Delgado, Jonathan TFFM

Universidad De Buenos Aires
Facultad De Ciencias Económicas, Ciencias Exactas y Naturales e

Ingeniería
Maestría en Seguridad Informática
Trabajo Final de Maestría
TEMA:
COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACIÓN
TITULO:
COMPARACIÓN ENTRE COBIT® 5 PARA LA SEGURIDAD DE LA

INFORMACIÓN Y OTRAS NORMAS DE SIMILAR NATURALEZA.
AUTOR:
DELGADO CEDEÑO JONATHAN RODOLFO
Directora: MG. PATRICIA PRANDINI
2016
COHORTE 2013
DECLARACIÓN JURADA DEL ORIGEN DE LOS CONTENIDOS
Por medio de la presente, el autor manifiesta conocer y aceptar el Reglamento

de Trabajo Final de Maestría vigente y se hace responsable que la totalidad de
los contenidos del presente documento son originales y de su creación
exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido
adecuadamente referenciados y cuya inclusión no infringe la legislación
Nacional e Internacional de Propiedad Intelectual.
Delgado Cedeño Jonathan Rodolfo.

FIRMADA
i
RESUMEN
La existencia de múltiples estándares relacionados a la protección de la

información enriquece las opciones de selección de los mejores mecanismos de
seguridad. Sin embargo, se ha convertido en un inconveniente para las
organizaciones y profesionales dedicados a la seguridad de la información, a la
hora de optimizar los recursos disponibles y darle celeridad a los procesos de
control. Se hace necesario en consiguiente, contar con instancias de
comparación que integren varios estándares y normativas vinculadas a la
seguridad de la información y que a su vez, presenten un enfoque
analítico/comparativo que exponga las diferencias y similitudes relevantes que
existen entre ellos. El presente trabajo final de maestría actualiza el cuadro
comparativo presentado como anexo en el apéndice H del marco COBIT® 5
para la seguridad de la información, al tiempo que integra tres normativas
adicionales. Se realiza entendiendo que su desarrollo constituye una
herramienta de utilidad para los profesionales que lleven adelante las tareas de
selección, implementación y monitoreo de controles para la protección de la
información. Asimismo, puede resultar de interés para las organizaciones que
en forma voluntaria o mandatoria, deben implementar más de una normativa a
la vez.
Palabras Claves: Estándares, Normativas, Enfoque analítico - comparativo,

recursos, Seguridad de la información.
ii
INDICE
DECLARACIÓN JURADA DEL ORIGEN DE LOS CONTENIDOS .................................................. I
RESUMEN .............................................................................................................................................. II
INDICE ..................................................................................................................................................... III
NÓMINA DE ACRÓNIMOS EMPLEADAS EN EL TRABAJO .......................................................... V
INTRODUCCIÓN ................................................................................................................................... 1
CAPITULO I ............................................................................................................................................ 4
1. PROBLEMÁTICA ............................................................................................................................... 4
1.1. NORMATIVAS SOBRE SEGURIDAD DE LA INFORMACIÓN ................................................ 7
1.2. INTEGRACION DE ESTANDARES VINCULADOS A LA SI .................................................... 9
CAPITULO II ......................................................................................................................................... 11
2. PRESENTACION DE NORMATIVAS. .......................................................................................... 11
2.1. COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION. .................................................. 11
2.1.1. PRINCIPIOS DE COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION .................. 13
2.1.1.1. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ....................... 15
2.1.1.2. CUBRIR LA EMPRESA DE EXTREMO A EXTREMO ...................................................... 16
2.1.1.3. APLICAR UN MARCO DE REFERENCIA ÚNICO E INTEGRADO ................................ 16
2.1.1.4. HACER UN ENFOQUE HOLÍSTICO ................................................................................... 16
2.1.1.5. SEPARAR EL GOBIERNO DE LA GESTIÓN .................................................................... 16
2.1.2. HABILITADORES DE COBIT® 5 PARA LA SI ...................................................................... 17
2.1.2.1. POLÍTICAS, PRINCIPIOS Y MARCOS DE REFERENCIA .............................................. 17
2.1.2.2. PROCESOS............................................................................................................................ 18
2.1.2.3. ESTRUCTURAS ORGANIZATIVAS ................................................................................... 18
2.1.2.4. CULTURA, ÉTICA Y COMPORTAMIENTO ....................................................................... 19
2.1.2.5. INFORMACIÓN ...................................................................................................................... 19
2.1.2.6. CAPACIDADES DE SERVICIOS, INFRAESTRUCTURAS Y APLICACIONES ........... 20
2.1.2.7. PERSONAS, HABILIDADES Y COMPETENCIAS............................................................ 20
2.1.2.8. INTERACCIÓN ENTRE HABILITADORES ........................................................................ 21
2.2. ISO/IEC 20000:2011 – TECNOLOGIA DE LA INFORMACIÓN. GESTIÓN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO ..................................... 22
2.2.1. ESTRUCTURA DE LA NORMATIVA ISO/IEC 20000:2011 PARTE 1 ............................... 24
2.3. ISO/IEC 27001: TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – REQUISITOS .............. 27
2.4. ISO/IEC 27002 - TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
CÓDIGO DE PRÁCTICAS PARA LA SEGURIDAD DE INFORMACIÓN – CONTROLES ........ 29
iii
2.5. ESTÁNDAR DE BUENAS PRÁCTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN -
FORO DE SEGURIDAD DE LA INFORMACIÓN (ISF / INFORMATION SECURITY FORUM) 32
2.5.1. ESTRUCTURA DEL ISF 2014 ................................................................................................. 33
2.6. ESTÁNDAR SP 800-53A REVISIÓN 4 DEL INSTITUTO NACIONAL DE ESTÁNDAR Y
TECNOLOGÍA (NIST / NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY) ........ 36
CAPITULO III ........................................................................................................................................ 40
3. COMPARATIVA DE LAS NORMATIVAS ..................................................................................... 40
3.1. ISO/IEC 27001:2005 FRENTE A ISO/IEC 27001:2013 ........................................................... 40
3.2. ISO/IEC 27002:2005 FRENTE A ISO/IEC 27002:2013 ........................................................... 42
3.3. ISF VERSIÓN 2011 FRENTE A ISF VERSIÓN 2014 .............................................................. 44
3.4. SP 800-53A REVISION 1 FRENTE A LA SP 800-53A REVISION 4...................................... 46
CAPITULO IV ........................................................................................................................................ 48
4. IMPORTANCIA DE LA SI EN SECTORES ESPECÍFICOS ....................................................... 48
4.1. SI DE LAS TARJETAS DE PAGO .............................................................................................. 48
4.1.1 ESTÁNDAR DE SEGURIDAD DE DATOS PARA LA INDUSTRIA DE TARJETA DE
PAGO (PCI DSS / PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) ................... 49
4.1.2. ESTRUCTURA DEL ESTÁNDAR PCI DSS........................................................................... 50
4.2. SI DE LOS DATOS DE SALUD ................................................................................................... 51
4.2.1. SI EN LAS HCES ....................................................................................................................... 52
4.2.2. NORMATIVAS Y ESTÁNDARES VINCULADOS A LA SI DE LOS DATOS DE SALUD . 53
4.2.3. LEY DE RESPONSABILIDAD Y PORTABILIDAD DEL SEGURO MÉDICO (HIPAA /
HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) – SEGURIDAD Y
PRIVACIDAD SUB PARTE C ................................................................................................................. 54
4.2.3.1. ESTRUCTURA DE LA LEY HIPAA...................................................................................... 57
CAPITULO V ......................................................................................................................................... 59
5. CUADRO COMPARATIVO GENERAL DE COBIT 5 PARA LA SI FRENTE A OTRAS
NORMATIVAS RELACIONADAS A LOS SGSI ............................................................................... 59
5.1. MAPEO GENERAL ACTUALIZADO .......................................................................................... 60
CONCLUSIONES ................................................................................................................................ 89
RECOMENDACIONES ....................................................................................................................... 92
ANEXOS ................................................................................................................................................ 94
BIBLIOGRAFIA................................................................................................................................... 110
iv
NÓMINA DE ACRÓNIMOS EMPLEADAS EN EL TRABAJO
ACRÓNIMOS DE ORGANIZACIONES
ENISA European Union Agency for Network and Information Security.

/ Agencia Europea de Seguridad de las Redes y de la
Información.
IEC International Electrotechnical Commission. / Comisión
Electrotécnica Internacional.
IETF Internet Engineering Task Force. / Grupo de Trabajo de
Ingeniería de Internet.
INEN Instituto Ecuatoriano de Normalización.
IRAM Instituto Argentino de Normalización y Certificación.
ISACA Information Systems Audit and Control Association. / Asociación
de Auditoría y Control de Sistemas de Información.
ISECOM Institute for Security and Open Methodologies. / Instituto de
Seguridad y Metodologías Abiertas.
ISF Information Security Forum. / Foro de Seguridad de la
Información.
ISO International Organization of Standardization. / Organización
Internacional de Estandarización.
ITIL Information Technology Infrastructure Library. / Biblioteca de
Infraestructura de Tecnología de la Información.
NIST National Institute of Standard and Technology. / Instituto Nacional
de Estándares y Tecnología.
PCI Payment Card Industry. / Industria de Tarjetas de Pago.
SEI Software Engineering Institute – Carnegie Mellon University. /
Instituto de Ingeniería de Software - Universidad Carnegie-
Mellon.
v
OTROS ACRÓNIMOS
BYOD Bring Your Own Device. / Trae Tu Propio Dispositivo.

CISO Chief Information Security Officer. / Responsable Principal de la
Seguridad de la Información.
COBIT Control Objectives for Information and related Technology. /
Objetivos de Control para la Información y Tecnología
relacionada.
HC Historia Clínica.
HCE Historia Clínica Electrónica.
HIPAA Health Insurance Portability And Accountability Act. / Ley de
Responsabilidad y Portabilidad del Seguro Médico.
IDS Intrusion Detection Systems. / Sistemas de Detección de
Intrusiones.
IPS Intrusion Prevention Systems. / Sistemas de Prevención de
Intrusos.
IRAM Information Risk Analysis Methodology. / Metodología de Análisis
de Riesgos de Información.
ISM3 Information Security Management Maturity Model. / Estándar
para la creación de sistemas de gestión de la seguridad de la
información.
OSSTMM Open Standard Security Testing Model. / Metodología Abierta de
Testeo de Seguridad.
PCI DSS Payment Card Industry Data Security Standard. / Estándar de
seguridad de datos para la industria de tarjeta de pago.
PIN Personal Identification Number. / Número de identificación
personal.
SGSI Sistemas de Gestión de la Seguridad de la Información.
SGS Sistemas de Gestión del Servicio.
SI Seguridad de la información.
SSE – CMM Systems Security Engineering Capability Maturity Model. /
vi
Modelo de madurez de capacidad de ingeniería de seguridad de
sistemas.
TI Tecnología de la información.
VNP Virtual Private Network. / Redes Privadas Virtuales.
vii
INTRODUCCIÓN
Debido al acelerado avance tecnológico que acontece en la actualidad,
las organizaciones se preparan para afrontar los riesgos de seguridad que
surgen de la adopción de nuevas plataformas tecnológicas para el tratamiento
de la información. En este contexto, para muchos profesionales inmersos en el
campo de las tecnologías de la información y de la seguridad de la información,
la tarea de selección, implementación y monitoreo de controles de seguridad, se
han convertido en verdadero desafío, dado a la existencia de un sinnúmero de
normas vinculadas a esa disciplina.
La bibliografía que existe en realidad ofrece algunas comparaciones

parciales e incompletas que integran estándares relacionados a la seguridad de
la información, que si bien ayuda, resultan insuficientes a la hora de seleccionar
lo que mejor se adapte a las necesidades de la organización. De manera
paralela, el problema de la multiplicidad de estándares puede aumentar la
confusión en organizaciones que están obligadas a cumplir determinadas
normativas para robustecer la seguridad de su información.
En respuesta a lo antes mencionado, conocer las relaciones que existen

entre diferentes normativas, brinda a los profesionales una visión clara y amplia
de los controles que proponen los estándares y les permite optimizar los
recursos de manera eficiente fortaleciendo las funciones de cumplimiento.
Frente a esta necesidad, la investigación desarrollada en el presente

trabajo final de maestría tiene por objetivo comparar varias normas y
estándares vinculados a las tareas de seguridad de la información y
reconocidos internacionalmente, de manera que facilite el análisis y la
identificación de las diferencias y similitudes entre ellos.
Con el fin de diseñar estas comparaciones, se consideró como guía el

Apéndice H de COBIT® 5 para la seguridad de la información (edición 2012), el
cual presenta la integración de este marco con los estándares ISO/IEC
27001:2005 e ISO/IEC 27002:2005 de ISO/IEC, Buenas Prácticas 2011 del ISF
1
y SP 800-53A - revisión 1 del NIST. En el presente trabajo, estas normas fueron
actualizadas a sus versiones recientes ISO/IEC 27001:2013, ISO/IEC
27002:2013 de ISO/IEC, Buenas Prácticas 2014 del ISF y SP 800-53A revisión
4 del NIST, respectivamente.
Paralelamente, se consideró el análisis e integración al mapeo general

de tres normativas adicionales, siendo éstas: ISO/IEC 20000 parte 1 de
ISO/IEC, la Ley HIPAA y el estándar PCI DSS. Se aclara que estas dos últimas
son de aplicación en la protección de la información en las áreas de negocios
específicas de salud y de gestión de tarjetas de pago, respectivamente.
Respecto a la Ley HIPPA, si bien como se verá más adelante, se trata de una
norma de aplicación limitada a los EEUU y es relativamente antigua, está
incluida, en el estudio por su relevancia en el campo de la salud. La ISO/IEC
27799:2008 Informática en salud – Gestión de la seguridad de la información en
salud utilizando ISO/IEC 27002 en cambio, si bien tiene un campo de aplicación
más amplio y es más completa y moderna, fue descartada por su similitud con
la ISO/IEC 27002, la cual ya se encuentra incluida en el estudio.
El trabajo final de maestría se desarrolla en 5 capítulos. El capítulo 1

expone la problemática que surge a la hora de seleccionar controles de
seguridad de un abanico de múltiples estándares vinculados a la SI, mientras
que los capítulos 2 y 4 presentan las características sobresalientes de los
estándares que integran el cuadro comparativo y en el capítulo 3 las
comparaciones individuales de los estándares en su versión actual, con la
anterior. Finalmente, en el capítulo 5 se desarrolla el mapeo general
comparativo, el que se confecciona como herramienta de apoyo para los
profesionales de tecnologías de la información, seguridad de la información y
otras áreas de interés.
El cuadro comparativo mencionado fue diseñado de manera que brinde

una visión amplia de los objetivos de control y controles aplicables en los
sistemas de gestión y a su vez, cubra los aspectos de dirección y de gestión de
la seguridad de la información. El trabajo final se cierra con las principales
2
conclusiones y una serie de recomendaciones vinculadas a la implementación
de las normativas analizadas.
Este trabajo queda abierto a estudios que puedan efectuarse a futuro, a

partir de la actualización de los estándares analizados o por la integración de
otras normativas relacionadas a la seguridad de la información.
3
CAPITULO I
1. PROBLEMÁTICA.
Uno de los desafíos que enfrentan las organizaciones en relación al

cumplimiento de leyes, regulaciones y otras normas que rigen sus actividades
en territorio nacional o internacional, para la protección de los activos de
información, radica en la diversidad de normativas que existen. Esta situación
plantea para los profesionales de Tecnologías de la Información (TI) y
Seguridad de la Información (SI), un escenario complejo a la hora de elegir e
implementar controles provenientes de una o varias de ellas. Debido, a que
conviene satisfacer las necesidades de protección de la información y la gestión
de los riesgos de TI y SI que pudieran existir en el entorno empresarial.
Por lo general, los directivos de las organizaciones dudan en invertir en

recursos vinculados a la SI debido, a que este rubro no se asocia a ganancias
económicas y directas, lo que hace que el área no les sea atractiva.
En la mayor parte de las ocasiones, frente a la propuesta de inversiones

en SI, la alta gerencia piensa en la adquisición de nuevos equipos tecnológicos
o en la implementación de sistemas de información de avanzada. Sin embargo,
el área de SI es un campo con alcance que va más allá de los aspectos
técnicos, siendo en cambio una función importante que acompaña todo uso de
la tecnología.
En efecto, la SI involucra una labor integral, que abarca desde la

identificación de activos de información, el análisis, evaluación y tratamiento de
los riesgos de seguridad y la implementación de controles, hasta el
cumplimiento de normativas, estándares, leyes y marcos aplicables.
Sin embargo, el “problema” existente de abundancia de estándares para

las áreas de TI y en particular, para los entornos de trabajo responsables de la
protección de la información, genera la dificultad de definir cuáles son las
necesidades primordiales del negocio en relación con un horizonte de tiempo, y
4
en reconocer la normativa más conveniente en términos de buenas prácticas, a
partir de los lineamientos estratégicos de la organización.
En adelante y a los fines, del presente trabajo final de maestría,

entiéndase por normativa al conjunto de leyes y regulaciones de cumplimiento
obligatorio, así como estándares y principios de aplicación voluntarios sobre la
base de su consideración como buena práctica aceptada por otras
organizaciones de similar envergadura, naturaleza, objetivo o función.
Frente al gran número de normativas como se dijo, ubica al negocio en

un contexto de complejidad, el marco COBIT® 5 de la Asociación de Auditoría y
Control de Sistemas de Información (ISACA - Information Systems Audit and
Control Association) se presenta como un integrador y base de relación con
otros estándares.
En efecto, este marco se basa en una serie de principios, según se

muestra en la figura 1.1, entre los cuales, se encuentra el que establece que se
debe “aplicar un marco de referencia único integrado”. El que justifica la
utilización de COBIT® 5 como una herramienta consistente y general, que al
estar escrita en un lenguaje no técnico, agnóstico y sencillo; permite asociar
elementos de otros marcos y estándares relacionados para la gestión de la SI.
Por otra parte, COBIT® 5 es un marco reconocido a nivel internacional,

cuya aplicación conlleva a tener una visión holística de los aspectos que se
deben involucrar para que las organizaciones materialicen sus objetivos
relacionados al gobierno y la gestión de TI. En este contexto, se toma en
consideración ambos campos (gobierno y gestión), como áreas fundamentales
que deben considerarse por separado, pero interdependientes entre sí.
5
Figura 1.1. Principios de COBIT® 51
En particular, uno de los volúmenes que conforman la familia de COBIT®

5, está dedicado a la SI, ofreciendo a los profesionales de esta disciplina y a
otros interesados, una guía específica y detallada de tareas estrechamente
relacionadas con la SI corporativa, basada en los principios fundamentales de
COBIT® 5.
COBIT® 5 para la SI brinda a la organización la posibilidad de ampliar el

alcance de sus controles de SI y con él garantizar la confidencialidad, integridad
y disponibilidad de la información que se maneja diariamente en su ámbito.
Estas tareas correctamente direccionadas, le permite además mejorar su
reputación, generar valor y mostrarse más competitiva inclusive en el campo
operativo y económico que desarrolla.
Una forma de abordar la problemática de la multiplicidad de normativas

es a través de la realización de análisis comparativos. En efecto, para los
especialistas en SI, puede ser de gran ayuda disponer de estas herramientas,
las que permitan conocer de manera general los objetivos de control y los
controles que ofrecen los estándares, así como las relaciones entre éstos.
1
ISACA (2012). COBIT® 5 Un marco de negocio para el gobierno y la gestión de las TI de la Empresa.
[Figura]. Extraído de http://www.isaca.org/cobit/Pages/CobitFramework.aspx
6
En este sentido, el análisis comparativo de algunos estándares
relacionados a la SI para la generación de un mapeo general que los integre
con otros marcos regulatorios, puede ampliar la visión sobre el gobierno y la
gestión de TI a toda la organización. Otros beneficios adicionales que se
pueden lograr son:
 Mejorar los tiempos de respuesta en el proceso de selección de la ó las

normativas que mejor se ajusten a la estrategia y objetivos del negocio.
 Simplificar los trabajos de adopción e implementación de una nueva
normativa, cuando la organización ya está aplicando otra y ambas se
encuentren contempladas en la comparativa.
 Optimizar la selección e implementación de controles que aseguren la
gestión de los riesgos de SI.
 Establecer la situación actual de la organización referente al
cumplimiento de estándares específicos analizadas en la comparativa.
 Ofrecer a los profesionales de TI y SI una herramienta de apoyo
teórica/práctica, fácil de utilizar e implementar en la organización.
En síntesis, el análisis y elaboración del mapeo general que contemple la
normativa más utilizada puede convertirse en una asistencia detallada en la
búsqueda de controles recomendados para la protección de los activos de
información en la organización.
1.1. NORMATIVAS SOBRE SEGURIDAD DE LA INFORMACIÓN.
Los organismos nacionales e internacionales dedicados al estudio,

aplicación y control de los aspectos de SI en las organizaciones, son
coincidentes al señalar la necesidad de implementar Sistemas de Gestión de la
Seguridad de la Información (SGSI) para gestionar la protección de la
información en el negocio.
Las tareas de SI se orientan a implementar controles que protejan las

transacciones y los activos de información, ante posibles riesgos de seguridad,
tales como, fugas de datos o fraudes externos e internos, spams, virus
7
informático y otros códigos maliciosos, accesos remotos no autorizados y robo
de identidad, entre otros; que deben considerarse en la gestión de la SI.
Emplear normativas que permitan mantener una adecuada SI en las

organizaciones, se ha convertido en un factor de importancia para conservar la
vida operacional de dichas entidades. Esto se debe mayormente a que en el
campo de la delincuencia informática, el interés para apoderarse de la
información, considerado el activo más valioso, ha superado las expectativas de
los gerentes de TI en cuanto a barreras de protección se refiere.
Efectivamente, muchos caían en el error de volcar sus esfuerzos en

implementar sólo mecanismos técnicos de seguridad, dejando de lado otras
perspectivas que son fundamentales a la hora de lograr una protección
adecuada de los activos de información. Algunos de los aspectos técnicos que
los profesionales en SI utilizan para robustecer la seguridad en las
organizaciones son: la implementación de Sistemas de Prevención de Intrusos
(IPS – Intrusion Prevention System), Sistemas de Detección de Intrusiones (IDS
– Intrusion Detection System), Firewall propios de los sistemas operativos
instalados y Redes Privadas Virtuales (VPN – Virtual Private Network).
De hecho existen varias normativas nacionales e internacionales, en lo

que respecta a la SI, que ofrecen un gran número de objetivos de control para
la gestión de los SGSI como parte fundamental de su contenido. Tal es el caso
de los siguientes:
 Estándares 20000, 27001 y 27002 de la Organización Internacional de

Estandarización (ISO – International Organization of Standardization) en
conjunto con la Comisión Electrotécnica Internacional (IEC – International
Electrotechnical Commission).
 Estándar SP 800-53A del Instituto Nacional de Estándares y Tecnología
(NIST – National Institute of Estándar and Technology) de los Estados
Unidos.
8
 Buenas prácticas del Foro de Seguridad de la Información (ISF –
Information Security Forum).
 Estándar IT Baseline Protection Manual, establecido por la Agencia
Federal alemana para la seguridad en TI.
 Estándar RFC2196 – Site Security Handbook del Grupo de Trabajo de
Ingeniería de Internet (IETF - Internet Engineering Task Force).
 Estándar de seguridad de datos para la industria de tarjeta de pago. (PCI
DSS - Payment Card Industry Data Security Standard).
 Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM
(Open Standard Security Testing Model), desarrollado por ISECOM
(Institute for Security and Open Methodologies).
 Estándar para la creación de sistemas de gestión de la seguridad de la
información (ISM3 - Information Security Management Maturity Model).
 Modelo de madurez de capacidad de ingeniería de seguridad de
sistemas (SSE-CMM - Systems Security Engineering Capability Maturity
Model), establecido por la Universidad Carnegie-Mellon y el Instituto de
Ingeniería de Software (SEI - Software Engineering Institute).
 Guía de buenas prácticas para abordar aspectos de seguridad de red y
la información de la ciberdelincuencia, desarrollado por Agencia Europea
de Seguridad de las Redes y de la Información - ENISA.
1.2. INTEGRACION DE ESTANDARES VINCULADOS A LA SI.
Como se mencionó anteriormente, la bibliografía actual refleja una

cantidad limitada de trabajos de confrontación o comparación de estándares de
SI. COBIT® 5 para la SI es uno de esos trabajos ya que ofrece un mapeo
general de normativas en su edición 2012, donde muestra la integración con
otros estándares reconocidos a nivel internacional.
En efecto, entre los anexos de COBIT® 5 para la SI, su Apéndice H

(páginas 207 a 214) muestra el mapeo detallado y comparativo de los procesos
del propio marco con las normativas ISO/IEC 27001 y 27002 de la ISO/IEC, las
buenas prácticas del ISF y el estándar SP 800-53A – revisión 1 del NIST, en el
9
que se puede visualizar la relación entre todas estas normas. Sin embargo,
debido a que el marco fue publicado en el año 2012, es un trabajo
desactualizado a la fecha ya que presenta una comparativa con versiones de
las normas citadas que se encontraban vigentes al momento de la publicación
pero que ya han sido reemplazadas.
Sobre la base de este anexo, se desarrolla el presente trabajo que

constituye un estudio comparativo de los estándares en sus versiones
actualizadas. Se señalan además diferencias y similitudes entre las normativas
y se expande el marco comparativo que presenta COBIT® 5 para la SI
incorporando el estándar ISO/IEC 20000-1:2011 de la ISO/IEC, PCI DSS
versión 3.0 y la Ley HIPPA.
El material que se desarrolla puede ser de utilidad para organizaciones

que deben cumplir con múltiples estándares o que busquen conocer la situación
actual del negocio en materia de controles de SI, asegurando el cumplimiento
de las obligaciones contractuales y legales que la rigen.
Sin embargo, el mapeo general puede usarse como herramienta de

supervisión por parte de auditores externos que tengan como responsabilidad
evaluar el ambiente de control, profesionales de control interno, gerentes de TI
y SI, así como a todo profesional vinculado a la protección de los activos de
información del negocio.
Asimismo puede servir como guía y herramienta de apoyo para que los
profesionales de SI evalúen y mejoren el ambiente de controles implementados
sobre los recursos de información de la organización y así, fortalecer los niveles
de seguridad y de gestión de riesgos de TI y SI que existan.
En conclusión, el objetivo de este trabajo es brindar un aporte teórico,

pero de aplicación práctica; que sirva como base para implementar en las
organizaciones los controles de SI necesarios para asistir a las exigencias
primordiales de SI en el negocio.
10
CAPITULO II
2. PRESENTACION DE NORMATIVAS.
En este capítulo se presenta una descripción general de los aspectos
relevantes de las normativas que han sido objetos de estudio, para su posterior
vinculación a través del mapeo comparativo que se incluye más adelante.
2.1. COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION. [1]
Nombre COBIT® 5
Titulo COBIT® 5 para la seguridad de la información.
Emitido por ISACA
Año de publicación 2012
ISACA es una organización internacional que trabaja con el objetivo de

asistir a las organizaciones en el cumplimiento de los requerimientos
relacionados con el gobierno y la gestión de las TI. [2]
Este organismo de control ayuda a los profesionales de las áreas de TI a

ubicarse en la vanguardia de los cambios tecnológicos en un mundo en
constante evolución, a través del desarrollo de conocimientos, estándares y
certificaciones; que contribuyen al despliegue de carreras profesionales
innovadoras y de calidad. [3]
Como se expone en el capítulo anterior, una de las herramientas

centrales que ha producido ISACA, es el marco denominado COBIT® 5, el cual
se centra en el gobierno y la gestión de las TI corporativas. Expuesto en un
lenguaje sencillo, este marco fue creado para ayudar a las organizaciones a
maximizar sus beneficios, tales como la creación de valor y la optimización de
los niveles de riesgos y del uso de los recursos. [4]
11
Sobre la base del marco COBIT® 5, ISACA ha desarrollado una familia
de productos o volúmenes para las distintas áreas en las que actúan los
profesionales de TI. Estos volúmenes se enfocan al riesgo, la seguridad y la
auditoría, entre otras áreas en las que además, se promueve la certificación de
habilidades y conocimientos críticos para el negocio. [5]
Tal es el caso de COBIT® 5 para la SI que abarca los principales

procesos y actividades de gobierno y de gestión asociados a la SI que se debe
implementar para proteger la información en todo el ciclo de vida; desde que se
genera hasta que se destruye, desde que se envía hasta que se recepta a
través de dispositivos físicos o electrónicos o cuando se almacena. [6]
En particular, ISACA sostiene que la aplicación de COBIT® 5 para la SI

ofrece numerosos beneficios para la organización, entre los cuales se
encuentran: [7]
 Aumenta la satisfacción de los usuarios finales con la instauración de

controles de seguridad y con los resultados obtenidos.
 Reduce los incidentes de SI.
 Orienta a los profesionales en la toma de decisiones respecto a los
riesgos.
 Fomenta la conciencia sobre los riesgos.
 Fortalece la integración de las tareas de TI y SI en la organización.
 Aumenta la rentabilidad y reduce la complejidad.
De manera general, COBIT® 5 para la SI es presentado a los

profesionales de TI y SI como un marco compatible para cualquier tipo de
organización; que ayuda a que los sistemas de información cumplan con los
controles de SI necesarios para afrontar los riesgos que podrían existir. [8]
En particular, para el marco COBIT® 5 la SI se define como:
“…aquello que asegura que dentro de la organización, la información se encuentra

protegida contra su divulgación a usuarios no autorizados (confidencialidad),
modificación inadecuada (integridad) y de la imposibilidad de su acceso cuando se la
necesite (disponibilidad).” [9]
12
Considerando la definición anterior y como aspecto importante para el
desarrollo de la SI en las organizaciones, el estándar incluye entre sus
contenidos las siguientes pautas: [10]
 Directrices sobre los principales ejes conductores y beneficios de la SI

para la organización.
 Implementación de los principios de COBIT® 5 en temas de SI.
 Mecanismos e instrumentos para garantizar el gobierno y la gestión de
SI en la organización.
 Alineamiento con otros estándares reconocidos relacionados con la SI.
El marco permite gestionar la SI de un modo holístico en toda la

organización, lo que fortalece la protección de la información a partir de las
siguientes capacidades, detalladas en su texto en forma conceptual y práctica:
 Visión actualizada de gobierno.

 Diferenciación entre gobierno y gestión.
 Análisis de extremo a extremo de los procesos de la organización.
 Enfoque holístico.
En consecuencia COBIT® 5 para la SI se proyecta como un modelo

específico para los profesionales de la SI y otros interesados, en el que propone
una visión del gobierno y la gestión de la SI a través de una estándar detallado
y fácil de entender, implementar y mantener, alineado a la estructura y
requerimientos de la organización. [11]
En su desarrollo, COBIT® 5 para la SI se basa en una serie de principios

que se describen a continuación, los cuales surgen del marco general de
COBIT® 5, y son adaptados para la SI.
2.1.1. PRINCIPIOS DE COBIT® 5 PARA LA SEGURIDAD DE LA

INFORMACION.
COBIT® 5 para la SI está basado en los mismos principios en los que se

fundamenta COBIT® 5, los cuales son:
13
1. Satisfacer las necesidades de las partes interesadas.
2. Cubrir la empresa de extremo a extremo.
3. Aplicar un marco de referencia único integrado.
4. Hacer un enfoque holístico.
5. Separar el gobierno de la gestión.
En el marco de COBIT® 5 para la SI también se utiliza el término

habilitador; definido como:
“…medio para poder hacer algo, lograrlo o servir para un fin.” [12]
La correcta y acertada implementación de estos habilitadores alineados a

tareas de SI, permite a la organización fortalecer la eficiencia y eficacia de las
actividades de control sobre la protección de la información. Lo que ayuda a
mantener una relación de trabajo íntegro entre el gobierno y la gestión de la SI,
con miras a dar cumplimiento con la estrategia de SI, TI y de negocio.
Es importante destacar que, de acuerdo con el marco, la interacción

individual y colectiva de los habilitadores permite obtener los mejores resultados
de las acciones implementadas para la dirección y gestión de TI y
particularmente, de la SI.
Los habilitadores en los que se fundamenta COBIT® 5 para la SI, son los
que describe la Figura 2.1. Sus principales características se presentan en el
próximo apartado.
14
Figura 2.1. Habilitadores Corporativos de COBIT® 5.2
2.1.1.1. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS.
El marco establece que todas las organizaciones deben mantener un

equilibrio entre los aspectos que interesan a la propia entidad y a los distintos
actores que la integran, cómo es el caso de los inversionistas, auditores
externos, proveedores y clientes, entre otros. Como se explicó anteriormente,
estos intereses pueden expresarse en términos de la obtención beneficios,
gestión de los riesgos y optimización de los recursos.
Por otra parte, el marco establece que el logro de los objetivos

organizacionales puede verse afectado si se excluyen las necesidades de una o
varias de las partes interesadas, y no se las visualiza como determinantes para
las metas de negocio a ser alcanzadas. COBIT® 5 para la SI considera una
serie de metas corporativas, las cuales devienen en metas de TI y finalmente,
en metas de SI.
De tal manera, COBIT® 5 para la SI genera el grupo de metas

específicas relacionadas con la protección de la información de cada uno de los
habilitadores de COBIT® 5, ya presentados en la sección anterior.
2
ISACA (2012). Un marco de negocio para el gobierno y la gestión de TI de la empresa. Catalizadores
Corporativos COBIT 5. [Figura]. Extraído de http://www.isaca.org/cobit/Pages/CobitFramework.aspx.
15
Sobre la base de las ideas, el marco para la SI considera que la gestión
de los riesgos de seguridad es la parte medular a la hora de proteger los
sistemas, los activos y la información del negocio.
2.1.1.2. CUBRIR LA EMPRESA DE EXTREMO A EXTREMO.
Este principio de COBIT® 5 para la SI define la integración del gobierno y

la gestión de SI como un todo dentro de los lineamientos del negocio. En este
sentido, los profesionales de SI deben involucrar a toda la organización, a las
partes interesadas (internas/externas) y a los aspectos de gobierno y de gestión
de SI, como esenciales para el cumplimiento satisfactorio de las actividades
relevantes a la protección de la información.
En otras palabras, COBIT® 5 para la SI busca fortalecer la integración de

todas las partes que conforman el negocio e involucrarlas en la implementación
de las buenas prácticas de SI, independientemente del nivel jerárquico o de
dependencia que éstas posean en el esquema organizacional.
2.1.1.3. APLICAR UN MARCO DE REFERENCIA ÚNICO E INTEGRADO.
El marco COBIT® 5 para la SI, fue desarrollado buscando su integración

con otros estándares, marcos y modelos, cómo es el caso de las ISO/IEC
27001, 27002, 20000-1 de la ISO/IEC; el estándar de buenas prácticas para SI
del ISF y la SP800-53A del NIST, entre otros.
2.1.1.4. HACER UN ENFOQUE HOLÍSTICO.
En el marco de COBIT® 5 para la SI se explica que la funcionalidad del

gobierno y la gestión de la corporación están dadas por la interacción individual
o colectiva del conjunto de metas corporativas que incluyen las
correspondientes a la de SI. Esto permite ofrecer un enfoque holístico que
integra todos los componentes que se relacionan con los habilitadores, para
alcanzar los objetivos de negocio.
2.1.1.5. SEPARAR EL GOBIERNO DE LA GESTIÓN.
16
De acuerdo con lo expuesto en COBIT® 5 para la SI, se interpreta que
las áreas de gobierno de la SI son las encargadas de la dirección y la toma de
decisiones sobre las actividades relacionadas a la SI dentro de la organización.
Aquellas dedicadas a la gestión de la SI por su parte, abarcan la planificación,
ejecución y control de las tareas vinculadas a esta área.
Esta comparación en cuanto a funciones, roles y responsabilidades; que

muchas veces eran difíciles distinguir en las organizaciones, se esclarecen en
el marco bajo análisis, según las actividades y propósitos individuales que
cumplen.
2.1.2. HABILITADORES DE COBIT® 5 PARA LA SI.
El marco COBIT® 5 ofrece a los profesionales de TI un grupo de siete

habilitadores que interactúan entre ellos, de manera que su trabajo ofrezca los
resultados esperados en la organización. Estos han sido considerados y
adaptados en COBIT® 5 para la SI para instaurar las tareas relacionadas a la
protección de la información organizacional. (Ver Figura 2.1).
Para un mejor entendimiento de la adaptación de los habilitadores en las

actividades de SI, a continuación se los expone desde ese enfoque.
2.1.2.1. POLÍTICAS, PRINCIPIOS Y MARCOS DE REFERENCIA.
Para el marco COBIT® 5 para la SI, el conjunto de políticas, principios y

marcos de referencias están diseñadas sobre la base de las directrices del
negocio. Se recomienda desarrollarlas a partir de estándares sobre SI, que
permitan a la organización alinearse con marcos regulatorios reconocidos
internacionalmente.
En este caso, es necesario que las entidades cumplan con los

requerimientos de SI, para robustecer y dar cumplimiento a las regulaciones de
control externas e internas a las que están sujetas. El marco COBIT® 5 para la
SI muestra un modelo de gobierno y gestión de SI completo, que sirve de
17
fundamento para la definición de políticas, principios y marcos de referencia en
la organización.
2.1.2.2. PROCESOS.
El marco COBIT® 5 para la SI define los procesos como conjuntos de

prácticas comunes; que se ejecutan a partir de una o varias entradas y
proporcionan una o varias salidas como resultado. Estos procesos se llevan a
cabo con el fin de satisfacer las necesidades de las partes interesadas internas
y externas.
COBIT® 5 para la SI brinda un conjunto de treinta y siete (37) procesos,

categorizados en:
 Cinco (5) procesos para el gobierno; y

 Treinta y dos (32) para la gestión.
Además, sostiene que la interconexión que existe entre procesos,

permite fortalecer la eficiencia y eficacia de los sistemas de seguridad
implementados en la organización.
2.1.2.3. ESTRUCTURAS ORGANIZATIVAS.
La estructura organizativa, según establece COBIT® 5, es la definición

de las instancias organizacionales dentro del negocio, destinadas a la toma de
decisiones y a la ejecución de las tareas. Los roles y estructuras de SI que se
pueden encontrar en una organización mediana o grande son los cargos de
Director de Seguridad, Gerente de Seguridad o los Comités de seguridad y de
riesgos, además del personal técnico que integran el área.
Sin embargo, el marco también aclara que en las entidades pequeñas en

ocasiones estos roles que deben ser de responsabilidad individual, no existen
por falta de recursos económicos y de personal. En consecuencia, la
responsabilidad puede recaer en una sola persona que por lo general, es quien
18
está a cargo de la función de preservar la confidencialidad de la información y
de los recursos utilizados para gestionarla.
A tal efecto, COBIT® 5 para la SI considera que la concentración de

responsabilidad es un factor que disminuye la capacidad de protección del
negocio. Además, es un elemento significativo cuando un riesgo se materializa
y se debe identificar y sancionar a los responsables de las fallas o los incidentes
ocurridos.
2.1.2.4. CULTURA, ÉTICA Y COMPORTAMIENTO.
El comportamiento de los individuos dentro de la organización, es otro de

los aspectos al que los directivos muchas veces no prestan mayor atención. Sin
embargo, COBIT® 5 para la SI los considera de importancia para el éxito del
gobierno y la gestión de la SI.
Las amenazas principales de SI para el negocio, suelen tener su origen

en las personas; que por error o malicia no usan de manera correcta las TI. Por
lo que, es fundamental que el talento humano que interactúa directa o
indirectamente con la información este comprometido con las tareas de SI que
se llevan adelante.
En esta línea, el marco basa el comportamiento organizacional deseable

en la ética individual y en el poder de liderazgo que se promueva en la
institución.
2.1.2.5. INFORMACIÓN.
La información como habilitador de COBIT® 5 para SI según se expone

en el marco, sirve como base en la toma de decisiones por parte de la dirección
y para la gestión de la SI. De este modo se logra desarrollar una estrategia de
seguridad alineada con la del negocio.
19
El marco señala que este habilitador incluye metas y buenas prácticas,
las que varían dependiendo del contexto de la organización y de la estrategia
del negocio que se desea alcanzar.
En este caso, es necesario que las tareas de SI que se implementen se

prioricen conforme al nivel de criticidad de los datos. Es importante, recalcar
que el bien más valioso de la organización es la información y por lo tanto, se
debe contar con un nivel de protección acorde a su valor, en cada etapa de su
ciclo de vida.
2.1.2.6. CAPACIDADES DE SERVICIOS, INFRAESTRUCTURAS Y

APLICACIONES.
El marco COBIT® 5 para la SI brinda a la organización y a los

profesionales de TI y SI un marco de buenas prácticas íntegro en el que se
relacionan grupos de habilitadores orientados a la gestión de la SI en los
servicios, infraestructuras y aplicaciones.
COBIT® 5 para la SI es claro en señalar que la toma de decisiones de

dirección y gestión de la SI en la prestación de servicios, están fundamentadas
en la aplicación de buenas prácticas. Cabe acotar que muchos de los servicios
y aplicaciones del negocio pueden estar tercerizados, y por lo tanto, deben ser
considerados y evaluados, conforme al compromiso estipulado en el contrato,
contemplando también las mencionadas buenas prácticas.
2.1.2.7. PERSONAS, HABILIDADES Y COMPETENCIAS.
El marco COBIT® 5 para la SI considera el grado de conocimiento y de

experiencia del personal y la cultura de SI instaurada en la organización, como
el principal fundamento para asegurar el cumplimiento responsable de las
actividades de control.
El marco bajo estudio considera a las personas como un factor central

para llevar adelante en forma satisfactoria los procesos vinculados a la SI, ya
que llevan adelante las tareas y toman las decisiones que les competen. Una
20
protección adecuada de la información es producto de las habilidades y
competencias del personal en el desempeño responsable de sus funciones, las
que deben ser perfeccionadas como parte del trabajo diario.
2.1.2.8. INTERACCIÓN ENTRE HABILITADORES.
Los habilitadores según COBIT® 5 para la SI, interactúan entre sí para

mantener el nivel de SI de la organización alineada a las metas estratégicas del
negocio. Con ello se logra preservar los datos en las actividades corporativas.
Con la aplicación del marco COBIT® 5 para la SI, la organización puede

robustecer los aspectos de SI, uno de los objetivos corporativos a lograr en
forma oportuna e irrenunciable. En este sentido, la institución puede y debe
visualizar a la SI como parte integral de las actividades del negocio; que
involucra el aumento de la confianza de las partes interesadas y de los
inversionistas.
Asimismo COBIT® 5 para la SI busca comprometer al directorio para que

forme parte activa en el proceso de toma de decisiones y favorezca la ejecución
de las buenas prácticas de protección de los activos de información del negocio.
21
2.2. ISO/IEC 20000:2011 – TECNOLOGIA DE LA INFORMACIÓN. GESTIÓN
DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL
SERVICIO. [13]
Nombre ISO/IEC 20000-1
Titulo Tecnología de la Información
Gestión de Servicio
Parte 1: Requisitos del Sistema de Gestión de

Servicio
Emitido por ISO/IEC: Adoptada por: IRAM (Instituto

Argentino de Normalización y Certificación), por
ser el representante argentino en el campo de la
normalización ante organismos regionales e
internacionales como ISO.
Año de publicación Diciembre 2011
La normativa ISO/IEC 20000 acerca de Sistemas de Gestión de

Servicios, desarrollada por ISO en conjunto con IEC, es un estándar certificable
y compatible con la Biblioteca de Infraestructura de TI (ITIL). Es aplicable a
cualquier organización, pero de manera particular a proveedores de servicios de
TI.
La normativa también abarca aspectos relacionados con la gestión de

sistemas de servicios de TI. El estándar puede ser adoptado por organizaciones
que poseen otros sistemas de gestión implementados, como por ejemplo, un
SGSI establecido de acuerdo a la ISO/IEC 27001 o un sistema de gestión de
calidad 9001. Su adopción favorece a la organización dentro del contexto
económico que se desarrolla.
22
La normativa ISO/IEC 20000 está constituida por dos partes:
 Parte 1:2011: Requisitos de los sistemas de gestión de servicios.- Ofrece

un conjunto controles de cumplimiento obligatorio para las
organizaciones proveedoras de servicios de TI.
 Parte 2:2012: Código de buenas prácticas de la gestión de servicios de
TI - Contiene un conjunto de directrices y sugerencias a ser consideradas
por las organizaciones que deseen certificar.
Para entender el alcance de la normativa ISO/IEC 20000 se debe

considerar una serie de términos, entre los que se encuentran: servicio, gestión
del servicio y sistema de gestión de servicio. En el literal 3.26, el estándar
expone la definición de servicio, según sigue:
“3.26. Servicio: Medio de entrega de valor al cliente facilitando que alcance los
resultados que quiere lograr.
Nota 1: El servicio es generalmente intangible.
Nota 2: Un servicio puede también ser provisto al proveedor del servicio por un
suministrador, un grupo interno o un cliente actuando como suministrador.” [14]
El estándar define entones el término servicio como cualquier medio,

considerando que no es un bien tangible, sino, un valor que la organización
presta al cliente, con la finalidad de que con su uso se pueda alcanzar los
objetivos que se hayan fijado. Además, quien lo provee puede ser cualquier
persona natural o jurídica, interna o externa respecto al proveedor del servicio.
También es conveniente considerar la manera en que el estándar define

a la “Gestión del Servicio”, para su correcta aplicación.
“3.30. Gestión del Servicio: Conjunto de capacidades y procesos para dirigir y

controlar las actividades del proveedor del servicio y los recursos para el diseño,
transición, provisión y mejora de los servicios para cumplir los requisitos del servicio:”
[15]
En la gestión del servicio, según se explica en el estándar ISO/IEC

20000, ya empiezan a involucrarse dos términos importantes que son: guiar y
controlar. En este aspecto, se involucra a la dirección y a la gerencia de la
23
organización como entes en la toma de decisiones y para la identificación,
evaluación y aplicación de los procesos que deberán implementarse.
Finalmente, la normativa en análisis, describe al Sistema de Gestión del
Servicio (SGS) como:
“3.31. Sistema de Gestión del Servicio: Sistema de gestión para dirigir y controlar las
actividades de gestión de los servicios del proveedor del servicio.
Nota 1: Un sistema de gestión es un conjunto de elementos interrelacionados o que
interactúan para establecer la política y objetivos y lograr dichos objetivos.
Nota 2: El SGS incluye todas las políticas de gestión del servicio, objetivos, planes,
procesos, documentación y recursos requeridos para el diseño, transición, provisión y
mejora de los servicios para el cumplimiento de los requisitos en esta parte de la Norma
ISO/IEC 20000.
Nota 3: Adaptado de la definición de “sistema de gestión de calidad” de la Norma la ISO
9000:2005” [16]
La relación o interacción de varios elementos que permitan guiar y

controlar los procesos que mantienen las actividades de los proveedores de
servicios, se enmarca en el SGS, que supervisa de manera directa todo lo que
puede acontecer en su ciclo de vida. Estas acciones conforman la base
metodológica de la normativa bajo análisis.
2.2.1. ESTRUCTURA DE LA NORMATIVA ISO/IEC 20000:2011 PARTE 1.
Esta sección de la normativa ISO/IEC 20000 contiene los 178

requerimientos necesarios para realizar una entrega de servicios de TI, alineada
a las necesidades del negocio, beneficiando a la organización en la
optimización de costos y garantizando la SI en la entrega. [17]
La estructura general de esta parte de la normativa está definida como se

muestra a continuación:
 Requisitos generales del SGS.- En este capítulo del estándar, se

involucra:
o La toma de decisiones del gobierno corporativo y el control de las
actividades que se relacionan con los servicios prestados por
terceros.
24
o La gestión de la documentación que se genera en todo el proceso
de análisis, selección, implementación, control y evaluación de los
servicios.
 Diseño y transición de servicios nuevos o modificados.- Un nuevo
servicio o la actualización de uno ya existente, debe ser controlado de tal
manera que se conozca el impacto real que tendrá en la organización.
En consecuencia, la planificación y diseño de las actividades de los

servicios deben estar acorde a los requisitos y necesidades del negocio.
 Procesos de provisión del servicio.- Existen organizaciones que prestan

servicios a terceros, lo cual se gestiona en mutuo acuerdo con los
proveedores de manera que exista una conformidad en ambas partes.
Todos los servicios provistos por terceros deben ser debidamente

documentados, con información tal como: aspectos de continuidad de los
servicios, presupuestos, gestión de capacidad y gestión de seguridad de
los servicios que prestan terceros.
Es importante mencionar, como organización, se puede contratar

servicios de terceros y eso no la excluye de prestar servicios a otras.
 Procesos de relación.- Los procesos de relación o interconexión de los

servicios frente al negocio y la documentación deben ser controlados y
gestionados por un responsable asignado por la organización.
Las relaciones están definidas en una cadena jerárquica de suministros

que se acuerda en el contrato documentado aprobado por la
organización.
 Procesos de resolución.- La existencia de incidencias y problemas en el

funcionamiento de los servicios genera situaciones que podrían escapar
de la atención de los profesionales encargados.
25
Para ello, se debe mantener un procedimiento documentado que registre
las incidencias y problemas que afectan al sistema de información de la
organización. Además, debe permitir la identificación de las medidas de
control que minimicen o eviten el impacto sobre los servicios de TI.
 Procesos de control.- Se define al conjunto de medidas de control que se

consideran en todo lo que afecte al servicio.
En este aspecto, se incluye incidencias que van desde la configuración

hasta que se realice la entrega de resultados o despliegue de
información dentro y fuera del negocio.
Los controles son las actividades que se ejecutan para lograr el objetivo
del negocio, del proveedor o del cliente y deben determinarse en función
del nivel deseado de la protección de la información, de la gestión de los
riesgos de SI y de la continuidad del negocio.
Esta estructura es similar para la normativa ISO/IEC 20000-2:2012.
En conclusión, la normativa ISO/IEC 20000 permite a la organización

mostrarse a través de una imagen fiable y responsable en la prestación de
servicios de TI de calidad y seguros. Además, contribuye a que pueda ofrecer
un servicio de TI más eficiente y efectivo a los clientes.
26
2.3. ISO/IEC 27001: TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE
SEGURIDAD - SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN – REQUISITOS. [18]
Nombre ISO/IEC 27001:2013
Técnicas de seguridad - Sistemas de gestión de

seguridad de la información – Requisitos
Emitido por ISO/IEC.
Se trata de un estándar que aborda la necesidad de implementar un

SGSI en las organizaciones, para la preservación de la confidencialidad,
integridad y disponibilidad de la información, estableciendo que se trata de una
decisión estratégica que ayuda a mantener firme la confianza de las partes
interesadas externas e internas sobre su inversión y compromiso.
Uno de los aspectos notablemente tratados en este estándar es la

gestión de los riesgos de SI. Se la considera de vital importancia y se incluyen
contenidos de la gestión de riesgos de la ISO/IEC 31000 en su desarrollo.
Este estándar ofrece un grupo de principios y lineamientos genéricos

para su implementación en cualquier organización, independientemente de su
contexto. [19]
Los contenidos del estándar ISO/IEC 27001:2013 están distribuidos en

las siguientes secciones:
1. Contexto de la organización.- Esta sección establece que se debe

comprender la organización, su contexto y las necesidades de las
27
partes interesadas, lo que permite conocer la base sobre la cual se
implementará el SGSI.
2. Liderazgo.- Este apartado se enfoca de manera directa a la alta
dirección, con el objetivo de que se sienta comprometida y a su vez
parte importante del SGSI en la toma de decisiones y en la gestión
del sistema de SI.
3. Planificación.- Este punto contiene la descripción de documentación
relacionada a los planes que se considerarán en el tratamiento de los
riesgos, los objetivos planteados y los mecanismos para lograrlos.
4. Acciones de soporte.- Establece que la organización debe determinar
y proporcionar los recursos necesarios para la implementación,
establecimiento, mantenimiento y mejora continua del SGSI.
5. Operación.- En esta sección del estándar se exponen los requisitos
necesarios para la planificación y control operativo, además de la
evaluación y tratamiento de los riesgos en la implementación del
SGSI.
6. Evaluación de desempeño.- Se indica que después de la
implementación, se debe realizar el seguimiento, medición, análisis y
evaluación del funcionamiento del SGSI. Además, se incluyen las
auditorías internas y la revisión por parte de la dirección, aspectos
que en la versión 2005 anterior a la actual, eran consideradas de
manera separadas.
7. Mejora.- Finalmente, en este punto, se describen las tareas para
fortalecer la mejora continua de la pertinencia, la adecuación y la
eficacia del SGSI.
La normativa es Certificable y para lo cual la organización debe cumplir

con el marco de requisitos y controles indicados en los anexos, con el fin de
poder obtener la certificación de ISO sobre su SGSI.
28
2.4. ISO/IEC 27002 - TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE
SEGURIDAD - CÓDIGO DE PRÁCTICAS PARA LA SEGURIDAD DE
INFORMACIÓN – CONTROLES. [20]
Nombre ISO/IEC 27002:2013
Técnicas de seguridad - Código de Prácticas para la

Seguridad de la Información – Controles
Emitido por ISO/IEC.
El estándar ISO/IEC 27002:2013 ofrece una visión ampliada de cómo

implementar controles que salvaguarden la información de las entidades. El
estándar no es certificable pero sirve de base para las organizaciones que
desean implementar un nivel adecuado de protección de sus datos. Se
encuentra fuertemente relacionado con el estándar ISO/IEC 27001:2013, ya
que la implementación de los objetivos de control presentados son necesarios
para un adecuado SGSI.
El estándar bajo análisis establece que la SI tiene como objeto:
“…asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de

la inversión y las oportunidades de negocio”. [21]
Lo dicho se logra con la implementación de controles que incluyan una

serie de políticas, procesos y procedimientos que cubran la totalidad de la
estructura organizacional, a la información y a los recursos utilizados por la
organización para gestionarlos.
Como se dijo, el estándar ISO/IEC 27002:2013 ofrece una serie de

objetivos de control y controles; que pueden ser implementados por los
profesionales en SI para la instauración de un SGSI o para el fortalecimiento de
29
uno ya existente. A pesar de no ser obligatoria la implementación de la totalidad
de los controles, es recomendable que la organización seleccione todos
aquellos que satisfagan las necesidades del negocio y justifiquen de manera
sólida la no aplicabilidad de los controles no implementados. [22]
Con la aplicación de los controles enumerados en el estándar, se

garantiza que la organización alcance los objetivos de negocio que se han
planteado, como también los objetivos de TI y SI. Además, se consigue
mantener los aspectos de seguridad en el ciclo de mejora continua de los
sistemas de información, integrándolos a procesos estrictamente gestionados.
Los objetivos de control definidos en la normativa ISO/IEC 27002:2013

se concentran en los siguientes aspectos:
1. Políticas de seguridad.
2. Aspectos organizativos de la SI.
3. Seguridad ligada a los recursos humanos.
4. Gestión de activos.
5. Control de accesos.
6. Cifrado.
7. Seguridad física y ambiental.
8. Seguridad en la operativa.
9. Seguridad en las telecomunicaciones.
10. Adquisición, desarrollo y mantenimiento de los sistemas de información.
11. Relaciones con proveedores.
12. Gestión de incidentes en la SI.
13. Aspectos de SI en la gestión de la continuidad del negocio.
14. Cumplimiento.
El estándar ISO/IEC 27002:2013 es el inicio para la elaboración de

directrices específicas que aplican al sistema de información de la organización,
indistintamente de la naturaleza, situación económica y tamaño del negocio.
30
Los objetivos de control y controles que se apliquen deberán mitigar o
reducir de manera directa los riesgos de SI encontrados en la evaluación de
riesgos y documentados en la matriz correspondiente. El diseño correcto de la
matriz y la priorización de los riesgos por su nivel de criticidad, permiten a los
profesionales de seguridad implementar salvaguardas que eviten que estos se
materialicen e impacten sobre el negocio.
El estándar ISO/IEC 27002:2013 sirve también de guía para conocer el

grado de cumplimiento de las obligaciones externas e internas que tiene la
organización frente a los organismos de control. Además, es una herramienta
usada por auditores informáticos para revisar y evaluar el ambiente de controles
de los activos de información del negocio.
31
2.5. ESTÁNDAR DE BUENAS PRÁCTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN - FORO DE SEGURIDAD DE LA INFORMACIÓN (ISF /
INFORMATION SECURITY FORUM). [23]
Nombre Information Security Forum
Titulo Estándar de Buenas Prácticas para la seguridad de

la información.
Emitido por ISF.
Año de publicación Junio 2014
El punto de partida para lograr el objetivo de la SI es la gestión de los

riesgos de seguridad. Este concepto es considerado como uno de los aspectos
centrales del desarrollo del estándar de buenas prácticas del ISF, para
seleccionar e implementar los controles correctos y necesarios para gestionar
los riesgos y mantenerlos por debajo del apetito de riesgo del negocio.
El estándar del ISF integra herramientas para la gestión de riesgos

basadas en la Metodología de Análisis de Riesgos de Información (IRAM -
Information Risk Analysis Methodology) y BENCHMARK, que destacan la
importancia de la gestión de los riesgos como base para la implementación de
los controles en los sistemas de información del negocio.
IRAM es una herramienta diseñada para la identificación, análisis y

gestión de los riesgos de seguridad existentes en toda la organización. Esta
técnica para la gestión de riesgos presenta muchos beneficios al negocio, al
permitir por ejemplo:
 Monitorear el cumplimiento de los requisitos internos y externos de
regulación y de orden legal.
 Definir y evaluar el impacto y la probabilidad de una amenaza individual,
para luego obtener un valor global.
32
 Priorizar los controles que serán aplicados a los riesgos para mitigarlos y
reducir el apetito de riesgos del negocio.
BENCHMARK por su parte, es una herramienta que permite a la

organización comparar el desempeño de sus actividades de protección de
información frente a otras organizaciones. Además, facilita la evaluación
profunda de los controles de SI que la institución tiene implementados,
analizándolos en diferentes ambientes y actividades, para luego compararlos
frente a estándares como ISO/IEC 27002 e inclusive con COBIT® 5 para la SI.
ISF mantiene una integración con otros estándares de interés en el

campo de la SI publicados por organismos internacionales de normalización,
según se desprende del siguiente párrafo:
“El estándar permite a los miembros construir un Sistema de Gestión de Seguridad de

la Información (SGSI) según se describe en la norma ISO/IEC 27001, realizar
evaluaciones de riesgos de información disponibles con ISO/IEC 27005 e implementar
controles de seguridad pertinentes. Es importante destacar que, mientras que otras
normas como la ISO/IEC 27002 no abordan temas recientes como: cloud computing, los
ataques de ciber-crimen y los dispositivos de consumo... Por ello, la norma es un
recurso más amplio que otras que permite la certificación ISO/IEC 27001 y la gestión
del riesgo.” [24]
Por tanto, puede ser aplicable a cualquier tipo de organización externa o

interna que mantenga como habilitador importante para el desarrollo de sus
actividades a la información, incorporando las buenas prácticas en sus políticas
de seguridad, procesos, entorno y aplicaciones. Además, eleva el interés a las
áreas de TI y SI con relación a la importancia de sus funciones para mantener
la competitividad del negocio.
2.5.1. ESTRUCTURA DEL ISF 2014.
La estructura del estándar de buenas prácticas del ISF es la siguiente:
 Gobierno de la seguridad.- Presenta el enfoque del área y los

componentes que deben mantenerse para lograr los objetivos
estratégicos de la organización. Con lo que se busca asegurar de que la
33
visión general del área de SI, sea compatible con los lineamientos
empresariales.
Las áreas que abarca son: Enfoque del gobierno de seguridad y

componentes del gobierno de seguridad.
 Requisitos de seguridad.- Las organizaciones y sus profesionales en el

área de SI deben entender que sus funciones tienden a reducir los
riesgos y minimizar el impacto que se pueda tener en caso de que estos
se materialicen.
Los riesgos deben ser evaluados y analizados, conforme a los requisitos

de integridad, disponibilidad y confidencialidad de la información a partir
de allí, ejecutar el tratamiento de la información respecto a dichos
riesgos.
El cumplimiento de regulaciones nacionales e internacionales debe ser

estudiado conforme al contexto en que se desarrolla la organización,
para evitar sanciones legales, económicas o en su caso, cualquier daño
a la imagen del negocio.
Las áreas que se estudian en este capítulo son: Información de la

evaluación de riesgos y cumplimiento.
 Marco de control.- Incluye los controles o medidas que se aplican para

reducir el nivel de los riesgos de SI en los sistemas de información de la
organización y lograr los objetivos del negocio.
El marco de control está estructurado en los siguientes aspectos:
1. Política de seguridad y la organización.

2. Seguridad de los recursos humanos.
3. Gestión de activos.
4. Aplicaciones de negocio.
5. Acceso de clientes.
34
6. Acceso administrativo.
7. Administración del sistema.
8. Infraestructura de seguridad técnica.
9. Gestión de redes.
10. Gestión de amenazas y vulnerabilidades.
11. Gestión de incidentes.
12. Entornos locales.
13. Aplicaciones de escritorio.
14. Informática móvil.
15. Comunicaciones electrónicas.
16. Gestión de proveedores externos.
17. Gestión del desarrollo del sistema.
18. Ciclo de vida del desarrollo de sistemas.
19. Seguridad física y ambiental.
20. Continuidad del negocio.
 Monitoreo y mejora de la SI.- Todo proceso debe ser monitoreado y
mejorado a lo largo de su ciclo de vida, para poder satisfacer las
necesidades de los sistemas de información. El control de los procesos
desde la planificación hasta su puesta en marcha, es deber de los
profesionales de SI, mantener la efectividad de las medidas correctivas y
evitar la materialización de vulnerabilidades.
Como parte principal de la evaluación del monitoreo y mejora de la

seguridad, el estándar de buenas prácticas del ISF centra sus
actividades en la aplicación de medidas correctivas en las áreas de
Auditoría de seguridad y Garantía de cumplimiento.
ISF en su guía de buenas prácticas, ofrece un marco integrado con

normas, tales como, COBIT® 5 para la SI, la familia ISO/IEC 27000 y buenas
prácticas para la gestión de riesgo, como IRAM y Benchmark. Sobre esta base
el conjunto de controles permite cubrir y tratar con mayor alcance, los riesgos
de SI que atentan contra el logro de los objetivos del negocio.
35
2.6. ESTÁNDAR SP 800-53A REVISIÓN 4 DEL INSTITUTO NACIONAL DE
ESTÁNDAR Y TECNOLOGÍA (NIST / NATIONAL INSTITUTE OF STANDARDS
AND TECHNOLOGY). [25] [26]
Nombre SP 800-53A Revisión 4
Titulo Evaluación de los controles de seguridad y

privacidad en los sistemas de información federales
y organizaciones.
Planes de evaluación eficaz de construcción.
Emitido por División de Seguridad Informática: Laboratorio de

Tecnologías de la Información - Instituto Nacional
de Estándares y Tecnología (NIST) de los Estados
Unidos de América
Año de publicación Diciembre/2014
El NIST es una agencia federal que forma parte del Departamento de

Comercio de los Estados Unidos de América. Su función es promover el
desarrollo de normas, estándares y nuevas tecnologías para mejorar la
economía y calidad de vida de los estadounidenses.
Dentro del grupo de normativas y estándares, el NIST presenta la SP

(Special Publication / Publicación Especial) 800-53, como un marco regulatorio
para gestionar la SI de las organizaciones y los sistemas de información del
gobierno federal de los Estados Unidos.
Es por ello que en la familia SP 800-53, se incluye la SP 800-53A -

revisión 4; que ofrece una Guía para la evaluación de los controles de
seguridad en los sistemas de información de las organizaciones antes
mencionadas, y la SP 800-53 revisión 4, titulada Seguridad y privacidad –
Controles para los sistemas de información y organizaciones federales; que
36
presenta el conjunto de controles a implementar para mantener la integridad,
confidencialidad y disponibilidad de la información.
Este estándar del NIST también integra la gestión de los riesgos de

seguridad, ofreciendo metodologías para su análisis, evaluación y tratamiento,
con el objetivo de mitigarlos en su totalidad, o bien mantenerlos en un nivel
aceptable en relación con la estrategia del negocio
La fundamentación del estándar SP 800-53A está dada en dos aspectos

que han sido considerados de importancia para preservar la SI en los sistemas
de información. Los mismos que son: integrar la seguridad como prioridad en el
ciclo de vida del desarrollo de sistemas de información y evaluar los controles a
implementar. Con estas perspectivas se permite a las oficinas federales abarcar
todo el contexto de la organización en la implantación de los controles de SI.
El estándar SP 800-53A revisión 4 en la versión del año 2014, está

alineado a controles que se establecen en normativas de nivel internacional
vinculadas a la SI, desarrollados por las organizaciones ISO/IEC e ISACA.
Entre ellas se encuentran los estándares ISO/IEC 27001, ISO/IEC 27002 y
COBIT® 5 para SI. Esto ofrece una herramienta útil para la preparación y
desarrollo de planes de seguridad que integren el análisis de vulnerabilidades y
amenazas a ser evaluadas y a partir de allí, se decida dónde fortalecer la
seguridad de los sistemas de información.
El estándar SP mantiene una relación consistente con las actualizaciones

de la versión del marco SP 800-53 revisión 4, en el cual, se detallan los
controles de seguridad. En particular, la revisión 4 del SP 800-53A muestra la
construcción y desarrollo de los planes de evaluación, como punto de partida
para la implementación de los controles, dependiendo de las necesidades de la
organización.
La implementación, el monitoreo y mejora del SGSI, dependen mucho

del punto de partida en la elaboración de los planes de seguridad. Por ello, todo
37
error que pueda originarse después del diseño de los planes puede ser factor
de pérdidas económicas para la oficina federal involucrada.
En conclusión, el estándar NIST SP 800-53A - revisión 4 es una

herramienta de trabajo que ofrece las pautas para evaluar todo el contexto
inicial en relación con la SI de la organización. Además, permite a los
profesionales de TI y SI determinar las vulnerabilidades y definir las soluciones
que deben ser implementadas en los sistemas de información.
2.6.1. ESTRUCTURA DEL ESTANDAR SP 800-53A.
El estándar SP 800-53A revisión 4 está estructurado de tres capítulos y

diez apéndices, que se detallan a continuación:
 Capítulo 1: Introducción
 Capítulo 2: Fundamentos.- en esta sección se describe de manera
conceptual los fundamentos relacionados con la seguridad, la privacidad
y las evaluaciones de control. Se subdivide en:
o Evaluaciones en el ciclo de vida del desarrollo de sistemas.
o Estrategia para la realización del control de las evaluaciones.
o Construcción de un caso efectivo de control.
o Procedimientos de evaluación.
 Capítulo 3: Procesos.- describe el proceso de evaluación de los controles
de seguridad y privacidad en los sistemas de información de la
organización y de los entornos de operación. Incluye:
o Preparación para la evaluación de los controles de seguridad y
privacidad.
o Desarrollo de planes de evaluación de seguridad y privacidad.
o Ejecución de las evaluaciones de los controles de seguridad y
privacidad.
o Análisis de resultados de los informes de evaluación.
o Evaluación de las funcionalidades o capacidad de seguridad y
privacidad.
38
 Apéndices
o Apéndice A.- Referencias
o Apéndice B.- Glosario
o Apéndice C.- Acrónimos
o Apéndice D.- Descripción de métodos de evaluación.
o Apéndice E.- Pruebas de penetración.
o Apéndice F.- Procedimientos de evaluación de la seguridad.
o Apéndice G.- Informes de evaluación.
o Apéndice H.- Casos de evaluación.
o Apéndice I.- Evaluación continua y automatización.
o Apéndice J.- Procedimientos de evaluación de la privacidad.
El estándar SP 800-53A revisión 1 se ha archivado y es utilizado

únicamente con fines históricos y de estudios. De hecho la revisión 4 del
estándar SP 800-53A incluye todas las actualizaciones hasta diciembre de 2014
y es la que se encuentra vigente.
39
CAPITULO III
3. COMPARATIVA DE LAS NORMATIVAS.
Como fuera mencionado en el capítulo 1, el presente trabajo final de

maestría ha tomado como base el cuadro comparativo que se anexa en la
edición 2012 de COBIT® 5 para la SI, que muestra un mapeo general entre
esta normativa y los estándares ISO/IEC 27001:2005 y 27002:2005, el Manual
de buenas prácticas del ISF: 2011 y la SP800-53A - revisión 1, publicado por el
NIST en el 2011.
Actualmente, ya se han producido actualizaciones de las 4 normativas

mencionadas, siendo las versiones publicadas para las ISO/IEC del año 2013,
el manual ISF, del 2014 y para la publicación del NIST, también 2014. Con el fin
de actualizar el alcance del cuadro antes citado; que se presenta en el capítulo
5, a continuación se realiza un estudio comparativo entre las actuales versiones
en relación con las anteriores utilizadas en COBIT® 5 para SI, para reflejar las
modificaciones que se han generado y como paso previo a la actualización del
mapeo general, contenido en dicho marco.
3.1. ISO/IEC 27001:2005 FRENTE A ISO/IEC 27001:2013.
La versión reciente (2013) del estándar ISO/IEC 27001 focaliza su

actualización en el estudio vasto del análisis de riesgos de SI, como parte
medular de la protección de los SGSI. En ella se considera la implementación
de aspectos referenciados en la normativa ISO 31000:2009, y se resalta que
para definir y ejecutar una metodología para el análisis de riesgos de SI en el
negocio, se debe abarcar a la organización en su totalidad.
Lo dicho anteriormente, parte de la base de que implementar la ISO/IEC

27001 no garantiza que la organización esté libre de riesgos de SI. Por ello, la
nueva versión resalta que la entidad deberá llevar adelante una metodología
explícita para la gestión de los riesgos de SI que podrían afectar a sus activos
de información.
40
En el anexo A.3.1.1 se muestra la comparativa de las modificaciones
generales realizadas en la versión del estándar ISO/IEC 27001:2013 respecto a
la anterior.
Conocer la relación entre las directrices descritas en la versión 2005 del

estándar ISO/IEC 27001 y las contenidas en la publicación del 2013, es
importante para brindar confianza a los directores; que en su momento
aprobaron la implementación y eventual certificación del SGSI con la versión
anterior de la norma, de manera que puedan autorizar su actualización y la
integración de sus mejoras.
La tabla en el anexo A.3.1.2 muestra una comparativa específica de los

objetivos de control en relación con las cláusulas vigentes de la versión 2013.
Con esto se facilita el entendimiento para profesionales en SI sobre la transición
entre la versión anterior del estándar ISO/IEC y la que está vigente en la
actualidad, en aspectos concretos vinculados a los controles propuestos.
Una primera conclusión, a partir de la comparación de las dos

publicaciones, permite afirmar que la nueva versión del estándar ISO/IEC
27001:2013 considera de manera más exhaustiva todos los aspectos de
importancia para mantener la efectividad en la implementación, control y
evaluación del SGSI. Asimismo, garantiza la integración de la dirección como
parte activa en las actividades para fortalecer los criterios de SI (integridad,
confidencialidad y disponibilidad).
Por tanto, implementar la ISO/IEC 27001:2013 permite a la organización

establecer un estudio global del contexto en que se desarrolla; así como las
tareas correspondientes a la gestión de riesgos de SI. Todo ello facilita la
identificación, análisis, evaluación y tratamiento de las amenazas que pueden
vulnerar la SI y de la organización en su conjunto.
Para muchas organizaciones, contar con el compromiso de la dirección

en el establecimiento e implementación del SGSI, se había convertido en una
dificultad. Muchos directivos delegaban toda responsabilidad a los Gerentes de
41
TI y/o Gerentes de SI y evadían cualquier vinculación frente a los incidentes de
seguridad encontrados.
La nueva versión del estándar ISO/IEC 27001:2013, en cambio, fortalece

e involucra en mayor medida a la Dirección como parte importante para la
operación, seguimiento y mejora continua del SGSI, lo que permita alcanzar los
objetivos estratégicos de la organización y fortalecer el negocio.
Por tanto, la revisión 2013 se adentra en profundidad en la integración de

toda la estructura organizacional, cuyos integrantes son responsables de la
mitigación de los riesgos de SI generados en el negocio, denominados
“propietarios del riesgo”. Este término se enuncia en la actual versión en la
cláusula 6.1.2 literal c ítem 2 de la cláusula Planificación. [27]
Este cambio en la denominación recalca que la responsabilidad de

robustecer los criterios de SI y protección de los activos de información recae
en directivos, gerentes, personal de la organización y partes interesadas.
Otro de los aspectos que se consideran como mejora en la nueva

revisión del estándar es la ampliación del alcance de la evaluación de riesgos
de los activos de información. Esta postura conlleva un beneficio para el
proceso de integración de los SGSI con otros sistemas de gestión relacionados
al negocio, como la gestión de la calidad, de los servicios TI y de la continuidad
del negocio, entre otros, permitiendo lograr una visión holística del negocio.
3.2. ISO/IEC 27002:2005 FRENTE A ISO/IEC 27002:2013.
El estándar ISO/IEC 27002 ofrece una guía de prácticas para la gestión

de la SI, como base para la definición e implementación de directrices muy
específicas a aplicar en la organización, independientemente de su naturaleza,
situación económica y tamaño. Debe considerarse, sin embargo, que en
ocasiones, no todos los controles son aplicables e inclusive puede ser
necesario implementar otros que estén fuera del estándar.
42
En otras palabras, el estándar ISO/IEC 27002 puede no ser de
cumplimiento total, pero en ese caso, es recomendable que la organización
tenga una justificación sustentable sobre, por qué no implementa varios de los
controles, como se mencionó anteriormente.
Los objetivos de control y los controles que se apliquen deberán mitigar

de manera directa a los riesgos de SI encontrados en la evaluación
correspondiente. La guía práctica del estándar ISO/IEC 27002 aporta una base
para poder cumplir con las regulaciones y obligaciones a las que están sujetas
las organizaciones frente a los organismos de control externos e internos.
La tabla del anexo A.3.2.1 muestra las modificaciones generales

efectuadas en la versión 2013 respecto a la del año 2005.
En base al análisis comparativo realizado en el anexo A.3.2.1, puede

afirmarse, que si bien, se han modificado los lineamientos de implementación
en la nueva versión, muchos controles no han cambiado realmente. De todos
modos, la versión 2013 es mejorada, ya que se han incluido nuevos controles
que abarcan aspectos tendientes a robustecer la seguridad.
La ISO/IEC 27002:2013 abre el abanico a las organizaciones para

considerar aspectos que en la versión anterior se mantenían inmersos dentro
de otros controles. La continuidad de la SI y los controles criptográficos entre
otros aspectos, destacando su importancia y su nivel de prioridad en la
implementación de tareas para el fortalecimiento de la SI.
Además, de los cambios formales que se ven reflejados en la estructura

y numeración de los capítulos en la revisión 2013, la nueva versión del estándar
ha integrado lineamientos aplicables a la implementación de controles que
permitan gestionar los riesgos de SI.
En líneas generales, se mencionan a continuación las mejoras de mayor

impacto implementadas en la versión 2013 del estándar:
43
 La integración de Criptografía como una nueva cláusula y el
correspondiente objetivo de control para gestionar el cifrado de la
información dentro de la organización.
 La división de la cláusula “Gestión de Operaciones y Comunicaciones”
en dos cláusulas individuales, atendiendo con ello de manera separada a
cada una de las actividades y facilitando la implementación de controles
y la gestión de los riesgos relacionados en cada caso específico.
 Un enfoque más específico para la gestión de la continuidad del negocio;
que en la nueva versión se enfoca a cuestiones de seguridad. Este
aspecto está inmerso en la ISO/IEC 22301:2012 “Sistema de Gestión de
la Continuidad de Negocio”, en el que se define un número razonable de
controles para la planificación, implementación, revisión y evaluación de
la continuidad de la SI en el negocio.
En conclusión, los cambios aplicados a la versión 2013 de la normativa

resaltan que el SGSI debe iniciar de la integración de un proceso de gestión de
riesgos de SI. Como lógica consecuencia, busca generar confianza entre las
partes interesadas externas e internas de la organización y basar los controles y
la seguridad en una evaluación de riesgos.
3.3. ISF VERSIÓN 2011 FRENTE A ISF VERSIÓN 2014.
El Estándar de Buenas Prácticas, elaborado por el ISF presenta la

actualización de la versión que le antecede, integrando mejoras y puntos de
vista actualizados para satisfacer las necesidades que surgen en el ámbito de la
SI y prevenir o en su caso, mitigar, los efectos de los incidentes que se pueden
generar, como producto del avance tecnológico en las organizaciones u otras
causas.
Desde la edición 2011 a la 2014 se han realizado dos publicaciones

(2012 y 2013) donde se ha mantenido la estructura del marco, como se indica
en la sección 2.5.1 del presente trabajo. De la misma manera, las ediciones del
estándar desde el año 2011 hasta la actual versión 2014, mantienen relación
44
con el IRAM - ISF (Análisis de Información de Riesgos Metodología de la ISF) y
con la herramienta BENCHMARK, como ayuda para el análisis y evaluación de
los riesgos de SI.
El estándar de Buenas Prácticas del ISF está integrado con otros

estándares, como ISO/IEC 27001, ISO/IEC 27002, COBIT® 5 para SI y SP 800-
53 de NIST. En este aspecto, se puede considerar que uno de los cambios
significativos que aparecen en la versión 2014 es la incorporación de la ISO/IEC
27014:2012 “Tecnología de la información – Técnicas de seguridad - Gobierno
de la SI” y de la 27036:2012 “Tecnología de la información – Técnicas de
seguridad - Seguridad en relaciones con proveedores”; que para la publicación
ISF 2011 estaban en etapa de borrador y que desde la versión 2013 y 2014 del
ISF fueron incluidas.
Dada esta integración de estándares internacionales dentro del ISF, las

modificaciones generales del estándar ISF 2011 presentadas como mejoras en
la versión 2014, se describen en la tabla del anexo A.3.3.1.
En líneas generales, puede afirmarse que el estándar ISF, en su versión

del 2014, es más robusto y completo ya que refleja modificaciones acordes al
crecimiento funcional de la SI en las organizaciones en la actualidad. Además,
como ya se mencionó, uno de los principales beneficios, que conlleva, su
implementación es que integra en su marco un número creciente de estándares
de reconocimiento internacional.
Si bien esta nueva versión no muestra cambios significativos en su

estructura, introduce actualizaciones en la definición de los controles para
fortalecer la protección de la información que a diario se procesa, administra y
resguarda en las organizaciones, incorporando nuevas tecnologías como BYOD
(Bring Your Own Device / Trae Tu Propio Dispositivo), HTML5 (HyperText
Markup Language 5 / Lenguaje de Marca de Hipertexto 5), “Internet de las
cosas” o almacenamiento en la nube.
45
Como información adicional, las modificaciones más relevantes del ISF
2014 en comparación con ISF 2011, son la integración y el compromiso del
Gobierno en los trabajos de SI y el hecho de vincular el valor de la información y
del negocio con la implementación de controles para la gestión de los riesgos
de SI.
En el mismo sentido, esta nueva versión incluye la gestión de las nuevas

amenazas a las que son vulnerables los sistemas de información como
producto de la implantación de nuevas tecnologías en el negocio. Con esto se
incrementa el nivel de confianza en las partes interesadas y se mejora la
credibilidad e imagen de la organización en el entorno.
3.4. SP 800-53A REVISION 1 FRENTE A LA SP 800-53A REVISION 4.
El estándar SP 800-53A sobre la evaluación de controles de seguridad y

privacidad en sistemas de información y organizaciones federales de los EEUU,
fue desarrollado originalmente para facilitar los trabajos de evaluación de los
controles de seguridad y privacidad, implementados a partir de un marco eficaz
de gestión de los riesgos de SI.
La revisión 1 de la publicación aparece en el año 2011 mientras que la

revisión 4, que es la vigente, surge en el año 2014. Es importante mencionar
que la novedad más relevante de esta última revisión es la consideración de los
aspectos de seguridad y privacidad por separado, permitiendo que los
profesionales de SI de los organismos que integran la Administración Federal
de los EEUU, tengan una visión amplia de los controles a implementar.
Además, indica que estos controles deben ser considerados en los planes de
evaluación y ser diseñados de acuerdo con los contenidos de la publicación.
En cuanto a su estructura, en la revisión 4, se divide el “Apéndice F -

Catálogo de procedimientos de evaluación” en dos unidades individuales que
contienen los Procedimientos de evaluación de la seguridad (Apéndice F) y los
Procedimientos de evaluación de la privacidad (Apéndice J). Por otra parte, el
apéndice “I” relacionado a la Evaluación continua y la automatización, no se
46
encontraba en la revisión 1, publicada en el año 2011. Asimismo y en algunos
casos, se ha modificado los nombres de los apéndices. Salvo de lo indicado,
ambas publicaciones no muestran diferencias significativas.
En el anexo A.3.4.1 se presenta una comparativa general de la revisión

4, frente a la revisión 1 de norma.
El estándar se enfoca principalmente en el diseño, elaboración e

implementación de los planes de evaluación de los controles de seguridad
tomados de la publicación SP 800-53 revisión 4, denominada “Controles de
seguridad y privacidad para sistemas de información y organizaciones
federales”, publicada en el año 2013.
Cabe mencionar que el estándar recomienda a la organización un

conjunto de controles de seguridad, considerados como mejores prácticas a
implementar para cubrir todas las fases de gestión de riesgos de SI, y con ello
fortalecer los sistemas de información federales y los entornos en que estos
operan. [28]
Finalmente, se aclara que al desarrollar el estándar analizado, el Grupo

de Trabajo de la Iniciativa Fuerza de Tarea Conjunta Transformación (Joint
Task Force Transformation Initiative Working Group) alineo el número de
revisión a la actual publicación SP 800-53 revisión 4; eliminando con ello los
números de revisión 2 y 3 de la SP 800-53A. [29]
47
CAPITULO IV
4. IMPORTANCIA DE LA SI EN SECTORES ESPECÍFICOS.
El sector financiero y el de la salud tienen importantes implicancias a la

hora de proteger la información que gestiona y particularmente, aquella que es
de propiedad de clientes y pacientes.
En efecto, los datos médicos de los pacientes y las transacciones

financieras que se realizan a través de tarjetas de pago, tienen un nivel elevado
de criticidad y presentan serios riesgos ante el compromiso de la información a
la que se encuentra vinculada. Por otro lado, ambas actividades son alcanzadas
por diversas normativas específicas, cuyo incumplimiento puede acarrear
sanciones gravosas, daños a la imagen y pérdidas económicas, citando
algunas.
Las normativas de índole general, entre las cuales se encuentran las

detalladas en capítulos anteriores, contienen diversos controles y mecanismos
de SI que pueden utilizarse para fortalecer su nivel de protección, y con ello,
fomentar la confianza de las partes interesadas y de los usuarios finales de los
servicios.
Con el fin de ampliar el alcance del cuadro comparativo del capítulo 5

con normativas aplicables a sectores específicos, se exponen a continuación
las principales características de algunas de estas normas, tomando sus últimas
versiones.
4.1. SI DE LAS TARJETAS DE PAGO.
El uso de las tarjetas de pago se ha incrementado a pasos agigantados y

con ello, han aparecido nuevas amenazas de SI que buscan atentar contra la
privacidad de los datos personales de los titulares de las mismas. [30] Para
enfrentar estos desafíos, las organizaciones de todos los sectores económicos
y en especial, los que participan en los procesos de emisión de tarjetas de
48
pago, están fortaleciendo sus controles de SI, alineándose al cumplimiento de
estándares de alcance internacional.
El estándar más reconocido para la protección de la información de las

tarjetas de pago es el PCI DSS, el cual será analizado a continuación para su
integración en el cuadro comparativo del próximo capítulo.
4.1.1 ESTÁNDAR DE SEGURIDAD DE DATOS PARA LA INDUSTRIA DE

TARJETA DE PAGO (PCI DSS / PAYMENT CARD INDUSTRY DATA
SECURITY STANDARD). [31] [32]
Este estándar fue elaborado y es actualizado periódicamente por el PCI

Security Standards Council, conformado por las empresas VISA, MasterCard,
American Express, Descubre y JCB, todas ellas líderes en los procesos de
gestión del ciclo de vida de las tarjetas de pago. La finalidad del estándar es
aumentar los niveles de protección de los controles de SI y reducir los fraudes a
los que se exponen los datos de los titulares de las tarjetas de pago. La actual
versión del estándar es la 3.1, publicada en el año 2013. [33]
El estándar PCI DSS está enfocado a proporcionar un conjunto de

requisitos técnicos y operativos para gestionar la SI de los datos almacenados
en las tarjetas. [34]
Uno de los objetivos del estándar es robustecer los niveles de

confidencialidad en los procesos de autenticación de los datos que se incluyen
en la tarjeta, así como aquellos contenidos en la pista o banda magnética, los
números de verificación y los PIN (Personal Identification Number / Número de
identificación personal).
Este estándar es de cumplimiento obligatorio para todas las

organizaciones que procesan, almacenan o transmiten información sensible y
personal de los propietarios de tarjetas de pago. Cabe mencionar que su
aplicación no sustituye a las leyes locales, regulaciones gubernamentales ni
49
otros aspectos legales que sean aplicables en virtud de la jurisdicción ni del tipo
de organización de que se trate. [35]
Como aporte adicional a los requisitos de SI que se explican en la

sección 4.1.2., el estándar recomienda evaluar los siguientes aspectos.
 Segmentación de la red.- Sugiere separar el entorno con el que se tratan

los datos del titular del resto de la red informática.
 Medios inalámbricos.- Recomienda evaluar la necesidad de implementar
esta tecnología en la organización, considerando el riesgo que esto
implica.
 Uso de proveedores de servicios externos y tercerización.- Invita a
considerar y ampliar los controles de SI hacia los proveedores de
servicios externos que almacenen, procesen o transmitan datos de los
titulares de las tarjetas o en su caso, administren los componentes de la
red.
4.1.2. ESTRUCTURA DEL ESTÁNDAR PCI DSS. [36]
El estándar PCI DSS está constituido por doce (12) requisitos de SI,
agrupados a su vez en seis (6) secciones, orientadas a satisfacer los aspectos
relacionados a la SI de las tarjetas de pago. Dichas secciones están enunciadas
de la siguiente manera:
 Desarrollar y mantener sistemas y redes seguros.

o Requisito 1: Instalar y mantener una configuración de firewalls
para proteger los datos de los titulares de las tarjetas.
o Requisito 2: No utilizar contraseñas de sistemas y otros
parámetros de seguridad provistos por los proveedores.
 Proteger datos del titular de la tarjeta.
o Requisito 3: Proteger los datos del titular de la tarjeta que fueron
almacenados.
o Requisito 4: Cifrar la transmisión de los datos del titular de la
tarjeta en las redes públicas abiertas.
50
 Mantener un programa de administración de vulnerabilidades.
o Requisito 5: Proteger todos los sistemas contra malware y
actualizar los programas o software antivirus regularmente.
o Requisito 6: Desarrollar y mantener los sistemas y aplicaciones en
forma segura.
 Implementar medidas sólidas de control de acceso.
o Requisito 7: Restringir el acceso a los datos del titular de la tarjeta
según la necesidad de saber que tenga la entidad.
o Requisito 8: Identificar y autenticar el acceso a los componentes
del sistema.
o Requisito 9: Restringir el acceso físico a los datos del titular de la
tarjeta.
 Supervisar y evaluar las redes con regularidad.
o Requisito 10: Rastrear y supervisar todos los accesos a los
recursos de la red y a los datos de los titulares de las tarjetas.
o Requisito 11: Probar con regularidad los sistemas y procesos de
seguridad.
 Mantener una política de SI.
o Requisito 12: Mantener una política que aborde la SI, involucrando
a todo el personal.
Es importante considerar que el alcance de aplicabilidad del estándar

está relacionado con la información del titular, a diferencia del estándar ISO/IEC
27001, para el que el ámbito de cobertura se vincula a la organización. Sin
embargo, puede considerarse que el estándar PCI es complementario y de fácil
integración con el estándar ISO/IEC, citado.
En resumen, la normativa bajo análisis ofrece a los profesionales de TI y

SI un conjunto de requisitos mínimos que deben cumplirse para mantener
seguros los sistemas de información de las organizaciones que procesan
transacciones bancarias, a través del uso de tarjetas de pago.
4.2. SI DE LOS DATOS DE SALUD. [37]
51
En el campo de salud, las historias clínicas también han sido impactadas
por el avance tecnológico. En consecuencia, cada vez son más comunes las
denominadas “Historias Clínicas Electrónicas” (HCE). En efecto, la
incorporación de las TI en la gestión de la información médica ha ocasionado
que la historia clínica (HC) tradicional pase a formar parte de un sistema
centralizado e integral de información clínica digital, con todas las ventajas que
esto conlleva y también con los múltiples desafíos vinculados a la SI. [38]
La HCE es, por naturaleza, heterogénea al integrar información

económica, financiera, cultural, social y de salud, de manera de habilitar una
visión amplia de la situación general del paciente. Además, debe cumplir con el
criterio de disponibilidad, independientemente del lugar y espacio de tiempo en
que se haya generado. [39]
En algunos países tales como Estados Unidos, México, Argentina y

España, se publicaron varias regulaciones que se aplican a la protección de la
información médica, buscando preservar la intimidad de los pacientes y evitar el
uso incorrecto de sus datos.
4.2.1. SI EN LAS HCEs.
Los criterios de SI aplicados a la HCE deben garantizar el cumplimiento

de los aspectos requeridos para mantener un funcionamiento confiable de los
sistemas de información médica. Dichos criterios son los siguientes:
 No repudio.- Evitar que las partes implicadas puedan negar las acciones
que hayan ejecutado sobre la información de las HCE.
 Confidencialidad.- Evitar que la información contenida en las HCE sea
accedida o divulgada por cualquier medio a personas no autorizadas.
 Integridad.- Avalar que la información no pueda ser modificada por
personas no autorizadas durante el ingreso, procesamiento, transmisión
ni almacenamiento.
 Disponibilidad.- Garantizar que se podrá acceder de manera inmediata a
la información cuando ella sea requerida.
52
 Autenticación.- Garantizar que a la información acceda sólo personas
autorizadas, cumpliendo con los criterios de identificación y rol asignado.
 Auditoría.- Avalar la existencia de registros almacenados que permitan
rastrear las acciones realizadas sobre la información.
4.2.2. NORMATIVAS Y ESTÁNDARES VINCULADOS A LA SI DE LOS DATOS

DE SALUD.
En la actualidad, varios estándares, con distinto alcance y nivel de

profundidad, refieren específicamente a la protección de los datos médicos que
se encuentran en formato electrónico. Entre ellos, pueden citarse:
Estándares Internacionales:
 ISO/IEC 27799:2013 TI – Informática en salud – Gestión de la SI de

salud utilizando ISO/IEC 27002.
En España:
 CEN/ISO EN 13606-4:2009 Informática de la salud – Comunicación de

historiales médicos electrónicos – Parte 4: Seguridad.
 Guía de privacidad y SI de la salud, emitida por la Oficina de la
Coordinación Nacional para la TI de la Salud del Departamento de Salud
y Servicios Humanos de los Estados Unidos.
Además, existe un grupo de leyes orientadas a la protección de datos de

salud que han sido publicadas también en España, las cuales se listan en orden
cronológico:
 La Ley 14/1986, de 25 de abril, general de sanidad.

 La Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos
de carácter personal.
 La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía
del paciente y de derechos y obligaciones en materia de información y
documentación clínica.
53
 La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema
Nacional de Salud.
 La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones
sanitarias.
A la fecha, algunos países en Latinoamérica también han empezado a

trabajar en la innovación e implementación de leyes que garanticen la SI de la
HCE. A manera de ejemplo:
 En Argentina, la Ley 14.494, sancionada en el 2012 por el Senado y la

Cámara de Diputados de la Provincia de Buenos Aires.
 En Uruguay, el artículo 17 de la “Norma sobre conducta médica y
derechos del paciente”, aprobado por Decreto Ejecutivo 258/92.
 En Colombia, en la última reforma realizada a la Ley 1438 del 2011 se
establece la implementación de la HCUE (Historia Clínica Única
Electrónica).
En definitiva, las organizaciones médicas deben considerar que la

información clínica, es un activo valioso y central, pero crítico y vulnerable. Por
lo tanto, sus sistemas de información destinados al tratamiento de los datos
clínicos deben fortalecer los niveles de seguridad, mediante la implementación
de controles que se alineen a estándares reconocidos internacionalmente, de
manera que se ofrezca una gestión óptima de los riesgos de SI que podrían
afectar la intimidad de los pacientes.
4.2.3. LEY DE RESPONSABILIDAD Y PORTABILIDAD DEL SEGURO

MÉDICO (HIPAA / HEALTH INSURANCE PORTABILITY AND
ACCOUNTABILITY ACT) – SEGURIDAD Y PRIVACIDAD Sub parte C.
Estándares de seguridad para la protección de información médica electrónica
protegida.
Como se mencionó anteriormente, la Ley HIPPA está incluida en el

desarrollo del trabajo final de maestría en respuesta a su relevancia en la
protección de los datos en el campo de la salud en los EEUU. Si bien la norma
54
ISO/IEC 27799:2008 es considerada un estándar más amplio, completo y
actual, que cubre las necesidades de protección de los datos clínicos, fue
descartada como parte del análisis por su semejanza con la ISO/IEC 27002, ya
incluida en el estudio.
La Ley HIPAA ha sido la pionera en las tareas de protección de los datos

en el campo de la salud, ya que fue desarrollada y sancionada en 1996 por el
Congreso de ese país durante el gobierno del Presidente Bill Clinton. Es
aplicada exclusivamente en los Estados Unidos.
Esta Ley presenta en su estructura una sección enfocada a la protección

de los datos médicos en formato digital, denominada “Seguridad y Privacidad –
Sub Parte C: Estándar de seguridad para la protección de la información
médica electrónica protegida”.
El propósito principal de la Ley HIPAA es regular aspectos relacionados

con los servicios de los seguros de salud y así, mejorar los procesos
administrativos relacionados a esta actividad. Con este propósito, la Ley
fortalece los aspectos de privacidad y confidencialidad de la información de
salud de los pacientes, con el objetivo de minimizar los incidentes de fraude y la
fuga de datos sensibles en las organizaciones del campo de la salud.
La Ley garantiza la privacidad de los datos clínicos de los pacientes y les

otorga el derecho de acceso para obtener copias de sus expedientes y solicitar
correcciones. Además, prohíbe compartir información de tratamiento, pago y
actividades de cuidado médico, sin su autorización previa.
Otro de los aspectos que la Ley considera importante es la generación de

documentación con datos de relevancia, tales como: quién tiene el acceso a la
información protegida, cómo se la utiliza dentro de la institución de salud y
cuando y bajo qué condiciones podría ser revelada durante su ciclo de vida.
En la Ley se enuncian las faltas por las que se podría incurrir en

sanciones civiles o penales. Las mismas tienen relación con la información de
55
salud que haya sido objeto de fraude, independientemente del soporte en que
se encuentre. Entre ellas se consideran:
 El uso y divulgación indebida de información clínica.

 La obtención de información sin la autorización debida.
 La realización de fraudes o engaños mediante el uso de la información
clínica.
 La intención de negociaciones, transferencias o uso de la información
médica, con fines de obtener réditos económicos o causar daño
malicioso.
Como se dijo, la Ley HIPAA abarca en profundidad la protección de los

usuarios que hacen uso de los seguros médicos en los Estados Unidos.
Considera además la privacidad, seguridad y sensibilidad de la información
clínica que los pacientes entregan a los profesionales de salud de manera
voluntaria.
Como parte del desarrollo del trabajo final de maestría, se considerará en

la comparativa del siguiente capítulo la sección de la Ley HIPAA referida a
Seguridad y Privacidad, ya que en ella se establecen los controles necesarios
para asegurar la gestión de los riesgos de SI en los sistemas de información de
las organizaciones de salud. La Ley agrupa los controles en tres (3) conjuntos:
administrativos, físicos y técnicos.
Particularmente, la Ley centra los esfuerzos de la dirección y gerencia de

SI en los controles administrativos para definir las tareas orientadas a la gestión
de los riesgos y del talento humano, control de acceso, concientización del
personal, respuestas a incidentes, plan de contingencia y cumplimiento.
Respecto a los controles físicos, la Ley HIPAA fortalece los criterios

relacionados al control de acceso físico y gestión de las estaciones de trabajo,
dispositivos y soportes. En cuanto a los controles técnicos, la Ley ofrece
directrices para gestionar el control del acceso lógico, las auditorías, la
seguridad en la transmisión de información y el control de integridad.
56
La Ley HIPAA y el estándar ISO/IEC 27002, en su versión para la salud
en base al estándar ISO 27799, se relacionan entre sí. Como ya se dijo, este
último es un compendio de los controles de SI enfocados específicamente a la
protección de los datos médicos de los pacientes.
4.2.3.1. ESTRUCTURA DE LA LEY HIPAA.
La Ley HIPAA está estructurada en cinco (5) secciones, cada una de las
cuales trata un aspecto en particular de la gestión de los seguros de salud. La
definición de las secciones está tipificada de la siguiente manera: [40]
 Título I - Portabilidad.
 Título II - Simplificación Administrativa.
 Título III – Disposiciones de Salud Relacionadas a Impuestos.
 Título IV – Aplicación y Cumplimiento de los Requisitos de Planes
Grupales de Salud.
 Título V – Retenciones de Ingresos.
De éstos, el título II refiere específicamente a cuestiones relacionadas

con la protección de los datos de salud, con independencia del soporte en el
que se encuentren. En consiguiente, en el mapeo general motivo de estudio del
trabajo final de maestría, se integra la Parte 164 sobre la Seguridad y
Privacidad, donde se describen los controles específicos para fortalecer los
niveles de protección de los sistemas de información en las organizaciones
dedicadas a los servicios de salud.
Finalmente, conforme aparezcan y se implementen nuevas tecnologías

para el procesamiento de información clínica, las organizaciones de la salud
deben considerar el nivel de criticidad que el tratamiento de este tipo de datos
conlleva. Por tanto, es importante focalizar la instauración de los controles de SI
que cubran, de manera global, a todas las partes que se relacionan directa o
indirectamente con las HCE.
57
En efecto, las organizaciones dedicadas a la prestación de servicios de
salud deben analizar y ejecutar sus iniciativas de SI de manera que se
encuentren alineadas al cumplimiento de estándares y buenas prácticas de
alcance general o específico para el área. Con lo que se asegura el
fortalecimiento de los niveles de protección y la gestión acertada de los riesgos
sobre la información que se gestiona.
58
CAPITULO V
5. CUADRO COMPARATIVO GENERAL DE COBIT 5 PARA LA SI FRENTE A
OTRAS NORMATIVAS RELACIONADAS A LOS SGSI.
Como ya se explicó en las secciones anteriores, el objetivo central del

presente trabajo final de maestría es actualizar y ampliar el mapeo general
entre COBIT® 5 para la SI y las normativas sobre seguridad de la ISO/IEC, el
ISF y el NIST, que se presenta como anexo en el apéndice H (páginas 207 a
214) del citado marco. Adicionalmente, se agrega el estándar ISO/IEC 20000-1
y dos normas específicas y relativas a la SI de tarjetas de pago y de datos
médicos. El análisis realizado, busca brindar a los expertos de TI, SI y a otros
profesionales interesados, una visión detallada y abarcativa de la relación
integral que tienen entre si los estándares y buenas prácticas objeto de estudio.
En efecto, debido al surgimiento de nuevas tecnologías y la aparición de

nuevas amenazas de SI, se origina la necesidad de reforzar la protección de los
sistemas de información y de los datos que se gestionan en las organizaciones.
Es por lo cual que los organismos internacionales actualizan las normativas y
estándares, con la finalidad de satisfacer las necesidades de integridad,
disponibilidad y confidencialidad del activo de mayor valor para las
organizaciones, es decir la información.
Sin embargo, la diversidad de normas vinculadas a la SI que existe,

puede generar confusión en los profesionales de TI y SI, a la hora de identificar
controles que permitan gestionar los riesgos. Por ello, conocer las relaciones
entre estándares puede generar un aprovechamiento óptimo de los recursos la
organización y controles que cada una de estas normas propone.
El cuadro comparativo que se incluye en este capítulo puede servir de

apoyo para la implementación de un SGSI en cualquier organización,
independientemente de su tamaño, naturaleza, forma jurídica o actividad
económica. Como ya se indicó, se hace la salvedad de qué las dos últimas
59
normas integradas al mapeo son de utilización en campos específicos (tarjetas
de pago y salud).
5.1. MAPEO GENERAL ACTUALIZADO.
El mapeo que sé detalla a continuación toma en cuenta en todos los

casos, las últimas versiones publicadas de las normativas objeto de estudio,
quedando abierto para futuras investigaciones, conforme aparezcan nuevas
ediciones o si se optara por su ampliación sobre la base de otros estándares
sobre la SI, no considerados a la fecha.
Los estándares que se encontraban en el Apéndice H de COBIT® 5 para

la SI y que fueron actualizados a sus versiones vigentes, son:
 ISO/IEC 27001:2005, nueva versión ISO/IEC 27001:2013

 ISO/IEC 27002:2005, nueva versión ISO/IEC 27002:2013
 ISF 2011, nueva versión ISF 2014
 NIST SP800-53A Revisión 1 del 2011, nueva versión NIST SP800-53A
Revisión 4 del 2014.
Se agregaron al cuadro comparativo las siguientes normas:
 Estándar ISO/IEC 20000-1:2011, Requisitos del Sistema de Gestión de

Servicios en TI.
 Ley HIPAA 2003 - SEGURIDAD Y PRIVACIDAD, Sub parte C
Estándares de seguridad para la protección de información médica
electrónica protegida.
 Norma PCI DSS – Requisitos y procedimientos de evaluación de
seguridad versión 3.0:2013.
A continuación se presenta el cuadro comparativo:
60
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
EDM 01 5.1 Liderazgo y SG 1.1 Marco 4.1 164.308
Asegurar el compromiso de gobierno de Responsabilida Controles
establecimiento 5.2. Política la seguridad d de la administrativos
y 5.3. Roles, dirección (1)(i) Estándar
mantenimiento responsabilidad 4.1.1 (ii)(A) Análisis
del marco de es y Compromiso de de riesgos
gobierno autoridades de la dirección
la organización 6.6.1 Política de
A5 Políticas de seguridad de la
seguridad de la información
información
EDM 02 9.1 SG 2.2 Entrega 4.5.4 164.308
Asegurar la Seguimiento, de valor a las Monitorizar y Controles
entrega de medición, partes revisar el SGS administrativos
beneficios análisis y interesadas. 4.5.5 Mantener (a)(8)
evaluación. SG 2.3 y mejorar el Evaluación
9.3 Revisión Programa de SGS
por parte de la aseguramiento 6.3.3
dirección de la seguridad Monitorización
10 Mejora de la y prueba de la
información continuidad y
de la
disponibilidad
del servicio.
de la 4:2014
Información
EDM 03 6.1.2 12.6.1 Gestión SR 1 4.3 Gestión de 164.308
Asegurar la Evaluación del de las Evaluación de la Controles
optimización del riesgo respecto vulnerabilidade riesgos de la documentación. administrativos
riesgo a la seguridad s técnicas información. 6.2.2 Controles (ii)(A) Análisis
de la 16.1 Gestión de CF 20 de seguridad de de riesgos
información los incidentes Continuidad del la información (ii)(B) Gestión
6.1.3 de seguridad de negocio 6.2.3 Cambios de riesgos.
Tratamiento del la información y SI 2.2 Informes e incidencias en
riesgo a la mejoras de seguridad de la seguridad de
seguridad de la la información la información.
información 8.2 Gestión de
8.3 Tratamiento problemas
del riesgo a la
seguridad de la
información
7.5 Información
documentada
EDM 04 7.1 Recurso - Planificación 4.4 Gestión de
Asegurar la 7.2 recursos
optimización de Competencia
los recursos 7.3
Concientización
A.6
Organización
de la SI
de la 4:2014
Información
EDM 05 A.12 Seguridad 6.1.1 SG 2.2 Entrega 4.1.3 Autoridad, 164.308
Asegurar la de las Asignación de de valor a las responsabilidad Controles
transparencia operaciones responsabilidad partes y comunicación. administrativos
hacia las partes A.13 Seguridad es para la interesadas (4)(i) Gestión
interesadas de la seguridad de la de la
comunicaciones información. información de
6.1.2 acceso
Segregación de (a)(8)
tareas. Evaluación
6.1.3 Contacto
con las
autoridades.
6.1.4 Contacto
con grupos de
interés
especial.
6.1.5 Seguridad
de la
información en
la gestión de
proyectos.
de la 4:2014
Información
APO 01 5.1 Liderazgo y 6 Aspectos SG 1.1 Marco 12. Mantener
Gestionar el compromiso organizativos de gobierno de una política que
marco de 5.2. Política de la seguridad la seguridad. aborde la SI,
gestión de TI 5.3. Roles, de la involucrando a
responsabilidad información todo el
es y personal.
autoridades de
la organización
A.5 Políticas de
seguridad de la
información
A.6
Organización
de la SI
APO 02 4.1 SG 2.1 4.5 Establecer y
Gestionar la Comprensión Estrategia de mejorar el SGS
estrategia de la seguridad de la 4.5.1 Definir el
organización y información alcance
su contexto 4.5.2 Planificar
4.2 el SGS
Comprensión
de las
necesidades y
las expectativas
de las partes
interesadas
4.3
Determinación
del alcance del
SGSI
4.4 Sistema de
gestión de la SI.
de la 4:2014
Información
APO 03 CF 4 - Gestión de la 1. Instalar y
Gestionar la Aplicaciones de configuración mantener una
arquitectura negocio configuración
empresarial CF 7 Gestión de firewall para
de sistemas proteger los
CF 8 datos del titular
Infraestructura de la tarjeta.
técnica de 2. No utilizar
seguridad de la valores por
información. defecto
entregados por
los
proveedores.
8. Identificar y
autenticar el
acceso a los
componentes
del sistema.
APO 04
Gestionar la
innovación
APO 05 6.4 Elaboración
Gestionar de presupuesto
portafolio y contabilidad
de los servicios
APO 06 6.4 Elaboración
Gestionar el de presupuesto
presupuesto y y contabilidad
los costes de los servicios
de la 4:2014
Información
APO 07 7.2 7 Seguridad CF 2 Seguridad - 4.4.2 Recursos 8. Identificar y 164.308
Gestionar los Competencia ligada a los de la Concienciación humanos autenticar el Controles
recursos 7.3 recursos información de y formación. acceso a los Administrativos
humanos Concientización humanos recursos - Planificación. componentes (3)(i) SI de la
A.7 Seguridad humanos - Seguridad de del sistema. fuerza laboral.
de los Recursos información del 9. Restringir el (ii)(A)
Humanos personal. acceso físico a Autorización y/o
los datos del supervisión
titular de la (ii)(B)
tarjeta. Liquidación de
la Fuerza
Laboral
(ii)(C)
Indemnizacione
s por despido.
(5)(i)
Concienciación
de SI y
formación.
de la 4:2014
Información
APO 08 6.2 Objetivos CF 5 Acceso de 8. Identificar y 164.314
Gestionar las de seguridad de los clientes. autenticar el Requisitos
relaciones la información y acceso a los organizacionale
planificación componentes s
para lograrlos del sistema. (a)(1) Estándar:
10. Rastrear y contratos
A.6.1 supervisar asociados de
Organización todos los negocios u
Interna. accesos a los otros arreglos
recursos de red
y a los datos de
los titulares de
las tarjetas.
APO 09 15.2.1 CF 7.7 - Adquisición de Considerado en
Gestionar los Supervisión y Acuerdos de sistemas y toda esta
acuerdos de revisión de los nivel de servicio servicios. norma
servicio servicios SI 2.1
prestados por Supervisión de
terceros. la seguridad.
15.2.2 Gestión SI 2.2 Informes
de cambios en de riesgos de la
los servicios información.
prestados por
terceros.
de la 4:2014
Información
APO 10 A.15 7.1.1 CF 16 Gestión - Adquisición de 4.2 Gobierno de 164.308
Gestionar los Relaciones con Investigación de Proveedores sistemas y los procesos Controles
proveedores los proveedores de externos servicios. operados por administrativos
antecedentes. terceros (b) (1) Los
7.1.2 Términos 7.2 Gestión de contratos de
y condiciones suministradores asociados de
de contratación. negocios y
13.2.2 otros arreglos
Acuerdos de
intercambio.
13.2.4
Acuerdos de
confidencialidad
y secreto
14.3.1
Protección de
los datos
utilizados en
pruebas.
15.1.1 Política
de seguridad de
la información
para
suministradores
.
15.1.2
Tratamiento del
riesgo dentro
de acuerdos de
suministradores
.
15.1.3 Cadena
de suministro
en tecnologías
de la
información y
Comunicacione
s
18.1.3
Protección de
los registros de
la organización.
18.1.4
Protección de
datos y
privacidad de la
información
personal.
APO 11 9 Evaluación CF 7.3 4.5.5 Mantener 5. Proteger
Gestionar la del desempeño Aseguramiento y mejorar el todos los
calidad 10 Mejora de la calidad SGS sistemas contra
malware y
actualizar los
programas o
software
antivirus
regularmente.
6. Desarrollar y
mantener los
sistemas y
aplicaciones
seguras.
11. Probar con
regularidad los
sistemas y
procesos de
seguridad.
de la 4:2014
Información
APO 12 6.1 Acciones 10.1.2 Gestión SR 1 - Respuesta a 4.2 Gestión de 4. Cifrar la 164.308
Gestionar el para tratar los de claves Evaluación de Incidentes la transmisión de Controles
riesgo riesgos y las 12.1.4 riesgos de - Evaluación de documentación los datos del Administrativos
oportunidades Separación de información. riesgos. 6.6.2 Controles titular de la (ii)(A) Análisis
7.5 Información entornos de SR 2 de seguridad de tarjeta en las de riesgos
documentada desarrollo, Cumplimiento la información redes abiertas (ii)(B) Gestión
8 Operación prueba y CF 1 Política y 8.1 Gestión de públicas. de riesgos.
producción. organización de incidencias y 6. Desarrollar y 164.312
16.1.2 la seguridad de peticiones de mantener los Garantías
Notificación de información. servicio sistemas y técnicas
los eventos de CF 10 Gestión 8.2 Gestión de aplicaciones
seguridad de la de amenazas y problemas seguras.
información. vulnerabilidade 9. Restringir el
16.1.3 s acceso físico a
Notificación de CF 20 los datos del
puntos débiles Continuidad del titular de la
de la seguridad. negocio tarjeta.
17.1.1 SI 2.2 Informes 11. Probar con
Planificación de de riesgos de la regularidad los
la continuidad información. sistemas y
de la seguridad SI 2.3 procesos de
de la Supervisión del seguridad.
información. cumplimiento
17.1.2 de la seguridad
Implantación de de la
la continuidad información.
de la seguridad
de la
información.
17.1.3
Verificación,
revisión y
evaluación de
la continuidad
de la seguridad
de la
información.
APO 13 Considerado en Considerado en Considerado en Considerado en 6.6 Gestión de Considerado en Considerado en
Gestionar la toda la norma toda la norma toda la norma toda la norma la seguridad de todo el la Sub parte C
Seguridad la información estándar. de la Ley
HIPAA
de la 4:2014
Información
BAI 01 - Gestión de
Gestionar los programas
programas y
proyectos
BAI 02 12.1.1 SR 1.3 4.5.2 Planificar 164.314
Gestionar la Documentación Requisitos de el SGS requisitos
definición de de confidencialidad 5.2 organizacionale
requisitos procedimientos . Planificación de s
de operación. SR 1.4 servicios 164.316
9.4.1 Requisitos de nuevos o Políticas y
Restricción del integridad modificados. procedimientos
acceso a la SR 1.5 6.3.1 Requisitos y requisitos de
información. Requisitos de de continuidad documentación
9.4.2 disponibilidad y disponibilidad
Procedimientos CF 18.1 del servicio
seguros de Especificación
inicio de sesión. de requisitos.
14.1.1 Análisis
y especificación
de los
requisitos de
seguridad.
14.2.9 Pruebas
de aceptación.
de la 4:2014
Información
BAI 03 A.14 Considerado en CF 17 Gestión - Control de 5 Diseño y 2. No utilizar
Gestionar la Adquisición, toda la norma del desarrollo acceso transición de valores por
identificación y desarrollo y de sistemas - Gestión de la servicios defecto
la construcción mantenimiento CF 18 Ciclo de configuración nuevos o entregados por
de soluciones de los sistemas vida del - Mantenimiento modificados los
desarrollo de - Adquisición de 6.1 gestión del proveedores.
sistemas. sistemas y nivel del 4. Cifrar la
servicios servicio. transmisión de
los datos del
titular de la
tarjeta en las
redes abiertas
públicas.
6. Desarrollar y
mantener los
sistemas y
aplicaciones
seguras.
BAI 04 12.1.3 Gestión - Planificación 6.3 Gestión de 164.308
Gestionar la de de contingencia continuidad y Controles
disponibilidad y capacidades. - Planificación. disponibilidad Administrativos
la capacidad del servicio. (7)(i) Plan de
6.5 Gestión de contingencia
la capacidad.
BAI 05
Gestionar la
introducción de
cambios
organizativos
de la 4:2014
Información
BAI 06 12.1.2 Gestión CF 7.6 Gestión 5 Diseño y 6. Desarrollar y
Gestionar los de cambios. de cambios transición de mantener los
cambios 9.4.4 Uso de CF 10 Gestión servicios sistemas y
herramientas de amenazas y nuevos o aplicaciones
de vulnerabilidade modificados seguras.
administración s 6.6.3 Cambios 11. Probar con
de sistemas e incidencias en regularidad los
12.6.1 Gestión la seguridad de sistemas y
de las la información procesos de
vulnerabilidade 8.2 Gestión de seguridad.
s técnicas. problemas
12.6.2 9.2 Gestión de
Restricciones cambios
en la instalación
de software.
14.2.2
Procedimientos
de control de
cambios en los
sistemas.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
de la 4:2014
Información
BAI 07 7.2.2 CF 7.6 Gestión 5.4 Transición 6. Desarrollar y
Gestionar la Concienciación, de cambios de servicios mantener los
aceptación del educación y nuevos o sistemas y
cambio y de la capacitación en modificados aplicaciones
transición. seguridad de la 9.2 Gestión de seguras.
información. cambios 11. Probar con
9.4.5 Control de 9.3 Gestión de regularidad los
acceso al entrega y sistemas y
código fuente despliegue procesos de
de los seguridad.
programas.
11.1.6 Áreas de
acceso público,
carga y
descarga.
12.1.2 Gestión
de cambios.
12.1.4
Separación de
entornos de
desarrollo,
prueba y
producción.
14.2.2
Procedimientos
de control de
cambios en los
sistemas.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.9 Pruebas
de aceptación
14.3.1
Protección de
los datos
utilizados en
pruebas.
BAI 08 7.5 Información 12.1.1 CF 3.2 Gestión - Control de 4.3 Gestión de 12. Mantener 164.308
Gestionar el documentada Documentación documental acceso la una política que Controles
conocimiento de CF 6 Gestión documentación aborde la SI, Administrativos
procedimientos de acceso 9.3 Gestión de involucrando a (5)(i)
de operación entrega y todo el Concienciación
14.2.9 Pruebas despliegue personal. de seguridad y
de aceptación formación.
16.1.6 164.316
Aprendizaje de Políticas y
los incidentes procedimientos
de seguridad de y requisitos de
la información. documentación
de la 4:2014
Información
BAI 09 A.8 Gestión de 8.1.1 Inventario CF 3 Gestión - Protección de 3. Proteger los 164.310
Gestionar los activos de activos. de activos medios. datos del titular Controles
activos 8.1.2 Propiedad CF 19 - Protección de la tarjeta que físicos
de los activos Seguridad física física y fueron (b) Seguridad
8.2.2 y ambiental de ambiental almacenados. de las
Etiquetado y la información. estaciones de
manipulado de trabajo
la información. (d)(1)
11.2.1 Dispositivos y
Emplazamiento controles de
y protección de medios
equipos (d)(2)(iii)
11.2.6 Responsabilida
Seguridad de d de activos.
los equipos y
activos fuera de
las
instalaciones.
12.1.1
Documentación
de
procedimientos
de operación.
12.6.1 Gestión
de las
vulnerabilidade
s técnicas.
12.6.2
Restricciones
en la instalación
de software.
13.1.1
Controles de
red.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
14.3.1
Protección de
los datos
utilizados en
pruebas.
18.2.2
Cumplimiento
de las políticas
y normas de
seguridad
de la 4:2014
Información
BAI 10 8.1.1 Inventario CF 4 - Control de 9.1 Gestión de 1. Instalar y 164.312
Gestionar la de activos. Aplicaciones de acceso la configuración mantener una Garantías
configuración 8.1.2 Propiedad negocio - Gestión de la configuración técnicas
de los activos CF 6 Gestión configuración de firewall para
8.2.2 de acceso - Adquisición de proteger los
Etiquetado y CF 7 Gestión sistemas y datos del titular
manipulado de de sistemas servicios de la tarjeta.
la información. CF 8 2. No utilizar
10.1.2 Gestión Infraestructura valores por
de claves técnica de defecto
11.2.1 seguridad de la entregados por
Emplazamiento información los
y protección de CF 9 Gestión proveedores.
equipos de red
11.2.6 CF 12 Entornos
Seguridad de locales
los equipos y CF 13
activos fuera de Aplicaciones de
las escritorio
instalaciones. CF 14
12.1.1 Informática
Documento de móvil.
procedimientos CF 15
de operación. Comunicacione
12.6.1 Gestión s electrónicas.
de las
vulnerabilidade
s técnicas.
12.6.2
Restricciones
en la instalación
de software.
13.1.1
Controles de
red.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
14.3.1
Protección de
los datos
utilizados en
pruebas.
18.2.2
Cumplimiento
de las políticas
y normas de
seguridad
de la 4:2014
Información
DSS 01 8.1 12 Seguridad CF 6 Gestión 4.5.3 1. Instalar y 164.310
Gestionar las Planificación y en la operativa de acceso Implementar y mantener una Garantías
operaciones control 13 Seguridad CF 7 Gestión operar el SGS configuración técnicas.
operativo en las de sistemas de firewall para (d)(2)(iv) Copia
telecomunicacio CF 9 Gestión proteger los de seguridad de
nes de red datos del titular datos y
de la tarjeta. almacenamient
3. Proteger los o
datos del titular 164.316
de la tarjeta que Políticas y
fueron procedimientos
almacenados. y requisitos de
4. Cifrar la documentación
transmisión de
los datos del
titular de la
tarjeta en las
redes públicas
abiertas.
10. Rastrear y
supervisar
todos los
accesos a los
recursos de red
y a los datos de
los titulares de
las tarjetas.
de la 4:2014
Información
DSS 02 A.16 Gestión de Gestión de CF 10 Gestión - Respuesta a 8.1 Gestión de 164.308
Gestionar las los incidentes incidentes en la de amenazas y incidentes incidencias y Controles
peticiones y los de seguridad de seguridad de la vulnerabilidade peticiones de Administrativos
incidentes del la información información s servicio (6)(i)
servicio 12.4.1 Registro CF 11 Gestión 8.2 Gestión de Procedimientos
y gestión de de incidentes problemas de incidentes
eventos de de seguridad.
actividad
12.6.1 Gestión
de las
vulnerabilidade
s técnicas
DSS03 16.1.6 CF 10 Gestión - Respuesta a 8.1 Gestión de 164.308
Gestionar los Aprendizaje de de amenazas y incidentes incidencias y Controles
problemas los incidentes vulnerabilidade peticiones de Administrativos
de seguridad de s servicio (1)(ii)(B)
la información CF 11 Gestión 8.2 Gestión de Gestión de
de incidentes problemas riesgos
(6)(i)
Procedimientos
de incidentes
de seguridad.
de la 4:2014
Información
DSS 04 7.5 Información Aspectos de la CF 20 - Planificación 6.3 Gestión de 2. No utilizar 164.308
Gestionar la documentada seguridad de la Continuidad del de continuidad y valores por Controles
continuidad 8.3 Estrategia información en negocio contingencias disponibilidad defecto administrativos
de la la gestión de la 6.3.1 Requisitos entregados por (7)(i) Plan de
continuidad de continuidad del de continuidad los contingencia
negocios negocio. y disponibilidad proveedores. (7)(ii)(B) Plan
8.4 6.3.2 Planes de 3. Proteger los de recuperación
Establecimiento continuidad y datos del titular de desastres.
e disponibilidad. de la tarjeta que (7)(ii)(C) Plan
implementación 6.3.3 fueron de operación en
de los Monitorización almacenados. modo de
procedimientos y prueba de la 10. Rastrear y emergencia
de continuidad continuidad y supervisar
de negocio de la todos los
10 Mejora disponibilidad accesos a los
A.17 Aspectos del servicio. recursos de red
de seguridad de y a los datos de
la información los titulares de
en la gestión de las tarjetas.
la continuidad
del negocio
DSS 05 Considerado en Considerado en Considerado en Considerado en Considerado en Considerado en Considerado en
Gestionar los toda la norma toda la norma toda la norma toda la norma toda la norma toda la norma la Sub Parte C
servicios SI de la Ley.
de la 4:2014
Información
DSS 06 6.1.1 CF 1 Política y - Protección de 4.1.2 Política de 1. Instalar y
Gestionar los Asignación de organización de medios gestión del mantener una
controles de los responsabilidad la seguridad de - Integridad de servicio. configuración
procesos del es para la la información. sistemas e 6.2 Informes del de firewall para
negocio seguridad de la CF 7 Gestión información servicio. proteger los
información. de sistemas 6.6 Gestión de datos del titular
6.1.2 la seguridad de de la tarjeta.
Segregación de la información 3. Proteger los
tareas. 7.1 Gestión de datos del titular
8.2.2 relaciones con de la tarjeta que
Etiquetado y el negocio fueron
manipulado de almacenados.
la información 4. Cifrar la
8.3.3 Soportes transmisión de
físicos en los datos del
tránsito titular de la
9.4.5 Control de tarjeta en las
acceso al redes públicas
código fuente abiertas.
de los 10. Rastrear y
programas supervisar
12.1.4 todos los
Separación de accesos a los
entornos de recursos de red
desarrollo, y a los datos de
prueba y los titulares de
producción las tarjetas.
12.3.1 Copias
de seguridad de
la información.
13.1.1
Controles de
red.
13.2.2
Acuerdos de
intercambio.
13.2.3
Mensajería
electrónica.
13.2.4
Acuerdos de
confidencialidad
y secreto.
de la 4:2014
Información
MEA 01 8.1 18.2.1 Revisión SR 2 - Auditoría y 4.1.2 Política de 11. Probar con 164.312
Supervisar, Planificación y independiente Cumplimiento responsabilidad gestión del regularidad los Garantías
evaluar y control de la seguridad SI 1 Auditoria . servicio sistemas y técnicas
valorar operativo de la de la seguridad - Autorización y 4.5.5 Mantener procesos de (b) Controles de
rendimiento y 8.2 Evaluación información de información. evaluación de y mejorar el seguridad. auditoría
conformidad del riesgo a la 18.2.2 SI 2 la seguridad de SGS
seguridad de la Cumplimiento Rendimiento de la información.
información. de las políticas la seguridad de
9 Evaluación y normas de la información
del desempeño seguridad.
de la 4:2014
Información
MEA 02 9.1 12.4.1 Registro CF 1 Política y - Auditoría y 4.5.5 Mantener 11. Probar con 164.312
Supervisar, Seguimiento, y gestión de organización de responsabilidad y mejorar el regularidad los Garantías
evaluar y medición, eventos de la seguridad de SGS sistemas y técnicas
valorar el análisis y actividad. la información 6.6.1 Política de procesos de (b) Controles de
sistema de evaluación. 12.7.1 SI 1 Auditoria seguridad de la seguridad. auditoría
control interno 9.2 Auditoria Controles de de la seguridad información.
Interna auditoría de los de la
A.18.2 Revisión sistemas de información
de la seguridad información
de la 15.1.2
información. Tratamiento del
riesgo dentro
de acuerdos de
suministradores
.
15.2.1
Supervisión y
revisión de los
servicios
prestados por
terceros.
18.2.1 Revisión
independiente
de la SI.
18.2.2
Cumplimiento
de las políticas
y normas de SI.
18.2.3
Comprobación
del
cumplimiento.
de la 4:2014
Información
MEA 03 9.1 6.1.3 Contacto SR 2 4.1.2 Política de 164.312
Supervisar, Seguimiento, con las Cumplimiento gestión del Garantías
evaluar y medición, autoridades. servicio técnicas
valorar la análisis y 6.1.4 Contacto (b) Controles de
conformidad evaluación. con grupos de auditoría
con los 9.2 Auditoria interés
requerimientos Interna especial.
externos A.18.1 18.1.1
Cumplimiento Identificación
de los de la legislación
requisitos aplicable.
legales y 18.1.2
contractuales Derechos de
propiedad
intelectual
(DPI).
18.1.4
Protección de
datos y
privacidad de la
información
personal
CONCLUSIONES.
A partir del trabajo realizado para actualizar y ampliar el cuadro

comparativo contenido en el Anexo H de COBIT® 5 para la SI, es posible
formular las siguientes conclusiones:
 COBIT® 5 para la SI de ISACA, las Buenas Prácticas del ISF, los

estándares ISO/IEC 27001 e ISO/IEC 27002 de la ISO/IEC y el SP 800-
53A revisión 4 del NIST, son marcos regulatorios y completos, cuyos
objetivos de control ofrecen a los profesionales inmersos en el campo de
la SI, un conjunto detallado de salvaguardas y recomendaciones
aplicables a los sistemas de información; que permiten responder de
manera acertada al tratamiento de los riesgos de SI. Los controles
propuestos en estas normativas se encuentran, en muchos casos,
interrelacionados entre sí, por lo que pueden pensarse como
complementarios e integrados.
 En el mismo sentido, las normativas antes mencionadas incluyen
aspectos relacionados con el gobierno y la gestión de la SI en todo el
contexto de la organización, buscando involucrar e integrar en las
funciones de SI, a las partes interesadas internas y externas del negocio.
En consiguiente, la implementación de dichas normativas, en forma
individual o conjunta, ofrece a la organización una visión integral de
todos los aspectos relacionados con el negocio.
 Los estándares PCI DSS e ISO/IEC 20000 en cambio, son marcos
relacionados con aspectos operativos vinculados a la gestión, siendo el
primero de ellos creado para el sector de las tarjetas de pago y el
segundo, para la gestión de servicios de TI.
 Los mecanismos de seguridad propuestos en la Ley HIPAA, si bien
refieren al ámbito de la salud y cubren en forma parcial los controles de
los estándares citados en el primer apartado, pueden ser integrados con
los procesos que ofrece COBIT® 5 para la SI. Esta integración ofrece un
valor agregado a la organización, ya que le permite responder de manera
89
ágil y acertada a los requerimientos de gestión de los riesgos de SI, más
allá de las cuestiones específicas vinculadas al sector.
 Los procesos de gobierno de SI contenidos en el marco COBIT® 5 para
la SI, están relacionados fuertemente con los controles de los estándares
ISO/IEC 27001, ISO/IEC 27002, Buenas Prácticas del ISF, SP 800-53A -
revisión 4 del NIST y la Ley HIPAA. En cuanto a los estándares ISO/IEC
20000 y PCI DSS, por tratarse de normativas de naturaleza operativa y
orientadas a la gestión, no cubren aspectos de gobierno. No existe por lo
tanto, ninguna integración con los procesos correspondientes de
COBIT® 5 para la SI.
 Entre los procesos para la gestión de la SI del marco COBIT® 5, los que
conforman el grupo APO (Alinear, planificar y organizar), mantienen
mayor relación con todos los estándares bajo estudio. En este grupo, las
filas del mapeo general que presentan una mayor integración con los
controles y requisitos que ofrecen los estándares analizados son: APO07
referido a la gestión de los recursos humanos, APO10 sobre la gestión
de los proveedores, APO12 relativo a la gestión de los riesgos y APO13
vinculado a la gestión de la seguridad. De lo dicho se puede deducir que
todos los estándares proponen que la organización integre en las
funciones de protección de la información, a las partes interesadas
internas y externas con el negocio y centren la atención en los riesgos.
 En línea con lo antes mencionado, los procesos BAI (Construir, adquirir e
implementar) de COBIT® 5 para la SI mantiene una integración muy
significativa con los controles de la normativa ISO/IEC 27002. Cabe
mencionar que ningún estándar parece cubrir el proceso BAI05; que se
centra en gestionar la introducción de los cambios organizativos, lo que
constituye un aspecto novedoso de COBIT ® 5 para la SI.
 Los procesos de los dominios DSS (Entregar, dar servicio y soporte) y
MEA (Supervisar, evaluar y valorar) de COBIT® 5 para la SI, mantienen
una correspondencia fuerte con los dominios y controles de los
estándares ISO/IEC 20000 parte 1, ISO/IEC 27001, ISO/IEC 27002,
90
Buenas Prácticas del ISF, SP 800-53A revisión 4, PCI DSS y la Ley
HIPAA, fortaleciendo con ellos las acciones de soporte y evaluación de
los controles implementados en el SGSI.
 A partir lo que se indicó, puede concluirse que el marco COBIT® 5 para
la SI es la normativa más abarcativa y completa de las analizadas,
seguido de los estándares ISO/IEC 27002 e ISO/IEC 27001.
 Finalmente, la implementación colectiva de controles tomados de
diferentes estándares representa un valor agregado para la organización,
al permitir mejorar el ambiente de control y el proceso de gestión de los
riesgos de SI.
91
RECOMENDACIONES.
Ante el desafío de mejorar la SI que enfrentan los profesionales inmersos

en el campo de las TI y la SI en las organizaciones en las que se desempeñan y
como aporte adicional al trabajo final de maestría, se presentan las siguientes
recomendaciones:
 Utilizar un mapeo general de dos o más estándares como guía de apoyo

para la elección acertada de los controles de SI, permitirá robustecer la
SI, atender de manera íntegra los incidentes que puedan presentarse y
aprovechar en forma eficiente los controles que ofrecen las distintas
normativas. Este tipo de herramientas contribuye, además, a disipar la
confusión e incertidumbre que podría surgir a la hora de decidir qué
estándares implementar en la organización. Por otro lado, con ello, se
evita la duplicación de esfuerzos.
 La gestión de los riesgos de SI constituye el foco de trabajo e interés en
las versiones actuales de las normativas que se han analizado e
integrado al mapeo general. En consiguiente, que se aconseja atender
de manera prioritaria la identificación, clasificación, análisis y tratamiento
de los riesgos de SI para implementar los controles necesarios para
mitigarlos y así reducir el impacto de los incidentes en el negocio.
 Implementar el marco COBIT® 5 para la SI o los estándares ISO/IEC
27001, ISO/IEC 27002, ISF y el SP 800-53A, habilita una visión holística
del negocio. Además, ayuda a fortalecer el compromiso e integración de
la dirección en la protección de la información de la organización. Es
importante recalcar, como se puede deducir del cuadro comparativo del
capítulo 5; que los controles propuestos en los estándares estudiados
están relacionados entre sí, lo que permite combinarlos para construir y
mantener un SGSI más robusto.
 Los profesionales dedicados a la implementación de controles para
fortalecer la protección de los datos clínicos de los pacientes pueden
alinear sus trabajos de SI, teniendo como referencia la Ley HIPAA y la
92
normativa ISO/IEC 27002 (en su extensión ISO/IEC 27779 vinculada a la
informática en salud). Cabe aclarar que la Ley HIPAA solo es obligatoria
en los Estados Unidos de América y es mayormente utilizada por las
organizaciones que ofrecen servicios de seguros de salud o en algunos
de los casos, las que procesan o custodian información clínica.
 Se aconseja la implementación de controles asociados al estándar SP
800-53A revisión 4 del NIST para evaluar de manera holística los
trabajos de seguridad y privacidad de la información en los sistemas
asociados al negocio. Es importante tener en cuenta que la normativa
mencionada es obligatoria exclusivamente en las organizaciones
federales de los Estados Unidos, pero gran parte de sus contenidos
pueden ser de utilidad para cualquier organización.
 Por ser PCI DSS un estándar de naturaleza operativa, sus requisitos de
seguridad podrían ser adaptados para el fortalecimiento de los criterios
de protección de la información en organizaciones que no
necesariamente pertenezcan al sector de las tarjetas de pago.
93
ANEXOS.
ANEXO A.3.1.1.
Tabla 3.1.1. Comparativa general ISO/IEC 27001:2005 frente ISO/IEC

27001:2013
ISO/IEC 27001:2005 ISO/IEC 27001:2013
Contiene ciento treinta y cuatro (134) Compuesto por ciento catorce (114)
controles. controles; de los cuales se
mantuvieron noventa y cuatro (94)
de la versión anterior y se
incluyeron veinte (20) nuevos
controles al marco.
Constituido por once (11) dominios. Se incrementaron tres (3) dominios

de control; completando catorce
(14) dominios en la nueva versión.
Posee ciento dos (102) requisitos de El número de requisitos de gestión

gestión de la SI. (Se aclara que un se profundizó en la nueva
requisito de gestión se define como la normativa, incrementando su
condición necesaria que debe cumplirse número a ciento treinta (130).
en el SGSI para optimizar y garantizar la
continuidad del negocio y la SI.)
Su estructura se distribuye en: La estructura está conformada por:
 Sistema de gestión de la SI.  Contexto de la organización.

 Responsabilidad de la dirección.  Liderazgo.
 Auditorías internas del SGSI.  Planificación.
 Revisión del SGSI por la dirección, y  Soporte.
 Mejora del SGSI.  Operación.
 Evaluación de desempeño, y
94
 Mejora.
Únicamente consideraba el compromiso Considera que el compromiso de la

de la dirección para cumplir sus dirección con el SGSI no basta para
funciones de controlar y dirigir todas las su implementación acertada, sino
actividades en la implementación del que es necesario incluir el concepto
SGSI. de liderazgo, de manera de
asegurar la integración de toda la
Sus funciones estaban enmarcadas en
organización en la implementación
definir políticas, establecer planes,
del SGSI.
asignar roles y responsabilidades, brindar
los recursos y revisar el SGSI.
Trata a la gestión de los riesgos de El enfoque de la gestión de riesgos

seguridad de manera aislada del se considera con mayor énfasis
contexto externo e interno de la abarcando: la comprensión del
organización, excluyendo a las partes contexto y la evaluación de los
interesadas. riesgos y su tratamiento. Incluye a
las partes interesadas en su
desarrollo.
95
ANEXO A.3.1.2.
Tabla 3.1.2. Comparativa específica de la ISO/IEC 27001:2005 frente a la

ISO/IEC 27001:2013
ISO/IEC 27001:2005 ISO/IEC 27001:2013
4.2. Establecimiento y gestión de 4. Contexto de la organización.

SGSI.
Para el establecimiento e
4.2.1. Establecimiento del SGSI. implementación del SGSI en la
entidad, se debe entender a la
En los literales a, b y c.
organización como un “todo”,
La norma cubre el estudio del incluyendo las necesidades de las
contexto, políticas de seguridad, partes interesadas que se tienen que
análisis de riesgos; para evaluar la satisfacer.
necesidad de la implementación y
ejecución del SGSI en la
organización. Por tanto se estudia a
la organización de extremo a
extremo determinando las
limitaciones que no se consideran en
la gestión de riesgos.
4.2.1. Establecimiento del SGSI 5. Liderazgo.
Literal b. Este apartado está directamente a la

alta dirección, con el objetivo que
5. Responsabilidad de la Dirección.
estos se sientan comprometidos y
5.1. Compromiso de la dirección, en parte importante del SGSI.
todos sus literales.
Y así muestren el compromiso de
Establecer las políticas de seguridad trabajar en la toma de decisiones y
dentro de la organización, demuestra de toda la gestión del sistema de
96
el liderazgo y compromiso de la seguridad.
dirección para con el SGSI,
involucrando de manera holística a
toda la estructura de la organización.
La normativa 2013 integra estos
aspectos de compromiso y liderazgo
de la dirección en un capítulo.
4.2.1. Establecimiento del SGSI 6. Planificación. Toda la parte de

documentación sobre los planes a
Literales c, d, e, f, g.
considerar en el tratamiento de
4.2.2. Implementación y operación riesgos, objetivos de la SI y como
del SGSI. Literal a. lograrlos.
La planificación es la etapa inicial

para el establecimiento y la ejecución
del SGSI. En la versión 2013, la
planificación y documentación de los
planes de SI se integran en un
capítulo completo. Esto permite
fortalecer el enfoque de la
organización dentro del contexto en
que se desarrolla.
4.3. Requisitos de documentación. 7. Acciones de soporte. La

organización debe determinar y
4.3.2. Control de documentos.
proporcionar los recursos necesarios
4.3.3. Control de registros. para el establemimiento,
implementación, mantenimiento y
La gestión de la documentación
mejora continua del SGSI de manera
(manual técnico, de usuario y matriz
acertada.
de riesgos, entre otros) permite a la
organización tener herramientas de
97
apoyo para fortalecer las acciones de
soporte del SGSI. Lo que beneficia
además, la obtención de evidencias
sustentables para responder en
cualquier momento a las acciones de
control interno o externo.
5.2. Gestión de los recursos.
5.2.1. Provisión de los recursos.
5.2.2. Formación, toma de

conciencia y competencia.
En todos sus literales.
La asignación y gestión de los

recursos son procesos de
importancia para que el SGSI
funcione eficientemente cumpliendo
con los lineamientos estratégicos del
negocio.
4.2.2. Implementación y operación 8. Operación. El hacer o la

del SGSI. implementación y puesta en marcha
del SGSI; donde se exponen los
Literales b, c, h
requisitos necesarios para la
La implementación del plan de planificación y control operativo,
tratamiento de riesgos y controles además de la evaluación y
seleccionados para responder a los tratamiento de los riesgos.
incidentes de seguridad, permiten
funcionar de manera óptima al SGSI
sin que se vea afectada la capacidad
para alcanzar los resultados
98
previstos por la organización.
4.2.3. Seguimiento y revisión del 9. Evaluación del desempeño.

SGSI. Después de la implementación se
considera ejecutar un seguimiento,
En todos los literales.
medición análisis y evaluación del
6. Auditorías Internas funcionamiento del SGSI; además en
esta parte se incluyen las auditorías
7. Revisión del SGSI por parte de la
internas y la revisión por parte de la
Dirección.
dirección que en la versión 2005 era
Los aspectos de revisión del SGSI, considerada de manera separadas.
auditorías internas y el compromiso
de la dirección, han sido agrupados
en un capítulo denominado
“Evaluación del desempeño” para la
nueva versión de la normativa. Lo
que se busca es mostrar resultados
sobre el desempeño del SGSI en la
gestión de los riesgos de seguridad.
8. Mejora del SGSI. 10. Mejora. La mejora continua de la

pertinencia, la adecuación y la
8.1. Mejora continua.
eficacia del SGSI.
8.2. Acción correctiva.
El seguimiento constante del SGSI,

permite tomar acciones correctivas a
fallas encontradas en la evaluación
del desempeño de los sistemas de
información. El sistema de control
interno permite a la organización
mantener en mejora continua la
99
actualización o implementación de
controles para mitigar el riesgo.
100
ANEXO A.3.2.1.
Tabla 3.2.1. Comparativa general de ISO/IEC 27002:2005 frente ISO/IEC

27002:2013
ISO/IEC 27002:2005 ISO/IEC 27002:2013
Presenta el siguiente vocabulario: Presenta el siguiente vocabulario:
 Capítulos o dominios.  Cláusulas.

 Cláusulas.  Secciones.
 Secciones.  Apartado.
 Contiene once (11) dominios,  Se agregan tres (3) cláusulas,

categorizados de la siguiente quedando un total de catorce (14),
manera: divididos en:
o Tres (3) para evaluar la parte o Cuatro (4) sobre los aspectos
técnica de los SGSI. técnicos.
o Uno (1) consideraba aspectos o Uno (1), evalúa la parte física
físicos. de los SGSI.
o Siete (7) englobaban la parte de o Nueve (9) aspectos destinados
la gestión de los sistemas de a la gestión.
información.
 Existían treinta y nueve (39)  El número de objetivos de control
objetivos de control. se disminuyó a treinta y cinco (35).
 El número de controles es de ciento  Al igual que los objetivos de

treinta y tres (133). control, el número de controles es
menor llegando a tener ciento
catorce (114).
 De la versión 2005 se eliminaron
treinta (30) controles, y
 Se agregaron once (11) nuevos
101
controles.
 Un sólo dominio mencionaba los  La gestión de comunicaciones y

aspectos de Gestión de de operaciones, aparecen
comunicaciones y operaciones para divididas en cláusulas diferentes.
la SI.
 Solo existían los controles  Aparecen dos nuevas cláusulas
criptográficos embebidos en el sobre la Criptografía y Relaciones
dominio “Adquisición, desarrollo y con Proveedores de manera
mantenimiento de sistemas de independiente.
información”.
 En cuanto a los proveedores, se lo
incluía en la gestión de servicios
por terceros.
 Describe aspectos sobre la  Menciona la Continuidad de la SI
Continuidad de negocios. como una parte incluida en los
sistemas de gestión de la
continuidad del negocio.
 Contenía un dominio sobre la  La cláusula sobre la evaluación y

Evaluación y tratamiento de los tratamiento de los riesgos se
riesgos. eliminó y paso a formar parte de la
ISO/IEC 27001.
102
ANEXO A.3.3.1.
Tabla 3.3.1. Comparativa general de ISF:2011 frente ISF:2014
ISF 2011 ISF 2014
Gobierno de la SI
 Las entidades de gobierno de la SI,  Se fomenta el compromiso de las

solo se involucraban en la toma de entidades de gobierno de la SI en
decisiones y designaba toda tareas de supervisión y revisión del
función de supervisión y revisión al SGSI y la gestión de los riesgos
CISO (Chief Information Security para mantener el apetito de riesgo
Officer – Responsable Principal de de la información en una base
la SI). aceptable para la organización.
 Debe apoyar la adquisición de

nuevas tecnologías como
virtualización, gestión de
dispositivos móviles o BYOD (Bring
Your Own Device – “Trae tu propio
dispositivo”), que aporten valor al
negocio, manteniendo así los
niveles de seguridad aceptables
para gestionar los riesgos.
 Se gestionan los riesgos de SI de  Se deben gestionar los riesgos de

manera independiente a la SI dentro de la metodología de
metodología implementada para los gestión de proyectos de la
riesgos de negocio de la organización.
organización.
103
Requerimientos de SI.
 No evalúa riesgos de seguridad en  Evalúa los riesgos de seguridad

tecnologías que están en auge antes de implementar nuevas
dentro de las organizaciones, tecnologías (aplicaciones móviles,
como: BYOD, HTML5, aplicaciones HTML5, BYOD, virtualización, etc.).
móviles.
 Revisar información relevante
sobre: nuevas y cambiantes
amenazas, vulnerabilidades y
exploits descubiertos, incidentes de
seguridad de las organizaciones del
contexto e impactos sufridos por
negocios competidores.
 Abarca información crítica y

sensible de diferentes ámbitos de
negocio tales como: información
comercial, legal, logística o
propiedad intelectual, entre otras;
como base para la evaluación de
los riesgos de seguridad de
información dentro de la
organización.
 Las vulnerabilidades se evalúan de  Trata las vulnerabilidades por

manera global teniendo en separado considerando el impacto
consideración el impacto financiero en la información comercial, en las
para el negocio. etapas del ciclo de vida de
desarrollo de software.
104
 Se mantienen controles que regulan
el cumplimiento a leyes y
regulaciones que afectan a la SI.
 Relaciona las políticas de seguridad  Alinea las políticas de SI de la

de la organización frente a las organización con las políticas de
políticas de privacidad de privacidad para datos en la nube.
información en la nube, como
nueva tecnología.
 Recomienda notificar todo lo
pertinente a fallos relacionados con
la SI, ante organismos de control
basándose en leyes vigentes en los
EEUU.
Marco de Controles
 Toda la responsabilidad de la  Involucra a toda la organización en

implementación, ejecución y mejora el cumplimiento de los controles de
del SGSI está sobre el CISO de la seguridad para gestionar los
organización. riesgos de seguridad.
 Los programas de concientización  Los programas de concientización

del personal incluyen resultados de del talento humano, deben
la evaluación de riesgos o impulsarse sobre la gestión de
documentación existente. riesgos a través de una
metodología.
105
 La Gestión de amenazas y
vulnerabilidades se asocian con la
información, sistemas y redes,
manteniendo el grado de seguridad
actualizado mediante la ejecución
continua del monitoreo de los
mismos.
 Amplia el control del Outsourcing y

Cloud Computing, fortaleciendo la
definición de políticas de seguridad
que deben mantener relación con
las políticas de negocio.
 Considera de importancia la gestión

de vulnerabilidades generadas por
la delincuencia electrónica, quienes
buscan perturbar o derribar a las
organizaciones.
 Integra controles para mantener

seguro los dispositivos de
información de la organización,
dada la tendencia del “Internet de
las cosas”, existen equipos de
oficinas que almacenan datos
internamente.
106
Monitoreo y Mejora de la SI
 La dirección no se compromete ni  La dirección se involucra en el

involucra en el monitoreo del SGSI. monitoreo y revisión de la
implementación de los controles de
seguridad.
 Las auditorías sólo se centran en  La tarea de auditoría se debe

revisar las aplicaciones y procesos ejecutar en todos los entornos
de negocio y redes de críticos para el negocio, abarcando
comunicaciones, sin considerar el aplicaciones (ERP, CRM, entre
equipamiento de oficina. otras), procesos, procedimientos,
redes de comunicaciones e
inclusive el equipamiento de
oficina.
107
ANEXO A.3.4.1.
Tabla 3.4.1. Comparativa general SP 800-53A REVISION 1:2011 frente SP 800-

53A REVISION 4:2014
SP 800-53A REVISION 1:2011 SP 800-53A REVISION 4:2014
Considera los procedimientos Evalúa los procedimientos

relacionados a la seguridad como único vinculados a la seguridad y
criterio de evaluación. privacidad por separado en el
capítulo 3, referido a procesos.
No considera la evaluación de las Dentro del capítulo de procesos, se

funcionalidades ni capacidades de incluye la evaluación de las
seguridad y privacidad. funcionalidades o capacidades de la
seguridad y la privacidad. Este
criterio de evaluación expone que la
protección de la información rara
vez se deriva de la implementación
de un único control de seguridad.
Por lo general, la SI considera la
aplicación de un conjunto de
controles seguridad que fortalece
las acciones de privacidad.
Ofrece un único apéndice, en el que se Entrega a los profesionales dos

encuentra un catálogo de procedimientos apéndices donde se describen:
para la evaluación. (Apéndice F)
 Procedimientos para la
evaluación de la privacidad.
(Apéndice F)
 Procedimientos para la
evaluación de la seguridad.
(Apéndice J)
108
No considera la evaluación continua y la Ofrece una guía para la evaluación
automatización de los sistemas de continua y para la automatización
información. de los procedimientos de seguridad
y privacidad que, se logra a través
del uso de técnicas automatizadas
para alcanzar una evaluación
eficiente de los sistemas de
información. (Apéndice I)
109
BIBLIOGRAFIA.
BIBLIOGRAFIA GENERAL.
 “Acerca de ISACA”; http://www.isaca.org/spanish/Pages/default.aspx;

Consultada: Lunes, 08 de febrero del 2016.
 “Certificaciones de seguridad de la información – ISO 27001 y PCI
DSS”; https://www.nccgroup.trust/uk/our-services/security-consulting/iso-
27001-certification-and-pci-dss-compliance/; Consultada: 15/02/2016.
 “COBIT 5 para la seguridad de información”;
http://www.isaca.org/COBIT/Pages/Information-Security-Product-
Page.aspx; Consultada: 08/02/2016.
 “Comparativa de ISO 27001”: cambios en la evaluación de riesgos”;
http://www.welivesecurity.com/la-es/2014/12/31/iso-27001-cambios-
evaluacion-riesgos/; Consultada: 28/01/2016.
 “Comparison of PCI DSS and ISO/IEC 27001 Standards Volumen 1 –
2016”; Consultado: 16/02/2016.
 “Conozca la nueva versión de COBIT”;
http://www.pinkelephant.com/uploadedFiles/Content/es-
mx/Products/PinkPublication/FAQ-COBIT-V8.pdf; Consultada:
14/01/2015.
 DELGADO, J.; “Seguridad de la información en el ámbito de la
salud”; Agosto, 2015.
 “De la historia clínica a la historia de salud electrónica (Resumen)”;
http://www.seis.es/documentos/informes/secciones/adjunto1/CAPITULO1
_0.pdf; Consultada: 25/03/2015.
 “Diseño de Sistema de Gestión de Seguridad de Información”;
https://www.dspace.espol.edu.ec/bitstream/123456789/6962/8/Tesis%20
de%20grado.pdf; Consultada: 31/01/2015.
 “El portal de ISO 27001 en Español”;
http://www.iso27000.es/iso27000.html; Consultada: 21/01/2016.
 “El rol de COBIT 5 en la estrategia de seguridad informática”;
http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-
la-estrategia-de-seguridad-informatica; Consultada: 14/01/2015.
 “HIPAA ADMINISTRATIVE SIMPLIFICATION”;
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsim
pregtext.pdf; Consultada: 23/03/2015.
 “Información sobre su salud: Derecho a la confidencialidad”;
http://www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/derechoc
onfidencialidid.pdf; Consultada: 31/01/2015.
 IRAM, ISO/IEC 20000-1: Tecnología de la Información. Gestión del
servicio. Parte 1: Requisitos del sistema de gestión del servicio. Edición:
diciembre 2011.
110
 IRAM, ISO/IEC 27001:2005 Tecnología de la Información. Técnica de
Seguridad. Código de Prácticas para Seguridad de la Información –
Controles. Edición: Diciembre 2005.
Controles. Edición: Abril 2014.
Controles. Edición: Agosto 2005.
Controles. Edición: Septiembre 2013.
 ISACA, COBIT® 5 para seguridad de la información, Estados Unidos,
2012.
 “ISACA ¿Cómo proteger de manera efectiva la información?”;
https://seguinfo.wordpress.com/category/cobit/; Consultada: 14/01/2015.
 ISF (Information Security Foroum); Estándar de Buenas Prácticas Para
la Seguridad de la Información 2011; Estados Unidos, 2011.
 ISF (Information Security Foroum); Estándar de Buenas Prácticas Para
la Seguridad de la Información 2014; Estados Unidos, 2014.
 “ISO/IEC 20000: de las mejores prácticas TI a la norma”;
http://www.socinfo.es/contenido/seminarios/aragon/osiatis.pdf;
Consultada: 27/01/2016.
 “ISO/IEC 27002:2005”;
http://www.iso27000.es/download/ControlesISO27002-2005.pdf;
 “ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y
114 CONTROLES”;
http://www.iso27000.es/download/ControlesISO27002-2013.pdf;
 “ISO 27002”; http://datateca.unad.edu.co/contenidos/233004/47797859-
ISO-27002-Espanol.pdf; Consultada: 28/02/2015.
 “Las nuevas versiones de las Normas ISO 27001 e ISO 27002”;
http://www.criptored.upm.es/descarga/NuevasVersionesISO27001eISO2
7002.pdf; Consultada: 28/02/2015.
 “ISO/IEC 20000 – Guía de Bolsillo”; http://www.exin-
library.com/Samplefiles/9789077212882_iso-iec-20000-gu-a-de-
bolsillo.pdf; Consultada: 21/03/2015.
 “ISO/IEC 20000: de las mejores prácticas TI a la norma”;
http://www.socinfo.es/contenido/seminarios/aragon/osiatis.pdf;
 “ISO/IEC 20000. Guía completa de aplicación para la gestión de los
servicios de tecnologías de la información”;
www.aenor.es/aenor/descargadocumento.asp/PUB_DOC_Tabla_AEN_7
172_1.pdf; Consultada: 21/03/2015.
111
 “ISO/IEC 27014:2013 Tecnología de la Información – Técnicas de
Seguridad – Gobernanza de la Seguridad de la información”;
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?c
snumber=43754; Consultada: 21/01/2016.
 “ISO 27000”; http://www.iso27000.es/download/doc_iso27000_all.pdf;
 “La Ley Pública HIPAA: su aplicabilidad – Universidad
Metropolitana – Escuela de Educación Continua”;
https://www.suagm.edu/umet/pdf/educacion_continua/modulo_instruccion
al_ley_hippa.pdf; Consultada: 31/01/2015.
 “La norma ISO 27001 del Sistema de Gestión de la Seguridad de la
Información - Garantía de confidencialidad, integridad y
disponibilidad de la información”;
http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-
47cf-ba5e-5ea421fcbeb4&groupId=10128; Consultada: 07/02/2015.
 “Ley HIPAA”;
http://auditoriasistemasucb.pbworks.com/f/Ley_HIPAA.pdf; Consultada:
20/01/2016.
 “NIST Special Publication 800-53A Revision 1 - Guide for Assessing
the Security Controls in Federal Information Systems and
Organizations”; http://csrc.nist.gov/publications/nistpubs/800-53A-
rev1/sp800-53A-rev1-final.pdf; Consultada: 12/04/2015.
 “NIST Special Publication 800-53A Revision 4 - Assessing the
Security and Privacy Controls in Federal Information Systems and
Organizations - Building Effective Assessment Plans”;
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
53Ar4.pdf; Consultada: 11/03/2016.
 “Norma UNE-ISO 31000”; http://www.aec.es/web/guest/centro-
conocimiento/iso-31000; Consultada: 11/01/2016.
 “Norma UNE-ISO 27001”; http://www.aec.es/web/guest/centro-
conocimiento/norma-une-isoiec-27001; Consultada: 11/01/2016.
 “PCI (Industria de tarjetas de pago) Normas de seguridad de datos –
Requisitos y procedimientos de evaluación de seguridad”;
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/e
n/docs/PCI_DSS_v3.pdf; Consultada: 15/02/2016.
 “¿Qué es ISF?”; http://www.calogistics.com/images/docs/isf.pdf;
 “Re-evolución COBIT® 5”; http://www.isaca.org/Knowledge-
Center/cobit/Documents/COBIT5-and-InfoSec-Spanish.ppt; Consultada:
26/01/2016.
 U.S. Department of Health and Human Services Office for Civil
Rights, HIPAA Administrative Simplification Regulation Text. Edition:
March 2013.
112
BIBLIOGRAFIA ESPECÍFICA
[1] [4] [9] ISACA, COBIT® 5 para seguridad de la información, Estados

Unidos, 2012.
[2] [3] [5] ISACA., Acerca de ISACA;
http://www.isaca.org/spanish/Pages/default.aspx; Consultada: 08/02/2016.
[6] [7] [8] ISACA, COBIT 5 para la seguridad de información;
http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx;
Consultada: Lunes, 08/02/2016.
[10] [11] SEGURINFO 2012 – XIX Congreso y feria interamericana de
seguridad de la información. Re-evolución COBIT® 5;
http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT5-and-InfoSec-
Spanish.ppt; Consultada: 26/01/2016.
[12] “Habilitador”; http://es.wiktionary.org/wiki/habilitador; Consultada:
20/08/2014.
[13] [14] [15] [16] IRAM, ISO/IEC 20000-1: Tecnología de la Información.
Gestión del servicio. Parte 1: Requisitos del sistema de gestión del
servicio. Edición: diciembre 2011.
[17] OSIATIS, ISO/IEC 20000: de las mejores prácticas TI a la norma.
http://www.socinfo.es/contenido/seminarios/aragon/osiatis.pdf; Consultada:
27/01/2016.
[18] IRAM, ISO/IEC 27001:2013 Tecnología de la Información. Técnica de
Seguridad. Sistema de gestión de seguridad de la información -
Requisitos. Edición: Abril 2014.
[19] ASOCIACION ESPAÑOLA PARA LA CALIDAD, Norma UNE-ISO 31000.
http://www.aec.es/web/guest/centro-conocimiento/iso-31000; Consultada:
11/01/2016.
Controles. Edición: Septiembre 2013.
Controles. Edición: Agosto 2005.
[22] ASOCIACION ESPAÑOLA PARA LA CALIDAD, Norma UNE-ISO 27001.
http://www.aec.es/web/guest/centro-conocimiento/norma-une-isoiec-27001;
113
[23] [24] ISF (Information Security Forum); Estándar de Buenas Prácticas
Para la Seguridad de la Información 2014; Estados Unidos, 2014.
[25] NIST; NIST Special Publication 800-53A Revision 1 - Guide for
Assessing the Security Controls in Federal Information Systems and
Organizations; http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-
53A-rev1-final.pdf; Consultada: 21/08/ 2014.
[26] [28] [29] “NIST Special Publication 800-53A Revision 4 - Assessing the
Security and Privacy Controls in Federal Information Systems and
Organizations - Building Effective Assessment Plans”;
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf;
[27] WELIVESECURITU En español.; Comparativa de ISO 27001: cambios
en la evaluación de riesgos.; http://www.welivesecurity.com/la-
es/2014/12/31/iso-27001-cambios-evaluacion-riesgos/; Consultada: 28/01/2016.
[30] [31] [34] [36] PCI SECURITY STANDARDS COUNCIL. PCI (Industria de
tarjetas de pago) Normas de seguridad de datos – Requisitos y
procedimientos de evaluación de seguridad.
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/
PCI_DSS_v3.pdf; Consultada: 15/02/2016.
[32] [33] ISACA JOURNAL. Comparison of PCI DSS and ISO/IEC 27001
Standards Volumen 1 – 2016. Consultado: 16/02/2016.
[35] NCCGROUP. Certificaciones de seguridad de la información – ISO
27001 y PCI DSS. https://www.nccgroup.trust/uk/our-services/security-
consulting/iso-27001-certification-and-pci-dss-compliance/; Consultada:
15/02/2016.
[37] [39] DELGADO, J.; Seguridad de la información en el ámbito de la
salud., Trabajo final de Especialización, MSI (UBA) Agosto, 2015.
[38] SOCIEDAD ESPAÑOLA DE INFORMATICA Y SALUD (SEIS); De la
historia clínica a la historia de salud electrónica (Resumen);
http://www.seis.es/documentos/informes/secciones/adjunto1/CAPITULO1_0.pdf;
[40] Universidad Católica Boliviana San Pablo; “Ley HIPAA”;
http://auditoriasistemasucb.pbworks.com/f/Ley_HIPAA.pdf; Consultada:
20/01/2016.
114

Delgado, Jonathan TFFM

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Delgado, Jonathan TFFM

Transféré par

Droits d'auteur :

Formats disponibles

Universidad De Buenos Aires

Facultad De Ciencias Económicas, Ciencias Exactas y Naturales e

Maestría en Seguridad Informática

Trabajo Final de Maestría

COMPARACIÓN ENTRE COBIT® 5 PARA LA SEGURIDAD DE LA

DELGADO CEDEÑO JONATHAN RODOLFO

Directora: MG. PATRICIA PRANDINI

Por medio de la presente, el autor manifiesta conocer y aceptar el Reglamento

Delgado Cedeño Jonathan Rodolfo.

La existencia de múltiples estándares relacionados a la protección de la

Palabras Claves: Estándares, Normativas, Enfoque analítico - comparativo,

ENISA European Union Agency for Network and Information Security.

BYOD Bring Your Own Device. / Trae Tu Propio Dispositivo.

La bibliografía que existe en realidad ofrece algunas comparaciones

En respuesta a lo antes mencionado, conocer las relaciones que existen

Frente a esta necesidad, la investigación desarrollada en el presente

Con el fin de diseñar estas comparaciones, se consideró como guía el

Paralelamente, se consideró el análisis e integración al mapeo general

El trabajo final de maestría se desarrolla en 5 capítulos. El capítulo 1

El cuadro comparativo mencionado fue diseñado de manera que brinde

Este trabajo queda abierto a estudios que puedan efectuarse a futuro, a

Uno de los desafíos que enfrentan las organizaciones en relación al

Por lo general, los directivos de las organizaciones dudan en invertir en

En la mayor parte de las ocasiones, frente a la propuesta de inversiones

En efecto, la SI involucra una labor integral, que abarca desde la

Sin embargo, el “problema” existente de abundancia de estándares para

En adelante y a los fines, del presente trabajo final de maestría,

Frente al gran número de normativas como se dijo, ubica al negocio en

En efecto, este marco se basa en una serie de principios, según se

Por otra parte, COBIT® 5 es un marco reconocido a nivel internacional,

En particular, uno de los volúmenes que conforman la familia de COBIT®

COBIT® 5 para la SI brinda a la organización la posibilidad de ampliar el

Una forma de abordar la problemática de la multiplicidad de normativas

 Mejorar los tiempos de respuesta en el proceso de selección de la ó las

1.1. NORMATIVAS SOBRE SEGURIDAD DE LA INFORMACIÓN.

Los organismos nacionales e internacionales dedicados al estudio,

Las tareas de SI se orientan a implementar controles que protejan las

Emplear normativas que permitan mantener una adecuada SI en las

Efectivamente, muchos caían en el error de volcar sus esfuerzos en

De hecho existen varias normativas nacionales e internacionales, en lo

 Estándares 20000, 27001 y 27002 de la Organización Internacional de

1.2. INTEGRACION DE ESTANDARES VINCULADOS A LA SI.

Como se mencionó anteriormente, la bibliografía actual refleja una

En efecto, entre los anexos de COBIT® 5 para la SI, su Apéndice H

Sobre la base de este anexo, se desarrolla el presente trabajo que

El material que se desarrolla puede ser de utilidad para organizaciones

Sin embargo, el mapeo general puede usarse como herramienta de

En conclusión, el objetivo de este trabajo es brindar un aporte teórico,

2.1. COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION. [1]

Titulo COBIT® 5 para la seguridad de la información.

Emitido por ISACA

Año de publicación 2012

ISACA es una organización internacional que trabaja con el objetivo de

Este organismo de control ayuda a los profesionales de las áreas de TI a

Como se expone en el capítulo anterior, una de las herramientas

Tal es el caso de COBIT® 5 para la SI que abarca los principales

En particular, ISACA sostiene que la aplicación de COBIT® 5 para la SI

 Aumenta la satisfacción de los usuarios finales con la instauración de

De manera general, COBIT® 5 para la SI es presentado a los

En particular, para el marco COBIT® 5 la SI se define como:

“…aquello que asegura que dentro de la organización, la información se encuentra

 Directrices sobre los principales ejes conductores y beneficios de la SI

El marco permite gestionar la SI de un modo holístico en toda la