Académique Documents
Professionnel Documents
Culture Documents
TEMA:
COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACIÓN
TITULO:
AUTOR:
2016
COHORTE 2013
DECLARACIÓN JURADA DEL ORIGEN DE LOS CONTENIDOS
i
RESUMEN
ii
INDICE
DECLARACIÓN JURADA DEL ORIGEN DE LOS CONTENIDOS .................................................. I
RESUMEN .............................................................................................................................................. II
INDICE ..................................................................................................................................................... III
NÓMINA DE ACRÓNIMOS EMPLEADAS EN EL TRABAJO .......................................................... V
INTRODUCCIÓN ................................................................................................................................... 1
CAPITULO I ............................................................................................................................................ 4
1. PROBLEMÁTICA ............................................................................................................................... 4
1.1. NORMATIVAS SOBRE SEGURIDAD DE LA INFORMACIÓN ................................................ 7
1.2. INTEGRACION DE ESTANDARES VINCULADOS A LA SI .................................................... 9
CAPITULO II ......................................................................................................................................... 11
2. PRESENTACION DE NORMATIVAS. .......................................................................................... 11
2.1. COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION. .................................................. 11
2.1.1. PRINCIPIOS DE COBIT® 5 PARA LA SEGURIDAD DE LA INFORMACION .................. 13
2.1.1.1. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ....................... 15
2.1.1.2. CUBRIR LA EMPRESA DE EXTREMO A EXTREMO ...................................................... 16
2.1.1.3. APLICAR UN MARCO DE REFERENCIA ÚNICO E INTEGRADO ................................ 16
2.1.1.4. HACER UN ENFOQUE HOLÍSTICO ................................................................................... 16
2.1.1.5. SEPARAR EL GOBIERNO DE LA GESTIÓN .................................................................... 16
2.1.2. HABILITADORES DE COBIT® 5 PARA LA SI ...................................................................... 17
2.1.2.1. POLÍTICAS, PRINCIPIOS Y MARCOS DE REFERENCIA .............................................. 17
2.1.2.2. PROCESOS............................................................................................................................ 18
2.1.2.3. ESTRUCTURAS ORGANIZATIVAS ................................................................................... 18
2.1.2.4. CULTURA, ÉTICA Y COMPORTAMIENTO ....................................................................... 19
2.1.2.5. INFORMACIÓN ...................................................................................................................... 19
2.1.2.6. CAPACIDADES DE SERVICIOS, INFRAESTRUCTURAS Y APLICACIONES ........... 20
2.1.2.7. PERSONAS, HABILIDADES Y COMPETENCIAS............................................................ 20
2.1.2.8. INTERACCIÓN ENTRE HABILITADORES ........................................................................ 21
2.2. ISO/IEC 20000:2011 – TECNOLOGIA DE LA INFORMACIÓN. GESTIÓN DEL SERVICIO.
PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL SERVICIO ..................................... 22
2.2.1. ESTRUCTURA DE LA NORMATIVA ISO/IEC 20000:2011 PARTE 1 ............................... 24
2.3. ISO/IEC 27001: TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – REQUISITOS .............. 27
2.4. ISO/IEC 27002 - TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
CÓDIGO DE PRÁCTICAS PARA LA SEGURIDAD DE INFORMACIÓN – CONTROLES ........ 29
iii
2.5. ESTÁNDAR DE BUENAS PRÁCTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN -
FORO DE SEGURIDAD DE LA INFORMACIÓN (ISF / INFORMATION SECURITY FORUM) 32
2.5.1. ESTRUCTURA DEL ISF 2014 ................................................................................................. 33
2.6. ESTÁNDAR SP 800-53A REVISIÓN 4 DEL INSTITUTO NACIONAL DE ESTÁNDAR Y
TECNOLOGÍA (NIST / NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY) ........ 36
CAPITULO III ........................................................................................................................................ 40
3. COMPARATIVA DE LAS NORMATIVAS ..................................................................................... 40
3.1. ISO/IEC 27001:2005 FRENTE A ISO/IEC 27001:2013 ........................................................... 40
3.2. ISO/IEC 27002:2005 FRENTE A ISO/IEC 27002:2013 ........................................................... 42
3.3. ISF VERSIÓN 2011 FRENTE A ISF VERSIÓN 2014 .............................................................. 44
3.4. SP 800-53A REVISION 1 FRENTE A LA SP 800-53A REVISION 4...................................... 46
CAPITULO IV ........................................................................................................................................ 48
4. IMPORTANCIA DE LA SI EN SECTORES ESPECÍFICOS ....................................................... 48
4.1. SI DE LAS TARJETAS DE PAGO .............................................................................................. 48
4.1.1 ESTÁNDAR DE SEGURIDAD DE DATOS PARA LA INDUSTRIA DE TARJETA DE
PAGO (PCI DSS / PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) ................... 49
4.1.2. ESTRUCTURA DEL ESTÁNDAR PCI DSS........................................................................... 50
4.2. SI DE LOS DATOS DE SALUD ................................................................................................... 51
4.2.1. SI EN LAS HCES ....................................................................................................................... 52
4.2.2. NORMATIVAS Y ESTÁNDARES VINCULADOS A LA SI DE LOS DATOS DE SALUD . 53
4.2.3. LEY DE RESPONSABILIDAD Y PORTABILIDAD DEL SEGURO MÉDICO (HIPAA /
HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) – SEGURIDAD Y
PRIVACIDAD SUB PARTE C ................................................................................................................. 54
4.2.3.1. ESTRUCTURA DE LA LEY HIPAA...................................................................................... 57
CAPITULO V ......................................................................................................................................... 59
5. CUADRO COMPARATIVO GENERAL DE COBIT 5 PARA LA SI FRENTE A OTRAS
NORMATIVAS RELACIONADAS A LOS SGSI ............................................................................... 59
5.1. MAPEO GENERAL ACTUALIZADO .......................................................................................... 60
CONCLUSIONES ................................................................................................................................ 89
RECOMENDACIONES ....................................................................................................................... 92
ANEXOS ................................................................................................................................................ 94
BIBLIOGRAFIA................................................................................................................................... 110
iv
NÓMINA DE ACRÓNIMOS EMPLEADAS EN EL TRABAJO
ACRÓNIMOS DE ORGANIZACIONES
v
OTROS ACRÓNIMOS
vi
Modelo de madurez de capacidad de ingeniería de seguridad de
sistemas.
TI Tecnología de la información.
VNP Virtual Private Network. / Redes Privadas Virtuales.
vii
INTRODUCCIÓN
Debido al acelerado avance tecnológico que acontece en la actualidad,
las organizaciones se preparan para afrontar los riesgos de seguridad que
surgen de la adopción de nuevas plataformas tecnológicas para el tratamiento
de la información. En este contexto, para muchos profesionales inmersos en el
campo de las tecnologías de la información y de la seguridad de la información,
la tarea de selección, implementación y monitoreo de controles de seguridad, se
han convertido en verdadero desafío, dado a la existencia de un sinnúmero de
normas vinculadas a esa disciplina.
1
y SP 800-53A - revisión 1 del NIST. En el presente trabajo, estas normas fueron
actualizadas a sus versiones recientes ISO/IEC 27001:2013, ISO/IEC
27002:2013 de ISO/IEC, Buenas Prácticas 2014 del ISF y SP 800-53A revisión
4 del NIST, respectivamente.
2
conclusiones y una serie de recomendaciones vinculadas a la implementación
de las normativas analizadas.
3
CAPITULO I
1. PROBLEMÁTICA.
4
en reconocer la normativa más conveniente en términos de buenas prácticas, a
partir de los lineamientos estratégicos de la organización.
5
Figura 1.1. Principios de COBIT® 51
1
ISACA (2012). COBIT® 5 Un marco de negocio para el gobierno y la gestión de las TI de la Empresa.
[Figura]. Extraído de http://www.isaca.org/cobit/Pages/CobitFramework.aspx
6
En este sentido, el análisis comparativo de algunos estándares
relacionados a la SI para la generación de un mapeo general que los integre
con otros marcos regulatorios, puede ampliar la visión sobre el gobierno y la
gestión de TI a toda la organización. Otros beneficios adicionales que se
pueden lograr son:
7
informático y otros códigos maliciosos, accesos remotos no autorizados y robo
de identidad, entre otros; que deben considerarse en la gestión de la SI.
8
Buenas prácticas del Foro de Seguridad de la Información (ISF –
Information Security Forum).
Estándar IT Baseline Protection Manual, establecido por la Agencia
Federal alemana para la seguridad en TI.
Estándar RFC2196 – Site Security Handbook del Grupo de Trabajo de
Ingeniería de Internet (IETF - Internet Engineering Task Force).
Estándar de seguridad de datos para la industria de tarjeta de pago. (PCI
DSS - Payment Card Industry Data Security Standard).
Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM
(Open Standard Security Testing Model), desarrollado por ISECOM
(Institute for Security and Open Methodologies).
Estándar para la creación de sistemas de gestión de la seguridad de la
información (ISM3 - Information Security Management Maturity Model).
Modelo de madurez de capacidad de ingeniería de seguridad de
sistemas (SSE-CMM - Systems Security Engineering Capability Maturity
Model), establecido por la Universidad Carnegie-Mellon y el Instituto de
Ingeniería de Software (SEI - Software Engineering Institute).
Guía de buenas prácticas para abordar aspectos de seguridad de red y
la información de la ciberdelincuencia, desarrollado por Agencia Europea
de Seguridad de las Redes y de la Información - ENISA.
9
que se puede visualizar la relación entre todas estas normas. Sin embargo,
debido a que el marco fue publicado en el año 2012, es un trabajo
desactualizado a la fecha ya que presenta una comparativa con versiones de
las normas citadas que se encontraban vigentes al momento de la publicación
pero que ya han sido reemplazadas.
Asimismo puede servir como guía y herramienta de apoyo para que los
profesionales de SI evalúen y mejoren el ambiente de controles implementados
sobre los recursos de información de la organización y así, fortalecer los niveles
de seguridad y de gestión de riesgos de TI y SI que existan.
10
CAPITULO II
2. PRESENTACION DE NORMATIVAS.
En este capítulo se presenta una descripción general de los aspectos
relevantes de las normativas que han sido objetos de estudio, para su posterior
vinculación a través del mapeo comparativo que se incluye más adelante.
Nombre COBIT® 5
11
Sobre la base del marco COBIT® 5, ISACA ha desarrollado una familia
de productos o volúmenes para las distintas áreas en las que actúan los
profesionales de TI. Estos volúmenes se enfocan al riesgo, la seguridad y la
auditoría, entre otras áreas en las que además, se promueve la certificación de
habilidades y conocimientos críticos para el negocio. [5]
12
Considerando la definición anterior y como aspecto importante para el
desarrollo de la SI en las organizaciones, el estándar incluye entre sus
contenidos las siguientes pautas: [10]
13
1. Satisfacer las necesidades de las partes interesadas.
2. Cubrir la empresa de extremo a extremo.
3. Aplicar un marco de referencia único integrado.
4. Hacer un enfoque holístico.
5. Separar el gobierno de la gestión.
“…medio para poder hacer algo, lograrlo o servir para un fin.” [12]
Los habilitadores en los que se fundamenta COBIT® 5 para la SI, son los
que describe la Figura 2.1. Sus principales características se presentan en el
próximo apartado.
14
Figura 2.1. Habilitadores Corporativos de COBIT® 5.2
2
ISACA (2012). Un marco de negocio para el gobierno y la gestión de TI de la empresa. Catalizadores
Corporativos COBIT 5. [Figura]. Extraído de http://www.isaca.org/cobit/Pages/CobitFramework.aspx.
15
Sobre la base de las ideas, el marco para la SI considera que la gestión
de los riesgos de seguridad es la parte medular a la hora de proteger los
sistemas, los activos y la información del negocio.
16
De acuerdo con lo expuesto en COBIT® 5 para la SI, se interpreta que
las áreas de gobierno de la SI son las encargadas de la dirección y la toma de
decisiones sobre las actividades relacionadas a la SI dentro de la organización.
Aquellas dedicadas a la gestión de la SI por su parte, abarcan la planificación,
ejecución y control de las tareas vinculadas a esta área.
17
fundamento para la definición de políticas, principios y marcos de referencia en
la organización.
2.1.2.2. PROCESOS.
18
está a cargo de la función de preservar la confidencialidad de la información y
de los recursos utilizados para gestionarla.
2.1.2.5. INFORMACIÓN.
19
El marco señala que este habilitador incluye metas y buenas prácticas,
las que varían dependiendo del contexto de la organización y de la estrategia
del negocio que se desea alcanzar.
20
protección adecuada de la información es producto de las habilidades y
competencias del personal en el desempeño responsable de sus funciones, las
que deben ser perfeccionadas como parte del trabajo diario.
21
2.2. ISO/IEC 20000:2011 – TECNOLOGIA DE LA INFORMACIÓN. GESTIÓN
DEL SERVICIO. PARTE 1: REQUISITOS DEL SISTEMA DE GESTIÓN DEL
SERVICIO. [13]
Gestión de Servicio
22
La normativa ISO/IEC 20000 está constituida por dos partes:
“3.26. Servicio: Medio de entrega de valor al cliente facilitando que alcance los
resultados que quiere lograr.
Nota 1: El servicio es generalmente intangible.
Nota 2: Un servicio puede también ser provisto al proveedor del servicio por un
suministrador, un grupo interno o un cliente actuando como suministrador.” [14]
23
organización como entes en la toma de decisiones y para la identificación,
evaluación y aplicación de los procesos que deberán implementarse.
Finalmente, la normativa en análisis, describe al Sistema de Gestión del
Servicio (SGS) como:
“3.31. Sistema de Gestión del Servicio: Sistema de gestión para dirigir y controlar las
actividades de gestión de los servicios del proveedor del servicio.
Nota 1: Un sistema de gestión es un conjunto de elementos interrelacionados o que
interactúan para establecer la política y objetivos y lograr dichos objetivos.
Nota 2: El SGS incluye todas las políticas de gestión del servicio, objetivos, planes,
procesos, documentación y recursos requeridos para el diseño, transición, provisión y
mejora de los servicios para el cumplimiento de los requisitos en esta parte de la Norma
ISO/IEC 20000.
Nota 3: Adaptado de la definición de “sistema de gestión de calidad” de la Norma la ISO
9000:2005” [16]
24
o La gestión de la documentación que se genera en todo el proceso
de análisis, selección, implementación, control y evaluación de los
servicios.
Diseño y transición de servicios nuevos o modificados.- Un nuevo
servicio o la actualización de uno ya existente, debe ser controlado de tal
manera que se conozca el impacto real que tendrá en la organización.
25
Para ello, se debe mantener un procedimiento documentado que registre
las incidencias y problemas que afectan al sistema de información de la
organización. Además, debe permitir la identificación de las medidas de
control que minimicen o eviten el impacto sobre los servicios de TI.
Los controles son las actividades que se ejecutan para lograr el objetivo
del negocio, del proveedor o del cliente y deben determinarse en función
del nivel deseado de la protección de la información, de la gestión de los
riesgos de SI y de la continuidad del negocio.
26
2.3. ISO/IEC 27001: TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE
SEGURIDAD - SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN – REQUISITOS. [18]
27
partes interesadas, lo que permite conocer la base sobre la cual se
implementará el SGSI.
2. Liderazgo.- Este apartado se enfoca de manera directa a la alta
dirección, con el objetivo de que se sienta comprometida y a su vez
parte importante del SGSI en la toma de decisiones y en la gestión
del sistema de SI.
3. Planificación.- Este punto contiene la descripción de documentación
relacionada a los planes que se considerarán en el tratamiento de los
riesgos, los objetivos planteados y los mecanismos para lograrlos.
4. Acciones de soporte.- Establece que la organización debe determinar
y proporcionar los recursos necesarios para la implementación,
establecimiento, mantenimiento y mejora continua del SGSI.
5. Operación.- En esta sección del estándar se exponen los requisitos
necesarios para la planificación y control operativo, además de la
evaluación y tratamiento de los riesgos en la implementación del
SGSI.
6. Evaluación de desempeño.- Se indica que después de la
implementación, se debe realizar el seguimiento, medición, análisis y
evaluación del funcionamiento del SGSI. Además, se incluyen las
auditorías internas y la revisión por parte de la dirección, aspectos
que en la versión 2005 anterior a la actual, eran consideradas de
manera separadas.
7. Mejora.- Finalmente, en este punto, se describen las tareas para
fortalecer la mejora continua de la pertinencia, la adecuación y la
eficacia del SGSI.
28
2.4. ISO/IEC 27002 - TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE
SEGURIDAD - CÓDIGO DE PRÁCTICAS PARA LA SEGURIDAD DE
INFORMACIÓN – CONTROLES. [20]
29
uno ya existente. A pesar de no ser obligatoria la implementación de la totalidad
de los controles, es recomendable que la organización seleccione todos
aquellos que satisfagan las necesidades del negocio y justifiquen de manera
sólida la no aplicabilidad de los controles no implementados. [22]
1. Políticas de seguridad.
2. Aspectos organizativos de la SI.
3. Seguridad ligada a los recursos humanos.
4. Gestión de activos.
5. Control de accesos.
6. Cifrado.
7. Seguridad física y ambiental.
8. Seguridad en la operativa.
9. Seguridad en las telecomunicaciones.
10. Adquisición, desarrollo y mantenimiento de los sistemas de información.
11. Relaciones con proveedores.
12. Gestión de incidentes en la SI.
13. Aspectos de SI en la gestión de la continuidad del negocio.
14. Cumplimiento.
30
Los objetivos de control y controles que se apliquen deberán mitigar o
reducir de manera directa los riesgos de SI encontrados en la evaluación de
riesgos y documentados en la matriz correspondiente. El diseño correcto de la
matriz y la priorización de los riesgos por su nivel de criticidad, permiten a los
profesionales de seguridad implementar salvaguardas que eviten que estos se
materialicen e impacten sobre el negocio.
31
2.5. ESTÁNDAR DE BUENAS PRÁCTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN - FORO DE SEGURIDAD DE LA INFORMACIÓN (ISF /
INFORMATION SECURITY FORUM). [23]
32
Priorizar los controles que serán aplicados a los riesgos para mitigarlos y
reducir el apetito de riesgos del negocio.
33
visión general del área de SI, sea compatible con los lineamientos
empresariales.
34
6. Acceso administrativo.
7. Administración del sistema.
8. Infraestructura de seguridad técnica.
9. Gestión de redes.
10. Gestión de amenazas y vulnerabilidades.
11. Gestión de incidentes.
12. Entornos locales.
13. Aplicaciones de escritorio.
14. Informática móvil.
15. Comunicaciones electrónicas.
16. Gestión de proveedores externos.
17. Gestión del desarrollo del sistema.
18. Ciclo de vida del desarrollo de sistemas.
19. Seguridad física y ambiental.
20. Continuidad del negocio.
Monitoreo y mejora de la SI.- Todo proceso debe ser monitoreado y
mejorado a lo largo de su ciclo de vida, para poder satisfacer las
necesidades de los sistemas de información. El control de los procesos
desde la planificación hasta su puesta en marcha, es deber de los
profesionales de SI, mantener la efectividad de las medidas correctivas y
evitar la materialización de vulnerabilidades.
35
2.6. ESTÁNDAR SP 800-53A REVISIÓN 4 DEL INSTITUTO NACIONAL DE
ESTÁNDAR Y TECNOLOGÍA (NIST / NATIONAL INSTITUTE OF STANDARDS
AND TECHNOLOGY). [25] [26]
36
presenta el conjunto de controles a implementar para mantener la integridad,
confidencialidad y disponibilidad de la información.
37
error que pueda originarse después del diseño de los planes puede ser factor
de pérdidas económicas para la oficina federal involucrada.
Capítulo 1: Introducción
Capítulo 2: Fundamentos.- en esta sección se describe de manera
conceptual los fundamentos relacionados con la seguridad, la privacidad
y las evaluaciones de control. Se subdivide en:
o Evaluaciones en el ciclo de vida del desarrollo de sistemas.
o Estrategia para la realización del control de las evaluaciones.
o Construcción de un caso efectivo de control.
o Procedimientos de evaluación.
Capítulo 3: Procesos.- describe el proceso de evaluación de los controles
de seguridad y privacidad en los sistemas de información de la
organización y de los entornos de operación. Incluye:
o Preparación para la evaluación de los controles de seguridad y
privacidad.
o Desarrollo de planes de evaluación de seguridad y privacidad.
o Ejecución de las evaluaciones de los controles de seguridad y
privacidad.
o Análisis de resultados de los informes de evaluación.
o Evaluación de las funcionalidades o capacidad de seguridad y
privacidad.
38
Apéndices
o Apéndice A.- Referencias
o Apéndice B.- Glosario
o Apéndice C.- Acrónimos
o Apéndice D.- Descripción de métodos de evaluación.
o Apéndice E.- Pruebas de penetración.
o Apéndice F.- Procedimientos de evaluación de la seguridad.
o Apéndice G.- Informes de evaluación.
o Apéndice H.- Casos de evaluación.
o Apéndice I.- Evaluación continua y automatización.
o Apéndice J.- Procedimientos de evaluación de la privacidad.
39
CAPITULO III
3. COMPARATIVA DE LAS NORMATIVAS.
40
En el anexo A.3.1.1 se muestra la comparativa de las modificaciones
generales realizadas en la versión del estándar ISO/IEC 27001:2013 respecto a
la anterior.
41
TI y/o Gerentes de SI y evadían cualquier vinculación frente a los incidentes de
seguridad encontrados.
42
En otras palabras, el estándar ISO/IEC 27002 puede no ser de
cumplimiento total, pero en ese caso, es recomendable que la organización
tenga una justificación sustentable sobre, por qué no implementa varios de los
controles, como se mencionó anteriormente.
43
La integración de Criptografía como una nueva cláusula y el
correspondiente objetivo de control para gestionar el cifrado de la
información dentro de la organización.
La división de la cláusula “Gestión de Operaciones y Comunicaciones”
en dos cláusulas individuales, atendiendo con ello de manera separada a
cada una de las actividades y facilitando la implementación de controles
y la gestión de los riesgos relacionados en cada caso específico.
Un enfoque más específico para la gestión de la continuidad del negocio;
que en la nueva versión se enfoca a cuestiones de seguridad. Este
aspecto está inmerso en la ISO/IEC 22301:2012 “Sistema de Gestión de
la Continuidad de Negocio”, en el que se define un número razonable de
controles para la planificación, implementación, revisión y evaluación de
la continuidad de la SI en el negocio.
44
con el IRAM - ISF (Análisis de Información de Riesgos Metodología de la ISF) y
con la herramienta BENCHMARK, como ayuda para el análisis y evaluación de
los riesgos de SI.
45
Como información adicional, las modificaciones más relevantes del ISF
2014 en comparación con ISF 2011, son la integración y el compromiso del
Gobierno en los trabajos de SI y el hecho de vincular el valor de la información y
del negocio con la implementación de controles para la gestión de los riesgos
de SI.
46
encontraba en la revisión 1, publicada en el año 2011. Asimismo y en algunos
casos, se ha modificado los nombres de los apéndices. Salvo de lo indicado,
ambas publicaciones no muestran diferencias significativas.
47
CAPITULO IV
4. IMPORTANCIA DE LA SI EN SECTORES ESPECÍFICOS.
48
pago, están fortaleciendo sus controles de SI, alineándose al cumplimiento de
estándares de alcance internacional.
49
otros aspectos legales que sean aplicables en virtud de la jurisdicción ni del tipo
de organización de que se trate. [35]
El estándar PCI DSS está constituido por doce (12) requisitos de SI,
agrupados a su vez en seis (6) secciones, orientadas a satisfacer los aspectos
relacionados a la SI de las tarjetas de pago. Dichas secciones están enunciadas
de la siguiente manera:
50
Mantener un programa de administración de vulnerabilidades.
o Requisito 5: Proteger todos los sistemas contra malware y
actualizar los programas o software antivirus regularmente.
o Requisito 6: Desarrollar y mantener los sistemas y aplicaciones en
forma segura.
Implementar medidas sólidas de control de acceso.
o Requisito 7: Restringir el acceso a los datos del titular de la tarjeta
según la necesidad de saber que tenga la entidad.
o Requisito 8: Identificar y autenticar el acceso a los componentes
del sistema.
o Requisito 9: Restringir el acceso físico a los datos del titular de la
tarjeta.
Supervisar y evaluar las redes con regularidad.
o Requisito 10: Rastrear y supervisar todos los accesos a los
recursos de la red y a los datos de los titulares de las tarjetas.
o Requisito 11: Probar con regularidad los sistemas y procesos de
seguridad.
Mantener una política de SI.
o Requisito 12: Mantener una política que aborde la SI, involucrando
a todo el personal.
51
En el campo de salud, las historias clínicas también han sido impactadas
por el avance tecnológico. En consecuencia, cada vez son más comunes las
denominadas “Historias Clínicas Electrónicas” (HCE). En efecto, la
incorporación de las TI en la gestión de la información médica ha ocasionado
que la historia clínica (HC) tradicional pase a formar parte de un sistema
centralizado e integral de información clínica digital, con todas las ventajas que
esto conlleva y también con los múltiples desafíos vinculados a la SI. [38]
No repudio.- Evitar que las partes implicadas puedan negar las acciones
que hayan ejecutado sobre la información de las HCE.
Confidencialidad.- Evitar que la información contenida en las HCE sea
accedida o divulgada por cualquier medio a personas no autorizadas.
Integridad.- Avalar que la información no pueda ser modificada por
personas no autorizadas durante el ingreso, procesamiento, transmisión
ni almacenamiento.
Disponibilidad.- Garantizar que se podrá acceder de manera inmediata a
la información cuando ella sea requerida.
52
Autenticación.- Garantizar que a la información acceda sólo personas
autorizadas, cumpliendo con los criterios de identificación y rol asignado.
Auditoría.- Avalar la existencia de registros almacenados que permitan
rastrear las acciones realizadas sobre la información.
Estándares Internacionales:
En España:
53
La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema
Nacional de Salud.
La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones
sanitarias.
54
ISO/IEC 27799:2008 es considerada un estándar más amplio, completo y
actual, que cubre las necesidades de protección de los datos clínicos, fue
descartada como parte del análisis por su semejanza con la ISO/IEC 27002, ya
incluida en el estudio.
55
salud que haya sido objeto de fraude, independientemente del soporte en que
se encuentre. Entre ellas se consideran:
56
La Ley HIPAA y el estándar ISO/IEC 27002, en su versión para la salud
en base al estándar ISO 27799, se relacionan entre sí. Como ya se dijo, este
último es un compendio de los controles de SI enfocados específicamente a la
protección de los datos médicos de los pacientes.
La Ley HIPAA está estructurada en cinco (5) secciones, cada una de las
cuales trata un aspecto en particular de la gestión de los seguros de salud. La
definición de las secciones está tipificada de la siguiente manera: [40]
Título I - Portabilidad.
Título II - Simplificación Administrativa.
Título III – Disposiciones de Salud Relacionadas a Impuestos.
Título IV – Aplicación y Cumplimiento de los Requisitos de Planes
Grupales de Salud.
Título V – Retenciones de Ingresos.
57
En efecto, las organizaciones dedicadas a la prestación de servicios de
salud deben analizar y ejecutar sus iniciativas de SI de manera que se
encuentren alineadas al cumplimiento de estándares y buenas prácticas de
alcance general o específico para el área. Con lo que se asegura el
fortalecimiento de los niveles de protección y la gestión acertada de los riesgos
sobre la información que se gestiona.
58
CAPITULO V
5. CUADRO COMPARATIVO GENERAL DE COBIT 5 PARA LA SI FRENTE A
OTRAS NORMATIVAS RELACIONADAS A LOS SGSI.
59
normas integradas al mapeo son de utilización en campos específicos (tarjetas
de pago y salud).
60
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
EDM 01 5.1 Liderazgo y SG 1.1 Marco 4.1 164.308
Asegurar el compromiso de gobierno de Responsabilida Controles
establecimiento 5.2. Política la seguridad d de la administrativos
y 5.3. Roles, dirección (1)(i) Estándar
mantenimiento responsabilidad 4.1.1 (ii)(A) Análisis
del marco de es y Compromiso de de riesgos
gobierno autoridades de la dirección
la organización 6.6.1 Política de
A5 Políticas de seguridad de la
seguridad de la información
información
EDM 02 9.1 SG 2.2 Entrega 4.5.4 164.308
Asegurar la Seguimiento, de valor a las Monitorizar y Controles
entrega de medición, partes revisar el SGS administrativos
beneficios análisis y interesadas. 4.5.5 Mantener (a)(8)
evaluación. SG 2.3 y mejorar el Evaluación
9.3 Revisión Programa de SGS
por parte de la aseguramiento 6.3.3
dirección de la seguridad Monitorización
10 Mejora de la y prueba de la
información continuidad y
de la
disponibilidad
del servicio.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
EDM 03 6.1.2 12.6.1 Gestión SR 1 4.3 Gestión de 164.308
Asegurar la Evaluación del de las Evaluación de la Controles
optimización del riesgo respecto vulnerabilidade riesgos de la documentación. administrativos
riesgo a la seguridad s técnicas información. 6.2.2 Controles (ii)(A) Análisis
de la 16.1 Gestión de CF 20 de seguridad de de riesgos
información los incidentes Continuidad del la información (ii)(B) Gestión
6.1.3 de seguridad de negocio 6.2.3 Cambios de riesgos.
Tratamiento del la información y SI 2.2 Informes e incidencias en
riesgo a la mejoras de seguridad de la seguridad de
seguridad de la la información la información.
información 8.2 Gestión de
8.3 Tratamiento problemas
del riesgo a la
seguridad de la
información
7.5 Información
documentada
EDM 04 7.1 Recurso - Planificación 4.4 Gestión de
Asegurar la 7.2 recursos
optimización de Competencia
los recursos 7.3
Concientización
A.6
Organización
de la SI
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
EDM 05 A.12 Seguridad 6.1.1 SG 2.2 Entrega 4.1.3 Autoridad, 164.308
Asegurar la de las Asignación de de valor a las responsabilidad Controles
transparencia operaciones responsabilidad partes y comunicación. administrativos
hacia las partes A.13 Seguridad es para la interesadas (4)(i) Gestión
interesadas de la seguridad de la de la
comunicaciones información. información de
6.1.2 acceso
Segregación de (a)(8)
tareas. Evaluación
6.1.3 Contacto
con las
autoridades.
6.1.4 Contacto
con grupos de
interés
especial.
6.1.5 Seguridad
de la
información en
la gestión de
proyectos.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 01 5.1 Liderazgo y 6 Aspectos SG 1.1 Marco 12. Mantener
Gestionar el compromiso organizativos de gobierno de una política que
marco de 5.2. Política de la seguridad la seguridad. aborde la SI,
gestión de TI 5.3. Roles, de la involucrando a
responsabilidad información todo el
es y personal.
autoridades de
la organización
A.5 Políticas de
seguridad de la
información
A.6
Organización
de la SI
APO 02 4.1 SG 2.1 4.5 Establecer y
Gestionar la Comprensión Estrategia de mejorar el SGS
estrategia de la seguridad de la 4.5.1 Definir el
organización y información alcance
su contexto 4.5.2 Planificar
4.2 el SGS
Comprensión
de las
necesidades y
las expectativas
de las partes
interesadas
4.3
Determinación
del alcance del
SGSI
4.4 Sistema de
gestión de la SI.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 03 CF 4 - Gestión de la 1. Instalar y
Gestionar la Aplicaciones de configuración mantener una
arquitectura negocio configuración
empresarial CF 7 Gestión de firewall para
de sistemas proteger los
CF 8 datos del titular
Infraestructura de la tarjeta.
técnica de 2. No utilizar
seguridad de la valores por
información. defecto
entregados por
los
proveedores.
8. Identificar y
autenticar el
acceso a los
componentes
del sistema.
APO 04
Gestionar la
innovación
APO 05 6.4 Elaboración
Gestionar de presupuesto
portafolio y contabilidad
de los servicios
APO 06 6.4 Elaboración
Gestionar el de presupuesto
presupuesto y y contabilidad
los costes de los servicios
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 07 7.2 7 Seguridad CF 2 Seguridad - 4.4.2 Recursos 8. Identificar y 164.308
Gestionar los Competencia ligada a los de la Concienciación humanos autenticar el Controles
recursos 7.3 recursos información de y formación. acceso a los Administrativos
humanos Concientización humanos recursos - Planificación. componentes (3)(i) SI de la
A.7 Seguridad humanos - Seguridad de del sistema. fuerza laboral.
de los Recursos información del 9. Restringir el (ii)(A)
Humanos personal. acceso físico a Autorización y/o
los datos del supervisión
titular de la (ii)(B)
tarjeta. Liquidación de
la Fuerza
Laboral
(ii)(C)
Indemnizacione
s por despido.
(5)(i)
Concienciación
de SI y
formación.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 08 6.2 Objetivos CF 5 Acceso de 8. Identificar y 164.314
Gestionar las de seguridad de los clientes. autenticar el Requisitos
relaciones la información y acceso a los organizacionale
planificación componentes s
para lograrlos del sistema. (a)(1) Estándar:
10. Rastrear y contratos
A.6.1 supervisar asociados de
Organización todos los negocios u
Interna. accesos a los otros arreglos
recursos de red
y a los datos de
los titulares de
las tarjetas.
APO 09 15.2.1 CF 7.7 - Adquisición de Considerado en
Gestionar los Supervisión y Acuerdos de sistemas y toda esta
acuerdos de revisión de los nivel de servicio servicios. norma
servicio servicios SI 2.1
prestados por Supervisión de
terceros. la seguridad.
15.2.2 Gestión SI 2.2 Informes
de cambios en de riesgos de la
los servicios información.
prestados por
terceros.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 10 A.15 7.1.1 CF 16 Gestión - Adquisición de 4.2 Gobierno de 164.308
Gestionar los Relaciones con Investigación de Proveedores sistemas y los procesos Controles
proveedores los proveedores de externos servicios. operados por administrativos
antecedentes. terceros (b) (1) Los
7.1.2 Términos 7.2 Gestión de contratos de
y condiciones suministradores asociados de
de contratación. negocios y
13.2.2 otros arreglos
Acuerdos de
intercambio.
13.2.4
Acuerdos de
confidencialidad
y secreto
14.3.1
Protección de
los datos
utilizados en
pruebas.
15.1.1 Política
de seguridad de
la información
para
suministradores
.
15.1.2
Tratamiento del
riesgo dentro
de acuerdos de
suministradores
.
15.1.3 Cadena
de suministro
en tecnologías
de la
información y
Comunicacione
s
18.1.3
Protección de
los registros de
la organización.
18.1.4
Protección de
datos y
privacidad de la
información
personal.
APO 11 9 Evaluación CF 7.3 4.5.5 Mantener 5. Proteger
Gestionar la del desempeño Aseguramiento y mejorar el todos los
calidad 10 Mejora de la calidad SGS sistemas contra
malware y
actualizar los
programas o
software
antivirus
regularmente.
6. Desarrollar y
mantener los
sistemas y
aplicaciones
seguras.
11. Probar con
regularidad los
sistemas y
procesos de
seguridad.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
APO 12 6.1 Acciones 10.1.2 Gestión SR 1 - Respuesta a 4.2 Gestión de 4. Cifrar la 164.308
Gestionar el para tratar los de claves Evaluación de Incidentes la transmisión de Controles
riesgo riesgos y las 12.1.4 riesgos de - Evaluación de documentación los datos del Administrativos
oportunidades Separación de información. riesgos. 6.6.2 Controles titular de la (ii)(A) Análisis
7.5 Información entornos de SR 2 de seguridad de tarjeta en las de riesgos
documentada desarrollo, Cumplimiento la información redes abiertas (ii)(B) Gestión
8 Operación prueba y CF 1 Política y 8.1 Gestión de públicas. de riesgos.
producción. organización de incidencias y 6. Desarrollar y 164.312
16.1.2 la seguridad de peticiones de mantener los Garantías
Notificación de información. servicio sistemas y técnicas
los eventos de CF 10 Gestión 8.2 Gestión de aplicaciones
seguridad de la de amenazas y problemas seguras.
información. vulnerabilidade 9. Restringir el
16.1.3 s acceso físico a
Notificación de CF 20 los datos del
puntos débiles Continuidad del titular de la
de la seguridad. negocio tarjeta.
17.1.1 SI 2.2 Informes 11. Probar con
Planificación de de riesgos de la regularidad los
la continuidad información. sistemas y
de la seguridad SI 2.3 procesos de
de la Supervisión del seguridad.
información. cumplimiento
17.1.2 de la seguridad
Implantación de de la
la continuidad información.
de la seguridad
de la
información.
17.1.3
Verificación,
revisión y
evaluación de
la continuidad
de la seguridad
de la
información.
APO 13 Considerado en Considerado en Considerado en Considerado en 6.6 Gestión de Considerado en Considerado en
Gestionar la toda la norma toda la norma toda la norma toda la norma la seguridad de todo el la Sub parte C
Seguridad la información estándar. de la Ley
HIPAA
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 01 - Gestión de
Gestionar los programas
programas y
proyectos
BAI 02 12.1.1 SR 1.3 4.5.2 Planificar 164.314
Gestionar la Documentación Requisitos de el SGS requisitos
definición de de confidencialidad 5.2 organizacionale
requisitos procedimientos . Planificación de s
de operación. SR 1.4 servicios 164.316
9.4.1 Requisitos de nuevos o Políticas y
Restricción del integridad modificados. procedimientos
acceso a la SR 1.5 6.3.1 Requisitos y requisitos de
información. Requisitos de de continuidad documentación
9.4.2 disponibilidad y disponibilidad
Procedimientos CF 18.1 del servicio
seguros de Especificación
inicio de sesión. de requisitos.
14.1.1 Análisis
y especificación
de los
requisitos de
seguridad.
14.2.9 Pruebas
de aceptación.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 03 A.14 Considerado en CF 17 Gestión - Control de 5 Diseño y 2. No utilizar
Gestionar la Adquisición, toda la norma del desarrollo acceso transición de valores por
identificación y desarrollo y de sistemas - Gestión de la servicios defecto
la construcción mantenimiento CF 18 Ciclo de configuración nuevos o entregados por
de soluciones de los sistemas vida del - Mantenimiento modificados los
desarrollo de - Adquisición de 6.1 gestión del proveedores.
sistemas. sistemas y nivel del 4. Cifrar la
servicios servicio. transmisión de
los datos del
titular de la
tarjeta en las
redes abiertas
públicas.
6. Desarrollar y
mantener los
sistemas y
aplicaciones
seguras.
BAI 04 12.1.3 Gestión - Planificación 6.3 Gestión de 164.308
Gestionar la de de contingencia continuidad y Controles
disponibilidad y capacidades. - Planificación. disponibilidad Administrativos
la capacidad del servicio. (7)(i) Plan de
6.5 Gestión de contingencia
la capacidad.
BAI 05
Gestionar la
introducción de
cambios
organizativos
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 06 12.1.2 Gestión CF 7.6 Gestión 5 Diseño y 6. Desarrollar y
Gestionar los de cambios. de cambios transición de mantener los
cambios 9.4.4 Uso de CF 10 Gestión servicios sistemas y
herramientas de amenazas y nuevos o aplicaciones
de vulnerabilidade modificados seguras.
administración s 6.6.3 Cambios 11. Probar con
de sistemas e incidencias en regularidad los
12.6.1 Gestión la seguridad de sistemas y
de las la información procesos de
vulnerabilidade 8.2 Gestión de seguridad.
s técnicas. problemas
12.6.2 9.2 Gestión de
Restricciones cambios
en la instalación
de software.
14.2.2
Procedimientos
de control de
cambios en los
sistemas.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 07 7.2.2 CF 7.6 Gestión 5.4 Transición 6. Desarrollar y
Gestionar la Concienciación, de cambios de servicios mantener los
aceptación del educación y nuevos o sistemas y
cambio y de la capacitación en modificados aplicaciones
transición. seguridad de la 9.2 Gestión de seguras.
información. cambios 11. Probar con
9.4.5 Control de 9.3 Gestión de regularidad los
acceso al entrega y sistemas y
código fuente despliegue procesos de
de los seguridad.
programas.
11.1.6 Áreas de
acceso público,
carga y
descarga.
12.1.2 Gestión
de cambios.
12.1.4
Separación de
entornos de
desarrollo,
prueba y
producción.
14.2.2
Procedimientos
de control de
cambios en los
sistemas.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.9 Pruebas
de aceptación
14.3.1
Protección de
los datos
utilizados en
pruebas.
BAI 08 7.5 Información 12.1.1 CF 3.2 Gestión - Control de 4.3 Gestión de 12. Mantener 164.308
Gestionar el documentada Documentación documental acceso la una política que Controles
conocimiento de CF 6 Gestión documentación aborde la SI, Administrativos
procedimientos de acceso 9.3 Gestión de involucrando a (5)(i)
de operación entrega y todo el Concienciación
14.2.9 Pruebas despliegue personal. de seguridad y
de aceptación formación.
16.1.6 164.316
Aprendizaje de Políticas y
los incidentes procedimientos
de seguridad de y requisitos de
la información. documentación
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 09 A.8 Gestión de 8.1.1 Inventario CF 3 Gestión - Protección de 3. Proteger los 164.310
Gestionar los activos de activos. de activos medios. datos del titular Controles
activos 8.1.2 Propiedad CF 19 - Protección de la tarjeta que físicos
de los activos Seguridad física física y fueron (b) Seguridad
8.2.2 y ambiental de ambiental almacenados. de las
Etiquetado y la información. estaciones de
manipulado de trabajo
la información. (d)(1)
11.2.1 Dispositivos y
Emplazamiento controles de
y protección de medios
equipos (d)(2)(iii)
11.2.6 Responsabilida
Seguridad de d de activos.
los equipos y
activos fuera de
las
instalaciones.
12.1.1
Documentación
de
procedimientos
de operación.
12.6.1 Gestión
de las
vulnerabilidade
s técnicas.
12.6.2
Restricciones
en la instalación
de software.
13.1.1
Controles de
red.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
14.3.1
Protección de
los datos
utilizados en
pruebas.
18.2.2
Cumplimiento
de las políticas
y normas de
seguridad
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
BAI 10 8.1.1 Inventario CF 4 - Control de 9.1 Gestión de 1. Instalar y 164.312
Gestionar la de activos. Aplicaciones de acceso la configuración mantener una Garantías
configuración 8.1.2 Propiedad negocio - Gestión de la configuración técnicas
de los activos CF 6 Gestión configuración de firewall para
8.2.2 de acceso - Adquisición de proteger los
Etiquetado y CF 7 Gestión sistemas y datos del titular
manipulado de de sistemas servicios de la tarjeta.
la información. CF 8 2. No utilizar
10.1.2 Gestión Infraestructura valores por
de claves técnica de defecto
11.2.1 seguridad de la entregados por
Emplazamiento información los
y protección de CF 9 Gestión proveedores.
equipos de red
11.2.6 CF 12 Entornos
Seguridad de locales
los equipos y CF 13
activos fuera de Aplicaciones de
las escritorio
instalaciones. CF 14
12.1.1 Informática
Documento de móvil.
procedimientos CF 15
de operación. Comunicacione
12.6.1 Gestión s electrónicas.
de las
vulnerabilidade
s técnicas.
12.6.2
Restricciones
en la instalación
de software.
13.1.1
Controles de
red.
14.2.3 Revisión
técnica de las
aplicaciones
tras efectuar
cambios en el
sistema
operativo.
14.2.4
Restricciones a
los cambios en
los paquetes de
software.
14.3.1
Protección de
los datos
utilizados en
pruebas.
18.2.2
Cumplimiento
de las políticas
y normas de
seguridad
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
DSS 01 8.1 12 Seguridad CF 6 Gestión 4.5.3 1. Instalar y 164.310
Gestionar las Planificación y en la operativa de acceso Implementar y mantener una Garantías
operaciones control 13 Seguridad CF 7 Gestión operar el SGS configuración técnicas.
operativo en las de sistemas de firewall para (d)(2)(iv) Copia
telecomunicacio CF 9 Gestión proteger los de seguridad de
nes de red datos del titular datos y
de la tarjeta. almacenamient
3. Proteger los o
datos del titular 164.316
de la tarjeta que Políticas y
fueron procedimientos
almacenados. y requisitos de
4. Cifrar la documentación
transmisión de
los datos del
titular de la
tarjeta en las
redes públicas
abiertas.
10. Rastrear y
supervisar
todos los
accesos a los
recursos de red
y a los datos de
los titulares de
las tarjetas.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
DSS 02 A.16 Gestión de Gestión de CF 10 Gestión - Respuesta a 8.1 Gestión de 164.308
Gestionar las los incidentes incidentes en la de amenazas y incidentes incidencias y Controles
peticiones y los de seguridad de seguridad de la vulnerabilidade peticiones de Administrativos
incidentes del la información información s servicio (6)(i)
servicio 12.4.1 Registro CF 11 Gestión 8.2 Gestión de Procedimientos
y gestión de de incidentes problemas de incidentes
eventos de de seguridad.
actividad
12.6.1 Gestión
de las
vulnerabilidade
s técnicas
DSS03 16.1.6 CF 10 Gestión - Respuesta a 8.1 Gestión de 164.308
Gestionar los Aprendizaje de de amenazas y incidentes incidencias y Controles
problemas los incidentes vulnerabilidade peticiones de Administrativos
de seguridad de s servicio (1)(ii)(B)
la información CF 11 Gestión 8.2 Gestión de Gestión de
de incidentes problemas riesgos
(6)(i)
Procedimientos
de incidentes
de seguridad.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
DSS 04 7.5 Información Aspectos de la CF 20 - Planificación 6.3 Gestión de 2. No utilizar 164.308
Gestionar la documentada seguridad de la Continuidad del de continuidad y valores por Controles
continuidad 8.3 Estrategia información en negocio contingencias disponibilidad defecto administrativos
de la la gestión de la 6.3.1 Requisitos entregados por (7)(i) Plan de
continuidad de continuidad del de continuidad los contingencia
negocios negocio. y disponibilidad proveedores. (7)(ii)(B) Plan
8.4 6.3.2 Planes de 3. Proteger los de recuperación
Establecimiento continuidad y datos del titular de desastres.
e disponibilidad. de la tarjeta que (7)(ii)(C) Plan
implementación 6.3.3 fueron de operación en
de los Monitorización almacenados. modo de
procedimientos y prueba de la 10. Rastrear y emergencia
de continuidad continuidad y supervisar
de negocio de la todos los
10 Mejora disponibilidad accesos a los
A.17 Aspectos del servicio. recursos de red
de seguridad de y a los datos de
la información los titulares de
en la gestión de las tarjetas.
la continuidad
del negocio
DSS 05 Considerado en Considerado en Considerado en Considerado en Considerado en Considerado en Considerado en
Gestionar los toda la norma toda la norma toda la norma toda la norma toda la norma toda la norma la Sub Parte C
servicios SI de la Ley.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
DSS 06 6.1.1 CF 1 Política y - Protección de 4.1.2 Política de 1. Instalar y
Gestionar los Asignación de organización de medios gestión del mantener una
controles de los responsabilidad la seguridad de - Integridad de servicio. configuración
procesos del es para la la información. sistemas e 6.2 Informes del de firewall para
negocio seguridad de la CF 7 Gestión información servicio. proteger los
información. de sistemas 6.6 Gestión de datos del titular
6.1.2 la seguridad de de la tarjeta.
Segregación de la información 3. Proteger los
tareas. 7.1 Gestión de datos del titular
8.2.2 relaciones con de la tarjeta que
Etiquetado y el negocio fueron
manipulado de almacenados.
la información 4. Cifrar la
8.3.3 Soportes transmisión de
físicos en los datos del
tránsito titular de la
9.4.5 Control de tarjeta en las
acceso al redes públicas
código fuente abiertas.
de los 10. Rastrear y
programas supervisar
12.1.4 todos los
Separación de accesos a los
entornos de recursos de red
desarrollo, y a los datos de
prueba y los titulares de
producción las tarjetas.
12.3.1 Copias
de seguridad de
la información.
13.1.1
Controles de
red.
13.2.2
Acuerdos de
intercambio.
13.2.3
Mensajería
electrónica.
13.2.4
Acuerdos de
confidencialidad
y secreto.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
MEA 01 8.1 18.2.1 Revisión SR 2 - Auditoría y 4.1.2 Política de 11. Probar con 164.312
Supervisar, Planificación y independiente Cumplimiento responsabilidad gestión del regularidad los Garantías
evaluar y control de la seguridad SI 1 Auditoria . servicio sistemas y técnicas
valorar operativo de la de la seguridad - Autorización y 4.5.5 Mantener procesos de (b) Controles de
rendimiento y 8.2 Evaluación información de información. evaluación de y mejorar el seguridad. auditoría
conformidad del riesgo a la 18.2.2 SI 2 la seguridad de SGS
seguridad de la Cumplimiento Rendimiento de la información.
información. de las políticas la seguridad de
9 Evaluación y normas de la información
del desempeño seguridad.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
MEA 02 9.1 12.4.1 Registro CF 1 Política y - Auditoría y 4.5.5 Mantener 11. Probar con 164.312
Supervisar, Seguimiento, y gestión de organización de responsabilidad y mejorar el regularidad los Garantías
evaluar y medición, eventos de la seguridad de SGS sistemas y técnicas
valorar el análisis y actividad. la información 6.6.1 Política de procesos de (b) Controles de
sistema de evaluación. 12.7.1 SI 1 Auditoria seguridad de la seguridad. auditoría
control interno 9.2 Auditoria Controles de de la seguridad información.
Interna auditoría de los de la
A.18.2 Revisión sistemas de información
de la seguridad información
de la 15.1.2
información. Tratamiento del
riesgo dentro
de acuerdos de
suministradores
.
15.2.1
Supervisión y
revisión de los
servicios
prestados por
terceros.
18.2.1 Revisión
independiente
de la SI.
18.2.2
Cumplimiento
de las políticas
y normas de SI.
18.2.3
Comprobación
del
cumplimiento.
COBIT ® 5 ISO/IEC ISO/IEC ESTÁNDAR NIST SP 800- ISO/IEC 20000- PCI DSS LEY HIPAA
para Seguridad 27001:2013 27002:2013 ISF:2014 53A REVISION 1:2011 3.0:2013 Sub Parte C
de la 4:2014
Información
MEA 03 9.1 6.1.3 Contacto SR 2 4.1.2 Política de 164.312
Supervisar, Seguimiento, con las Cumplimiento gestión del Garantías
evaluar y medición, autoridades. servicio técnicas
valorar la análisis y 6.1.4 Contacto (b) Controles de
conformidad evaluación. con grupos de auditoría
con los 9.2 Auditoria interés
requerimientos Interna especial.
externos A.18.1 18.1.1
Cumplimiento Identificación
de los de la legislación
requisitos aplicable.
legales y 18.1.2
contractuales Derechos de
propiedad
intelectual
(DPI).
18.1.4
Protección de
datos y
privacidad de la
información
personal
CONCLUSIONES.
89
ágil y acertada a los requerimientos de gestión de los riesgos de SI, más
allá de las cuestiones específicas vinculadas al sector.
Los procesos de gobierno de SI contenidos en el marco COBIT® 5 para
la SI, están relacionados fuertemente con los controles de los estándares
ISO/IEC 27001, ISO/IEC 27002, Buenas Prácticas del ISF, SP 800-53A -
revisión 4 del NIST y la Ley HIPAA. En cuanto a los estándares ISO/IEC
20000 y PCI DSS, por tratarse de normativas de naturaleza operativa y
orientadas a la gestión, no cubren aspectos de gobierno. No existe por lo
tanto, ninguna integración con los procesos correspondientes de
COBIT® 5 para la SI.
Entre los procesos para la gestión de la SI del marco COBIT® 5, los que
conforman el grupo APO (Alinear, planificar y organizar), mantienen
mayor relación con todos los estándares bajo estudio. En este grupo, las
filas del mapeo general que presentan una mayor integración con los
controles y requisitos que ofrecen los estándares analizados son: APO07
referido a la gestión de los recursos humanos, APO10 sobre la gestión
de los proveedores, APO12 relativo a la gestión de los riesgos y APO13
vinculado a la gestión de la seguridad. De lo dicho se puede deducir que
todos los estándares proponen que la organización integre en las
funciones de protección de la información, a las partes interesadas
internas y externas con el negocio y centren la atención en los riesgos.
En línea con lo antes mencionado, los procesos BAI (Construir, adquirir e
implementar) de COBIT® 5 para la SI mantiene una integración muy
significativa con los controles de la normativa ISO/IEC 27002. Cabe
mencionar que ningún estándar parece cubrir el proceso BAI05; que se
centra en gestionar la introducción de los cambios organizativos, lo que
constituye un aspecto novedoso de COBIT ® 5 para la SI.
Los procesos de los dominios DSS (Entregar, dar servicio y soporte) y
MEA (Supervisar, evaluar y valorar) de COBIT® 5 para la SI, mantienen
una correspondencia fuerte con los dominios y controles de los
estándares ISO/IEC 20000 parte 1, ISO/IEC 27001, ISO/IEC 27002,
90
Buenas Prácticas del ISF, SP 800-53A revisión 4, PCI DSS y la Ley
HIPAA, fortaleciendo con ellos las acciones de soporte y evaluación de
los controles implementados en el SGSI.
A partir lo que se indicó, puede concluirse que el marco COBIT® 5 para
la SI es la normativa más abarcativa y completa de las analizadas,
seguido de los estándares ISO/IEC 27002 e ISO/IEC 27001.
Finalmente, la implementación colectiva de controles tomados de
diferentes estándares representa un valor agregado para la organización,
al permitir mejorar el ambiente de control y el proceso de gestión de los
riesgos de SI.
91
RECOMENDACIONES.
92
normativa ISO/IEC 27002 (en su extensión ISO/IEC 27779 vinculada a la
informática en salud). Cabe aclarar que la Ley HIPAA solo es obligatoria
en los Estados Unidos de América y es mayormente utilizada por las
organizaciones que ofrecen servicios de seguros de salud o en algunos
de los casos, las que procesan o custodian información clínica.
Se aconseja la implementación de controles asociados al estándar SP
800-53A revisión 4 del NIST para evaluar de manera holística los
trabajos de seguridad y privacidad de la información en los sistemas
asociados al negocio. Es importante tener en cuenta que la normativa
mencionada es obligatoria exclusivamente en las organizaciones
federales de los Estados Unidos, pero gran parte de sus contenidos
pueden ser de utilidad para cualquier organización.
Por ser PCI DSS un estándar de naturaleza operativa, sus requisitos de
seguridad podrían ser adaptados para el fortalecimiento de los criterios
de protección de la información en organizaciones que no
necesariamente pertenezcan al sector de las tarjetas de pago.
93
ANEXOS.
ANEXO A.3.1.1.
Contiene ciento treinta y cuatro (134) Compuesto por ciento catorce (114)
controles. controles; de los cuales se
mantuvieron noventa y cuatro (94)
de la versión anterior y se
incluyeron veinte (20) nuevos
controles al marco.
94
Mejora.
95
ANEXO A.3.1.2.
96
el liderazgo y compromiso de la seguridad.
dirección para con el SGSI,
involucrando de manera holística a
toda la estructura de la organización.
La normativa 2013 integra estos
aspectos de compromiso y liderazgo
de la dirección en un capítulo.
97
apoyo para fortalecer las acciones de
soporte del SGSI. Lo que beneficia
además, la obtención de evidencias
sustentables para responder en
cualquier momento a las acciones de
control interno o externo.
98
previstos por la organización.
99
actualización o implementación de
controles para mitigar el riesgo.
100
ANEXO A.3.2.1.
101
controles.
102
ANEXO A.3.3.1.
Gobierno de la SI
103
Requerimientos de SI.
104
Se mantienen controles que regulan
el cumplimiento a leyes y
regulaciones que afectan a la SI.
Marco de Controles
105
La Gestión de amenazas y
vulnerabilidades se asocian con la
información, sistemas y redes,
manteniendo el grado de seguridad
actualizado mediante la ejecución
continua del monitoreo de los
mismos.
106
Monitoreo y Mejora de la SI
107
ANEXO A.3.4.1.
108
No considera la evaluación continua y la Ofrece una guía para la evaluación
automatización de los sistemas de continua y para la automatización
información. de los procedimientos de seguridad
y privacidad que, se logra a través
del uso de técnicas automatizadas
para alcanzar una evaluación
eficiente de los sistemas de
información. (Apéndice I)
109
BIBLIOGRAFIA.
BIBLIOGRAFIA GENERAL.
110
IRAM, ISO/IEC 27001:2005 Tecnología de la Información. Técnica de
Seguridad. Código de Prácticas para Seguridad de la Información –
Controles. Edición: Diciembre 2005.
IRAM, ISO/IEC 27001:2013 Tecnología de la Información. Técnica de
Seguridad. Código de Prácticas para Seguridad de la Información –
Controles. Edición: Abril 2014.
IRAM, ISO/IEC 27002:2005 Tecnología de la Información. Técnica de
Seguridad. Código de Prácticas para Seguridad de la Información –
Controles. Edición: Agosto 2005.
IRAM, ISO/IEC 27002:2013 Tecnología de la Información. Técnica de
Seguridad. Código de Prácticas para Seguridad de la Información –
Controles. Edición: Septiembre 2013.
ISACA, COBIT® 5 para seguridad de la información, Estados Unidos,
2012.
“ISACA ¿Cómo proteger de manera efectiva la información?”;
https://seguinfo.wordpress.com/category/cobit/; Consultada: 14/01/2015.
ISF (Information Security Foroum); Estándar de Buenas Prácticas Para
la Seguridad de la Información 2011; Estados Unidos, 2011.
ISF (Information Security Foroum); Estándar de Buenas Prácticas Para
la Seguridad de la Información 2014; Estados Unidos, 2014.
“ISO/IEC 20000: de las mejores prácticas TI a la norma”;
http://www.socinfo.es/contenido/seminarios/aragon/osiatis.pdf;
Consultada: 27/01/2016.
“ISO/IEC 27002:2005”;
http://www.iso27000.es/download/ControlesISO27002-2005.pdf;
Consultada: 07/02/2015.
“ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y
114 CONTROLES”;
http://www.iso27000.es/download/ControlesISO27002-2013.pdf;
Consultada: 28/02/2015.
“ISO 27002”; http://datateca.unad.edu.co/contenidos/233004/47797859-
ISO-27002-Espanol.pdf; Consultada: 28/02/2015.
“Las nuevas versiones de las Normas ISO 27001 e ISO 27002”;
http://www.criptored.upm.es/descarga/NuevasVersionesISO27001eISO2
7002.pdf; Consultada: 28/02/2015.
“ISO/IEC 20000 – Guía de Bolsillo”; http://www.exin-
library.com/Samplefiles/9789077212882_iso-iec-20000-gu-a-de-
bolsillo.pdf; Consultada: 21/03/2015.
“ISO/IEC 20000: de las mejores prácticas TI a la norma”;
http://www.socinfo.es/contenido/seminarios/aragon/osiatis.pdf;
Consultada: 21/03/2015.
“ISO/IEC 20000. Guía completa de aplicación para la gestión de los
servicios de tecnologías de la información”;
www.aenor.es/aenor/descargadocumento.asp/PUB_DOC_Tabla_AEN_7
172_1.pdf; Consultada: 21/03/2015.
111
“ISO/IEC 27014:2013 Tecnología de la Información – Técnicas de
Seguridad – Gobernanza de la Seguridad de la información”;
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?c
snumber=43754; Consultada: 21/01/2016.
“ISO 27000”; http://www.iso27000.es/download/doc_iso27000_all.pdf;
Consultada: 07/02/2015.
“La Ley Pública HIPAA: su aplicabilidad – Universidad
Metropolitana – Escuela de Educación Continua”;
https://www.suagm.edu/umet/pdf/educacion_continua/modulo_instruccion
al_ley_hippa.pdf; Consultada: 31/01/2015.
“La norma ISO 27001 del Sistema de Gestión de la Seguridad de la
Información - Garantía de confidencialidad, integridad y
disponibilidad de la información”;
http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-
47cf-ba5e-5ea421fcbeb4&groupId=10128; Consultada: 07/02/2015.
“Ley HIPAA”;
http://auditoriasistemasucb.pbworks.com/f/Ley_HIPAA.pdf; Consultada:
20/01/2016.
“NIST Special Publication 800-53A Revision 1 - Guide for Assessing
the Security Controls in Federal Information Systems and
Organizations”; http://csrc.nist.gov/publications/nistpubs/800-53A-
rev1/sp800-53A-rev1-final.pdf; Consultada: 12/04/2015.
“NIST Special Publication 800-53A Revision 4 - Assessing the
Security and Privacy Controls in Federal Information Systems and
Organizations - Building Effective Assessment Plans”;
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
53Ar4.pdf; Consultada: 11/03/2016.
“Norma UNE-ISO 31000”; http://www.aec.es/web/guest/centro-
conocimiento/iso-31000; Consultada: 11/01/2016.
“Norma UNE-ISO 27001”; http://www.aec.es/web/guest/centro-
conocimiento/norma-une-isoiec-27001; Consultada: 11/01/2016.
“PCI (Industria de tarjetas de pago) Normas de seguridad de datos –
Requisitos y procedimientos de evaluación de seguridad”;
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/e
n/docs/PCI_DSS_v3.pdf; Consultada: 15/02/2016.
“¿Qué es ISF?”; http://www.calogistics.com/images/docs/isf.pdf;
Consultada: 11/04/2015.
“Re-evolución COBIT® 5”; http://www.isaca.org/Knowledge-
Center/cobit/Documents/COBIT5-and-InfoSec-Spanish.ppt; Consultada:
26/01/2016.
U.S. Department of Health and Human Services Office for Civil
Rights, HIPAA Administrative Simplification Regulation Text. Edition:
March 2013.
112
BIBLIOGRAFIA ESPECÍFICA
113
[23] [24] ISF (Information Security Forum); Estándar de Buenas Prácticas
Para la Seguridad de la Información 2014; Estados Unidos, 2014.
[25] NIST; NIST Special Publication 800-53A Revision 1 - Guide for
Assessing the Security Controls in Federal Information Systems and
Organizations; http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-
53A-rev1-final.pdf; Consultada: 21/08/ 2014.
[26] [28] [29] “NIST Special Publication 800-53A Revision 4 - Assessing the
Security and Privacy Controls in Federal Information Systems and
Organizations - Building Effective Assessment Plans”;
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf;
Consultada: 11/03/2016.
[27] WELIVESECURITU En español.; Comparativa de ISO 27001: cambios
en la evaluación de riesgos.; http://www.welivesecurity.com/la-
es/2014/12/31/iso-27001-cambios-evaluacion-riesgos/; Consultada: 28/01/2016.
[30] [31] [34] [36] PCI SECURITY STANDARDS COUNCIL. PCI (Industria de
tarjetas de pago) Normas de seguridad de datos – Requisitos y
procedimientos de evaluación de seguridad.
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/
PCI_DSS_v3.pdf; Consultada: 15/02/2016.
[32] [33] ISACA JOURNAL. Comparison of PCI DSS and ISO/IEC 27001
Standards Volumen 1 – 2016. Consultado: 16/02/2016.
[35] NCCGROUP. Certificaciones de seguridad de la información – ISO
27001 y PCI DSS. https://www.nccgroup.trust/uk/our-services/security-
consulting/iso-27001-certification-and-pci-dss-compliance/; Consultada:
15/02/2016.
[37] [39] DELGADO, J.; Seguridad de la información en el ámbito de la
salud., Trabajo final de Especialización, MSI (UBA) Agosto, 2015.
[38] SOCIEDAD ESPAÑOLA DE INFORMATICA Y SALUD (SEIS); De la
historia clínica a la historia de salud electrónica (Resumen);
http://www.seis.es/documentos/informes/secciones/adjunto1/CAPITULO1_0.pdf;
Consultada: 25/03/2015.
[40] Universidad Católica Boliviana San Pablo; “Ley HIPAA”;
http://auditoriasistemasucb.pbworks.com/f/Ley_HIPAA.pdf; Consultada:
20/01/2016.
114