Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
~6~
SUMMARY
Today companies that have or wish to acquire a Government Information Security are in
conflict because they do not know which parameters must meet to succeed in using this
resource today has become very important because with this you can have use of resources
to one hundred percent of their abilities without neglecting the resources that could be
acquired to meet the complete needs of the company. There are several case studies on how
companies can devote the use of its resources on tasks within their work environment,
research indicates strict parameters that must be met, making it difficult to be implemented
by each of the companies by different factors besides the parameters are not based on
Ecuadorian companies, making even more difficult the task of working with the study. It must
recognize that with the studies and research that has been done as an attempt to make
things easier Ecuadorian companies has released different practices, which are not well used
that do not meet the regulations of this country .
This work is based on that, provide each of the companies with a government established
Information or developing the power to know how your current level, as is the different
operating or in any case areas to know the level service and government use.
For this has been used to frame government COBIT version 5.0 which by means of a
comparative table was unveiled that is most suitable to be implemented within the
governments of Security, for this reason they have been created based metrics domains and
turn on the relevant objectives within the framework of COBIT. For the creation of metrics
one PDCA (Plan-Do-Check-Act) methodology which allows for a simple handling when
developing metrics because it has a series of steps to fulfill be used.
In this case study the Ecuadorian Safety Regulations will be used on the information to have
a metric of our country's own government which will have greater weight when the company
makes use of them, as they will have a double reference means that the government is
fulfilling two essential foundations aimed to fulfill the part of government and to be
strengthened with the Ecuadorian legislation.
An explanatory example of how to apply each of them in the government, in the example will
be explained in two moments given to the implementation of the Government when it is at
fifty percent and one hundred will be discussed in the part of developing metrics percent so
that it can demonstrate the use and explanation of it.
Keywords: Government Security, COBIT, Plan-Do-Check-Act, Ecuadorian Legislation.
~7~
CONTENIDO
INTRODUCCION.................................................................................................................. 12
1. CAPITULO I: GENERALIDADES DEL OBJETO DE ESTUDIO......................................13
1.1. DEFINICIN Y CONTEXTUALIZACIN DEL OBJETO DE ESTUDIO.........................13
1.2. HECHOS DE INTERS.................................................................................................14
1.3. OBJETIVOS DE LA INVESTIGACIN..........................................................................14
1.3.1.
OBJETIVO GENERAL...........................................................................................14
1.3.2.
OBJETIVOS ESPECFICOS..................................................................................14
QU ES UNA MTRICA?....................................................................................15
2.1.2
PROCESO DE MEDICIN.....................................................................................16
2.1.3
2.1.4
LAS MEDICIONES.................................................................................................17
2.1.5
PLAN-DO-CHECK-ACT (PDCA)............................................................................18
2.1.6
2.1.7
INFORMACIN)................................................................................................................... 19
2.2 GOBIERNO DE SEGURIDAD DE INFORMACIN.......................................................22
2.3 MARCOS DE GOBIERNO DE TI...................................................................................24
2.3.1
COBIT.................................................................................................................... 25
2.3.2
ITIL......................................................................................................................... 31
2.3.3
NORMA ISO........................................................................................................... 32
2.4
NORMATIVA ECUATORIANA...................................................................................33
3.2.
3.3.
3.4.
LISTA DE ILUSTRACIONE
~9~
~ 10 ~
LISTA DE CUADROS
~ 11 ~
INTRODUCCION
Por lo tanto con lo explicado hasta ahora, esta investigacin tiene como fin desarrollar
mtricas basadas en el marco de COBIT 5 para de esta manera poder mapear cada uno de
sus dominios y hallar objetivos que vayan acorde a las necesidades de la empresa en lo que
respecta a Gobierno y moldearlo usando la Normativa Ecuatoriana para tener un producto
que pueda ser usado por las empresas a nivel nacional
Captulo 2: Comprende las bases de investigacin que se va a tener como punto para
tener una lluvia de ideas sobre cmo se va a manejar el generar las mtricas.
Captulo 3: Esta parte incluye el resultado del estudio donde ya se colocan los dominios
de Cobit mapeados con sus respectivos objetivos y a su vez se incluyen las mtricas
desarrolladas con su debido ejemplo prctico para denotar y entender el fin de cada una
de ellas.
~ 12 ~
1.2.
HECHOS DE INTERS
En este aparatado se hablara sobre los temas que se usaran para el desarrollo de las
Mtricas de Seguridad basados en la poltica Ecuatoriana de los cuales se tendr que
conocer varios orgenes entre ellos el de seguridad, pasando por el desarrollo de un
Gobierno y llegando a las Normativas, con esto se tendr una idea de cmo se van a
desarrollar las mtricas, adems se expresara los objetivos a cumplir con las mtricas
basadas en el Gobierno de Seguridad de Cobit 5.0 el cual es el ms adecuado en lo que
respecta a Polticas y Lineamientos de Seguridad.
De los Estudios realizados y de los cuales se ha basado el trabajo se pueden dar a
conocer diferentes puntos de vista por varios autores entre los cuales se explica que
existen mtricas las cuales son ms aplicadas al mbito de Desarrollo de Software,
control, manejo mas no un existe un trabajo el cual explique en detalle mtricas para
aplicar dentro de un Gobierno de Seguridad que vendra a tener un valor igualatorio.
Como lo comenta Ramn Ventura en su estudio de sobe Mtricas en Anlisis de
Proyecto [3] el cual en sus lnea menciona que no al no medir los alcances del Gobierno
antes de desarrollar un proyecto de Software provocara que el Diseo del Proyecto se
atrase o decaiga por no tener unas bases totalmente fundamentadas.
Adems se reconoce que en la actualidad no existe un estudio que contenga principios
para medir el estado de un Gobierno como tal, ya que de los ledo hasta el momento
existen mtricas para desarrollo, aplicacin, modelado y manejo de Software, en este
Trabajo se har referencia en cmo se realizaron las mtricas en esos casos, para de
esta manera tener una idea clara sobre el desarrollo del tema planteado.
1.3.
OBJETIVOS DE LA INVESTIGACIN
1.3.1. OBJETIVO GENERAL
Desarrollar mtricas para el proceso de implementacin de gobierno de seguridad
de la informacin basadas en COBIT 5 de acuerdo a la normativa ecuatoriana.
1.3.2. OBJETIVOS ESPECFICOS
Encontrar vulnerabilidades en el Gobierno de Seguridad COBIT 5
Establecer mtricas estndar que ayuden a regular los procesos de gobierno en la
2.1.2
Formulacin
Coleccin
Anlisis
Interpretacin
Realimentacin
necesarios y obtenidos.
Anlisis: ahora con los datos obtenidos en la anterior etapa, se realizan los clculos
de las mtricas.
Interpretacin: a continuacin con los clculos hechos se realiza su evaluacin con
2.1.3
Cuando se piensa en el hecho de desarrollar una mtrica se toma en cuenta los criterios de
Larrondo sobre las partes que debe de tener una mtrica y que entre las ms relevantes son
el propsito, la categora y el tipo, para este objeto de estudio se agregaron unos
indicadores adicionales que permitirn dar un mejor enfoque a nuestra mtrica, es decir que
permitirn estructurarla de manera tal que sean especficas para gobierno de Seguridad, se
muestran de la siguiente manera.
de dicha mtrica.
Propsito: Se comentar lo que la mtrica est diseada para hacer.
Costo: Consiste en la estimacin de los costes reales de la recogida de la seguridad
de dicha mtrica.
Tipo: Definir que clase de mtrica es, por ejemplo si es tcnica o de gestin, si es
numrica o textual.
Localizacin: Aqu se sabr donde se deben encontrar los datos a recoger, as
como los datos previos utilizados con el fin de realizar dicha mtrica.
Frecuencia: Con ello se conocer cuando se deben de recoger los datos as como el
Las preguntas son: Cuntas veces sucede algo? Con qu frecuencia sucede
2.1.4
LAS MEDICIONES
PLAN
ACT
DO
CHEC
K
Informacin.
Incluir niveles de seguridad que sirvan de gua para las revisiones del
Sistema de Gestin de Seguridad de la Informacin, lo cual provocar nuevas
2.1.5
PLAN-DO-CHECK-ACT (PDCA)
~ 17 ~
Consiste en una relacin cclica de entrada y salida de las actividades de medicin. Las
cuales se dividen en cuatro etapas.
Cuadro 1. Plan-Do-Check-Act (PDCA)
Definir la mtricas y establecer el sistema de gestin de Seguridad de
PLAN
Informacin
Adaptar procedimientos y controles para la obtencin de datos
DO
CHECK
ACT
En lo que respecta al mtodo de las mediciones se toman en cuenta varios criterios entre los
cuales, se podra mencionar las ideas sistemticas de Rebollo y compararlas con los
atributos que mencionaba Larrondo para desarrollar una mtrica especfica para gobierno de
seguridad donde la medicin se la va a realizar en la mayora de los casos con valores de
porcentajes que son los ms acertados al momento de medir un avance, entre otros casos
se va a tener varios mtodos de medicin a elegir como seran los siguientes. [2] [6]
Existen dos tipos de mtodos a la hora de cuantificar los atributos necesarios.
Objetivos: los cuales se centran en una regla numrica (por ejemplo de 1 a 5) que se
pueden aplicar a las personas o a los procesos, se recomienda que se realice
~ 18 ~
Una vez realizados los mtodos de medicin es asociarlo a un tipo de escala, las clases de
escala pueden ser:
2.1.7
Estrategic
o
Tactico
Operativo
Cumplimiento
Serivcios
Integridad
Objetivo de
Negocio
Aplicaciones
Disponibilidad
Administracion de
Riesgo
Perimetro
Confidencialidad
~ 19 ~
En el nivel intermedio conocido como nivel tctico se encuentran tres grupos los cuales
son:
Servicios: el cual ser encarga del control de cambios, copias de respaldo, posibles
recuperaciones ante fallos, el aseguramiento de equipos y la administracin de
parches.
Aplicaciones: su responsabilidad es la siguiente, desde revisar el cdigo fuente,
defectos identificados en el software, pruebas de vulnerabilidad en software,
En el nivel bajo conocido como nivel operativo se encuentran tres grupos los cuales son:
de negocio
Se reconoce que la seguridad no es un fenmeno no dualista (causaefecto) sino
que es dual (circular)
~ 20 ~
Nivel tctico:
Algunas mtricas pueden ser:
Conocer el nmero de mensajes salientes con spyware o virus.
ignorados.
Nmero de estaciones de trabajo en funcionamiento configuradas correctamente
incidentes.
Propsito de estas mtricas: desempeo de la administracin de incidentes. [6]
~ 21 ~
Dirigir y Controlar
Responsabilidad
Rendicin de Cuentas
Actividades
~ 22 ~
y momento requerido.
Medicin del Rendimiento: Da seguimiento y supervisa la estrategia de
implementacin, la finalizacin de proyectos, el desempeo de procesos y la entrega
de servicio. Si no hay forma de medir y evaluar las actividades de TI, no es posible
gobernarlas ni asegurar el alineamiento, la entrega de valor, la administracin de
riesgos y el uso efectivo de los recursos. [11]
~ 23 ~
asignar cada uno de los recursos a las actividades necesarias, en cierto caso la mayora de
las empresas no pueden llegar a usar el mximo de su potencial por el hecho de que estn
empleando mal uno de los recursos que se mencion anteriormente, de lo comentado
resalta una de las ms grandes dudas al momento de distribuir los recursos a las reas, es
saber dnde y cmo se deberan de utilizar, es aqu donde se hace hincapi al estudio de
Alec Cram para establecer los lineamientos del negocio, de la manera tal cual se pueda
medir la eficacia en rendimiento, riesgos y probabilidades, para lo cual las mtricas que se
van a desarrollar deberan ser capaces de medir dichos aspectos fundamentales de TI.
2.3 MARCOS DE GOBIERNO DE TI
En lo que lleva el tiempo de desarrollo se ha podido observar de que existen varios marcos
de Gobierno diseados para brindar un soporte implementar en algunos aspectos enfocados
en resolver prioridades de riesgo como en nuestro caso, de los conocido en la actualidad
hay tres marcos que resaltan como los principales.
2.3.1
Segn
COBIT.
Norma ISO
El Modelo de Calder-Moir.
COBIT
lo indicado por Jos Luis Pea en su apartado, COBIT como tal puede ser usado a
su nivel mximo proporcionando un marco de control general, [15] lo que indica que COBIT
puede medir o evaluar niveles de calidad de las entidades de manera especfica, lo que
brinda a pensar que puede ser colocado en cualquier gobierno y sus funciones no van a
cambiar no por el hecho de ser estricto y rgido sino por el hecho que cada una de sus
funciones estn pre adaptadas a las necesidades del Gobierno que lo piensa poner en
prctica [15]. Lo que se indica es que Cobit puede ser colocado con otros Marcos de
Gobierno para darle un plus adicional y de esta manera poder tener una mejor herramienta a
la cual poder aplicarla en el Gobierno de Seguridad.
De la informacin recolectada a un grupo de investigadores sobre los Dominios de Cobit en
lo que respecta a un proveedor de servicios, y con el conocimiento obtenido hasta el
momento se puede indicar que existen dominios como la Planificacin y Organizacin que
son los ms utilizados dentro del Gobierno como cliente y as como los dominios de
Adquisicin Entrega y Soporte, Monitoreo que son ms desarrollados para la parte del
servidor. [16]
De los diferentes atributos asociados como los de Edimara y en cierto caso los de Lucio da
Silva dan a comprender que tienen en cuenta atributos comunes como sera el diseo de
una metodologa madura para mostrarla de manera sencilla, lo que brinda una escala de
~ 24 ~
madurez poco compleja, adems se podra indicar que los treinta y cuatro procesos pueden
poseer un nivel de madurez especifico. [17] [18]
Como es de conocer los objetivos tienen que tener una vinculacin entre los procesos de
organizacin y los de proceso as como indica Mara Vieira en su apartado si no se llega a
una vinculacin puede ser por mala comunicacin entre dos reas especficas como lo son
el rea de TI y el Gobierno. Se debe de conocer que el camino de cada proceso es de vital
importancia para mantener la vinculacin y de esta manera no perder el camino en comn
de los fines del Gobierno. [19]
En los casos puntuales de COBIT se lo muestra como un marco de Gobierno, adems de
poder mostrarlo como un conjunto de herramientas de apoyo para permitir cerrar las
brechas entre las necesidades y las tcnicas y los riesgos de negocio de TI. Es por esto que
COBIT tiene una gran acogida puesto que suma todos los factores que el personal del
Gobierno de Seguridad est buscando para cerrar las brechas que le presentan
inconvenientes. [20]
Por lo conocido de COBIT es un modelo de Gobierno muy correcto puesto que ayuda a
intensificar los controles sobre los procesos que se basan en desarrollo de los cuales
podran decirse Gestin de Servicio, Cambios, Adquisicin y mantenimiento del Sistema, en
el apartado de estudio se puede revisar que COBIT tiene una funcin de eliminar o mitigar
los riesgos dependiendo de su impacto dentro del Gobierno de TI. [21]
De esta manera se podr tomar en cuenta que COBIT es la mejor opcin para realizar un
control real sobre los diferentes procesos dentro del Gobierno de Seguridad, sin dejar de
lado que es el mejor para reducir riesgos y solucionar problemas.
El marco de trabajo Cobit se cre con las siguientes caractersticas principales: orientado a
negocios, orientado a procesos, basado en controles e impulsado por mediciones. [22]
Ilustracin 5. Evolucin de Alcance de COBIT
~ 25 ~
~ 26 ~
~ 27 ~
~ 28 ~
recopilacin de sus resultados obtenidos por los profesionales de TI en el uso diario del
modelo dentro de su trabajo. [27]Lo que se indica es que tienes ciertas pautas procesos y
reglas que estn colocadas en trabajo pero no necesariamente deben de cumplirse algn
cambio o procesos.
La Information Technology Infrastructure Library es un conjunto de conceptos y mejores
prcticas como lo han expuesto en algunas ocasiones varios artculos ITIL es una coleccin
de Libros los cuales se crearon para cubrir una rea especfica para el desarrollo de las
buenas practicas. [20] Como se indica en principio ITIL no fue ms que un conjunto de ideas
plasmadas en un libro para funciones especficas y con el tiempo estas funciones fueron
cambiando para volverse adaptables y de esta manera ser ms funcionales en diferentes
prcticas.
Teniendo en cuenta que ITIL es un modelo como lo expresa Jos Calvo en sus lneas dando
a conocer que el proceso de vital importancia siempre ser el primero puesto que es el que
indicara el camino que deber tomar el proceso de Gobierno, se pudo revisar en otras
documentaciones que el primer proceso no es fundamental sino que lo expresan como una
tarea que podra ser importante o no dependiendo del Gobierno de Seguridad [28] Como se
puede dar a entender los procesos de ITIL no tienen una secuencia segura de por dnde
comenzar este punto de anclaje lo indica el grupo encargado del desarrollo y aplicacin del
gobierno.
Se escribe en varias secciones que ITIL puede ser clasificado en dos secciones, para el
soporte a la infraestructura y orientados a la entrega de los Clientes, adems los procesos
son organizados por fases de ciclo como estrategia, diseo, transicin, operacin y mejora
de los servicios. Los servicios dentro de ITIL pueden ser clasificados de manera sencilla por
el hecho de ser funciones especficas permiten ser ubicadas de manera rpida y aplicarlas
dentro del Gobierno de Seguridad sin muchos inconvenientes. [10]
2.3.2.1 COMPARACIN ENTRE COBIT E ITIL
La diferencia dentro del modelo de ITIL es la forma en cmo se describe y se trata con
diferentes actividades as como las actividades y diagramas de flujo pueden guiar a las
organizaciones, la relacin como se ha expresado en varios artculos anteriores se vuelve
fuerte cuando se trata de Costo-Beneficio donde se ocupan de los problemas de la
aplicacin de nuevas tecnologas y orientacin para el anlisis de factores crticos que se
escriben ms sobre los factores abordados en COBIT [29] Como se puede observar Cobit
es elegido sobre el resto de gobiernos por el hecho de tratar puntos ms crticos que para
los desarrolladores de gobierno vienen a ser muy importantes.
~ 31 ~
En uno de sus apartados Shamsul define a COBIT como un marco adecuado para la
autoridad , tambin menciona que se vuelve fuerte cuando se trata de Cuestiones de gestin
conocidas como las Guas para la Gestin para los factores crticos de xito con algunas
claves de rendimientos y modelos de Madurez de capacidad [30] Se puede definir que en
varios aspectos COBIT es muy superior a ITIL por el hecho de ser ms estricto en lo que
respecta a evaluar riesgos y poder mitigarlos a lo mnimo
2.3.3
NORMA ISO
De acuerdo con la norma ISO 27001: 2005, es una lista de comprobacin para asegurarse
de que todos los controles son necesarios. Sin embargo, la norma ISO 27001: 2013
recomienda que los controles tienen que ser seleccionados en el progreso del tratamiento
del riesgo. Basndose en este hecho, un plan de tratamiento de riesgos tiene ms prioridad
que un control donde solo se presentan los riesgos. [30] Como se indica con la nueva
reforma de la normativa ISO permite definir a todo control que tenga algn riesgo por mitigar
sea tomando con carcter urgente.
Con respecto a las diferencias entre el ambiente y los procesos que estn tienen con
respecto a los modelos de negocio, se identifican riesgos y una estrategia desarrollada que
resultara diferente, es decir, la Norma ISO 270001 proporciona requisitos y especificaciones
a un SGSI, recordando que cada SGSI puede ser adaptado a cualquier ISO. [31] Es
importante reconocer que la Normativa ISO es un estndar que brinda pautas para
reconocer ciertos criterios para mejorar los objetivos del Gobierno de igual manera es de
forma adaptable a los requerimientos.
La norma ISO 27000 redefine este proceso de gestin de riesgos y se extiende con un prefase de recopilacin de informacin. La norma ISO 27001 exige un conjunto de documentos
que describen los requisitos para el SGSI. [32] Se indica que la Normativa ISO entrega
informacin al Gobierno como s que le resulta de manera mejorada puesto que se basa en
documentacin antes de ser llevados a la fase final
La norma ISO 27001 es certificable, cada uno de los procesos exigidos en la norma
pertenece a una etapa o proceso Plan-Do-Check-Act, para realizar una auditoria se revisan
ciertos puntos como podran ser Polticas de Seguridad, Asignacin de responsabilidad. [33]
Lo que da a entender que siendo la norma bien aplicada no tendra problemas en lo que
respecta a riesgos puesto que se los mitigara tomando como entrada los requisitos de
seguridad.
~ 32 ~
~ 33 ~
~ 34 ~
Para este apartado se desarroll un grfico donde se explica cmo se llegaron a desarrollar
las mtricas, recordando que se basan en el libro de COBIT 5, tomando como limitante las
Normativas Ecuatorianas para los cual se las dividi de la siguiente manera donde se
indican los dominios y a su vez los objetivos, y entre los cuales se explica el motivo de su
eleccin entre los dems, se indica tambin que en la parte siguiente del trabajo ya se
expresan las mtricas como tal y en la parte siguiente se expresa un ejemplo explcito del
~ 35 ~
uso de las mtricas aplicadas a una empresa que est en vas de desarrollo de un Gobierno
de Seguridad.
Ilustracin 9. Esquema del Desarrollo de la Mtrica
Metrica
s para
Gobier
no
Normativa
Ecuatorian
a
COBIT
5
Objetivo
s de
cada
Dominio
Dominio
s
~ 36 ~
objetivo.
*Determinar indicadores
de virus reportadas
Fuente: Metodologa para la seleccin de mtricas en la construccin de un Cuadro de
Mando Integral
Cuadro 3. Metodologa de Cuadro de Mando: ENFOQUE BOTTOM-UP
ENFOQUE BOTTOM-UP
Ejemplo de indicador: Nmero medio de
a. Identificar indicadores que estn o
ltimo informe
Ejemplo de objetivo: Reducir el nivel de
por
cada
departamento
dentro
de
la
seguridad.
compaa.
Fuente: Metodologa para la seleccin de mtricas en la construccin de un Cuadro de
Mando Integral
Finalmente, para realizar las mtricas estandarizadas y alineadas a la normativa
ecuatoriana, se requerir que las mtricas estn equilibradas de acuerdo a:
~ 37 ~
Politicas y Planes de
Seguridad.
Responsabilidades de los
actores de la empresa y
la aplicacin de polticas y
SGSI en sus operaciones
Recursos Humanos.
Seleccin yDiseo
formacin
del
de Mtricas
personal y procesos de
gestin.
Valoracin de Activos.
Determinar que tipo de
politicas y estandares se
va a medir a nivel de
gestion de TI.
Procesos general de TI
Determinar que tipo de
buenas
practicas
y
politicas se va a medir.
~ 38 ~
~ 39 ~
Marco de
referencia
de
gobierno
Objetivo de TI
Garantizar que el
sistema de gobierno
para TI est
incorporado al
gobierno corporativo.
Mtrica
Frmula
Asegurar
la
optimizaci
n de
Riesgo
Los umbrales de
riesgo son definidos
y comunicados, y los
riesgos clave
relacionados con la
TI son conocidos
~ 40 ~
Cuadro 4. (Continuacin)
Dimensi
n
Objetivo de TI
Asegurar
la
Optimizaci
n de
Recursos
Gestionar
los
recursos
humanos
empresa sean
cubiertas de un
modo ptimo con ello
se incrementa la
probabilidad de
obtencin de
beneficios y la
preparacin para
cambios futuros.
Optimizar las
capacidades de los
recursos humanos
para cumplir los
objetivos de la
empresa
Mtrica
Frmula
Nmero de desviaciones (y
excepciones) de los principios de
gestin de recursos.
Porcentaje de proyectos y programas
con un estado de riesgo medio o alto
debido a problemas en la gestin de
recursos.
Porcentaje de proyectos con
asignacin de recursos.
~ 41 ~
Cuadro 4. (Continuacin)
Dimensi
n
Objetivo de TI
Gestionar
la
Seguridad
Mantener el impacto
y ocurrencia de los
incidentes de la
seguridad de
informacin dentro
de los niveles de
apetito de riesgo de
la empresa.
Gestionar
los activos
Contabilizacin de
todos los activos de
TI y optimizacin del
valor proporcionado
por estos activos.
Mtrica
Frmula
Comparativa de costes
~ 42 ~
medir
de
ciclo
una
EJEMPLO APLICADO AL 50 %
Datos:
objetivo cumplidos = 22
# tiempo = 18 meses
% del avance del plan anual = 40
%
Ciclo estratgico = (22 * 18) / 40
Ciclo estratgico = 10 meses
Nmero
de
roles
estratgicos asignados =
# de empleados * # de
gestiones del negocio /
tiempo de vigencia.
Con esta mtrica se
puede medir el nmero de
roles
estratgicos
asignados.
Grado
de
principios
acordados al Gobierno de
TI = (porcentaje de
procesos establecidos * #
de prcticas con clara
trazabilidad
a
los
principios) / tiempo de
duracin
Datos:
Porcentaje
de
procesos
establecidos= 12
Nmero de prcticas con clara
trazabilidad = 4
Tiempo de duracin: 6 meses
Grado de principios acordados
al Gobierno de TI = (12 % * 4) /
6=8%
Grado de principios acordado es
de 8 %.
RECOMENDACIN
Se debe cumplir 22 objetivos de
50 en un periodo de 10 meses,
para que al culminar del avance
plan anual se logre culminar en
dos aos.
Nivel de la Organizacin
Nivel 2 Colaboracin
Datos:
Nmeros de empleados por gestin = 40
Nmero de gestiones implicadas = 4
Tiempo de vigencia de la gestin = 8
semanas
Nmeros de roles asignados = (20 * 4) /
8 = 20
Nmero de roles estratgicos que
deben de ser asignados es de 20.
Datos:
Porcentaje
de
procesos
establecidos= 75
Nmero de prcticas con clara
trazabilidad = 8
Tiempo de duracin: 12 meses
Grado de principios acordados al
Gobierno de TI = (75 % * 8) / 12 meses
= 50%
Grado de principios acordado es de 8 %.
Seguridad
Informtica Corporativa
~ 43 ~
Cuadro 5. Continuacin
FORMULA
Porcentaje
de
incidentes
= (# de
incidentes
relacionados con TI *
nivel de riesgo ) /
tiempo
Grado de Gestin de
riesgo
critico
=
(Porcentaje de planes
de accin de riesgo TI
*
tiempo)/
riesgos
crticos mitigados
Porcentaje
de
necesidad de recursos
=
nivel
de
realimentacin
de
recursos * frecuencia
de ocupacin / # de
recursos optimizados
EJEMPLO APLICADO AL 50 %
Con esta mtrica se puede medir el
porcentaje de incidentes crticos.
Datos:
Nmero de incidentes = 15
Nivel de riesgo = 2
Tiempo = 6 meses
Porcentaje de incidentes crticos =
(15*2)/6 = 5
Nivel de Riesgo de incidentes:
Nivel 2 Supervisado
Nivel de la organizacin: Nivel 4
Datos:
Porcentaje de Planes de Accin de
Riesgo = 25 %
Tiempo = 3 meses
Riesgos crticos mitigados = 8
Grado de Gestin de riesgo critico =
(25*3 meses)/8 = 9
Nivel de Riesgo: Nivel 3
Supervisado y Controlado
Datos
Nivel
de
realimentacin
de
recursos = 2
Frecuencia de ocupacin= 25
# de recursos Optimizados = 12
Porcentaje de necesidad de
recursos = (2*25) / 12 = 4 %
Datos
Nivel de realimentacin de recursos =
4
Frecuencia de ocupacin= 55
# de recursos Optimizados = 26
Porcentaje de necesidad de recursos
= (4*55) / 26 = 8.5 %
~ 44 ~
RECOMENDACIN
Se debe tener en cuenta el
nivel del incidente para poder
tratarlo, con esta mtrica se
puede medir el nmero de
incidentes en un determinado
tiempo segn su nivel.
Nivel de la organizacin:
Nivel
4
Seguridad
Informtica Corporativa
Con esta mtrica se puede
medir el grado de la gestin de
riesgo crtico, adems se debe
tener en cuenta el porcentaje
de avance de los Planes de
Accin de Riesgo, para poder
medir el grado de gestin.
Nivel de la Organizacin:
Nivel 4 Seguridad Informtica
Corporativa
El porcentaje de necesidad de
los recursos es muy importante
en la empresa para recursos a
los empleados y medir la
necesidad de la ocupacin del
recurso
medida
en
una
frecuencia establecida.
Cuadro 5. Continuacin
FORMULA
Nivel de gestin de
Recursos = Nmero de
desviaciones de recursos
*
#
de
principios
establecidos relacionados
con recursos / tiempo
empleado
EJEMPLO APLICADO AL 50 %
Datos
Nmero de desviaciones de
recursos = 9
# de principios establecidos
relacionados con recursos =
8
# tiempo empleado = 18 meses
Nivel de gestin de Recursos =
(9*8)/18 = 4
Porcentaje de proyectos
en riesgo = # de
proyectos en gestin * #
de incidentes de gestin
de recursos / frecuencia
de control de programas
Datos
# de proyectos en gestin = 20
* # de incidentes de gestin de
recursos = 25
/ frecuencia de control de
proyectos = 6 meses
Porcentaje de proyectos en
riesgo = ( 20 *25)/6 = 83%
Datos
# de proyectos de gestin = 44
frecuencia de asignacin de
recursos = 24 meses
# de recursos designados = 36
Porcentaje de proyectos con
asignacin
de
recursos
=
(44*24)/36 = 29 %
Datos
# de proyectos en gestin = 40
* # de incidentes de gestin de
recursos = 10
/ frecuencia de control de proyectos
= 12 meses
Porcentaje de proyectos en riesgo =
( 40 *10)/12 = 33%
Datos
# de proyectos de gestin = 80
frecuencia de asignacin de recursos
= 48 meses
# de recursos designados = 100
Porcentaje de proyectos con asignacin
de recursos = (80*48)/100 = 38 %
Porcentaje de proyectos
con
asignacin
de
recursos = # de proyectos
de gestin * frecuencia de
asignacin de recursos / #
de recursos designados
~ 45 ~
RECOMENDACIN
En el nivel de gestin de
recursos, se debe tener en
cuenta
las
diferentes
ocupaciones o deviaciones del
mismo los principios de los
recursos y el tiempo que se va
a tardar en emplear al recurso,
con ello se puede medir su
gestin.
Nivel de la organizacin
Nivel 8 Administracin de
Activos Informticos
Con esta mtrica se puede
medir
el
porcentaje
de
proyectos
en
riesgo,
estableciendo el nmero de
incidentes y su frecuencia
Nivel de la organizacin:
Nivel
4
Seguridad
Informtica Corporativa
Con esta mtrica se puede
medir
el
porcentaje
de
proyectos, que deben utilizar
recursos de la empresa para un
mejor rendimiento, se realiza
una comparacin con en
proporcin
al
tiempo
de
asignacin de recursos.
Nivel
7
Recursos
Empresariales
Cuadro 5. Continuacin
FORMULA
Duracin Media de las
vacantes = Porcentajes
de vacantes en TI * # de
actividades de TI /
frecuencia de Vacantes
de TI.
Nivel de satisfaccin de
Ejecutivos
=
#
de
objetivos satisfactorios de
TI * nivel de optimizacin
de objetivos / frecuencia
de toma de decisiones
Nivel de Seguridad en los
roles = # de polticas de
seguridad * frecuencia de
actualizacin de roles / #
de
roles
seguridad
estratgicos.
EJEMPLO APLICADO AL 50 %
Datos
Porcentajes de vacantes en TI
= 25
# de actividades de TI = 15
Frecuencia de Vacantes de TI =
36 semanas
Duracin Media de las
vacantes = (25*15)/6 = 10
semanas
Datos
# Objetivos Satisf. de TI = 18
Nivel de optimizacin de
objetivos = 2
frecuencia
de
toma
de
decisiones: 6 meses
Nivel
de
satisfaccin
de
Ejecutivos = (18*2)/6 = 6.
Datos
# de polticas de seguridad =
15
Frecuencia de actualizacin de
roles. = 3 meses
#
De
roles
seguridad
estratgicos. = 6
Nivel de Seguridad en los roles
= (15*3)/6 = 7
~ 46 ~
RECOMENDACIN
De acuerdo a esta mtrica se
obtiene
el
porcentaje
de
duracin de una vacante en la
empresa, con este resultado se
puede ajustar los tiempos de
vigencia de las vacantes y
obtener personal en un tiempo
ms eficiente.
Nivel 2 Colaboracin
Con esta mtrica se logra
obtener un nivel de satisfaccin
de los ejecutivos principales de
la empresa, de acuerdo con los
objetivos
cumplidos
y
la
optimizacin de los mismos,
Nivel 2 Colaboracin
Con esta mtrica se puede
medir el nivel de seguridad del
rol, de acuerdo a la poltica de
seguridad relacionada al rol y al
tiempo de actualizacin del
mismo. Esto sirve para observar
la eficiencia y eficacia de roles
administrados por la empresa.
Nivel de la organizacin:
Nivel
4
Seguridad
Informtica Corporativa
Cuadro 5. Continuacin
FORMULA
Nmero de incidentes sin
monitoreo = # de riesgos
estratgicos de seguridad
*# objetivos del plan de
seguridad faltantes = /
frecuencia de control de
riesgo.
EJEMPLO APLICADO AL 50 %
Datos
# de riesgos estratgicos de
seguridad = 5
#
objetivos del plan de
seguridad faltantes = 3
Frecuencia de control de
riesgo = 3 semanas
Nmero de incidentes sin
monitoreo = (5*3)/3 = 5
Porcentaje de licencias
alineadas
a
las
necesidades del negocio
= Porcentaje de licencias
usadas * porcentaje de
licencias
pagadas
/
tiempo de duracin de
licencias
Datos
Porcentaje de licencias usadas
= 12
porcentaje
de
licencias
pagadas = 4
tiempo
de
duracin
de
licencias = 12 meses
Porcentaje de licencias alineadas
a las necesidades del negocio =
(12*4)/12 = 4 licencias
Datos
# de activos reparados = 15
Nivel de activos de TI = 2
Tiempo de vida til = 12 meses
Nmero
de
activos
en
condiciones ptimas (15*2)/12 =
2 activos
Datos
Porcentaje de licencias usadas = 18
porcentaje de licencias pagadas = 9
tiempo de duracin de licencias = 24
meses
Porcentaje de licencias alineadas a las
necesidades del negocio = (18*9)/24 =
licencias = 6 licencias.
Nmero de activos en
condiciones ptimas = #
de activos reparados *
Nivel de activos de TI /
Tiempo de vida til
Datos
# de activos reparados = 25
Nivel de activos de TI = 4
Tiempo de vida til = 24 meses
Nmero de activos en condiciones
ptimas (25*4)/24 = 4 activos
~ 47 ~
RECOMENDACIN
Con esta mtrica se obtener el
nmero de incidentes sin
monitorear, de acuerdo a los
riesgos, y objetivos faltantes de
cumplir del plan de seguridad
empresarial, adems de la
frecuencia del control del riesgo.
Nivel de la organizacin:
Nivel
4
Seguridad
Informtica Corporativa
Esta mtrica logra determinar
cuntas licencias de software o
de hardware cumple con los
lineamientos del negocio, de
acuerdo a la economa y
administracin de la empresa.
Nivel de la organizacin
Nivel 8 Administracin de
Activos Informticos
Con esta mtrica saber cuntos
activos se encuentran en
excelentes condiciones ptimas
para seguir ocupando su
servicio en lo posterior de
acuerdo a su nivel de prioridad.
Nivel de la organizacin
Nivel 8 Administracin de
Activos Informticos
Cuadro 5. Continuacin
FORMULA
Grado de coste de los
activos = # de activos
adquiridos
*
#
de
necesidades de TI /
tiempo de adquisicin del
activo.
EJEMPLO APLICADO AL 50 %
Datos
# de activos adquiridos = 5
# de necesidades de TI = 8
tiempo de adquisicin del
activo = 4 semanas
Grado de coste de los activos =
(5*8)/4 = 10
Nmero de activos en
condiciones Obsoletos =
# de activos reparados * #
de activos excluidos /
Tiempo de vida til
Datos
# de activos reparados = 7
# de activos excluidos = 4
Tiempo de vida til = 6 meses
Nmero
de
activos
en
condiciones Obsoletos = 4
Datos
# de activos reparados = 15
# de activos excluidos = 2
Tiempo de vida til = 12 meses
Nmero de activos en condiciones
Obsoletos = 2
~ 48 ~
RECOMENDACIN
De acuerdo a esta mtrica se
puede medir el grado de coste
de
los
activos
que
se
encuentran funcionando en el
negocio. Se considera tener
identificadas las necesidades de
la empresa para una mejor
medida
Nivel de la organizacin
Nivel 5 Disponibilidad
Con esta mtrica se identifica
los
activos
obsoletos
de
acuerdo
a
la
reparacin
semestral y anual q estos
reciben.
Nivel de la organizacin
Nivel 5 Disponibilidad
Fuente: COBIT 5
El consultor e-Business, Eugenio Velzquez, explica cules son las claves informticas que
convierten a las empresas en competitivas.
~ 49 ~
Toda organizacin actualmente utiliza las TI para realizar parte o el total de sus operaciones
cotidianas. Dicho de otra forma, los bits que corren por las redes de las organizaciones y
que se almacenan y comparten en los discos duros de las desktops, notebooks y servers no
son sino uno de los activos ms importantes con que cuenta la organizacin.
Viendo un entorno organizacional de esta forma, en la que los bits se equiparan con dinero
de la organizacin; se pueden definir ciertos niveles de TI que las organizaciones pueden o
deben tener para considerarse con una informtica eficiente, y por ende altamente
competitiva.
Estos niveles se establecen en orden del ms bsico al ms complejo, tomando en cuenta
que mientras mayor es la envergadura de la organizacin (de micro a gran empresa en el
caso de las organizaciones comerciales), ms niveles la organizacin abarca o deber
abarcar.
Nivel 1 Ofimtica: Esta claro que una organizacin expresa gran parte de la informacin
de sus operaciones en documentos ofimticos (documentos escritos, hojas de clculo,
presentaciones, pequeas bases de datos, etc., etc.).
Aqu el estndar actual es el de los documentos de Microsoft Office, sin embargo, no
necesariamente se tiene que contar con Microsoft Office para trabajar sobre documentos de
ste; actualmente OpenOffice.org es una gran alternativa completamente gratuita y otras
opciones sensitivas serian Corel WordPerfect Office o incluso Google Docs. (100% online).
Nivel 2 Colaboracin: Poco prctico es tener toda la documentacin ofimtica sino se
tiene
del tipo de operaciones que realice, mientras que una gran empresa debe mnimo llegar
hasta el 7. Evidentemente para organizaciones del tipo Gobierno o Acadmicas se cotejan
con su equivalente al tipo empresarial dependiendo del tamao de organizacin que se
trate.
~ 52 ~
4.1 RESULTADO
Estableciendo el anlisis y mapeo de diferentes procesos de COBIT 5, se llego a desarrollar
mtricas para ser aplicado a los Gobiernos de Seguridad cumpliendo los objetivos estndar
de una empresa y las gestiones alineadas a est. Los atributos escogidos para medir la
calidad, la gestin, polticas, organizadas en un negocio, son referentes a activos, personal,
y gestin de riesgos.
Para establecer un gobierno efectivo, la seguridad de la informacin es fundamental, por lo
que es necesario evaluar el contenido de los procesos, es decir se deben alinear las
necesidades de seguridad con las de negocio, por ello fue determinante disponer de
indicadores adecuados que ofrezcan unas mtricas eficientes para medir los objetivos del
negocio.
Las mtricas de seguridad, gestin y calidad permiten cuantificar la implantacin de los
controles, polticas y evaluar la eficiencia de los mismos, identificando posibles futuras
mejoras. Por lo tanto, para establecer mtricas se debe tener en cuenta la naturaleza del
negocio y organizacin.
Las mtricas construidas a partir del Cuadro de Mando Interno de Seguridad como unas
herramientas aportarn:
Una referencia interna y externa de las mtricas establecidas en este informe, frente
a mtricas determinadas en otros estndares.
~ 53 ~
CONCLUSIONES
Los Gobiernos de Seguridad han sido activos de la empresas que tienen el mayor valor
dentro de las mismas puesto que al poder manejar y ordenar los diferentes recursos que se
manejan, son los que mejor conocen los riesgos y vulnerabilidades dentro de su entorno, se
vuelve complejo cuando el Gobierno no est totalmente bien constituido lo que provoca que
no pueda manejar bien los recursos, con las mtricas desarrolladas a partir de los dominios
de COBIT y tomando en cuenta la Normativa Ecuatoriana se aplica una herramienta que
ayuda a conocer los alcances que est teniendo el gobierno en cada una de sus partes en
un intervalo de tiempo que depender exclusivamente cuando se aplique la mtrica.
Las Vulnerabilidades encontradas dentro del Gobierno de Seguridad nos elevadas en
algunos casos, puesto que como no se conoce cules son las limitantes que debe tener
cada recurso esto provoca en ciertos casos que no se le brinde la suficiente Seguridad del
caso lo que provoca que la misma no sea atendida de la mejor manera.
Ciertas reas del Gobierno de la Seguridad son de vital importancia puesto que al tener
recursos valiosos para la empresa tienen que ser fijadas para que de esta manera puedan
ser mejor fijadas por medio del uso de las mtricas y asi poder tener siempre una idea clara
de cmo se est manejando dicho sector con relacin a los recursos que posee.
Las mtricas desarrolladas para reducir incidentes forman parte de un conjunto mayor que
tambin cumplen las mismas tareas en otros lugares, puesto que al realizar una mtrica
esttica no permitir usarla en cualquier momento de la implementacin del Gobierno.
De acuerdo a la realizacin de las mtricas se lleg a las siguientes conclusiones:
~ 54 ~
RECOMENDACIONES
Para la realizacin de mtricas se debe de tomar en cuenta los diferentes parmetros de la
misma ya que con esa idea clara se puede desarrollar una mtrica robusta que entregara
datos de forma correcta y significara una mejor ayuda al momento de aplicarla.
Determinar los ndices con los cuales se medir y se realizara el anlisis de los parmetros
otorgados en el momento en que la mtrica sea aplicada al Gobierno de Seguridad, por lo
que con esta informacin se podrn clasificar y otorgarles la prioridad dentro del proceso de
aplicacin.
Al momento de establecer las reas de mayor incidencia u de mayor riesgo en las que la
mtrica va a trabajar, se deber realizar un mapeo de los Objetivos de los dominios de
COBIT para que de esta manera conocer cual objetivo estara cumpliendo con la creacion
de la mtrica para mitigar dicho proceso.
Se puede realizar mtricas para reducir incidentes en los activos del negocio, estableciendo
una clasificacin del tipo de activo que se quiere aplicar la mtrica. Adems se debe tener
en cuenta el tipo de mtrica a aplicar, Cualitativa o cuantitativa.
~ 55 ~
BIBLIOGRAFA
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]
[31]
[32]
[33]
[34]
[35]
[36]
[37]
237-262, 2011.
J. S. Maria Vieira, INFORMATION TECHNOLOGY SERVICE MANAGEMENT
PROCESSES MATURITY IN THE BRAZILIAN FEDERAL DIRECT
ADMINISTRATION, Journal of Information Systems and Technology Management,
vol. 12, n 3, pp. 663-686, 2015.
A. M. Ricardo Colomo, Hacia una Oficina de Gestin de Servicios en el mbito de
ITIL, Revista de Procesos y Mtricas, vol. 9, n 1, pp. 12-28, 2012.
P. C. d. S. Jos Poggio, IT MANAGEMENT MODEL FOR FINANCIAL REPORT
ISSUANCE AND REGULATORY AND LEGAL COMPLIANCE, Journal of
Information Systems and Technology Management, vol. 10, n 3, pp. 597-620, 2013.
ISACA, COBIT 5, Panama, 2012.
S. S. &. Y. R. Perdana Kusumah, Model Design of Information Security Governance
Assessment with Collaborative Integration of COBIT 5 and ITIL, School of Electrical
Engineering and Informatics Bandung Institute of Technology, p. Indonesia.
A. N. Ferreira Neto y J. Souza Neto, METAMODELS OF INFORMATION
TECHNOLOGY BEST PRACTICES FRAMEWORKS, Journal of Information
Systems and Technology Management, vol. 8, n 3, pp. 619-640, 2011.
A. P. J. &. B. J. A. Abril, Anlisis de Riesgos en Seguridad de la Informacin,
Fundacion Juan de Castellanos, vol. 1, pp. 39-53, 2013.
N. Ozkan, Risks, Challenges and Issues in a Possible Scrum and COBIT Marriage,
IEEE, pp. 111-118, 2015.
E. Rodolfo Abraham, J. G. Mendes dos Reis y M. Mollo Neto, Utilizao do ITIL V3
no Brasil: uma verificao da aplicao do domnio Estratgia de Servios entre os
profissionais de Tecnologia da Informao Exacta, Exacta, vol. 13, n 3, pp. 305-313,
2015.
L. L. M. A. J. R. Jose Calvo, How small and medium enterprises can begin, Revista
Facultad de Ingeniera, Universidad de Antioquia, n 77, pp. 127-136, 2015.
M. Gehrmann, Combining ITIL, COBIT and ISO/IEC 27002 for structuring
comprehensive information technology for management in organizations, Revista de
Gesto e Tecnologia, vol. 2, n 2, pp. 66-77, 2012.
M. S. M. A. Shamsul Sahibudin, Combining ITIL , COBIT and ISO / IEC 27002 in
Order to Design a Comprehensive IT Framework in Organizations, IEEE, pp. 749-753,
2008.
T. W. A. L. Carol Hsu, The Impact of ISO 27001 Certification on Firm Performance,
IEEE, pp. 4842-4848, 2016.
K. F. S. H. M. &. S. H. Beckers, Using security requirements engineering approaches to
support ISO 27001 information security management systems development and
documentation, Availability, Reliability and Security, pp. 242-248, 2012.
M. I. LADINO A., P. A. VILLA S. y A. M. LPEZ E., FUNDAMENTOS DE ISO
27001 Y SU APLICACIN EN LAS EMPRESAS, Scientia Et Technica, vol. 17, n 47,
pp. 334-339, 2011.
A. M. D. G. Lourdes Salomn Sancho, ALGUNAS REFLEXIONES EN TORNO A
LOS ASPECTOS, AFDUDC, p. 10, 2008.
C. C. Peaherrera, ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA
INFORMACION EGSI, Registro Oficial Suplemento 88, Quito, 2013.
R. B. Nieves y W. V. Marin, Marco de Gobierno de TI en las empresas, Espaa, 2014.
M. Constanzo, COMPARACION DE MODELOS DE CALIDAD, FACTORES Y
METRICAS EN EL AMBITO DE LA INGENERIA DE SOFTWARE, Informes
~ 57 ~
~ 58 ~