Cuando hablamos de la protección de la información en las organizaciones, no importa si nos

referimos a empresas públicas o privadas, grandes o pequeñas, lucrativas o no, ya que cada una
de ellas tiene un objetivo primordial, que se ve reflejado en su misión, su razón de ser.

Para lograrla, llevan a cabo múltiples tareas que conducen hacia este propósito, al tiempo que
se evitan otras acciones que impidan su cumplimiento. En este escenario toma relevancia la
información, un recurso clave desde el momento en el que es creada hasta su destrucción, de
manera que sea posible evadir las amenazas que pudieran afectarla.

Con la intención de proteger los datos, otros activos y en general el negocio, las organizaciones
pueden adoptar prácticas y medidas de seguridad (que generalmente están plasmadas en
documentos especializados en seguridad de la información). Por ejemplo, COBIT for Information
Security, mismo que abordaremos en esta publicación.
Objetivos de control para la protección de la información
Un marco de referencia que puede ser utilizado en las empresas como guía para la integración
de las operaciones relacionadas con el área de Tecnologías de Información es COBIT (Control
Objectives for Information and related Technology), es decir, un conjunto de propósitos
definidos y controles de TIque tiene como principio la implementación de un marco para el
gobierno y gestión de TI.
Dentro de la familia de documentos de COBIT, en la última versión existe uno completamente
enfocado en la seguridad de la información (COBIT 5 for Information Security), que tiene como
base el framework de mejores prácticas, con la característica de que agrega guías prácticas
detalladas para la protección de la información para todos los niveles en las organizaciones.
En el documento se plantea la idea de que la seguridad de la información es una disciplina
transversal, por lo que considera aspectos de protección de datos en cada actividad y proceso
desempeñado. Además, sirve como un complemento de COBIT 5, ya que este último considera
algunos procesos que brindan una guía básica para definir, operar y monitorear un sistema para
gestión de la seguridad, como son:

 APO13 Gestión de la seguridad (treceavo proceso del dominio Alineación, Planeación y

Organización)
 DSS04 Gestión de la continuidad (cuarto proceso del dominio Entrega, Soporte y Servicio)
 DSS05 Gestión de servicios de seguridad (quinto proceso del mismo dominio)
Por lo que además de revisar con más detalle estos procesos, se agregan metas y métricas
específicas de seguridad para cada proceso definido en los dominios de COBIT 5. Del mismo
modo, se establecen prácticas, actividades, entradas y salidas entre procesos, para cada uno de
los que conforman el modelo de referencia descrito en esta versión.

Consideraciones de seguridad en COBIT for Information Security

En general, este documento fue desarrollado para agregar aspectos puntuales de seguridad de
la información que no están incluidos en COBIT 5. Por ejemplo, establecer el enfoque holístico
de la seguridad en una empresa, para definir las responsabilidades y elementos que permiten el
gobierno y la gestión de la seguridad (como las estructuras adecuadas o políticas requeridas).
En el mismo, se pretende alinear la seguridad de la información con los objetivos de la empresa,
a través de las ya mencionadas prácticas de gobierno y gestión completamente enfocadas en la
seguridad.

Por ejemplo, el proceso DSS05 Gestión de servicios de seguridad, tiene como propósito
minimizar el impacto al negocio debido a vulnerabilidades e incidentes de seguridad de la
información. Entre las prácticas de gestión que involucra, se encuentra la protección contra
el malware (DSS05.01), gestión de la seguridad en red y conectividad (DSS05.02), gestión de la
seguridad endpoint (DSS05.03) o gestión del acceso físico a activos de TI (DSS05.05).
Como agregado, el documento para la seguridad de la información incluye nuevas actividades
para cada práctica descrita en el párrafo anterior. Por ejemplo, la instalación
de software antivirus, aplicación de mecanismos de filtrado de contenido, cifrado de
información (de acuerdo a su clasificación) almacenada en equipos y en tránsito, aplicación de
configuraciones, concientización sobre la seguridad física, entre muchas otras.
Por otro lado, con el notable aumento de la necesidad de la protección de la información, de
manera general se consideran otros aspectos puntuales, como son los niveles de riesgo
aceptables, la continua disponibilidad de servicios y sistemas, así como cumplimiento con leyes,
regulaciones, requisitos contractuales y políticas internas.

Consideraciones y pautas principales para la seguridad de la información

No se puede negar que la aplicación de medidas de protección para la información se ha
convertido en una necesidad, ya que se trata de un activo útil para muchos propósitos, por
ejemplo, un trasfondo de mayor alcance relacionado con la continuidad de las operaciones y la
protección del negocio, la razón de ser de las organizaciones.

Los distintos procesos, actividades o iniciativas se pueden complementar con las propuestas
realizadas en este y otros documentos, mismos que son el resultado del consenso de expertos
en el tema, así como un continuo desarrollo de mejores prácticas. Esto ocurre precisamente con
COBIT, ya que lejos de ofrecer a los usuarios una disyuntiva sobre cuál framework utilizar, se
puede aplicar en concordancia con otras opciones como ISO 27001 o NIST.
Prueba de ello es el Anexo H de COBIT 5 for Information Security, donde se mapean los procesos
con las cláusulas y controles de los estándares antes mencionados, agregando información que
complementa las mejores prácticas, principalmente las metas y métricas, prácticas de gobierno
y gestión, así como las actividades específicas de seguridad, en busca de que sean adoptadas y
adaptadas a las características y necesidades de cada organización que busca proteger su
información y lograr su misión.