos sin demoras. Tambin se proporciona acceso a mltiples sucursales a clientes minoristas a travs de la red de sucursales y los ATM. El banco ha priorizado su compromiso con la tecnologa e Internet como uno de sus objetivos ms importantes y ha hecho avances significativos en habilitar su core de negocio en la web. En cada uno de sus negocios, el banco ha logrado aprovechar su posicin en el mercado, su experiencia y su tecnologa a fin de crear una ventaja competitiva y obtener participacin en el mercado.

Uso de COBIT Como uno de los primeros en adoptar COBIT 4.1, el HDFC Bank comenz hace ya casi 6 aos el recorrido de gobierno de TI cuando COBIT 4.1 apenas haba salido al mercado. As fue como la entidad bancaria adopt casi la totalidad de los 34 procesos de TI definidos en COBIT 4.1. Luego de la introduccin de COBIT 5 en abril de 2012, HDFC Bank se tom un tiempo para considerar una migracin. Debido a que la experiencia del banco con la implementacin de COBIT 4.1 ha sido muy beneficiosa, no migrar inmediatamente a COBIT 5. Sin embargo, HDFC Bank adopt de manera intuitiva los siete facilitadores /habilitadores introducidos por COBIT 5 incluso antes de que estos adquirieran notoriedad pblica en COBIT 5. COBIT 5 describe siete facilitadores / habilitadores como factores que, de manera individual y colectiva, influyen en que algo funcione; en este caso, el gobierno y la gestin de TI de la empresa (governance and management of enterprise IT, GEIT): 1. Los principios, las polticas y los marcos son el vehculo para convertir el comportamiento deseado en orientacin

prctica para la gestin diaria. 2. Los procesos describen un conjunto organizado de prcticas y actividades para lograr ciertos objetivos y producir un

conjunto de resultados que sustenten el logro de las metas generales relacionadas con TI. 3. Las estructuras organizacionales son las entidades claves de toma de decisiones en una empresa. 4. La cultura, la tica y el comportamiento de individuos y de la empresa son, a menudo, subestimados como un factor

de xito en las actividades de gobierno y gestin. 5. La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la

empresa. Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel operativo, la informacin es con frecuencia el producto clave de la misma empresa.

6. Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnologa y las aplicaciones que brindan a la empresa servicios y procesamientos de TI.

7. Las personas, habilidades y competencias estn vinculadas a las personas y son requeridas para la finalizacin exitosa de todas las actividades y para tomar decisiones correctas y aplicar medidas correctivas.

Estructuras organizacionales Las estructuras organizacionales son las entidades clave de toma de decisiones en una empresa. La seguridad de la informacin en HDFC Bank est impulsada por su grupo de seguridad de la informacin (information

Figura 2: Roles y responsabilidades del ISG Tareas de seguridad de la

informacin Seguridad

de la informacin

TI Operaciones Negocio Jurdico Auditora RR. HH. Dirigentes Funcionales

Gobierno A/R C C C C R C Polticas, procesos y estndares A/R C C I C C C

Estrategia A/R C C C I C I Evaluacin de riesgos - definicin A/R I I I C I

Evaluacin de riesgo - ejecucin C R R R C A

Gestin de seguridad de la informacin R/C R R R R R R A/R

Arquitectura de seguridad A/R R C Tecnologa de la seguridad C A/R C Ingeniera de la seguridad C A/R C Desarrollo seguro C A/R C Operaciones y entrega de servicios A R R C

Gestin de proyectos A/R R I I C Auditora, revisin y monitoreo R/C R I I I A/R I Respuesta a incidentes A/R R R I C C I Entorno legal y normativo A/R I I I R R I Conocimiento, educacin y capacitacin A/R I I I I C R

Fuente: HDFC Bank. Reimpreso con autorizacin.

Figura 1: Marco de gobierno de HDFC Bank

Fuente: HDFC Bank. Reimpreso con autorizacin.

Volumen 1, enero de 2014 Pgina 7

security group, ISG). El grupo est liderado por el director general de seguridad de la informacin (chief information security officer, CISO), que reporta al director ejecutivo del banco. El ISG es principalmente responsable de identificar, evaluar y proponer la mitigacin de cada riesgo relacionado con la seguridad de la informacin. Esta responsabilidad se lleva a cabo interactuando con diversos comits y partes interesadas y preparando planes, propuestas, polticas, procedimientos y guas. La implementacin de estas directrices se asigna a los equipos de implementacin de todo el banco. El marco de gobierno en HDFC Bank est impulsado por una gran cantidad de comits de alto nivel (figura 1). La importancia que se le da a la seguridad de la informacin es notoria puesto que una gran cantidad de comits de alto nivel han colocado a la seguridad de la informacin en sus agendas. La definicin de responsabilidades para el ISG han sido bien definidas a travs de una matriz RACI (figura 2). Uno de los puntos principales que se deben destacar es que, si bien la responsabilidad de la gestin de la seguridad de la informacin radica en el ISG, la rendicin de cuentas recae marcadamente en los dirigentes funcionales. De igual modo, si bien es cierto que el ISG rinde cuentas por la definicin de la evaluacin de riesgos, los dirigentes funcionales lo son de la ejecucin de esta evaluacin. Esta divisin de responsabilidades y rendicin de cuentas determina la propiedad de la mitigacin del riesgo y la gestin de seguridad de la informacin en los dirigentes funcionales. En la figura 3, se proporciona el marco general de gobierno para la implementacin. Los 21 componentes se monitorean permanentemente hasta alcanzar un nivel de madurez. La asignacin de trabajo a los integrantes del ISG se basa en estos controles.

Principios, polticas y marcos Los principios, las polticas y los marcos son el vehculo para convertir el comportamiento deseado en gua prctica para la gestin diaria. HDFC Bank ha diseado un documento de una poltica integral de unas 100 pginas. La versin actual es 3.x y se encuentra en proceso de revisin hasta disear la versin 4.0. Este documento abarca los 11 dominios de seguridad de la informacin, segn se especifica en la norma ISO 27001 de una manera agnstica considerando plataforma y - tecnologa, y est modelada sobre la Norma de Buenas Prcticas del Foro de Seguridad de la Informacin (Information Security Forum, ISF). Debido a que el banco emplea entre 30 y 40 tecnologas diferentes, se crean polticas ms detalladas para cada tecnologa. Se trata de polticas minuciosas especficas de las tecnologas para que el equipo tcnico responsable de implementarlas las tenga a modo de referencia. Estas polticas se subdividen an ms en registros para cruzarlas con varios estndares/marcos rectores, por ejemplo, las normas

Figura 3: Gobierno para la implementacin

Poltica, procesos, estndares Procedimientos, controles tcnicos

21 componentes Seguridad de la aplicacin, criptografa, monitoreo, gestin de incidentes, seguridad

bancaria en lnea, gestin de software malicioso (malware), proteccin de datos, ciclo de vida de desarrollo de software seguro, planificacin de continuidad del

negocio, privacidad, gestin de acceso y de identidad, gestin de riesgos...

Volumen 1, enero de 2014 Pgina 8

ISO 27001, COBIT y las guas del Banco de Reservas de la India (Reserve Bank of India, RBI). Estos registros se introducen en una herramienta de gobierno, riesgo y cumplimiento (governance, risk and compliance, GRC) que proporciona el marco de control unificado (unified control framework, UCF) interno del banco. De esta manera, se logra identificar el nivel de cumplimiento adquirido de manera automtica. La herramienta proporciona casi 40 fuentes autorizadas que ya se han cruzado a travs del UCF. Por lo tanto, resulta fcil encontrar el cumplimiento con cualquier fuente. El equipo del ISG utiliza la metodologa de Anlisis por factores del riesgo de la informacin (Factored Analysis of Information Risk, FAIR) para calcular el riesgo probable mediante la captura de la frecuencia de eventos de amenazas y la frecuencia de eventos de prdida, dando el peso adecuado a cada factor y la creacin de una clasificacin de riesgo para dar prioridad y tomar decisiones. El equipo del ISG tambin revis la norma ISO 27005 y dise un enfoque slido para la gestin de riesgos con la ayuda de estos estndares. Se ha creado una versin corta del documento de la poltica en una gua del usuario de 20 pginas sustentada por una lista de 10 reglas principales para la seguridad de la informacin. Hay una gran cantidad de proveedores que prestan servicio a HDFC Bank. La seguridad de la cadena de suministros queda garantizada por revisiones peridicas de terceros a los proveedores las cuales son llevadas a cabo por firmas de auditora externa. HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea obtener el certificado ISO 22301 y ha alcanzado el 92 % de cumplimiento de las guas RBI. En la actualidad, el ISG se centra en la creacin de un sistema slido de gestin de incidentes, proveer una proteccin adecuada de los datos, garantizar la implementacin apropiada del BYOD - "trae tu propio dispositivo" (bring your own device) y detectar, contener y remover amenazas persistentes avanzadas oportunamente.

Procesos Los procesos describen un conjunto organizado de prcticas y actividades para lograr ciertos objetivos y producir un conjunto de resultados respaldando el logro de las metas generales relacionadas con TI. El ISG sigue un modelo de proceso de seguridad de la informacin basado en 21 componentes: 1. Seguridad de la aplicacin 2. Criptografa 3. Monitoreo 4. Gestin de incidentes 5. Seguridad bancaria en lnea 6. Gestin de software malicioso (malware) 7. Proteccin de datos 8. Ciclo de vida del desarrollo de software seguro 9. Gestin de proveedores (terceros) 10. Planificacin de continuidad del negocio 11. Privacidad 12. Gestin de identidades y acceso 13. Gestin de riesgos 14. Seguridad fsica 15. Concientizacin 16. Gobierno 17. Poltica 18. Gestin del ciclo de vida de los activos 19. Rendicin de cuentas y propiedad 20. Configuracin del sistema 21. Seguridad de la red Se efecta la planificacin, diseo, implementacin y monitoreo de la seguridad de la informacin para estos componentes individuales. Este enfoque hace que los equipos se mantengan

Figura 4: Cascada de metas de COBIT 5

Fuente: ISACA, COBIT 5, EE. UU., 2012

Volumen 1, enero de 2014 Pgina 9

centrados. Se desarrollan polticas, procedimientos, guas, estndares, tecnologas y herramientas para estos componentes. Este enfoque proporciona granularidad a la hora de gestionar cada rea de enfoque y tambin conduce a una arquitectura de defensa en profundidad. Cada uno de los componentes contribuye con la creacin de estndares y procedimientos de control que satisfacen los requerimientos de polticas de alto nivel. Este es un enfoque de abajo hacia arriba que permite mitigar las inquietudes de seguridad de nivel superior para procesos de negocio proporcionando seguridad adecuada para los activos que son utilizados por estos procesos. Actualmente, se est llevando a cabo la tarea de cruzar todos los procesos de negocio con los activos. Los procesos de negocio se estn clasificando en funcin de la criticidad y el impacto que puedan tener en el negocio. Si un activo, por ejemplo un servidor, aloja mltiples procesos de TI que sustentan mltiples procesos de negocio, esto hace que la clasificacin se atribuya al proceso de negocio ms crtico. El enfoque que adopt el ISG de HDFC Bank est ntimamente alineado con la cascada de metas de COBIT 5 (figura 4). En la figura 5, se muestran los motivadores o factores conductores de las partes interesadas que identific HDFC Bank.

Niveles de madurez de la seguridad de la informacin El ISG ha creado un modelo de madurez de seguridad de la informacin. Este modelo ha definido cinco niveles de madurez, tal como se muestra en la figura 6. El ISG ha definido ocho atributos deseables para los componentes de la seguridad de la informacin. Estos se detallan en la columna 1. En las columnas subsiguientes, se definen los requerimientos necesarios para alcanzar el atributo de cada nivel. Por ejemplo, el atributo de poltica estar en el nivel 1 si no se ha definido una poltica para un componente en particular y en el nivel 5, es decir, en un nivel optimizado, si la poltica se revisa y mejora continuamente. El seguimiento de cada uno de los 21 componentes se basa en este modelo. HDFC Bank ha utilizado el modelo de madurez con muy buenos resultados para construir un concepto de benchmarking dentro de la organizacin. Este modelo permite

Figura 5: Factores conductores de partes interesadas de HDFC Bank

Fuente: HDFC Bank. Reimpreso con autorizacin.

Volumen 1, enero de 2014 Pgina 10

detectar reas que requieren mejoras y los ejercicios de evaluacin se realizan en el marco de un taller. Existe una comunicacin saludable de dos canales que deriva en un sentido de participacin y transparencia respecto de la estrategia y la visin de la empresa. El modelo se utiliza estrictamente para anlisis de brechas internas y para identificar reas de mejora. No ha sido pensado para proporcionar aseguramiento a un tercero. El modelo de madurez que se presenta a continuacin fue creado por el ISG para satisfacer sus necesidades exclusivas de definicin de planes de mejoras especficas. Este modelo de madurez se basa ligeramente en el modelo definido en COBIT 4.1. Una de las crticas al modelo de madurez de COBIT 4.1 fue que los criterios usados para definir los niveles eran subjetivos. En estos momentos, HDFC Bank est considerando la posibilidad de corresponder los procesos actuales con el modelo de evaluacin de procesos (Process Assessment Model, PAM) de COBIT 5, que se basa en la norma ISO 15504.

Servicios, infraestructura y aplicaciones Los servicios, la infraestructura y las aplicaciones incluyen la infraestructura, la tecnologa y las aplicaciones que brindan a la empresa servicios y procesamientos de TI. HDFC Bank emplea casi 40 tecnologas diferentes. Alrededor de estas tecnologas se desarrollan distintos servicios, infraestructuras y aplicaciones. Como se describi en la seccin sobre el facilitador / habilitador de procesos, cada uno de estos servicios est cruzado con el nivel de madurez de la seguridad de la informacin. Una actualizacin continua del nivel de madurez, que tenga en cuenta atributos tales como la automatizacin, la eficacia, la gestin de incidentes y la medicin, garantiza un monitoreo muy pormenorizado de estos servicios. Todos los proyectos que pretenden mejorar los servicios se basan en el nivel de madurez pensado para cada servicio en particular.

Informacin La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la empresa. Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel operativo, la informacin es con frecuencia el producto clave de la misma empresa. La informacin confiable es un factor clave para la gestin de la seguridad. Habitualmente, la informacin se presenta por medio de documentacin del Consejo en trminos de estrategia, presupuesto, plan y polticas. Los requerimientos de seguridad de la informacin se obtienen por medio de un formulario de aceptacin de riesgos (risk acceptance form, RAF) y son sometidos a una revisin a cargo del comit de gestin de riesgos de la seguridad de la informacin (information security

Figura 6: Modelo de madurez de la seguridad de la informacin

Columna 1 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5

Inicial En desarrollo Definido Gestionado Optimizado

Poltica Ausencia de poltica Poltica limitada Poltica integral definida y publicada

Poltica publicada e implementada de manera uniforme

Revisin y mejora continuas de la poltica

Roles y responsabilidades

Roles y responsabilidades no definidos

Roles parcialmente definidos

Roles y responsabilidades bien determinados y definidos

Roles y responsabilidades definidos y ejecutados

Roles y responsabilidades revisados de manera continua

Automatizacin Manual Semiautomatizada Automatizada Automatizada y completamente operativa

Actualizacin permanente de la automatizacin

Alcance No implementado Cobertura limitada Activos crticos Completo Revisin peridica del alcance para garantizar la cobertura total

Eficacia N/A Baja Media Alta Muy alta

Gestin de incidentes

Sin seguimiento Visibilidad limitada Seguimiento de incidentes crticos

Seguimiento y cierre de todos los incidentes

RCA aplicado a todos los incidentes y solucionados

Medicin Sin medicin Medicin limitada Mediciones integrales definidas

Medido y revisado de forma peridica

Criterios de medicin revisados peridicamente

Informes Sin informes Informes limitados Informes definidos Informes enviados a la alta direccin y revisados

Requerimientos de informes peridicamente revisados y actualizados

Fuente: HDFC Bank. Reimpreso con autorizacin.

Volumen 1, enero de 2014 Pgina 11

risk management committee, ISRMC). El ISG tambin prepara varios informes de revisin de seguridad de la informacin, que incluyen hallazgos de auditora, informes de madurez, anlisis de amenazas, informes de evaluacin de vulnerabilidades, registros de riesgo de la informacin, informes de brechas y prdidas, e informes de incidentes y problemas relacionados con la seguridad de la informacin. El modelo de madurez proporciona entradas adicionales para informacin de buena calidad. Se han creado varias mtricas y mediciones de seguridad de la informacin basadas en el marco de la norma ISO 27004, que se presentan a modo de tablero de mando (dashboard). En la actualidad, se est trabajando para implementar una herramienta GRC de TI que permita captar toda la informacin en la fuente y demostrar cumplimiento de numerosos requerimientos, que incluyen las guas de RBI, PCI DSS y Basilea II. Adems, la herramienta permite el cruce con diferentes controles de COBIT 4.1.

Personas, habilidades y competencias Las personas, habilidades y competencias estn vinculadas a las personas y son requeridas para la finalizacin exitosa de todas las actividades y para tomar decisiones correctas y aplicar medidas correctivas.

HDFC Bank ha empleado una serie de tcnicas para crear conciencia sobre la seguridad y desarrollar habilidades y competencias adecuadas. A continuacin se incluye una lista de las iniciativas: Pelcula sobre la seguridad de

la informacin: Una pelcula de 20 minutos de duracin creada y presentada con todas las atracciones propias de una experiencia cinematogrfica verdadera (p. ej., boletos y palomitas de maz). La pelcula ya ha adquirido una enorme notoriedad y, hasta el momento, la han visto 40 000 empleados. Cada programa de capacitacin comienza con esta pelcula.

Tira cmica sobre seguridad de la informacin: Se cre una tira cmica con dos personajes: uno llamado Sloppy ("Descuidado") y el otro Sly ("Astucia"). Sus hazaas entretienen a los lectores y tambin transmiten un mensaje muy poderoso sobre la seguridad. Ahora, se est planeando imprimir esta tira cmica con formato de calendario.

Red de seguridad: La red de seguridad (una Intranet) alberga todo el material relevante, como polticas, estndares, guas, listas de contactos, planes de continuidad del negocio y notas sobre el enfoque.

Correo electrnico y campaa de imgenes: Se envan mensajes por correo electrnico advirtiendo a todos para que se mantengan alerta, por ejemplo, se envan mensajes a modo de recordatorio para evitar correos phishing despus de que se haya producido un intento de ataque phishing exitoso.

Diez mandamientos de seguridad: El documento sobre la poltica del usuario se ha resumido en reglas clave de seguridad de la informacin fciles de leer y recordar (figura 7).

Curso La seguridad primero: Todos los empleados deben participar en este curso de una hora de duracin cada dos aos. Es obligatorio tomar el curso y obtener buenas calificaciones. Todos los candidatos que hayan obtenido buenas calificaciones en el examen recibirn un certificado. El certificado es un reconocimiento de carcter oficial. Adems del certificado, los mejores promedios sern reconocidos en comunicaciones globales enviadas a todos los empleados del banco, y tambin recibirn una compensacin econmica.

Taller de un da: Se realiza peridicamente un taller de un da de duracin destinado a la alta direccin, en el que el CISO explica la importancia de la seguridad de la informacin para el banco y las medidas especficas adoptadas para su

Figura 7: Diez mandamientos de HDFC Bank

Volumen 1, enero de 2014 Pgina 12

Actualizacin de bsqueda

Materiales de COBIT 5 recientemente publicados

COBIT 5: Informacin Habilitadora

Publicaciones de COBIT 5 del primer trimestre de 2014 - Prxima

aparicin Escenarios de riesgo para

COBIT 5 Otras iniciativas de COBIT 5 en

desarrollo COBIT 5 en lnea: Acceso

a las publicaciones de la familia de productos COBIT 5 y a otro contenido de ISACA no relacionado con COBIT, y a material de GEIT actual y relevante (publicacin tentativa segundo trimestre de 2014)

COBIT 5 para Sarbanes-Oxley (publicacin tentativa segundo trimestre de 2014)

Controles y aseguramiento en la nube: Utilizando COBIT 5 (publicacin tentativa segundo trimestre de 2014)

COBIT 5 en lnea: Habilidad para personalizar a COBIT para que se adapte a las necesidades de su empresa con acceso a varios usuarios (publicacin tentativa tercer trimestre de 2014) Si desea obtener ms informacin sobre las

publicaciones de COBIT, visite la pgina de COBIT 5 en el

sitio web de ISACA. Dispone de traducciones de COBIT 5 en la pgina COBIT Product family (Familia de

Productos de COBIT).

implementacin.

Cultura, tica y comportamiento La cultura, la tica y el comportamiento de individuos y de la empresa son, a menudo, subestimados como un factor de xito en las actividades de gobierno y gestin. No obstante, son factores importantes para el xito de una empresa.

COBIT 5 ha identificado ocho clases de comportamientos que contribuyen con el desarrollo de una cultura de seguridad en una organizacin. Varias iniciativas tomadas por HDFC Bank dieron lugar a la creacin del tipo correcto de comportamientos de seguridad. HDFC Bank ha utilizado muchos canales de comunicacin, cumplimiento, polticas claras, reglas y normas. El comportamiento seguro tambin se fomenta a travs del reconocimiento, por ejemplo, por medio de un certificado, y a travs de mensajes contundentes a quienes no demuestren tal conducta. El comportamiento seguro est fuertemente influenciado por la concientizacin. Las ocho clases de comportamientos se indican a continuacin a modo de referencia junto con las medidas especficas adoptadas por HDFC Bank para arraigar estas conductas a la prctica diaria de los empleados del banco: La seguridad de la informacin se practica en las operaciones diarias. La direccin

de HDFC Bank ha transmitido sus expectativas hacia los empleados destacando el principio de tolerancia cero en lo que respecta a comportamientos inaceptables relacionados con la seguridad de la informacin, premio al buen comportamiento, reconocimiento y recompensa para las personas que trabajan correctamente en la gestin de riesgos, y recordatorios permanentes del lema Security is incomplete without U (La segUridad est incompleta sin Usted). De esta manera, se ha garantizado la prctica de seguridad de la informacin en las operaciones diarias.

Las personas respetan la importancia de las polticas y los principios de seguridad de la informacin. La cultura de la seguridad se ha gestado a travs de constantes esfuerzos por crear conciencia al respecto. Ahora los empleados comprenden la importancia de la seguridad de la informacin y toman las iniciativas afines con absoluta seriedad. La auditora tambin ha tenido un rol importante para hacer cumplir las polticas y los principios de seguridad.

Las personas reciben guas suficientes y pormenorizadas de seguridad de la informacin y se les motiva a participar y retar la situacin actual de la seguridad de la informacin. HDFC Bank cree que todas las partes interesadas deben comprometerse con los esfuerzos de seguridad. La introduccin de cualquier proceso nuevo implica asegurar una interaccin abierta con todas las partes afectadas. Los temas se debaten en talleres y la aprobacin se obtiene por medio de un dilogo de dos canales, de modo que todos tengan la posibilidad de aclarar las dudas que surjan. Se proporciona capacitacin extensiva para cada iniciativa nueva de seguridad de la informacin, no exclusivamente al grupo que trabaja con la seguridad de la informacin, sino a todas las partes interesadas.

Todos deben rendir cuentas sobre la proteccin de la informacin dentro de la empresa. El grupo de seguridad de la informacin es responsable de identificar y gestionar el riesgo, mientras que los directores del negocio son quienes en ltima instancia deben rendir cuentas. Esto se ha documentado con claridad en la matriz RACI analizada previamente. De esta forma, todas las partes interesadas se sienten responsables as como tambin sienten que deben rendir cuentas sobre la proteccin de la informacin dentro de la empresa.

Las partes interesadas son conscientes de cmo identificar y responder a amenazas a la empresa. La identificacin de amenazas forma parte del entrenamiento que se les da a las partes interesadas. Se las alienta a comunicar incidentes, por ejemplo, enviar un mensaje por correo electrnico al ISG sobre correo basura o mal intencionado (phishing) que hayan recibido. La respuesta recibida a diario por el ISG da cuenta de la enorme conciencia que todos han desarrollado para identificar y comunicar incidentes.

Volumen 1, enero de 2014 Pgina 13

La direccin respalda y anticipa proactivamente innovaciones en cuanto a seguridad de la informacin y comunica esto a la empresa. La empresa es receptiva para dar cuenta de los nuevos desafos en materia de seguridad de la informacin y abordarlos. El ISG est permanentemente comprometido con la introduccin de innovaciones para abordar los desafos de seguridad de la informacin. La direccin brinda su respaldo completo para interactuar con la industria y compartir sus conocimientos y experiencia con una audiencia mayor, as como para aprender de otros. Este caso de estudio es un ejemplo de esta apertura.

La direccin del negocio se compromete en una colaboracin multifuncional continua a fin de fomentar la puesta en marcha de programas de seguridad de la informacin eficientes y eficaces. La estructura de varios comits es un ejemplo de colaboracin multifuncional continua. Independizar a la seguridad de la informacin de la funcin de TI ha ampliado en mayor medida el alcance y el acceso directo a varios grupos de negocios en toda la organizacin.

La direccin ejecutiva reconoce el valor de la seguridad de la informacin para el negocio. El CISO trabaja en un nivel estratgico y reporta a una persona del banco que tiene un cargo ms jerrquico. Esto ha facultado al CISO a impulsar varias iniciativas de seguridad de la informacin con una gran cuota de libertad. Planteado de esta forma, es un buen indicador de reconocimiento de la direccin en lo que respecta al valor de la seguridad de la informacin para el negocio.

El liderazgo como factor influyente Adems, el liderazgo en HDFC Bank tiene un rol preponderante en el desarrollo de la cultura de la seguridad. La participacin activa de la direccin ejecutiva y la gestin de las unidades de negocio en los distintos comits de alto nivel, donde la seguridad de la informacin es un tema importante de la agenda, demuestra el compromiso en los niveles gerenciales. La participacin de los dirigentes en los ejercicios de planificacin de continuidad del negocio para analizar diferentes escenarios de desastre tambin demuestra un profundo compromiso.

Vishal Salvi, CISM Cuenta con ms de 20 aos de experiencia en la industria. Ha trabajado en Crompton Greaves, Development Credit Bank, Global Trust Bank y Standard Chartered Bank antes de desempearse en su puesto actual como director general de seguridad de la informacin y vicepresidente snior de HDFC Bank. En HDFC Bank, dirige el grupo de seguridad de la informacin y es responsable de liderar el desarrollo y la implementacin del programa de seguridad de la informacin en todo el banco.

Avinash W. Kadam, CISA, CISM, CGEIT, CRISC, CBCP, CISSP, CSSLP Es una autoridad lder en seguridad de la informacin. Cuenta con cuatro dcadas de experiencia en gestin de TI, auditora de sistemas de informacin, y consultora y capacitacin en seguridad de la informacin. Actualmente se desempea como asesor del grupo de trabajo de ISACA en India. Antes, Kadam ocup el cargo de vicepresidente internacional de ISACA de 2006 a 2008 y de presidente del captulo de Bombay de ISACA de 1998 a 2000. Ha recibido el Premio Harold Weiss 2005 de ISACA.

Soportando el cumplimiento de PCI DSS 3.0 con COBIT 5 Por Stefan Beissel, Ph.D., CISA, CISSP El Estndar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) tiene por objeto mejorar la seguridad de los datos de los titulares de tarjetas y es requerido cuando se almacenan, procesan o transmiten los datos de los titulares de tarjeta o los datos de autenticacin. La implementacin de procesos facilitadores / habilitadores de COBIT 5 puede respaldar el cumplimiento del PCI DSS.1 COBIT 5 ayuda a las empresas en su gobierno y gestin de TI (GEIT) en trminos generales y, al mismo tiempo, respalda la necesidad de cumplir los requerimientos de seguridad con procesos facilitadores / habilitadores y actividades de gestin. El cruce de los procesos facilitadores / habilitadores de COBIT 5 con los requerimientos de seguridad de PCI DSS 3.0 facilita la aplicacin simultnea de COBIT 5 y PCI DSS 3.0 y ayuda a crear sinergias dentro de la empresa.

PCI DSS 3.0 El PCI DSS fue introducido por el consejo de estndares de seguridad de PCI (PCI SSC), un panel conformado por cinco marcas internacionales de pagos (American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc.). El PCI DSS tambin incluye requerimientos para la seguridad de los datos y mtodos de auditora relacionados.

Volumen 1, enero de 2014 Pgina 14

En especial, el nmero de cuenta primario (primary account number, PAN) es el factor determinante en la aplicabilidad de los requerimientos de PCI DSS.

El objetivo del PCI DSS es bsicamente proteger la confidencialidad de los datos de los titulares de tarjetas. La confidencialidad, como parte de la trada de seguridad de la informacin que incluye integridad y disponibilidad, es uno de los objetivos principales de la proteccin y la seguridad de la informacin. La confidencialidad es la garanta de que los datos no sern vistos por personas no autorizadas ni divulgados a ellas y, en consecuencia, no se vern comprometidos. Las medidas que habitualmente se usan para proteger la confidencialidad tambin suelen proteger la integridad. Por ejemplo, si un atacante o software malicioso compromete los datos, por lo general tambin se ver afectada la integridad. La integridad es la garanta de que los datos continan siendo exactos e ntegros y ningn medio no autorizado puede alterarlos o modificarlos. La disponibilidad significa que los sistemas o usuarios

autorizados pueden acceder a los datos en cualquier momento deseado. La disponibilidad est garantizada por los sistemas y la infraestructura, que estn preparados para usar y tener capacidad suficiente para procesar todas las solicitudes tan pronto como sea necesario. Los atacantes pueden comprometer la disponibilidad de informacin inundando el sistema con solicitudes de servicio y, en consecuencia, provocando un ataque de negacin del servicio, previniendo el acceso a informacin o datos crticos.

Es necesario que las compaas de procesamiento de tarjetas de crdito configuren un entorno que cumpla con PCI DSS porque sin l no alcanzaran una parte importante de su modelo de negocio e incurriran en enormes prdidas. Adems, puede esperarse una prdida de reputacin y posibles multas de las compaas de tarjetas de crdito. Las compaas de procesamiento de tarjetas de crdito se clasifican en cuatro niveles de cumplimiento comercial (niveles/capas uno a cuatro) en relacin con la cantidad de transacciones afectadas en un perodo de 12 meses.2 Cada nivel presenta requerimientos de cumplimiento del PCI DSS especficos. Las compaas clasificadas en los niveles dos a cuatro deben rellenar un cuestionario de autoevaluacin (self-assessment questionnaire, SAQ) anual y completar un escaneo de red trimestralmente realizado por un proveedor de servicios de escaneo aprobado (approved scanning vendor, ASV). Las compaas con un nmero de transacciones anuales de seis millones o ms se clasifican como de nivel uno y deben crear cada ao un informe sobre cumplimiento (report on compliance, ROC) y ser auditadas por un evaluador de seguridad calificado (Qualified Security Assessor, QSA). El resultado de la auditora se documenta con un testimonio de cumplimiento (attestation of compliance, AOC).3

El PCI DSS aborda 12 requerimientos importantes (figura 1) para medidas de control que se dividen por temas, entre ellos, red (requerimientos 1 y 2), proteccin de los datos de los titulares de tarjetas (requerimientos 3 y 4), programa de gestin de vulnerabilidades (requerimientos 5 y 6), medidas de control de acceso (requerimientos 7, 8 y 9), monitoreo y comprobacin de redes (requerimientos 10 y 11), y poltica de seguridad de la informacin (requerimiento 12). A su vez, cada requerimiento est dividido en sub-requerimientos y procedimientos de prueba.

Figura 1: Tpicos y requerimientos de PCI DSS 3.0

Volumen 1, enero de 2014 Pgina 15

En noviembre de 2013, se public la versin 3.0 del PCI DSS. Para 2015, el cumplimiento de esta nueva versin ser vinculante para todas las compaas de procesamiento de tarjetas. Si se compara con la versin 2.0, la versin 3.0 contiene cambios a modo de aclaraciones adicionales, orientacin y requerimientos avanzados.4 Los 20 requerimientos avanzados tienen por objeto alcanzar mejoras en las reas de concientizacin, flexibilidad y responsabilidad hacia la seguridad.

COBIT 5 COBIT 5 proporciona un marco de referencia exhaustivo que asiste a las empresas a alcanzar sus objetivos de GEIT. Ayuda a las empresas a crear un valor ptimo de la TI manteniendo un equilibrio entre la obtencin de beneficios y la optimizacin de los niveles de riesgo y el uso de recursos.5 La familia de productos COBIT 5 tambin incluye guas de facilitadores /

habilitadores, guas profesionales y un entorno de colaboracin en lnea. El cambio ms importante al compararlo con COBIT 4.1 es la reorganizacin del marco de un modelo de proceso de TI a un marco de gobierno de TI. El siguiente captulo correlaciona los requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores / habilitadores claves asociados de COBIT 5. El modelo de referencia de los procesos de COBIT 5 incluye procesos para GEIT (figura 2).6

Procesos facilitadores / habilitadores de COBIT por tpico de PCI DSS Red Se debe proteger a todos los sistemas sensibles contra el acceso no autorizado desde redes no confiables. Se emplean firewalls para separar redes de forma segura. Estos firewalls controlan el trfico de la red y bloquean el acceso no deseado entre redes. Se los puede usar localmente o en estaciones de trabajo, o pueden ser sistemas dedicados dentro de la infraestructura de red.

El uso de configuraciones restrictivas puede minimizar el riesgo de acceso no autorizado desde el exterior de la red de la compaa. Los valores predeterminados (default) que estn presentes en la entrega de sistemas y componentes representan un riesgo para la seguridad. Las contraseas y dems configuraciones especificadas por el fabricante de los sistemas suelen estar ampliamente disponibles y pueden ser explotadas por personas no autorizadas. Adems, se suele activar una serie de servicios innecesarios despus de la instalacin inicial de los sistemas operativos. Estos servicios tambin pueden ser explotados por personas no autorizadas. Los procesos facilitadores / habilitadores clave de COBIT 5 que pueden ayudar a mitigar el riesgo se detallan en la figura 3.

Figura 3: Procesos de red Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

1. Instalar y mantener una configuracin de firewall para proteger los datos de los titulares de tarjetas.

APO01.08 Mantener el cumplimiento de polticas y procedimientos. APO03.02 Definir la arquitectura de referencia. APO12.01 Recopilar datos. BAI03.03 Desarrollar los componentes de la solucin. BAI03.05 Construir soluciones. BAI03.10 Mantener soluciones. BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. BAI07.03 Planificar pruebas de aceptacin. BAI07.05 Ejecutar pruebas de aceptacin.

Figura 2: Modelo de referencia de procesos de COBIT 5

Volumen 1, enero de 2014 Pgina 16

BAI10.01 Establecer y mantener un modelo de configuracin. BAI10.02 Establecer y mantener un repositorio de configuracin y una lnea base. BAI10.03 Mantener y controlar los elementos de configuracin. DSS01.03 Monitorear la infraestructura de TI. DSS02.03 Verificar, aprobar y resolver solicitudes de servicio. DSS05.02 Gestionar la seguridad de la red y las conexiones. DSS05.04 Gestionar la identidad del usuario y el acceso lgico. DSS05.05 Gestionar el acceso fsico a los activos de TI. DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la seguridad. DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autorizacin.

2. No utilizar los valores predeterminados (default) suministrados por el proveedor en las contraseas del sistema y dems parmetros de seguridad.

APO01.08 Mantener el cumplimiento de polticas y procedimientos. APO03.02 Definir la arquitectura de referencia. BAI03.03 Desarrollar los componentes de la solucin. BAI03.10 Mantener soluciones. DSS04.08 Ejecutar revisiones post-reanudacin. DSS05.03 Gestionar la seguridad de los puntos de destino. DSS05.05 Gestionar el acceso fsico a los activos de TI. DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la seguridad.

Proteccin de datos de titulares de tarjetas Los datos de los titulares de tarjetas deben almacenarse y mostrarse nicamente en determinadas circunstancias. Los requerimientos relevantes abordan el almacenamiento, la eliminacin, la encriptacin y el enmascaramiento de datos (figura 4). El PCI DSS aborda la encriptacin as como cuestiones especficas, por ejemplo, el manejo de llaves electrnicas / criptogrficas. Cada vez que se transmiten datos de los titulares de tarjetas por redes pblicas abiertas, se requerir una encriptacin. Si los datos se transmiten (p. ej., por Internet, redes inalmbricas, el sistema global para comunicaciones mviles [Global System for Mobile Communications, GSM], el servicio general de radiocomunicaciones por paquetes [General Packet Radio Service, GPRS]), existe un mayor riesgo de que un atacante pueda escuchar furtivamente y manipular los datos de los titulares de la tarjetas. La aplicacin de encriptacin, segn se especific, es uno de los tantos mtodos sugeridos para minimizar este riesgo.

Figura 4: Procesos para la proteccin de datos de titulares de tarjetas Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

3. Proteccin de datos de titulares de tarjetas almacenados.

APO01.06 Definir la propiedad de la informacin (datos) y del sistema. APO01.08 Mantener el cumplimiento de polticas y procedimientos. APO13.01 Establecer y mantener un sistema de gestin de seguridad de la informacin (ISMS). APO13.03 Monitorear y revisar el ISMS. BAI08.02 Identificar y clasificar las fuentes de informacin. BAI08.05 Evaluar y retirar la informacin. BAI09.02 Gestionar activos crticos. BAI09.03 Gestionar el ciclo de vida de los activos. DSS01.01 Ejecutar procedimientos operativos. DSS04.08 Ejecutar revisiones post-reanudacin.

Volumen 1, enero de 2014 Pgina 17

DSS05.03 Gestionar la seguridad de los puntos de destino. DSS05.04 Gestionar la identidad del usuario y el acceso lgico. DSS05.05 Gestionar el acceso fsico a los activos de TI. DSS05.06 Gestionar documentos sensibles y dispositivos de salida. DSS06.04 Gestionar errores y excepciones. DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su rendicin de cuentas.

4. Encriptar la transmisin de datos de titulares de tarjetas por redes pblicas abiertas.

APO11.02 Definir y gestionar los estndares, procedimientos y prcticas de calidad. APO11.05 Integrar la gestin de la calidad en soluciones para el desarrollo y la entrega de servicios. BAI03.03 Desarrollar los componentes de la solucin. DSS01.01 Ejecutar procedimientos operativos. DSS01.02 Gestionar servicios externalizados de TI. DSS01.04 Gestionar el entorno. DSS01.05 Gestionar las instalaciones. DSS05.01 Proteger contra software malicioso (malware). DSS05.02 Gestionar la seguridad de la red y las conexiones. DSS05.03 Gestionar la seguridad de los puntos de destino. DSS05.06 Gestionar documentos sensibles y dispositivos de salida. DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su rendicin de cuentas.

Gestin de vulnerabilidades El uso de un software antivirus es necesario para proteger los sistemas contra software malicioso. Este puede incluir tcnicas de deteccin basadas en patrones y basadas en comportamientos. Las tcnicas de deteccin basadas en patrones detectan virus solamente despus de que el software antivirus se haya actualizado con los nuevos patrones de virus. Las tcnicas de deteccin basadas en comportamientos permiten identificar software maliciosos (malware) sobre la base de patrones de comportamientos no convencionales, pero estas tcnicas de deteccin pueden ser inexactas y producir resultados falso positivos y falso negativos. El desarrollo y el mantenimiento de sistemas y aplicaciones tambin deben ser seguros. Esto incluye la prevencin o la eliminacin de vulnerabilidades que puedan ser objeto de explotacin por atacantes para comprometer o manipular los datos de los titulares de tarjetas. Se debe llevar a cabo la instalacin peridica de parches en los sistemas operativos y las aplicaciones, y se requiere la programacin segura de desarrollos. Pruebas cuidadosas garantizan la deteccin de vulnerabilidades. (Vea la figura 5).

Figura 5: Procesos para la gestin de vulnerabilidades Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

5. Usar y actualizar peridicamente los programas o software antivirus.

APO12.01 Recopilar datos. APO12.03 Mantener un perfil de riesgo. DSS05.01 Proteger contra software malicioso (malware).

6. Desarrollar y mantener sistemas y aplicaciones seguras.

APO12.02 Analizar el riesgo. APO12.04 Expresar el riesgo. BAI03.03 Desarrollar los componentes de la solucin. BAI03.05 Construir soluciones. BAI03.07 Preparar pruebas de la solucin. BAI03.08 Ejecutar pruebas de la solucin. BAI03.10 Mantener soluciones.

Volumen 1, enero de 2014 Pgina 18

BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. BAI06.02 Gestionar cambios de emergencia. BAI06.03 Hacer seguimiento e informar cambios de estado. BAI06.04 Cerrar y documentar los cambios. BAI07.01 Establecer un plan de implementacin. BAI07.04 Establecer un entorno de pruebas. BAI07.05 Ejecutar pruebas de aceptacin. BAI07.06 Pasar a produccin y gestionar los lanzamientos / liberaciones (releases). DSS05.01 Proteger contra software malicioso (malware).

Medidas de control de acceso El acceso a los datos de titulares de tarjetas debe estar restringido en funcin de los roles correspondientes, segn se definen por la necesidad del negocio. De acuerdo con los principios de acceso mnimo y de la necesidad de conocer (need-to-know), solo las personas autorizadas a acceder los datos de titulares de tarjetas con objetivos comerciales deberan tener el acceso permitido. Esto exige la implementacin de gestin de control y autorizacin, en la cual cada persona puede tener un rol asignado con los permisos correspondientes (control de acceso basado en roles [role-based access control, RBAC]) (figura 6). Para cada persona que tenga acceso al sistema, se requiere la asignacin de una identificacin (ID) nica. Esto generalmente se implementa por medio de cuentas personales. Solo una persona que pueda ser autenticada con xito utilizando una contrasea, un token u otro mtodo de autenticacin podr acceder a una computadora o sistema. Tambin se debe restringir el acceso fsico a los datos de los titulares de tarjetas. Los intrusos que obtengan acceso a oficinas o centros de datos podran hurtar, daar o manipular medios o componentes de computadoras. Los medios pueden ser electrnicos (como disquetes, CD y discos duros) o documentos en papel. Con control de acceso fsico y el uso visible de distintivos, ser posible distinguir a una persona no autorizada de un usuario autorizado.

Figura 6: Procesos para medidas de control de acceso Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

7. Restringir el acceso a datos de titulares de tarjetas por medio de la necesidad de conocer (need-to-know) del negocio.

DSS05.04 Gestionar la identidad del usuario y el acceso lgico.

8. Asignar una ID nica a cada persona con acceso a la computadora.

APO03.02 Definir la arquitectura de referencia. APO07.01 Mantener una dotacin de personal suficiente y adecuada.

9. Restringir el acceso fsico a los datos de titulares de tarjetas.

APO01.06 Definir la propiedad de la informacin (datos) y del sistema. DSS05.04 Gestionar la identidad del usuario y el acceso lgico. DSS05.05 Gestionar el acceso fsico a los activos de TI.

Monitoreo y comprobacin / prueba de redes Se debe rastrear, monitorear y registrar todo acceso a los recursos de red y datos de titulares de tarjetas (figura 7). Con los protocolos correspondientes, es posible identificar y rastrear el acceso no autorizado. Adems, los protocolos resultan tiles durante el anlisis de fallas tcnicas. El PCI DSS exige el registro de cada acceso a los datos de titulares de tarjetas. Es preciso probar peridicamente los sistemas y procesos de seguridad. Este procedimiento incluye el escaneo peridico para detectar vectores de vulnerabilidades y ataques a la seguridad. Amenazas como estas deben identificarse y eliminarse antes de que puedan ser explotados por posibles atacantes.

Figura 7: Procesos para el monitoreo y Prueba de las redes Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

10. Hacer seguimiento y monitorear todos los accesos a los recursos de red y datos de titulares de tarjetas.

DSS01.01 Ejecutar procedimientos operativos. DSS01.03 Monitorear la infraestructura de TI. DSS04.08 Ejecutar revisiones post- reanudacin. DSS05.04 Gestionar la identidad del usuario y el acceso lgico.

Volumen 1, enero de 2014 Pgina 19

DSS05.05 Gestionar el acceso fsico a los activos de TI. DSS05.06 Gestionar documentos sensibles y dispositivos de salida. DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la seguridad. DSS06.04 Gestionar errores y excepciones. DSS06.05 Asegurar la trazabilidad de los eventos de informacin y su rendicin de cuentas.

11. Probar peridicamente los sistemas y procesos de seguridad.

APO03.02 Definir la arquitectura de referencia. APO12.03 Mantener un perfil de riesgo. APO12.01 Recopilar datos. DSS02.01 Definir esquemas de clasificacin de incidentes y solicitudes de servicio. DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la seguridad. MEA01.02 Establecer los objetivos de cumplimiento y rendimiento. MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento. MEA01.04 Analizar e informar sobre el rendimiento. MEA02.01 Monitorear el control interno. MEA02.02 Revisar la eficacia de los controles sobre los procesos de negocio. MEA02.03 Realizar autoevaluaciones de control. MEA02.04 Identificar y comunicar las deficiencias de control.

Poltica de seguridad de la informacin Cada compaa debe disear y mantener una poltica de seguridad de la informacin, que debe ser comunicada y cumplida por todos los empleados (figura 8). La poltica debe contener los requerimientos propios de la seguridad de la informacin que deben cumplir todos los empleados. Los temas comprendidos dentro de una poltica de seguridad incluyen la comunicacin de requerimientos del PCI DSS, la capacitacin para crear conciencia sobre la importancia de la seguridad, la creacin de un plan de respuesta ante incidentes y el monitoreo de una postura sobre seguridad de los proveedores de servicio.

Figura 8: Procesos para la poltica de seguridad de la informacin Requerimiento de PCI DSS 3.0 Proceso de COBIT 5 (Prcticas)

12. Mantener una poltica que aborda la seguridad de la informacin para todo el personal.

APO01.01 Definir la estructura organizativa. APO01.02 Establecer roles y responsabilidades. APO01.03 Mantener los facilitadores / habilitadores del sistema de gestin. APO01.05 Optimizar la ubicacin de la funcin de TI. APO01.06 Definir la propiedad de la informacin (datos) y del sistema. APO13.01 Establecer y mantener un ISMS.

Conclusin Las compaas que almacenan, procesan o transmiten datos de titulares de tarjetas o datos de autenticacin deben cumplir con los requerimientos de seguridad segn el PCI DSS. Si estas compaas emplean COBIT 5, podrn abarcar los requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores / habilitadores de COBIT 5. Desde otra ptica, pueden utilizar los requerimientos de seguridad de PCI DSS 3.0 para facilitar la implementacin de COBIT 5 y alcanzar los objetivos de GEIT. De ambas maneras, estas sinergias permiten optimizar los niveles de riesgo y el uso de recursos.

Stefan Beissel, Ph.D., CISA, CISSP

Volumen 1, enero de 2014 Pgina 20

Se desempea como director de seguridad de TI, responsable de la gestin de proyectos relacionados con la seguridad y del cumplimiento del PCI DSS, en EVO Payments International.

Notas finales 1 El objetivo de este artculo es proporcionar una revisin general de las sinergias que existen entre COBIT 5: Procesos facilitadores / Habilitadores y PCI DSS 3.0. Conocer algunos aspectos

de PCI DSS, del consejo de estndares de seguridad de PCI (PCI SCC), de la familia de productos de COBIT 5 y de las guas habilitadoras disponibles ser de gran ayuda. 2 Visa, Detalles de validacin de cumplimiento para comerciantes, 2012 3 PCI SSC, Estndar de seguridad de datos de la industria de tarjetas de pagos (PCI): Requerimientos y procedimientos de evaluacin de la seguridad, Versin 3.0, 2013 4 PCI SSC, Estndar de seguridad de datos de la Industria de Tarjetas de Pagos (PCI): Resumen de cambios de la versin 2.0 del PCI DSS a la versin 3.0, 2013 5 ISACA, COBIT 5, 2012 6 ISACA, COBIT 5: Procesos facilitadores / Habilitadores, 2012

Desarrollo de un marco de gobierno para la organizacin de soporte mundial en GlaxoSmithKline, utilizando COBIT Por Steve Williamson Al igual que la mayora de las organizaciones impulsadas por la innovacin, GlaxoSmithKline (GSK) depende ampliamente de la TI. Su numeroso grupo de soporte de TI centralizado ha utilizado COBIT 4.1 como base para el desarrollo de un marco de gobierno de TI organizacional. GSK est iniciando su transicin a COBIT 5. La misin de GSK es "mejorar la calidad de la vida humana permitiendo a las personas hacer ms, sentirse mejor y vivir ms tiempo". En virtud de esta misin, GSK desarrolla y fabrica productos farmacuticos para tratar una variedad de afecciones, que incluyen enfermedades respiratorias, cncer, cardiopatas y epilepsia. GSK investiga y fabrica vacunas que nos protegen contra enfermedades infecciosas, que incluyen gripe, rotavirus, cncer cervical, sarampin, paperas y rubola. Fabrica adems productos innovadores para el cuidado de la salud del consumidor general; su cartera de productos incluye marcas muy conocidas como Horlicks, Panadol y Sensodyne. GSK es una compaa internacional que opera en ms de 115 pases y cuenta con 100 000 empleados aproximadamente. Una de las prioridades estratgicas de GSK es simplificar su modelo operativo, lo que reduce la complejidad y, en consecuencia, la torna ms eficiente. De este modo, se liberarn recursos para invertir en otras reas ms productivas del negocio. Uno de los resultados de esta estrategia es una organizacin de TI ms centralizada, que proporcione servicios de soporte de TI estndar a todas las reas de negocio. El grupo de soporte de la aplicacin fue formado a partir de la fusin de varios grupos de TI autnomos, orientados al negocio, y es responsable de una cartera de ms de 2000 aplicaciones compatibles con cada etapa de la cadena de valor (investigacin, desarrollo, fabricacin, y funciones comerciales y corporativas). Este departamento cuenta con cientos de empleados permanentes, situados en diferentes lugares del mundo. Dos socios comerciales en el extranjero proporcionan soporte tcnico adicional. El departamento de soporte de aplicaciones ha desarrollado un marco de gobierno para GSK.

Gobierno para una funcin de soporte de TI Poco despus de la creacin del nuevo departamento de soporte global, se identific la necesidad de evaluar los procesos de gobierno. El objetivo era verificar que la organizacin recientemente conformada tuviera las estructuras, los procesos y los controles correctos para habilitar la ejecucin exitosa de su estrategia y para garantizar la alineacin con la estrategia de la empresa. El gobierno organizacional es un trmino de gestin comnmente aceptado, que no todos alcanzan a comprender profundamente. Sin embargo, intentar definir exactamente en qu consiste el gobierno de TI y cmo se aplica a una organizacin de TI es, en s, todo un desafo. Por lo tanto, es til recurrir a marcos de la industria que ya han sido comnmente aceptados. En este caso, el departamento de soporte de aplicaciones de GSK utiliz COBIT (para este ejercicio, se utiliz la versin 4.1). ISACA define el gobierno de TI como "La responsabilidad de los ejecutivos y del consejo de administracin. Consiste en el liderazgo, las estructuras organizacionales y los procesos que aseguran que TI apoya y extiende las estrategias y los objetivos de la empresa".1

Volumen 1, enero de 2014 Pgina 21

Por qu COBIT? Una de las ventajas de COBIT 4.1 es que se presenta como un marco fuertemente centrado en el control, en lugar de la ejecucin. Abarca una amplia gama de reas de gobierno (por ejemplo, recursos humanos, finanzas, alineacin estratgica, gestin de riesgos, gestin de servicios) y se puede cruzar con otros estndares de la industria, tales como la norma ISO 27001 para seguridad e ITIL para la gestin de servicios, lo cual se adapt muy bien a la situacin de GSK.

Cmo GSK utiliz COBIT 4.1 COBIT 4.1 es integral, aunque cuenta con una estructura simple, y cada rea de proceso est subdividida en descripcin del proceso, objetivos de control, guas para la gestin y modelos de madurez. Esto facilita la seleccin de procesos que se aplican mejor a las metas de la organizacin e ignora aquellos que no son relevantes o que tienen menor importancia. Por ejemplo, los procesos de COBIT denominados PO2 Definir la arquitectura de la informacin y PO3 Determinar la direccin tecnolgica son la principal responsabilidad de otro departamento dentro de la empresa, de modo que estos se excluyeron del marco del departamento de soporte de aplicaciones, mientras que otros procesos de COBIT 4.1 solo se aplicaron parcialmente. El departamento de soporte de aplicaciones sigui los siguientes pasos para crear su marco de gobierno: 1. Identificar las reas de procesos aplicables de COBIT 4.1. 2. Identificar los objetivos de control aplicables dentro de cada rea de proceso. 3. Realizar la evaluacin de riesgos, es decir, determinar el impacto que tendran las fallas de control de cada proceso en la

organizacin. 4. Identificar qu procesos, procedimientos o prcticas de trabajo existentes abordan esta rea de proceso, y evaluarlos

teniendo en cuenta los objetivos de control. 5. Efectuar revisiones con expertos en la materia y la alta direccin, incluyendo los responsables de implementar los

controles. 6. Documentar toda brecha o control dbil, explicando el riesgo e introduciendo esta informacin en el flujo de trabajo

relevante para la mejora del proceso. Cuando se identifican debilidades de control, habitualmente implica que una poltica no se est implementando de manera eficaz. Esto determina la necesidad de recurrir a una accin correctiva, que es responsabilidad de la direccin. Esta clase de anlisis podra revelar un problema ms fundamental, como un riesgo no reconocido anteriormente o inadecuadamente mitigado. En una situacin como esa, la accin correctiva implicara efectuar cambios en el marco de la poltica. La direccin no debera abordar tales acciones, sino la junta de cumplimiento. Esto podra dar lugar a una poltica nueva o enmendada o a decisiones relacionadas con la tolerancia al riesgo.

El marco de gobierno est estructurado por medio de las reas de enfoque de gobierno de TI (cruzadas con las reas de proceso de COBIT) e incluyen las siguientes: Gobierno de relaciones y organizacin de TI. La alineacin estratgica de los objetivos de negocio y de TI. Marco de las polticas de calidad, riesgo y control. Gestin de comunicaciones, capacitacin y conocimiento. Cartera de inversiones, gestin financiera y gobierno de entrega de valor. Desarrollo, implementacin y mantenimiento de sistemas. Gestin de prestacin de servicios de terceros/proveedores. Para cada rea de enfoque de gobierno, se definieron objetivos de control, factores de riesgo claves y la implementacin (figura 1).

Volumen 1, enero de 2014 Pgina 22

Figura 1: Estructura de las reas de enfoque de gobierno

Seccin Descripcin

Objetivos de control Estos se extrajeron directamente de COBIT 4.1. Se seleccionaron objetivos de control aplicables (se excluyeron los que solo estaban ligeramente asociados).

Factores de riesgo clave Supone el anlisis de los impactos organizacionales a partir de fracasos para cumplir los objetivos de control eficazmente. Los ejemplos de impactos de riesgo incluyen ineficiencias operativas, aumento de la probabilidad de brechas a la seguridad, falla normativa y sanciones de ndole legal.

Implementacin Esta seccin describe los procedimientos, controles y estructuras organizacionales que estaban en uso en ese momento y abordaban los objetivos de control. Esto revel brechas y debilidades.

Uno podra preguntarse: de qu sirve complicarse para crear un documento separado en lugar de usar el material de COBIT directamente? La razn es que si se tiene un marco con un contexto empresarial conocido, COBIT se vuelve ms intuitivo para quienes necesitan usarlo. Su finalidad es evaluar los procesos de GSK teniendo en cuenta un estndar comnmente aceptado para el gobierno, en lugar de redefinir la mtrica o introducir nuevas formas de trabajo. Esto asegur que el documento fuera muy til para una amplia variedad de personas, la mayora de las cuales tiene escasa o ninguna experiencia en el uso de COBIT.

Hallazgos y valor derivado Los objetivos de control se pueden cumplir con un procedimiento (por ejemplo, proceso de control de cambios) o a travs de estructuras organizacionales eficaces (por ejemplo, la representacin en equipos de liderazgo), que demostraron claramente control y rendicin de cuentas. Sin embargo, durante el anlisis, el departamento de soporte de aplicaciones detect que algunos objetivos de control se cumplan de manera eficaz a travs de mtodos que no implicaban ningn procedimiento. Si bien es menos formal que un procedimiento aprobado por la direccin, muchos de estos mtodos estaban documentados o implcitos como parte de descripciones de trabajos, demostrando rendicin de cuentas. Es relativamente fcil determinar si un procedimiento aborda o no las necesidades del objetivo de control. Juzgar la eficacia general de un procedimiento en un departamento de TI recientemente consolidado es ms difcil sin una auditora o recopilacin extensiva de datos. Para ocuparnos de este tema, se utilizaron actividades de monitoreo recientemente implementadas para evaluar la eficacia de las tcnicas de mitigacin, y fueron la fuente clave de informacin, haciendo posible la mejora del programa en curso. En 2013, se efectu una auditora de gobierno en todo el departamento. Este documento de marco de referencia fue la base para la preparacin de la auditora. No cubri todo lo que los auditores evaluaron, pero ayud a demostrar lo adecuado de las estructuras de control en uso.

Prximos pasos El marco proporciona una evaluacin en un momento especfico de los controles del departamento de soporte de aplicaciones y da lugar a la identificacin de amenazas, vulnerabilidades e ineficacias, factores de riesgo y problemas (que, de otro modo, no se hubieran detectado). Se mantendr alineado con los cambios organizacionales (por ejemplo, si la organizacin comienza a ofrecer una variedad ms amplia de servicios de TI, el marco podr expandirse fcilmente). La siguiente evolucin de este modelo de gobierno incluir modelos de evaluacin de capacidades de procesos para reas de proceso claves. El modelo de evaluacin de procesos de COBIT 5 constituir la base para el diseo y la implementacin de estos modelos. Esto tambin marca la transicin a COBIT 5. Las reas de proceso seleccionadas para evaluaciones de capacidades son las que presentaran el mayor impacto de riesgo si no operaran con eficacia. Como antes, los modelos se basarn en COBIT, pero referenciarn a las mtricas y a los procesos de GSK. El primer paso es realizar una evaluacin de lnea base para determinar los niveles actuales de madurez y luego establecer los objetivos de mejora a largo plazo para garantizar la mejora continua del proceso durante los prximos cinco aos.

Steve Williamson Es director de gestin de riesgos de TI en GlaxoSmithKline y es responsable de la seguridad de la informacin, el cumplimiento normativo y la gestin de calidad. Williamson comenz su carrera en TI hace 25 aos como probador de software en la industria bancaria. Williamson ha trabajado en GSK durante los ltimos 16 aos en varias funciones relacionadas con gerenciamiento de proyectos y gobierno, riesgo y cumplimiento.

Volumen 1, enero de 2014 Pgina 23

Comit de marco Steven A. Babb, CGEIT, CRISC, ITIL, UK, Director David Cau, ITIL, MSP, Prince2, Francia Sushil Chatterji, CGEIT, Singapur Frank Cindrich, CGEIT, CIPP, CIPP/G, EE. UU. Joanne De Vito De Palma, EE. UU. Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Austria Katherine McIntosh, CISA, EE. UU. Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brasil Paras Shah, CISA, CGEIT, CRISC, CA, Australia

Contenido editorial Los comentarios relacionados con el contenido editorial pueden remitirse a Jennifer Hajigeorgiou, gerente snior de redaccin, al correo electrnico jhajigeorgiou@isaca.org.

COBIT Focus es una publicacin de ISACA. Las opiniones expresadas en COBIT Focus representan los puntos de vista de los autores. Pueden diferir de las polticas y declaraciones oficiales de ISACA y sus comits, y de las opiniones refrendadas por autores, empleados o editores de COBIT Focus. COBIT Focus no avala la originalidad del contenido de los autores.

ISACA. Todos los derechos reservados.

Los instructores pueden fotocopiar artculos aislados sin cargo para uso no comercial en las aulas de clase. Para otras copias, reimpresiones o nuevas publicaciones, se debe obtener el permiso por escrito de la asociacin. Comunquese con Julia Fullerton por correo electrnico a jfullerton@isaca.org.

Notas finales1 ISACA, Glosario

2014 ISACA. Todos los derechos reservados.

Volumen 1, enero de 2014 Pgina 24