http://www.mailxmail.

com/curso-administracion-centro-computo/metodos-tipos-control

ANLISIS COMPLEMENTARIO DE COBIT CON LA NORMA ISO/IEC 27002:2007: LA SEGURIDAD DE LA INFORMACIN COMO REQUERIMIENTO DE NEGOCIO

La informacin es el activo ms preciado de cualquier organizacin, por esto se debe hacer buen uso de la misma, mantener su integridad, veracidad, disponibilidad y sobretodo su seguridad. Estas responsabilidades son actualmente delegadas a los Sistemas de Informacin, los cuales deben ser eficientes y eficaces, brindando as confiabilidad a la hora de entregar la informacin al usuario final . Un buen Sistema de Informacin debe satisfacer los objetivos de la empresa y las necesidades del negocio para de este modo entregar valor agregado al cliente. Para la adquisicin de un nuevo software se deben atender los requerimientos del negocio tal como dice COBIT. Esto traduce a que se deben tener en c uenta la razn social de la empresa, su tamao y la visin de la misma para adquirir un software que se ajuste a estas necesidades. Asimismo las directivas tecnolgicas y la arquitectura de informacin son factores relevante s en la adquisicin del nuevo Sistema de Informacin ya que stos no son ms que la forma en cmo la empresa maneja sus recursos de TI y su informacin. El nuevo software debe poder ejecutarse dentro de la infraestructura tecnolgica existente y adaptarse a la arquitectura de la informacin. Lo anterior est planteado en el Objetivo de Control AI2.1 Diseo de Alto Nivel de COBIT y como se puede ver estos requerimientos son de vital importancia a la hora de adquirir un nuevo software pero tambin deben tenerse en cuenta los aspectos sobre la seguridad de la informacin que COBIT no plantea dentro de este objetivo. La seguridad de la informacin no es algo que deba dejarse solamente en el aspecto tcnico ya que sta tambin es un requerimiento de negocio. En la clusula 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin en su apartado 12.1 Requisitos de Seguridad de los Sistemas de Informacin, el estndar ISO/IEC 27002:2007 establece que la seguridad es parte integral de los sistemas de informacin , adems plantea que los requisitos de seguridad de los sistemas de informacin se deben identificar y acordar antes de desarrollarse y/o implementarse los mismos. Asimismo sugiere que todos los requisitos de seguridad sean identificados en la fase requisitos de un proyecto . Lo anterior indica que para ISO/IEC 27002:2007 el tema de la seguridad de la informacin hace parte del diseo de alto nivel porque al ser la informacin tan valiosa para las organizaciones, este aspecto se convierte en un requerimiento esencial del nego cio. Si bien la clusula 12 de la ISO/IEC 27002:2007 encaja dentro del diseo de alto nivel, podemos decir que su categora 12.1.1 Anlisis y especificaci n de los

Requisitos de Seguridad ms concretamente, podra ajustarse dentro de un diseo detallado, ya que la seguridad es algo que se contempla de forma general dentro del diseo de alto nivel al ser un requisito de negocio pero se debe especificar de manera tcnica cada uno de los controles que se deberan considerar para cumplir con este requerimiento. Dentro de los aspectos tcnicos en cuanto a seguridad se refiere, tambin forman parte las siguientes clusulas y categoras: 5.1 Polticas de seguridad de la Informacin (que tambin le concierne al Objetivo de Control AI2.1). 10.3 Planificacin y Aceptacin del Sistema. sta categora encaja perfectamente con lo que dice COBIT en su Objetivo de Control AI2.2 , ya que en sus apartados 10.3.1 y 10.3.2 especfica claramente lo que se debe tener en cuenta a la hora de realizar los requerimientos de la a plicacin incluso a largo plazo y tambin sugiere criterios de aceptacin del sistema. 11.1 Requisitos del Negocio para el Control de l Acceso. Los controles de acceso hacen parte de los requisitos de la aplicacin ya que se debe conocer stos parmetros para poder desarrollar o implementar un software. De igual forma las categoras 11.2 Gestin del Acceso de Usuarios y 11.6 Control de Acceso a las Aplicaciones y a la Informacin, complementan esta parte. Para el aspecto tcnico tambin se debe detallar cont roles que permitan garantizar el procesamiento correcto de las aplicaciones, estos controles deberan incluir la validacin de los datos de entrada, del procesamiento interno y de los datos de salida tal y como lo plantea ISO/IEC 27002:2007 en la categora 12.2 Procesamiento Correcto de las Aplicaciones. Siguiendo con los Objetivos de Control de COBIT el AI2.3 Control y Auditabilidad de las Aplicaciones especfica que se deben implementar controles automatizados en las aplicaciones con el fin del que el pro cesamiento sea exacto, completo, oportuno, autorizado y sobretodo auditable. Para lo anterior la norma ISO/IEC 27002:2007 nos ofrece las siguientes categoras que ayudan a cumplir con este objetivo: 10.10.1 Logs de Auditora, 10.10.5 Logs de Fallas, 12.2.1 Validacin de datos de entrada, 12.2.2 Control de Procesamiento Interno , 12.2.3 Integridad de Mensajes , 12.2.4 Validacin de Datos de Salida , 13.2.3 Recoleccin de Evidencia , 15.3.1 Controles de Auditora de Sistemas de Informacin , 15.3.2 Proteccin de Herramientas de Auditora de Sistemas de Informacin . El Objetivo AI2.4 Seguridad y Disponibilidad de las Aplicaciones, como su nombre lo indica no es ms que definir los aspectos de seguridad y disponibilidad y cuando se busca satisfacer este objetivo la norma ISO/IEC 27002:2007 es la clave ya que sta se basa en todos los aspectos de seguridad que conciernen a los Sistemas de Informacin adems de que su poltica sobre la informacin es que es un activo de

la empresa pues como tal necesita estar disponible cuando se le requiera por lo tanto esta norma tambin toma en cuenta este aspecto. Los puntos en donde se enfatiza an ms sobre seguridad y disponibilidad de sistemas de informacin en la norma ISO/IEC 27002:2007 son los siguientes: 6.1.4 Proceso de Autorizacin para las Instalaciones de Procesamiento de Informacin, 7.2.1 Lineamientos para la Clasificacin, 10.3.2 Aceptacin del Sistema, 11.6.2 Aislamiento de Sistemas Sensitivos, 12.1.1 Anlisis y Especificacin de los Requisitos de Seguridad, 12.2.3 Integridad de Mensajes, 12.3.1 Poltica de Uso de Controles Criptogrficos, 12.4.3 Control de Acceso al Cdigo Fuente de los Programas, 12.5.2 Revisin Tcnica de las Aplicaciones luego de Cambios en el Sistema Operativo, 12.5.4 Fuga de Informacin, 15.3.2 Proteccin de Herramientas de Auditora de Sistemas de Informacin. AI2.5 trata de la configuracin e implementacin de Software adquirido para conseguir los objetivos del negocio. Este objetivo se ajusta a la categora 12.5.3 Restricciones en los Cambios a los Paquetes de Software debido a que los cambios en las Aplicaciones pueden afectar la disponibilidad de la informacin y vulnerar su Seguridad, para ello ISO/IEC 27002:2007 sugiere que estos cambios y/o configuraciones sean controlados estrictam ente para evitar presentar problemas que puedan afectar al negocio directamente. Las actualizaciones importantes dentro de los sistemas existentes es de lo que habla el objetivo AI2.6 el cual plantea que los cambios significativos al diseo y/o la funcionalidad de los sistemas existentes deben seguir un proceso tal como si fuera un desarrollo nuevo y en este punto la categora que ayuda a cumplir perfectamente este objetivo es la 12.5.1 Procedimientos de Control de Cambios, la cual da las pautas para realizar este procedimiento de manera formal y debidamente documentado el cual tambin contenga especificaciones, pruebas, control de calidad e implementacin con gestin para minimizar la corrupcin de los Sistemas de Informacin. AI2.7 y AI2.8 tratan del Desa rrollo de Software aplicativo y Aseguramiento de la Calidad del Software Aplicativo respectivamente. Cuando se realiza un desarrollo de software uno de entre varios aspectos a tener en cuenta es el aseguramiento de la calidad del mismo, adems de que sea f uncional y cumpla con los requisitos legales y contractuales concernientes a software desarrollado por terceros . Para este primer objetivo la categora 12.5.5 Desarrollo de Software Contratado Externamente sugiere que la organizacin debera supervisar y m onitorear el desarrollo de software contratado externamente de este modo se vela que se cumplan los tems especificados dentro del AI2.7. Para el caso del AI2.8 es bsicamente desarrollar y publicar un plan de aseguramiento de calidad en este caso para sof tware con el cual lo que se pretende es que el software cumpla con las especificaciones de calidad definidas en los requerimientos y en las polticas y procedimientos de calidad de la

organizacin. En este punto ISO/IEC 27002:2007 no menciona claramente c mo realizar o qu aspectos tener en cuenta para ejecutar un plan de aseguramiento de la calidad de software pero en su categora 10.3.2 especfica que se deben establecer unos criterios de aceptacin el cual deben seguir los Sistemas de Informacin nuevos as como las actualizaciones y las nuevas versiones. Todo lo planteado dentro de esta categora puede tomarse como punto de partida para generar as un plan de aseguramiento de calidad ya que exige considerar diferentes aspectos que garantizan la calidad d el software as como la de su implantacin cuidando as que no genere problemas significativos al negocio. Por su parte AI2.9 trata acerca de la Administracin de los requerimientos de las aplicaciones. En este objetivo lo que se pretende es realizar un se guimiento al estado de cada una de las etapas de adquisicin e implementacin de software (diseo, desarrollo e implementacin) de la mano de un proceso de gestin de cambios establecido. Desde mi punto de vista toda la clusula 12. Adquisicin Desarrollo y Mantenimiento de Sistemas de informacin junto con todas sus categoras ayudan a cumplir con este objetivo, adems de que dentro de esta clusula tambin se encuentra establecido el procedimiento de gestin de cambios en la categora 12.5.1. En la norma ISO/IEC 27002:2007 no existe algo concreto como un plan para el mantenimiento del software contemplado en el objetivo AI2.10 de COBIT pero se puede desarrollar tomando varias categoras pertenecientes a diferentes clusulas y formar as nuestro propio plan para el mantenimiento de software. Las categoras que podran ayudar a cumplir este objetivo son: 10.3 Planificacin y Aceptacin del Sistema 10.4 Proteccin Contra Cdigos Maliciosos 10.5 Respaldos 10.10 Monitoreo 13.1 Reporte de los Incidentes y las Me joras en la Seguridad de la Informacin 13.2 Gestin de los Incidentes y las Mejoras en la Seguridad de la Informacin 14.1 Aspectos de Seguridad de la Informacin en la Gestin de la continuidad del Negocio 15.1 Cumplimiento de los Requisitos Legales 15.2 Cumplimiento de las Polticas y las Normas de Seguridad y Cumplimiento Tcnico

15.3 Consideraciones de la Auditora de los Sistemas de Informacin

Las anteriores categoras que cumplen con los puntos clave de los objetivos AI2.3, AI2.4, A12.5, AI2.6, AI2 .7 y AI2.8 fueron dadas por ISACA en su documento Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en beneficio de la empresa. Para los objetivos AI2.9 y AI2.10 al igual que el AI2.1 y AI2.2 no existe en el documento de ISACA clusulas o categoras que se encuentren mapeadas con los mismos, pero en este documento se demostr que s hay relacin y que el dominio de COBIT AI en su proceso AI2 Adquirir y Mantener Software Aplicativo puede ser totalmente complementado con la norma ISO/IEC 27002:2007 entonces se puede concluir que si bien COBIT como marco de trabajo da pautas para saber qu hacer, ISO/IEC 27002:2007 ayuda a saber cmo cumplir con los objetivos planteados por COBIT cuando se analizan estos dos documentos en pro de complementarse y beneficiar a la organizacin ya que cada uno apunta a diferentes enfoques debido a sus naturalezas aunque traten del mismo tema.

Ing. Stefanny Rodrguez Llanos