Documente Academic
Documente Profesional
Documente Cultură
referimos a empresas públicas o privadas, grandes o pequeñas, lucrativas o no, ya que cada una
de ellas tiene un objetivo primordial, que se ve reflejado en su misión, su razón de ser.
Para lograrla, llevan a cabo múltiples tareas que conducen hacia este propósito, al tiempo que
se evitan otras acciones que impidan su cumplimiento. En este escenario toma relevancia la
información, un recurso clave desde el momento en el que es creada hasta su destrucción, de
manera que sea posible evadir las amenazas que pudieran afectarla.
Con la intención de proteger los datos, otros activos y en general el negocio, las organizaciones
pueden adoptar prácticas y medidas de seguridad (que generalmente están plasmadas en
documentos especializados en seguridad de la información). Por ejemplo, COBIT for Information
Security, mismo que abordaremos en esta publicación.
Objetivos de control para la protección de la información
Un marco de referencia que puede ser utilizado en las empresas como guía para la integración
de las operaciones relacionadas con el área de Tecnologías de Información es COBIT (Control
Objectives for Information and related Technology), es decir, un conjunto de propósitos
definidos y controles de TIque tiene como principio la implementación de un marco para el
gobierno y gestión de TI.
Dentro de la familia de documentos de COBIT, en la última versión existe uno completamente
enfocado en la seguridad de la información (COBIT 5 for Information Security), que tiene como
base el framework de mejores prácticas, con la característica de que agrega guías prácticas
detalladas para la protección de la información para todos los niveles en las organizaciones.
En el documento se plantea la idea de que la seguridad de la información es una disciplina
transversal, por lo que considera aspectos de protección de datos en cada actividad y proceso
desempeñado. Además, sirve como un complemento de COBIT 5, ya que este último considera
algunos procesos que brindan una guía básica para definir, operar y monitorear un sistema para
gestión de la seguridad, como son:
Por ejemplo, el proceso DSS05 Gestión de servicios de seguridad, tiene como propósito
minimizar el impacto al negocio debido a vulnerabilidades e incidentes de seguridad de la
información. Entre las prácticas de gestión que involucra, se encuentra la protección contra
el malware (DSS05.01), gestión de la seguridad en red y conectividad (DSS05.02), gestión de la
seguridad endpoint (DSS05.03) o gestión del acceso físico a activos de TI (DSS05.05).
Como agregado, el documento para la seguridad de la información incluye nuevas actividades
para cada práctica descrita en el párrafo anterior. Por ejemplo, la instalación
de software antivirus, aplicación de mecanismos de filtrado de contenido, cifrado de
información (de acuerdo a su clasificación) almacenada en equipos y en tránsito, aplicación de
configuraciones, concientización sobre la seguridad física, entre muchas otras.
Por otro lado, con el notable aumento de la necesidad de la protección de la información, de
manera general se consideran otros aspectos puntuales, como son los niveles de riesgo
aceptables, la continua disponibilidad de servicios y sistemas, así como cumplimiento con leyes,
regulaciones, requisitos contractuales y políticas internas.
Los distintos procesos, actividades o iniciativas se pueden complementar con las propuestas
realizadas en este y otros documentos, mismos que son el resultado del consenso de expertos
en el tema, así como un continuo desarrollo de mejores prácticas. Esto ocurre precisamente con
COBIT, ya que lejos de ofrecer a los usuarios una disyuntiva sobre cuál framework utilizar, se
puede aplicar en concordancia con otras opciones como ISO 27001 o NIST.
Prueba de ello es el Anexo H de COBIT 5 for Information Security, donde se mapean los procesos
con las cláusulas y controles de los estándares antes mencionados, agregando información que
complementa las mejores prácticas, principalmente las metas y métricas, prácticas de gobierno
y gestión, así como las actividades específicas de seguridad, en busca de que sean adoptadas y
adaptadas a las características y necesidades de cada organización que busca proteger su
información y lograr su misión.