Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En este nmero:
Banco de Medio Oriente mejora la seguridad de la informacin
Gestin de seguridad de la informacin en HDFC Bank: Contribucin de los siete facilitadores /
habilitadores
Soportando el cumplimiento de PCI DSS 3.0 con COBIT 5
Desarrollo de un marco de gobierno para la organizacin de soporte mundial en GlaxoSmithKline,
utilizando COBIT
Convocatoria para
presentacin de
artculos
Cmo utiliza COBIT
en su empresa actualmente?
Aceptamos artculos en los que
describa su experiencia con
este marco. Plazos
para la presentacin de una
copia para el
volumen 2, 2014:
10 de marzo de 2014
Enve artculos para
revisin a:
publication@isaca.org
Estudio de casos
Visite las pginas
COBIT Recognition
(Reconocimiento de COBIT) y
Case Studies (Estudio de
Casos) para obtener ms
informacin sobre los estudios
de casos relacionados con
COBIT 5 y COBIT 4.1.
Open Group (The Open Group Architecture Framework, TOGAF) y el Cuerpo de Conocimientos de Gestin de Proyectos
(Project Management Body of Knowledge, PMBOK).
Ningn otro marco proporciona un cruce tan detallado con diversos estndares aceptados en la industria. El banco ha
utilizado COBIT 5 y COBIT 5 para la Seguridad de la Informacin en una amplia variedad de proyectos:
Se emple el Kit de herramientas de COBIT 5 para identificar el enunciado de aplicabilidad (statement of applicability,
SOA) de cada dominio, junto con los 37 procesos y los 210 enunciados de prctica correspondientes.
Los principios de COBIT 5 han sido cruzados con los procesos actuales del departamento de seguridad de la informacin
con el objeto de identificar toda brecha posible (Consulte la columna Evidencia de Soporte en la figura 1 para conocer
los resultados del cruce).
Se abordaron todas las brechas identificadas durante la evaluacin teniendo en cuenta las guas recomendadas para
cada enunciado de prctica.
Objetivo
Descripcin
Estado
Evidencia de
Soporte
1. Soporte al negocio.
Concentrarse
en el negocio.
Garantizar que la
seguridad de la
informacin est
integrada a las
actividades
esenciales del
negocio.
Ofrecer
calidad y valor
a las partes
interesadas.
Garantizar que la
seguridad de la
informacin
ofrezca valor y
satisfaga los
requerimientos
del negocio.
Implementado Estrategia de
seguridad de la
informacin
Pgina 2
Objetivo
Descripcin
Cumplir los
requerimientos
legales y
regulatorios
relevantes.
Garantizar que
se cumplan las
obligaciones
legales, que se
gestionen las
expectativas de
las partes
interesadas, y
que se eviten
sanciones civiles
o penales.
Implementado Estado de
cumplimiento de
PCI, estado de
cumplimiento de
ISO 27001
Proporcionar
datos exactos
y oportunos
sobre el
desempeo de
la seguridad
de la
informacin.
Brindar apoyo a
los
requerimientos
del negocio y
gestionar el
riesgo de la
informacin.
Evaluar las
amenazas
actuales y
futuras hacia
la informacin.
Analizar y
evaluar las
amenazas
emergentes de
seguridad de la
informacin de
modo que se
pueda adoptar
acciones
oportunas e
informadas para
mitigar el riesgo.
Promover la
mejora
continua en
seguridad de
la informacin.
Reducir los
costos, mejorar
la eficacia y la
eficiencia, y
promover una
cultura de
mejora continua
en seguridad de
la informacin.
Estado
Evidencia de
Soporte
Pgina 3
2. Defender el negocio.
Adoptar un
enfoque
basado en el
riesgo.
Garantizar que el
riesgo sea
tratado de una
manera
consistente y
eficaz.
Proteger
informacin
clasificada.
Evitar la
divulgacin de
informacin
clasificada (p.
ej., confidencial
o sensible) a
personas no
autorizadas.
Implementado Polticas y
estndares de
seguridad de la
informacin
Concentrarse
en
aplicaciones
crticas del
negocio.
Priorizar la
escasez de
recursos de
seguridad de la
informacin
protegiendo las
aplicaciones de
negocio sobre
las que un
incidente de
seguridad de la
informacin
podra tener el
mayor impacto
en la empresa.
Pgina 4
Desarrollar
sistemas
seguros.
Desarrollar
sistemas de
calidad y
econmicos en
los cuales se
pueda confiar (es
decir, que sean
consistentemente
robustos,
precisos y
confiables).
Promover una
cultura positiva
respecto de la
seguridad de
la informacin.
Pgina 5
Gestionar la continuidad.
Conclusin
El banco planea seguir usando este marco de evaluacin anualmente y con la frecuencia que otros proyectos exijan. La
versin ms reciente de COBIT es fcil de comprender e implementar, especialmente el kit de herramientas, que proporciona
toda la informacin necesaria para aplicar COBIT en toda la organizacin.
Uso de COBIT
Como uno de los primeros en adoptar COBIT 4.1, el HDFC Bank comenz hace ya casi 6 aos el recorrido de gobierno de
TI cuando COBIT 4.1 apenas haba salido al mercado. As fue como la entidad bancaria adopt casi la totalidad de los 34
procesos de TI definidos en COBIT 4.1.
Luego de la introduccin de COBIT 5 en abril de 2012, HDFC Bank se tom un tiempo para considerar una migracin.
Debido a que la experiencia del banco con la implementacin de COBIT 4.1 ha sido muy beneficiosa, no migrar
inmediatamente a COBIT 5. Sin embargo, HDFC Bank adopt de manera intuitiva los siete facilitadores /habilitadores
introducidos por COBIT 5 incluso antes de que estos adquirieran notoriedad pblica en COBIT 5.
COBIT 5 describe siete facilitadores / habilitadores como factores que, de manera individual y colectiva, influyen en que algo
funcione; en este caso, el gobierno y la gestin de TI de la empresa (governance and management of enterprise IT, GEIT):
1. Los principios, las polticas y los marcos son el vehculo para convertir el comportamiento deseado en orientacin
prctica para la gestin diaria.
2. Los procesos describen un conjunto organizado de prcticas y actividades para lograr ciertos objetivos y producir un
conjunto de resultados que sustenten el logro de las metas generales relacionadas con TI.
3. Las estructuras organizacionales son las entidades claves de toma de decisiones en una empresa.
4. La cultura, la tica y el comportamiento de individuos y de la empresa son, a menudo, subestimados como un factor
de xito en las actividades de gobierno y gestin.
5. La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la
empresa. Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel
operativo, la informacin es con frecuencia el producto clave de la misma empresa.
Estructuras
organizacional
es
Las estructuras
organizacionales
son las entidades
clave de toma de
decisiones en
una empresa.
La seguridad de
la informacin en
HDFC Bank est
impulsada por su
grupo de
seguridad de la
informacin
(information
Seguridad
de la
informacin
TI
Operaciones
A/R
A/R
A/R
A/R
R/C
A/R
Tecnologa de la seguridad
A/R
Ingeniera de la seguridad
A/R
Desarrollo seguro
A/R
Operaciones y entrega de
servicios
Gestin de proyectos
A/R
R/C
A/R
Respuesta a incidentes
A/R
A/R
Conocimiento, educacin y
capacitacin
A/R
A/R
C
C
Pgina 7
security group, ISG). El grupo est liderado por el director general de seguridad de la informacin (chief information security
officer, CISO), que reporta al director ejecutivo del banco. El ISG es principalmente responsable de identificar, evaluar y
proponer la mitigacin de cada riesgo relacionado con la seguridad de la informacin. Esta responsabilidad se lleva a cabo
interactuando con diversos comits y partes interesadas y preparando planes, propuestas, polticas, procedimientos y guas.
La implementacin de estas directrices se asigna a los equipos de implementacin de todo el banco.
El marco de gobierno en HDFC Bank est impulsado por una gran cantidad de comits de alto nivel (figura 1). La
importancia que se le da a la seguridad de la informacin es notoria puesto que una gran cantidad de comits de alto nivel
han colocado a la seguridad de la informacin en sus agendas.
La definicin de responsabilidades para el ISG han sido bien definidas a travs de una matriz RACI (figura 2). Uno de los
puntos principales que se deben destacar es que, si bien la responsabilidad de la gestin de la seguridad de la informacin
radica en el ISG, la
rendicin de cuentas
Figura 3: Gobierno para la implementacin
recae marcadamente en
los dirigentes funcionales.
De igual modo, si bien es
cierto que el ISG rinde
cuentas por la definicin
de la evaluacin de
riesgos, los dirigentes
funcionales lo son de la
ejecucin de esta
evaluacin. Esta divisin
de responsabilidades y
rendicin de cuentas
determina la propiedad
de la mitigacin del
riesgo y la gestin de
seguridad de la
informacin en los
Procedimientos, controles tcnicos
Poltica, procesos, estndares
dirigentes funcionales.
En la figura 3, se
proporciona el marco
general de gobierno para
la implementacin.
21 componentes
Los 21 componentes se
Seguridad de la aplicacin, criptografa, monitoreo, gestin de incidentes, seguridad
monitorean
bancaria en lnea, gestin de software malicioso (malware), proteccin de datos,
permanentemente hasta
ciclo de vida de desarrollo de software seguro, planificacin de continuidad del
alcanzar un nivel de
negocio, privacidad, gestin de acceso y de identidad, gestin de riesgos...
madurez. La asignacin
de trabajo a los
integrantes del ISG se basa en estos controles.
Pgina 8
ISO 27001, COBIT y las guas del Banco de Reservas de la India (Reserve Bank of India, RBI). Estos registros se introducen en
una herramienta de gobierno, riesgo y cumplimiento (governance, risk and compliance, GRC) que proporciona el marco de control
unificado (unified control framework, UCF) interno del banco. De esta manera, se logra identificar el nivel de cumplimiento adquirido
de manera automtica. La herramienta proporciona casi 40 fuentes autorizadas que ya se han cruzado a travs del UCF. Por lo
tanto, resulta fcil encontrar el cumplimiento con cualquier fuente.
El equipo del ISG utiliza la metodologa de Anlisis por factores del riesgo de la informacin (Factored Analysis of Information
Risk, FAIR) para calcular el riesgo probable mediante la captura de la frecuencia de eventos de amenazas y la frecuencia de
eventos de prdida, dando el peso adecuado a cada factor y la creacin de una clasificacin de riesgo para dar prioridad y
tomar decisiones. El equipo del ISG tambin revis la norma ISO 27005 y dise un enfoque slido para la gestin de
riesgos con la ayuda de estos estndares.
Se ha creado una versin corta del documento de la poltica en una gua del usuario de 20 pginas sustentada por una lista
de 10 reglas principales para la seguridad de la informacin.
Hay una gran cantidad de proveedores que prestan servicio a HDFC Bank. La seguridad de la cadena de suministros queda
garantizada por revisiones peridicas de terceros a los proveedores las cuales son llevadas a cabo por firmas de auditora
externa.
HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea obtener el certificado ISO 22301 y ha alcanzado el
92 % de cumplimiento de las guas RBI.
Figura 4: Cascada de metas de COBIT 5
En la actualidad, el ISG se centra en la creacin de un sistema
slido de gestin de incidentes, proveer una proteccin
adecuada de los datos, garantizar la implementacin apropiada
del BYOD - "trae tu propio dispositivo" (bring your own device) y
detectar, contener y remover amenazas persistentes avanzadas
oportunamente.
Procesos
Los procesos describen un conjunto organizado de prcticas y
actividades para lograr ciertos objetivos y producir un conjunto
de resultados respaldando el logro de las metas generales
relacionadas con TI. El ISG sigue un modelo de proceso de
seguridad de la informacin basado en 21 componentes:
1. Seguridad de la aplicacin
2. Criptografa
3. Monitoreo
4. Gestin de incidentes
5. Seguridad bancaria en lnea
6. Gestin de software malicioso (malware)
7. Proteccin de datos
8. Ciclo de vida del desarrollo de software seguro
9. Gestin de proveedores (terceros)
10. Planificacin de continuidad del negocio
11. Privacidad
12. Gestin de identidades y acceso
13. Gestin de riesgos
14. Seguridad fsica
15. Concientizacin
16. Gobierno
17. Poltica
18. Gestin del ciclo de vida de los activos
19. Rendicin de cuentas y propiedad
20. Configuracin del sistema
21. Seguridad de la red
Se efecta la planificacin, diseo, implementacin y monitoreo
de la seguridad de la informacin para estos componentes
individuales. Este enfoque hace que los equipos se mantengan
Pgina 9
centrados. Se desarrollan polticas, procedimientos, guas, estndares, tecnologas y herramientas para estos componentes.
Este enfoque proporciona granularidad a la hora de gestionar cada rea de enfoque y tambin conduce a una arquitectura de
defensa en profundidad.
Cada uno de los componentes contribuye con la creacin de estndares y procedimientos de control que satisfacen los
requerimientos de polticas de alto nivel. Este es un enfoque de abajo hacia arriba que permite mitigar las inquietudes de
seguridad de nivel superior para procesos de negocio proporcionando seguridad adecuada para los activos que son
utilizados por estos procesos.
Actualmente, se est llevando a cabo la tarea de cruzar todos los procesos de negocio con los activos. Los procesos de
negocio se estn clasificando en funcin de la criticidad y el impacto que puedan tener en el negocio. Si un activo, por
ejemplo un servidor, aloja mltiples procesos de TI que sustentan mltiples procesos de negocio, esto hace que la
clasificacin se atribuya al proceso de negocio ms crtico.
El enfoque que adopt el ISG de HDFC Bank est ntimamente alineado con la cascada de metas de COBIT 5 (figura 4).
En la figura 5, se muestran los motivadores o factores conductores de las partes interesadas que identific HDFC Bank.
Figura 5: Factores conductores de partes interesadas de HDFC Bank
Pgina 10
detectar reas que requieren mejoras y los ejercicios de evaluacin se realizan en el marco de un taller. Existe una
comunicacin saludable de dos canales que deriva en un sentido de participacin y transparencia respecto de la estrategia y
la visin de la empresa. El modelo se utiliza estrictamente para anlisis de brechas internas y para identificar reas de
mejora. No ha sido pensado para proporcionar aseguramiento a un tercero.
El modelo de madurez que se presenta a continuacin fue creado por el ISG para satisfacer sus necesidades exclusivas de
definicin de planes de mejoras especficas. Este modelo de madurez se basa ligeramente en el modelo definido en COBIT
4.1. Una de las crticas al modelo de madurez de COBIT 4.1 fue que los criterios usados para definir los niveles eran
subjetivos. En estos momentos, HDFC Bank est considerando la posibilidad de corresponder los procesos actuales con el
modelo de evaluacin de procesos (Process Assessment Model, PAM) de COBIT 5, que se basa en la norma ISO 15504.
Figura 6: Modelo de madurez de la seguridad de la informacin
Columna 1
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Inicial
En desarrollo
Definido
Gestionado
Optimizado
Poltica integral
definida y publicada
Poltica publicada e
implementada de manera
uniforme
Poltica
Roles y
responsabilidades
Roles y
responsabilidades
no definidos
Roles y responsabilidades
definidos y ejecutados
Roles y responsabilidades
revisados de manera continua
Automatizacin
Manual
Semiautomatizada
Automatizada
Automatizada y
completamente operativa
Actualizacin permanente de la
automatizacin
Alcance
No implementado
Cobertura limitada
Activos crticos
Completo
Eficacia
N/A
Baja
Media
Alta
Muy alta
Gestin de
incidentes
Sin seguimiento
Visibilidad limitada
Seguimiento de
incidentes crticos
Seguimiento y cierre de
todos los incidentes
Medicin
Sin medicin
Medicin limitada
Mediciones
integrales definidas
Informes
Sin informes
Informes limitados
Informes definidos
Informacin
La informacin es generalizada en cualquier organizacin e incluye toda la informacin producida y utilizada por la empresa.
Se requiere la informacin para mantener a la organizacin en funcionamiento y bien gobernada, pero a nivel operativo, la
informacin es con frecuencia el producto clave de la misma empresa.
La informacin confiable es un factor clave para la gestin de la seguridad. Habitualmente, la informacin se presenta por
medio de documentacin del Consejo en trminos de estrategia, presupuesto, plan y polticas. Los requerimientos de
seguridad de la informacin se obtienen por medio de un formulario de aceptacin de riesgos (risk acceptance form, RAF) y
son sometidos a una revisin a cargo del comit de gestin de riesgos de la seguridad de la informacin (information security
Pgina 11
risk management committee, ISRMC). El ISG tambin prepara varios informes de revisin de seguridad de la informacin,
que incluyen hallazgos de auditora, informes de madurez, anlisis de amenazas, informes de evaluacin de
vulnerabilidades, registros de riesgo de la informacin, informes de brechas y prdidas, e informes de incidentes y problemas
relacionados con la seguridad de la informacin.
El modelo de madurez proporciona entradas adicionales para informacin de buena calidad. Se han creado varias mtricas y
mediciones de seguridad de la informacin basadas en el marco de la norma ISO 27004, que se presentan a modo de
tablero de mando (dashboard). En la actualidad, se est trabajando para implementar una herramienta GRC de TI que
permita captar toda la informacin en la fuente y demostrar cumplimiento de numerosos requerimientos, que incluyen las
guas de RBI, PCI DSS y Basilea II. Adems, la herramienta permite el cruce con diferentes controles de COBIT 4.1.
Pgina 12
implementacin.
Actualizacin de
bsqueda
Materiales de COBIT 5
recientemente publicados
COBIT 5: Informacin
Habilitadora
Si desea obtener ms
informacin sobre las
publicaciones de COBIT, visite
la pgina de COBIT 5 en el
sitio web de ISACA.
Dispone de traducciones de
COBIT 5 en la pgina COBIT
Product family (Familia de
Productos de COBIT).
Pgina 13
tarjeta o los datos de autenticacin. La implementacin de procesos facilitadores / habilitadores de COBIT 5 puede respaldar
1
el cumplimiento del PCI DSS. COBIT 5 ayuda a las empresas en su gobierno y gestin de TI (GEIT) en trminos generales
y, al mismo tiempo, respalda la necesidad de cumplir los requerimientos de seguridad con procesos facilitadores /
habilitadores y actividades de gestin. El cruce de los procesos facilitadores / habilitadores de COBIT 5 con los
requerimientos de seguridad de PCI DSS 3.0 facilita la aplicacin simultnea de COBIT 5 y PCI DSS 3.0 y ayuda a crear
sinergias dentro de la empresa.
Pgina 14
En especial, el nmero de cuenta primario (primary account number, PAN) es el factor determinante en la aplicabilidad de los
requerimientos de PCI DSS.
El objetivo del PCI DSS es
bsicamente proteger la
confidencialidad de los datos de los
titulares de tarjetas. La
confidencialidad, como parte de la
trada de seguridad de la informacin
que incluye integridad y disponibilidad,
es uno de los objetivos principales de la
proteccin y la seguridad de la
informacin. La confidencialidad es la
garanta de que los datos no sern
vistos por personas no autorizadas ni
divulgados a ellas y, en consecuencia,
no se vern comprometidos. Las
medidas que habitualmente se usan
para proteger la confidencialidad
tambin suelen proteger la integridad.
Por ejemplo, si un atacante o software
malicioso compromete los datos, por lo
general tambin se ver afectada la
integridad. La integridad es la garanta
de que los datos continan siendo
exactos e ntegros y ningn medio no
autorizado puede alterarlos o
modificarlos. La disponibilidad significa
que los sistemas o usuarios
autorizados pueden acceder a los datos en cualquier momento deseado. La disponibilidad est garantizada por los sistemas
y la infraestructura, que estn preparados para usar y tener capacidad suficiente para procesar todas las solicitudes tan
pronto como sea necesario. Los atacantes pueden comprometer la disponibilidad de informacin inundando el sistema con
solicitudes de servicio y, en consecuencia, provocando un ataque de negacin del servicio, previniendo el acceso a
informacin o datos crticos.
Figura 1: Tpicos y requerimientos de PCI DSS 3.0
Es necesario que las compaas de procesamiento de tarjetas de crdito configuren un entorno que cumpla con PCI DSS
porque sin l no alcanzaran una parte importante de su modelo de negocio e incurriran en enormes prdidas. Adems,
puede esperarse una prdida de reputacin y posibles multas de las compaas de tarjetas de crdito. Las compaas de
procesamiento de tarjetas de crdito se clasifican en cuatro niveles de cumplimiento comercial (niveles/capas uno a cuatro)
2
en relacin con la cantidad de transacciones afectadas en un perodo de 12 meses. Cada nivel presenta requerimientos de
cumplimiento del PCI DSS especficos. Las compaas clasificadas en los niveles dos a cuatro deben rellenar un cuestionario
de autoevaluacin (self-assessment questionnaire, SAQ) anual y completar un escaneo de red trimestralmente realizado por
un proveedor de servicios de escaneo aprobado (approved scanning vendor, ASV). Las compaas con un nmero de
transacciones anuales de seis millones o ms se clasifican como de nivel uno y deben crear cada ao un informe sobre
cumplimiento (report on compliance, ROC) y ser auditadas por un evaluador de seguridad calificado (Qualified Security
Assessor, QSA). El resultado de la auditora se documenta con un testimonio de cumplimiento (attestation of compliance,
3
AOC).
El PCI DSS aborda 12 requerimientos importantes (figura 1) para medidas de control que se dividen por temas, entre ellos,
red (requerimientos 1 y 2), proteccin de los datos de los titulares de tarjetas (requerimientos 3 y 4), programa de gestin de
vulnerabilidades (requerimientos 5 y 6), medidas de control de acceso (requerimientos 7, 8 y 9), monitoreo y comprobacin
de redes (requerimientos 10 y 11), y poltica de seguridad de la informacin (requerimiento 12). A su vez, cada requerimiento
est dividido en sub-requerimientos y procedimientos de prueba.
Pgina 15
COBIT 5
COBIT 5 proporciona un marco de referencia
exhaustivo que asiste a las empresas a alcanzar
sus objetivos de GEIT. Ayuda a las empresas a
crear un valor ptimo de la TI manteniendo un
equilibrio entre la obtencin de beneficios y la
optimizacin de los niveles de riesgo y el uso de
5
recursos. La familia de productos COBIT 5
tambin incluye guas de facilitadores /
habilitadores, guas profesionales y un entorno de colaboracin en lnea. El cambio ms importante al compararlo con
COBIT 4.1 es la reorganizacin del marco de un modelo de proceso de TI a un marco de gobierno de TI.
El siguiente captulo correlaciona los requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores /
habilitadores claves asociados de COBIT 5. El modelo de referencia de los procesos de COBIT 5 incluye procesos para GEIT
6
(figura 2).
Pgina 16
Pgina 17
Pgina 18
8. Asignar una ID nica a cada persona con acceso APO03.02 Definir la arquitectura de referencia.
a la computadora.
APO07.01 Mantener una dotacin de personal suficiente y adecuada.
9. Restringir el acceso fsico a los datos de titulares APO01.06 Definir la propiedad de la informacin (datos) y del sistema.
de tarjetas.
DSS05.04 Gestionar la identidad del usuario y el acceso lgico.
DSS05.05 Gestionar el acceso fsico a los activos de TI.
Monitoreo y comprobacin / prueba de redes
Se debe rastrear, monitorear y registrar todo acceso a los recursos de red y datos de titulares de tarjetas (figura 7). Con los
protocolos correspondientes, es posible identificar y rastrear el acceso no autorizado. Adems, los protocolos resultan tiles
durante el anlisis de fallas tcnicas. El PCI DSS exige el registro de cada acceso a los datos de titulares de tarjetas.
Es preciso probar peridicamente los sistemas y procesos de seguridad. Este procedimiento incluye el escaneo peridico
para detectar vectores de vulnerabilidades y ataques a la seguridad. Amenazas como estas deben identificarse y eliminarse
antes de que puedan ser explotados por posibles atacantes.
Figura 7: Procesos para el monitoreo y Prueba de las redes
Requerimiento de PCI DSS 3.0
Proceso de COBIT 5 (Prcticas)
10. Hacer seguimiento y monitorear todos los
accesos a los recursos de red y datos de titulares
de tarjetas.
Pgina 19
Conclusin
Las compaas que almacenan, procesan o transmiten datos de titulares de tarjetas o datos de autenticacin deben cumplir
con los requerimientos de seguridad segn el PCI DSS. Si estas compaas emplean COBIT 5, podrn abarcar los
requerimientos de seguridad de PCI DSS 3.0 con los procesos facilitadores / habilitadores de COBIT 5. Desde otra ptica,
pueden utilizar los requerimientos de seguridad de PCI DSS 3.0 para facilitar la implementacin de COBIT 5 y alcanzar los
objetivos de GEIT. De ambas maneras, estas sinergias permiten optimizar los niveles de riesgo y el uso de recursos.
Pgina 20
Se desempea como director de seguridad de TI, responsable de la gestin de proyectos relacionados con la seguridad y del
cumplimiento del PCI DSS, en EVO Payments International.
Notas finales
1
El objetivo de este artculo es proporcionar una revisin general de las sinergias que existen entre COBIT 5: Procesos facilitadores / Habilitadores y PCI DSS 3.0. Conocer algunos aspectos
de PCI DSS, del consejo de estndares de seguridad de PCI (PCI SCC), de la familia de productos de COBIT 5 y de las guas habilitadoras disponibles ser de gran ayuda.
PCI SSC, Estndar de seguridad de datos de la industria de tarjetas de pagos (PCI): Requerimientos y procedimientos de evaluacin de la seguridad, Versin 3.0, 2013
4
5
6
PCI SSC, Estndar de seguridad de datos de la Industria de Tarjetas de Pagos (PCI): Resumen de cambios de la versin 2.0 del PCI DSS a la versin 3.0, 2013
ISACA, COBIT 5, 2012
ISACA, COBIT 5: Procesos facilitadores / Habilitadores, 2012
de la TI. Su numeroso grupo de soporte de TI centralizado ha utilizado COBIT 4.1 como base para el desarrollo de un marco
comnmente aceptados. En este caso, el departamento de soporte de aplicaciones de GSK utiliz COBIT (para este
ejercicio, se utiliz la versin 4.1).
ISACA define el gobierno de TI como "La responsabilidad de los ejecutivos y del consejo de administracin. Consiste en el
liderazgo, las estructuras organizacionales y los procesos que aseguran que TI apoya y extiende las estrategias y los
1
objetivos de la empresa".
Pgina 21
Por qu COBIT?
Una de las ventajas de COBIT 4.1 es que se presenta como un marco fuertemente centrado en el control, en lugar de la
ejecucin. Abarca una amplia gama de reas de gobierno (por ejemplo, recursos humanos, finanzas, alineacin estratgica,
gestin de riesgos, gestin de servicios) y se puede cruzar con otros estndares de la industria, tales como la norma ISO
27001 para seguridad e ITIL para la gestin de servicios, lo cual se adapt muy bien a la situacin de GSK.
Pgina 22
Descripcin
Objetivos de control
Implementacin
Uno podra preguntarse: de qu sirve complicarse para crear un documento separado en lugar de usar el material de
COBIT directamente? La razn es que si se tiene un marco con un contexto empresarial conocido, COBIT se vuelve ms
intuitivo para quienes necesitan usarlo. Su finalidad es evaluar los procesos de GSK teniendo en cuenta un estndar
comnmente aceptado para el gobierno, en lugar de redefinir la mtrica o introducir nuevas formas de trabajo. Esto asegur
que el documento fuera muy til para una amplia variedad de personas, la mayora de las cuales tiene escasa o ninguna
experiencia en el uso de COBIT.
Prximos pasos
El marco proporciona una evaluacin en un momento especfico de los controles del departamento de soporte de
aplicaciones y da lugar a la identificacin de amenazas, vulnerabilidades e ineficacias, factores de riesgo y problemas (que,
de otro modo, no se hubieran detectado). Se mantendr alineado con los cambios organizacionales (por ejemplo, si la
organizacin comienza a ofrecer una variedad ms amplia de servicios de TI, el marco podr expandirse fcilmente).
La siguiente evolucin de este modelo de gobierno incluir modelos de evaluacin de capacidades de procesos para reas
de proceso claves. El modelo de evaluacin de procesos de COBIT 5 constituir la base para el diseo y la implementacin
de estos modelos. Esto tambin marca la transicin a COBIT 5. Las reas de proceso seleccionadas para evaluaciones de
capacidades son las que presentaran el mayor impacto de riesgo si no operaran con eficacia. Como antes, los modelos se
basarn en COBIT, pero referenciarn a las mtricas y a los procesos de GSK. El primer paso es realizar una evaluacin de
lnea base para determinar los niveles actuales de madurez y luego establecer los objetivos de mejora a largo plazo para
garantizar la mejora continua del proceso durante los prximos cinco aos.
Steve Williamson
Es director de gestin de riesgos de TI en GlaxoSmithKline y es responsable de la seguridad de la informacin, el
cumplimiento normativo y la gestin de calidad. Williamson comenz su carrera en TI hace 25 aos como probador de
software en la industria bancaria. Williamson ha trabajado en GSK durante los ltimos 16 aos en varias funciones
relacionadas con gerenciamiento de proyectos y gobierno, riesgo y cumplimiento.
Pgina 23
Notas finales
1
ISACA, Glosario
Comit de marco
Steven A. Babb, CGEIT, CRISC, ITIL, UK, Director
David Cau, ITIL, MSP, Prince2, Francia
Sushil Chatterji, CGEIT, Singapur
Frank Cindrich, CGEIT, CIPP, CIPP/G, EE. UU.
Joanne De Vito De Palma, EE. UU.
Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Austria
Katherine McIntosh, CISA, EE. UU.
Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brasil
Paras Shah, CISA, CGEIT, CRISC, CA, Australia
Contenido editorial
Los comentarios relacionados con el contenido editorial pueden
remitirse a Jennifer Hajigeorgiou, gerente snior de redaccin, al
correo electrnico jhajigeorgiou@isaca.org.
Pgina 24