Académique Documents
Professionnel Documents
Culture Documents
COBIT® 5
Resumen
Este artículo técnico aborda los elementos clave del Reglamento General de Protección de Datos (RGPD), la importancia del
gobierno de la TI de la Empresa (GEIT) y el papel de COBIT® 5 en el establecimiento de un marco de gobierno, las conexiones
entre COBIT 5 y los requisitos de cumplimiento del RGPD, así como consejos y enseñanzas clave para los esfuerzos de
implementación del RGPD utilizando COBIT 5.
Introducción – El tiempo se agota para el RGPD
El 25 de mayo de 2018, fecha límite para el cumplimiento con el En los últimos años, las autoridades de protección de datos de la UE
Reglamento General de Protección de Datos (RGPD), se acerca se han vuelto mucho más activas a raíz de algunos acontecimientos
rápidamente; sin embargo, muchas compañías multinacionales importantes relacionados con la privacidad. El RGPD es mucho más
todavía están atrasadas en sus preparativos. Aprobada por el agresivo que los requisitos anteriores, con consecuencias más duras
Parlamento Europeo y el Consejo Europeo en abril de 2016, la por quiebras de seguridad. Sin embargo, el lenguaje del RGPD deja
reforma de Protección de Datos de la UE sustituye a la Directiva de espacio para la interpretación: Utiliza el término "razonable" en su
Protección de Datos, y es un reglamento general que obliga a las definición del nivel de protección requerido con respecto a los datos
organizaciones a cumplir con requisitos muy estrictos en materia personales, pero no define qué significa "razonable" en realidad. Esto
de protección de datos personales de los ciudadanos de la UE. Por ofrece al órgano rector del RGPD un amplio margen de maniobra a la
primera vez, este requisito también afecta a las compañías con sede hora de evaluar las multas por incumplimiento.
fuera de Europa que hacen negocios en Europa. Este cumplimiento
afectará a los equipos de seguridad y privacidad que manejan En resumidas cuentas: no importa dónde se encuentre una empresa.
información personalmente identificable (PII), incluyendo información Si la empresa aloja información privada sobre un ciudadano de la
básica de identidad; direcciones (incluyendo direcciones de internet); UE, es responsable de la protección de dichos datos. Esto tendrá
e información médica, biométrica, étnica, política o sexual. Es un un efecto drástico en la forma en que las empresas mantienen,
desarrollo importante que las empresas deben abordar. almacenan y utilizan los datos de clientes, empleados, proveedores o
cualquier otra persona. Está obligando a muchas empresas de fuera
¿Por qué el RGPD es diferente? Los requisitos para proteger de la UE a replantearse su estrategia en el mercado europeo, por
la información personal no son nuevos, pero han crecido los siguientes motivos: cualquier compañía que almacene o procese
significativamente con la explosión de la computación y el información personal de ciudadanos de la UE debe cumplir con
almacenamiento en la nube. La nube, la seguridad y el cumplimiento estos requisitos. Entre los criterios específicos que desencadenan
son las principales áreas de interés dentro del RGPD. Desde una el cumplimiento se incluyen los siguientes: 1) La presencia física de
perspectiva normativa, este tipo de implementación no es nada una empresa en la UE, o 2) El tratamiento de datos personales de
nuevo. Hasta la fecha, el mundo ha visto las directivas de privacidad residentes de la UE por parte de una empresa, aunque ésta no tenga
de la UE, la Ley de Transferencia y Responsabilidad de Seguro presencia física en la UE.
Médico (HIPAA) de EE.UU., el Puerto Seguro, la Ley Gramm-Leach-
Bliley (GLBA) de EE.UU., la Ley Patriota de EE.UU., y muchas otras.
Habilitación de un
procesos específicos.
2 ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, página 27, EE.UU., 2012
Servicios, Personas,
Información Infraestructuras y Habilidades y
Aplicaciones Competencias
Fuente: ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 12, EE.UU., 2012
GOBIERNO GESTIÓN
Evaluar, Orientar y Alinear, Planificar y Construir, Adquirir e Entregar, dar Servicio y Supervisar, Evaluar y Valorar
Supervisar Organizar Implementar Soporte
EDM01 Asegurar el APO01 Gestionar el BAI01 Gestionar los DSS01 Gestionar las MEA01 Supervisar,
Establecimiento y Marco de Gestión Programas y Operaciones Evaluar y Valorar
el Mantenimiento de TI Proyectos Rendimiento y
del Marco de Conformidad
DSS02 Gestionar las
Gobierno
APO02 Gestionar la BAI02 Gestionar la Peticiones y los
Estrategia Definición de Incidentes del MEA02 Supervisar,
EDM02 Asegurar la Entrega Requisitos Servicio Evaluar y Valorar
de Beneficios el Sistema de
APO03 Gestionar la
BAI03 Control Interno
Arquitectura Gestionar la DSS03 Gestionar los
EDM03 Asegurar la Empresarial Identificación y la Problemas
Optimización del Construcción de MEA03 Supervisar,
Riesgo Soluciones Evaluar y Valorar
APO04 Gestionar la DSS04 Gestionar la
el Cumplimiento
Innovación Continuidad
BAI04 con los
EDM04 Asegurar la Gestionar la
Requisitos
Optimización de los Disponibilidad y DSS05
APO05 Gestionar el Gestionar los Externos
Recursos la Capacidad
Portafolio Servicios de
Seguridad
EDM05 Asegurar la APO06 Gestionar el
BAI05 Gestionar la
Transparencia Introducción DSS06
Presupuesto y los Gestionar los
hacia las Partes de Cambios
Costes Controles de
Interesadas Organizativos
los Procesos de
Negocio
APO07 Gestionar
BAI06 Gestionar los
los Recursos
Cambios
Humanos
APO11 Gestionar la
BAI10 Gestionar la
Calidad
Configuración
APO12 Gestionar el
Riesgo
APO13 Gestionar la
Seguridad
Fuente: ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 16, EE.UU., 2012
Consejo: La cascada de metas de COBIT 5 identifica las 6. Llevar a cabo una evaluación del riesgo empresarial para ayudar en
necesidades de las partes interesadas que derivan en las metas la toma de decisiones. Es importante conocer cuales son los datos
empresariales, en las metas relacionadas con TI y en las metas de de ciudadanos de la UE que la empresa almacena y trata, así como
los catalizadores con el fin de ayudar a determinar los procesos cualquier riesgo asociado. Las evaluaciones de riesgos pueden
más apropiados sobre los que enfocar para aumentar el valor de ayudar a identificar el riesgo, determinar medidas para mitigarlo y
las partes interesadas. desarrollar planes de acción para gestionarlo.
3. Obtener un inventario de los marcos y prácticas actuales de Consejo: COBIT 5 para Riesgos y la ISO 31000 son excelentes
gobierno de la empresa, incluyendo el plan de protección de datos. puntos de partida para determinar un proceso apropiado de
La mayoría de las empresas ya cuentan con un plan en curso, pero evaluación de riesgos y al vincularlo a los requisitos del RGPD.
deberán revisarlo y actualizarlo para asegurarse de que se ajuste a
los requisitos del RGPD. 7. Desplegar un amplio programa de concienciación y capacitación.
Todos los miembros de la organización deben estar familiarizados
Consejo: El RGPD es una preocupación regulatoria que puede con los requisitos del RGPD, así como con sus roles específicos.
satisfacerse adoptando las mejores prácticas existentes, tales La capacitación es probablemente una de las acciones más
como COBIT, ITIL, el marco de The Open Group Architecture importantes que una empresa puede adoptar para aumentar la
Forum (TOGAF), las publicaciones del Instituto Nacional de probabilidad de éxito de un programa.
Normas y Tecnología de EE.UU. (NIST), las normas de la
Peter Christiaans
CISA, CRISC, CISM, PMP, Deloitte Consulting LLP,
EE.UU., Director
Hironori Goto
CISA, CRISC, CISM, CGEIT, ABCP, Five-I, LLC,
Japón, Director
Mike Hughes
CISA, CRISC, CGEIT, Haines Watts, Reino Unido, Director
Leonard Ong
CISA, CRISC, CISM, CGEIT, CPP, CFE, PMP, CIPM, CIPT,
CISSP ISSMP-ISSAP, CSSLP, CITBCM, GCIA, GCIH, GSNA,
GCFA, Merck & Co., Inc.,
Singapur, Director
R.V. Raghu
CISA, CRISC, Versatilist Consulting India Pvt. Ltd.,
India, Director
Jo Stewart-Rattray
CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich,
Australia, Director
Ted Wolff
CISA, Vanguard, Inc., EE.UU., Director
Tichaona Zororo
CISA, CRISC, CISM, CGEIT, Evaluador Certificado de COBIT