Correa Castro Gabriel Luis

RESUMEN
En la actualidad las empresas que tienen o desean adquirir un Gobierno de Seguridad de la

Informacin se ven en un conflicto puesto que no conocen cuales los parmetros que debe
de cumplir para tener xito en el uso de este recurso que hoy en da se ha vuelto muy
importante puesto que con esto se puede tener uso de los recursos al cien por ciento de sus
capacidades sin dejar de lado a los recursos que podran ser adquiridos al conocer las
necesidades completas de la empresa. Existen varios estudios de caso sobre como las
empresas pueden dedicar el uso de sus recursos en las tareas dentro de su medio de
trabajo, las investigaciones indican parmetros estrictos que deben de cumplir, lo cual
dificulta que sea implementado por cada una de las empresas por diferentes factores,
adems de que los parmetros no son basados en empresas Ecuatorianas, realizando an
ms complicado la tarea de trabajar con dicho estudio. Se debe de reconocer que con los
estudios y las investigaciones que se han realizado como un intento de facilitar las cosas a
las empresas Ecuatorianas se ha dado a conocer diferentes prcticas, las cuales no son
bien usadas por que no cumplen con las Normativas de este pas.
Este trabajo se basa en eso, en brindar a cada una de las empresas que tengan un
Gobierno de Informacin instaurado o en desarrollo el poder de conocer cmo est su nivel
actual, como se encuentra las diferentes reas operativas o en todo caso poder conocer el
nivel de servicio y uso del Gobierno.
Para esto se ha usado al Marco de Gobierno de COBIT en su versin 5.0 el cual por medio
de una tabla comparativa se dio a conocer que es el ms idneo para implementarse dentro
de los Gobiernos de Seguridad, por este motivo se han creado mtricas basadas en los
dominios y a su vez en los objetivos relevantes dentro del Marco de COBIT. Para la creacion
de las mtricas se utilizara una metodologa PDCA (Plan-Do-Check-Act) la cual permite dar
un manejo sencillo al momento de desarrollar las mtricas puesto que tiene una serie de
pasos por cumplir.
En este caso de estudio se usara la Normativa Ecuatoriana de Seguridad sobre la
Informacin para tener unas mtricas de Gobierno propias de nuestro pas lo cual har que
tenga un peso mayor al momento de que la empresa haga uso de las mismas, ya que
tendrn una doble referencia y se entender que el Gobierno est encaminado cumpliendo
dos bases esenciales la de cumplir el marco de Gobierno y la de estar afianzado con la
Normativa Ecuatoriana.
En la parte del desarrollo de las mtricas se expondr un ejemplo explicativo sobre cmo se
aplicara cada una de ellas en el Gobierno, en el ejemplo se explicara en dos momentos
dados de la aplicacin del Gobierno cuando se encuentre a un cincuenta por ciento y al cien
por ciento para que se pueda demostrar el uso y explicacin de la misma.
Palabras Claves: Gobierno de Seguridad, COBIT, Plan-Do-Check-Act, Normativa
Ecuatoriana.
~6~
SUMMARY
Today companies that have or wish to acquire a Government Information Security are in
conflict because they do not know which parameters must meet to succeed in using this
resource today has become very important because with this you can have use of resources
to one hundred percent of their abilities without neglecting the resources that could be
acquired to meet the complete needs of the company. There are several case studies on how
companies can devote the use of its resources on tasks within their work environment,
research indicates strict parameters that must be met, making it difficult to be implemented
by each of the companies by different factors besides the parameters are not based on
Ecuadorian companies, making even more difficult the task of working with the study. It must
recognize that with the studies and research that has been done as an attempt to make
things easier Ecuadorian companies has released different practices, which are not well used
that do not meet the regulations of this country .
This work is based on that, provide each of the companies with a government established
Information or developing the power to know how your current level, as is the different
operating or in any case areas to know the level service and government use.
For this has been used to frame government COBIT version 5.0 which by means of a
comparative table was unveiled that is most suitable to be implemented within the
governments of Security, for this reason they have been created based metrics domains and
turn on the relevant objectives within the framework of COBIT. For the creation of metrics
one PDCA (Plan-Do-Check-Act) methodology which allows for a simple handling when
developing metrics because it has a series of steps to fulfill be used.
In this case study the Ecuadorian Safety Regulations will be used on the information to have
a metric of our country's own government which will have greater weight when the company
makes use of them, as they will have a double reference means that the government is
fulfilling two essential foundations aimed to fulfill the part of government and to be
strengthened with the Ecuadorian legislation.
An explanatory example of how to apply each of them in the government, in the example will
be explained in two moments given to the implementation of the Government when it is at
fifty percent and one hundred will be discussed in the part of developing metrics percent so
that it can demonstrate the use and explanation of it.
Keywords: Government Security, COBIT, Plan-Do-Check-Act, Ecuadorian Legislation.
~7~
CONTENIDO
INTRODUCCION.................................................................................................................. 12
1. CAPITULO I: GENERALIDADES DEL OBJETO DE ESTUDIO......................................13
1.1. DEFINICIN Y CONTEXTUALIZACIN DEL OBJETO DE ESTUDIO.........................13
1.2. HECHOS DE INTERS.................................................................................................14
1.3. OBJETIVOS DE LA INVESTIGACIN..........................................................................14
1.3.1.
OBJETIVO GENERAL...........................................................................................14
1.3.2.
OBJETIVOS ESPECFICOS..................................................................................14
2. CAPITULO II: FUNDAMENTACIN TERICO-EPISTEMOLGICA DEL ESTUDIO.....15

2. 1 FUNDAMENTACIN TERICO - EPISTEMOLGICA DEL ESTUDIO........................15
2.1.1
QU ES UNA MTRICA?....................................................................................15
2.1.2
PROCESO DE MEDICIN.....................................................................................16
2.1.3
CREACIN DE UNA MTRICA.............................................................................16
2.1.4
LAS MEDICIONES.................................................................................................17
2.1.5
PLAN-DO-CHECK-ACT (PDCA)............................................................................18
2.1.6
MTODO DE LAS MEDICIONES...........................................................................18
2.1.7
MEMSI (MODELO ESTRATGICO DE MTRICAS EN SEGURIDAD DE LA
INFORMACIN)................................................................................................................... 19
2.2 GOBIERNO DE SEGURIDAD DE INFORMACIN.......................................................22
2.3 MARCOS DE GOBIERNO DE TI...................................................................................24
2.3.1
COBIT.................................................................................................................... 25
2.3.2
ITIL......................................................................................................................... 31
2.3.3
NORMA ISO........................................................................................................... 32
2.4
NORMATIVA ECUATORIANA...................................................................................33
3. CAPITULO III: PROCESO METODOLGICO.................................................................35

3.1.
DISEO O TRADICIN DE INVESTIGACION SELECCIONADA.............................35
3.2.
PROCESO DE RECOLECCION DE DATOS EN LA INVESTIGACIN.....................35
3.3.
SISTEMA DE CATEGORIZACION EN EL ANLISIS DE LOS DATOS....................35
3.4.
METODOLOGIAS TOP-DOWN Y BOTTOM-UP........................................................36

~8~
3.5 ANALISIS DE LOS OBJETIVOS DEL MAPEO A COBIT 5..........................................38

4 CAPITULO IV: RESULTADO DE LA INVESTIGACIN...................................................53
4.1 RESULTADO................................................................................................................. 53
CONCLUSIONES................................................................................................................. 54
RECOMENDACIONES.........................................................................................................55
BIBLIOGRAFA.................................................................................................................... 56
LISTA DE ILUSTRACIONE
~9~
Ilustracin 1. Proceso de Medicin......................................................................................16

Ilustracin 2. Plan-Do-Check-Act........................................................................................17
Ilustracin 3. Modelo estratgico de Mtricas en Seguridad de la Informacin...................19
Ilustracin 4. rea de enfoque del gobierno de TI...............................................................24
Ilustracin 5. Evolucin de Alcance de COBIT....................................................................26
Ilustracin 6. Principios de COBIT 5....................................................................................27
Ilustracin 7. Cubrir la Compaa de Forma Integral...........................................................28
Ilustracin 8. Habilitar el enfoque un Enfoque Holstico.......................................................29
Ilustracin 9. Esquema del Desarrollo de la Mtrica............................................................36
Ilustracin 10. Perspectivas del Cuadro de Mando Integral de Seguridad..........................38
Ilustracin 11. Estructura de Seguridad Informtica............................................................48
Ilustracin 12. Niveles de Seguridad de Informacin...........................................................48
~ 10 ~
LISTA DE CUADROS
~ 11 ~
INTRODUCCION
En el proceso de investigacin para obtener las mtricas de Gobierno de Seguridad

es indispensable que las empresas cambien el manejo de sus recursos tomando en cuenta
aspectos como vulnerabilidades, riesgos, sin dejar de lado los activos que constantemente
tiene problemas, es necesario tomarlos y realizar una nueva lista de uso y rendimiento de
dichos activos.
La mayora de las empresas siendo estas pblicas o privada en la actualidad dependen de

los Gobiernos de Seguridad para mejorar el sus actividades, para alcanzar sus objetivos
como podran ser ms eficientes, cumplir con la planeacin del Gobierno y ser ms seguras.
Por lo tanto con lo explicado hasta ahora, esta investigacin tiene como fin desarrollar
mtricas basadas en el marco de COBIT 5 para de esta manera poder mapear cada uno de
sus dominios y hallar objetivos que vayan acorde a las necesidades de la empresa en lo que
respecta a Gobierno y moldearlo usando la Normativa Ecuatoriana para tener un producto
que pueda ser usado por las empresas a nivel nacional
Este informe presenta la siguiente estructura:
Captulo 1: Se indica la definicin del Objeto de estudio en donde se explica ms a

fondo lo que se va a desarrollar en lo posterior, se habla adems de los hechos de
inters donde se marca estudios anteriores que incentivaron a desarrollar este trabajo y
se habla sobre los objetivos que se piensa cumplir al finalizar este documento.
Captulo 2: Comprende las bases de investigacin que se va a tener como punto para
tener una lluvia de ideas sobre cmo se va a manejar el generar las mtricas.
Captulo 3: Esta parte incluye el resultado del estudio donde ya se colocan los dominios
de Cobit mapeados con sus respectivos objetivos y a su vez se incluyen las mtricas
desarrolladas con su debido ejemplo prctico para denotar y entender el fin de cada una
de ellas.
~ 12 ~
1. CAPITULO I: GENERALIDADES DEL OBJETO DE ESTUDIO

1.1.
DEFINICIN Y CONTEXTUALIZACIN DEL OBJETO DE ESTUDIO
Las mtricas son para obtener datos sobre algn valor en especfico en este caso son
sobre Gobiernos de Seguridad, las mtricas son desarrolladas para medir y evaluar el
estado actual con indicadores. [1] Las mtricas sirven para conocer los estados de los
procesos en cierto periodo de tiempo para conocer el avance que se tiene en un
momento dado del desarrollo.
Otros de los puntos ms relevantes sobre las mtricas es que son capaces de guiar en
la bsqueda de objetivos y cumplir las metas para la planificacin que se ha organizado
con respecto al tema sobre Seguridad en el Gobierno de Seguridad de una empresa. [2]
Al ser de tanta relevancia se debe tener en cuenta muchos factores para que la misma
no decaiga y no presente inconvenientes como una mtrica errada, y perder el punto
principal para lo cual se la desarrollo.
Los atributos como lo han indicado algunos autores son una propiedad a la que se le
puede asignar una mtrica, la cual podra describir un procedimiento que examina sus
componentes y arroja una respuesta para conocer su estado actual [3] Por este motivo
resultan ser de gran ayuda porque sirven para darle un valor contable o numrico a una
entidad para conocer su avance o en tal caso el valor que podra tener dentro del
proceso total.
Las mtricas dinmicas proveen informacin precisa sobre el funcionamiento del
Gobierno en lo que respecta a los datos valiosos dentro del proceso de desarrollo. Las
mtricas dinmicas analizan intrnsecamente cada uno de los procesos que el Gobierno
est desarrollando o ya haya implementado hasta el momento en que se aplic la
mtrica. [1] Las cualidades de usar mtricas dinmicas demuestran sus principales
virtudes, como el polimorfismo, slo pueden estudiarse en un ambiente dinmico. [2]
Con la informacin recibida sobre el caso de estudio y la definicin ya clara sobre lo que
es y cmo se forma una mtrica se llega al punto central en donde se buscara por medio
de las Normativas Ecuatorianas y tomando en conjunto el libro de Cobit 5, desarrollar
mtricas capaces de ser aplicadas en cualquier momento en el avance del Gobierno
para conocer el estado actual de cada uno de sus dominios, adems de saber si se est
acorde al tiempo establecido para cumplir los requerimientos de cada uno de los
dominios, sin dejar de lado que al llevar los lineamientos de las Normativas Ecuatorianas
esto brinda un punto ms fuerte dentro del desarrollo del trabajo.
~ 13 ~
1.2.
HECHOS DE INTERS
En este aparatado se hablara sobre los temas que se usaran para el desarrollo de las
Mtricas de Seguridad basados en la poltica Ecuatoriana de los cuales se tendr que
conocer varios orgenes entre ellos el de seguridad, pasando por el desarrollo de un
Gobierno y llegando a las Normativas, con esto se tendr una idea de cmo se van a
desarrollar las mtricas, adems se expresara los objetivos a cumplir con las mtricas
basadas en el Gobierno de Seguridad de Cobit 5.0 el cual es el ms adecuado en lo que
respecta a Polticas y Lineamientos de Seguridad.
De los Estudios realizados y de los cuales se ha basado el trabajo se pueden dar a
conocer diferentes puntos de vista por varios autores entre los cuales se explica que
existen mtricas las cuales son ms aplicadas al mbito de Desarrollo de Software,
control, manejo mas no un existe un trabajo el cual explique en detalle mtricas para
aplicar dentro de un Gobierno de Seguridad que vendra a tener un valor igualatorio.
Como lo comenta Ramn Ventura en su estudio de sobe Mtricas en Anlisis de
Proyecto [3] el cual en sus lnea menciona que no al no medir los alcances del Gobierno
antes de desarrollar un proyecto de Software provocara que el Diseo del Proyecto se
atrase o decaiga por no tener unas bases totalmente fundamentadas.
Adems se reconoce que en la actualidad no existe un estudio que contenga principios
para medir el estado de un Gobierno como tal, ya que de los ledo hasta el momento
existen mtricas para desarrollo, aplicacin, modelado y manejo de Software, en este
Trabajo se har referencia en cmo se realizaron las mtricas en esos casos, para de
esta manera tener una idea clara sobre el desarrollo del tema planteado.
1.3.
OBJETIVOS DE LA INVESTIGACIN
1.3.1. OBJETIVO GENERAL
Desarrollar mtricas para el proceso de implementacin de gobierno de seguridad
de la informacin basadas en COBIT 5 de acuerdo a la normativa ecuatoriana.
1.3.2. OBJETIVOS ESPECFICOS
Encontrar vulnerabilidades en el Gobierno de Seguridad COBIT 5
Establecer mtricas estndar que ayuden a regular los procesos de gobierno en la
administracin del negocio de acuerdo a la normativa ecuatoriana.

Fijar las reas importantes del gobierno de tecnologas de informacin que
intervienen en la administracin de tecnologa de informacin

Determinar mtricas que reduzcan el nivel de incidentes en los activos del negocio.
2. CAPITULO II: FUNDAMENTACIN TERICO-EPISTEMOLGICA DEL ESTUDIO
2. 1
FUNDAMENTACIN TERICO - EPISTEMOLGICA DEL ESTUDIO
2.1.1 QU ES UNA MTRICA?
~ 14 ~
Una Mtrica de Seguridad podra definirse como el conjunto de preceptos y reglas,

necesarios para poder medir de forma real el nivel de seguridad de una organizacin [4].
Todas las mtricas que se pueden hacer para medir la calidad del software se agrupan en
dos categoras diferentes dependiendo del tipo de mtrica que se realice: a) Mtrica
indirecta: en esta se centran en la calidad, complejidad, fiabilidad, eficiencia, funcionalidad,
facilidad de mantenimiento, etc.
Para tener claro lo que es una mtrica hay que diferenciarla de otras palabras como medida
y medicin las cuales son asociadas a la palabra mtrica para decir lo mismo cuando en
realidad tienen otro significado. Es por esto que se explica a continuacin la diferencia
conceptual que existe entre los dos trminos para de esta manera se tenga una idea clara
de lo que se quiere llegar a hacer con el trabajo en el posterior desarrollo.
Medida nos proporciona una indicacin cuantitativa de cantidad, dimensiones, capacidad,
tamao y extensin de algunos de los atributos de un producto o de su proceso
Medicin: proceso por el cual los nmeros son asignados a atributos o entidades en el
mundo real tal como son definidos de acuerdo a las reglas claramente definidas.
De lo explicado en la parte superior se puede indicar un concepto claro sobre lo que
respecta a la definicin de mtrica que ser de la siguiente manera.
Mtrica: segn el IEEE define la mtrica como una medida cuantitativa del grado en que un
sistema, componente o proceso posee un atributo dado.
Todas las mtricas que se pueden hacer para medir la calidad del software se agrupan en
dos categoras diferentes dependiendo del tipo de mtrica que se realice:
Mtrica indirecta: en esta se centran en la calidad, complejidad, fiabilidad,

eficiencia, funcionalidad, facilidad de mantenimiento, etc.
Mtrica directa: respecto a esta se engloba en velocidad de ejecucin, defectos

encontrados en una cantidad de tiempo, costo, tamao de memoria usada, nmero
2.1.2
de lneas de cdigo, etc. [4].

PROCESO DE MEDICIN
Ilustracin 1. Proceso de Medicin

~ 15 ~
Formulacin
Coleccin
Anlisis
Interpretacin
Realimentacin
Fuente: Uso de la norma ISO/IEC 27004 para Auditora Informtica
Formulacin: en esta primera etapa tiene como principal objetivo el de buscar y
elegir las mtricas y medidas apropiadas para aplicar.

Coleccin: en esta segunda etapa hay que acumular y obtener todos los datos
necesarios y obtenidos.
Anlisis: ahora con los datos obtenidos en la anterior etapa, se realizan los clculos
de las mtricas.
Interpretacin: a continuacin con los clculos hechos se realiza su evaluacin con
el fin de obtener una visin interna de la calidad de la representacin.

Realimentacin: en esta ltima etapa se dan las recomendaciones obtenidas de la
interpretacin de las mtricas tcnicas.
2.1.3
CREACIN DE UNA MTRICA
Cuando se piensa en el hecho de desarrollar una mtrica se toma en cuenta los criterios de
Larrondo sobre las partes que debe de tener una mtrica y que entre las ms relevantes son
el propsito, la categora y el tipo, para este objeto de estudio se agregaron unos
indicadores adicionales que permitirn dar un mejor enfoque a nuestra mtrica, es decir que
permitirn estructurarla de manera tal que sean especficas para gobierno de Seguridad, se
muestran de la siguiente manera.
Ttulo: En este apartado tendr un nombre significativo para describir la seguridad
de dicha mtrica.
Propsito: Se comentar lo que la mtrica est diseada para hacer.
Costo: Consiste en la estimacin de los costes reales de la recogida de la seguridad
de dicha mtrica.
Tipo: Definir que clase de mtrica es, por ejemplo si es tcnica o de gestin, si es
numrica o textual.
Localizacin: Aqu se sabr donde se deben encontrar los datos a recoger, as
como los datos previos utilizados con el fin de realizar dicha mtrica.
Frecuencia: Con ello se conocer cuando se deben de recoger los datos as como el
nmero de veces que hay que obtenerlos.

Categora: En este apartado se deber hacer una serie de preguntas con las cuales
se rellenara dicho apartado.
~ 16 ~
Las preguntas son: Cuntas veces sucede algo? Con qu frecuencia sucede
algo? Cunto tiempo dura un evento? Cunto cuesta un evento?

Inicio y parada: Criterios para iniciar y detener la recogida de datos para la mtrica
de seguridad y para el uso y la presentacin de la garanta de dicha mtrica.

Duracin de la recogida: Consiste en una estimacin o real del periodo en el que se
recogern los datos.

Duracin de uso: Consiste en una estimacin o real del periodo en el que se
utilizar dicha mtrica de seguridad. [5]
2.1.4
LAS MEDICIONES
La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheckAct, tambin

conocido como PDCA, el cual consiste en ser un ciclo continuo y que se comentara ms
extensamente en el siguiente punto.
Ilustracin 2. Plan-Do-Check-Act
PLAN
ACT
DO
CHEC
K
Fuente: Metodologa para la seleccin de mtricas en la construccin de un Cuadro de

Mando Integral
En los procesos de mediciones se tienen que cumplir una serie de objetivos los cuales son
los siguientes.
Indicar y avisar los valores de seguridad de la entidad.

Realizar una evaluacin de la eficiencia del Sistema de Gestin de Seguridad de la
Informacin.
Incluir niveles de seguridad que sirvan de gua para las revisiones del
Sistema de Gestin de Seguridad de la Informacin, lo cual provocar nuevas
entradas para auditar y para ayudar a mejorar la seguridad de la entidad.

Realizar una evaluacin de la efectividad de la implementacin de los controles de la
seguridad de la entidad.
2.1.5
PLAN-DO-CHECK-ACT (PDCA)
~ 17 ~
Consiste en una relacin cclica de entrada y salida de las actividades de medicin. Las
cuales se dividen en cuatro etapas.
Cuadro 1. Plan-Do-Check-Act (PDCA)
Definir la mtricas y establecer el sistema de gestin de Seguridad de
PLAN
Informacin
Adaptar procedimientos y controles para la obtencin de datos
DO
CHECK
ACT
Revisin de los datos obtenidos de las mtricas realizadas

Revisin y mejora de las mtricas de Seguridad.

Mando Integral
2.1.6
MTODO DE LAS MEDICIONES
En lo que respecta al mtodo de las mediciones se toman en cuenta varios criterios entre los
cuales, se podra mencionar las ideas sistemticas de Rebollo y compararlas con los
atributos que mencionaba Larrondo para desarrollar una mtrica especfica para gobierno de
seguridad donde la medicin se la va a realizar en la mayora de los casos con valores de
porcentajes que son los ms acertados al momento de medir un avance, entre otros casos
se va a tener varios mtodos de medicin a elegir como seran los siguientes. [2] [6]
Existen dos tipos de mtodos a la hora de cuantificar los atributos necesarios.
Objetivos: los cuales se centran en una regla numrica (por ejemplo de 1 a 5) que se
pueden aplicar a las personas o a los procesos, se recomienda que se realice
primero a los procesos.

Subjetivos: se centran en el criterio de los empleados o de los evaluadores externos.
Dichos mtodos pueden englobar diferentes tipos de actividades y a su vez un mtodo

engloba a varios atributos.
Algunos mtodos que se utilizan en la entidad con el fin de medir los atributos son:
Cuestionarios al personal de la entidad.

Inspecciones de las areas de dicha organizacin.
Toma de notas a partir de observaciones.
Comparacin de atributos en diferentes momentos.
Muestreo.
Consultas de los sistemas.
~ 18 ~
Una vez realizados los mtodos de medicin es asociarlo a un tipo de escala, las clases de
escala pueden ser:
2.1.7
Ratio: uso de escalas de distancias.

Nominal: uso de valores categricos
Intervalos: uso de mximos y mnimos.
Ordinal: uso de valores ordenados.
MEMSI (MODELO ESTRATGICO DE MTRICAS EN SEGURIDAD DE LA
INFORMACIN)
El modelo estratgico de las mtricas respecto a la seguridad de la informacin se divide en

tres niveles.
Ilustracin 3. Modelo estratgico de Mtricas en Seguridad de la Informacin
Estrategic
o
Tactico
Operativo
Cumplimiento
Serivcios
Integridad
Objetivo de
Negocio
Aplicaciones
Disponibilidad
Administracion de
Riesgo
Perimetro
Confidencialidad
Fuente: Las mtricas, elemento fundamental en la construccin de modelos de madurez de

la Seguridad Informtica
En el cual cada uno de ellos tiene varios grupos dentro de s, en el siguiente apartado se
explicara de forma detallada cada uno de los niveles que tiene MENSI para la aplicacin de
este caso de estudio.
En el nivel ms alto conocido como nivel estratgico se encuentran tres grupos los cuales
son:
Cumplimiento: se centrar en llevar a cabo los estndares de la seguridad
informtica, realizar auditoras as como las pruebas de cumplimiento.

Administracin de riesgos: la cual consiste en identificacin de los activos de la
empresa a proteger, realizar ejercicios de anlisis de controles y riesgos, realizacin
~ 19 ~
de planes de seguimiento y actualizacin, creacin de pruebas respecto a
vulnerabilidades as como la creacin de mapas de controles y riesgos.

Objetivos de negocio: este grupo se centrar en las relaciones con los clientes por
parte de la empresa, la agilidad y responsabilidad ante incidentes que ocurran, el
significado de la seguridad respecto a los procesos de negocio y de las expectativas
de la gerencia en relacin a la confianza de los sistemas. [7]
En el nivel intermedio conocido como nivel tctico se encuentran tres grupos los cuales
son:
Servicios: el cual ser encarga del control de cambios, copias de respaldo, posibles
recuperaciones ante fallos, el aseguramiento de equipos y la administracin de
parches.
Aplicaciones: su responsabilidad es la siguiente, desde revisar el cdigo fuente,
defectos identificados en el software, pruebas de vulnerabilidad en software,
vulnerabilidades identificadas y utilizacin de funciones no documentadas.

Permetro: este ltimo se encarga de la efectividad de la seguridad que va desde la
efectividad del Anti spam, antivirus, firewall, as como la efectividad del monitoreo
24*7. [8]
En el nivel bajo conocido como nivel operativo se encuentran tres grupos los cuales son:
Integridad: cuya funcin consiste en eliminar, borrar o manipular datos, como
protegerse ante virus informticos.

Disponibilidad: se encarga de la negacin del servicio, inundacin de paquetes,
suplantacin de datos o IP, eliminar, borrar y manipular datos.

Confidencialidad: este ltimo debe estar preparado para encargarse desde
contraseas dbiles, suplantacin de IP o datos, accesos no autorizados por terceras
personas, configuracin por defecto que puede poner en peligro si no tiene la
configuracin deseada, monitoreo no autorizado. [9]
Caractersticas del modelo
Se consigue sugerir una manera de integrar los principios de la seguridad
informtica, los incidentes y las tecnologas de seguridad.

Exige un diagnstico y anlisis
Se reconocen las diferentes culturas de dicha organizacin en diferentes niveles.
Como parte fundamental para el desarrollo de las mtricas se vinculan los objetivos
de negocio
Se reconoce que la seguridad no es un fenmeno no dualista (causaefecto) sino
que es dual (circular)
~ 20 ~
Se establece las preguntas que integran dichas expectativas, acciones de los

diferentes actores de la organizacin y los acuerdos. [10]
Ejemplos de mtricas para la seguridad informtica

A continuacin se menciona un par de mtricas que se puede utilizar para alguno de los tres
niveles que se ha comentado anteriormente, queda aclarar que solo son algunos ejemplos y
que pueden hacerse muchos ms.
Nivel estratgico:
Algunas mtricas pueden ser:
Conocer el % (tanto por ciento) de las cuentas inactivas de usuario deshabilitadas
respecto al total de cuentas inactivas.

Conocer el valor total de los incidentes de seguridad informtica respecto al
presupuesto total de seguridad informtica.

Conocer el % (tanto por ciento) de los nuevos empleados que completaron su
entrenamiento de seguridad respecto al total de los nuevos empleados que entraron.
Propsito de esta mtrica: desempeo de personas y procesos
Nivel tctico:
Conocer el nmero de mensajes salientes con spyware o virus.
Nmero de mensajes de spam detectado respecto al nmero total de mensajes
ignorados.
Nmero de estaciones de trabajo en funcionamiento configuradas correctamente
respecto total de las estaciones de trabajo.

Nmero de spyware o virus detectados en estaciones de trabajo o servidores.
Propsito de estas mtricas: desempeo de las tecnologas de seguridad informtica.

Nivel operativo:
Nmero de incidentes asociados con la disponibilidad respecto al total de incidentes.

Nmero de incidentes asociados con la confidencialidad respecto al total de
incidentes.
Propsito de estas mtricas: desempeo de la administracin de incidentes. [6]
2.2 GOBIERNO DE SEGURIDAD DE INFORMACIN
~ 21 ~
De lo mencionado hasta ahora un Gobierno de Seguridad es el que dirige y controla el uso

de las TI actuales y en lo posterior, motiva a la direccin y evaluacin de planes sobre el uso
de la TI, debe ser un soporte en la organizacin y monitoreo de dicho canal, con el fin de
alcanzar lo establecido en una organizacin dependiendo de sus polticas. [7]
Como indica Muoz en su apartado el gobierno de TI [11] integra las buenas prcticas para
de esta manera garantizar que TI es una entidad que va a soportar los objetivos del negocio
por lo cual es de criterio personal la manera en la que se disponga del gobierno lo que si se
indica es que debe ser una entidad que globalice sus objetivos como marco de negocio.
Se debe mencionar que al establecer el Gobierno de TI este provocara que la informacin,
como capital se llene de beneficios y as obtener oportunidades y ganar ventajas sobre la
competencia.
De los estudios realizados y con una idea formada sobre los principios fundamentales del
Gobierno se lleg a la conclusin de que estn compuestos por cuatro principios necesarios:
Dirigir y Controlar
Responsabilidad
Rendicin de Cuentas
Actividades
El gobierno de TI tiene interesados internos y externos, con distintas preocupaciones, a las

que el gobierno de TI tiene que darles respuesta.
Entre los interesados internos se pueden mencionar al gerente de TI, la junta directiva y los
gerentes ejecutivos y de negocios, el gerente de riesgo y cumplimiento y el auditor de TI.
Los interesados externos son fundamentalmente los auditores externos, los clientes, los
reguladores y los proveedores, cada uno con preguntas e inquietudes particulares. [12]
Un buen Gobierno Corporativo es fundamental para asegurar y delimitar las decisiones
primarias del negocio, tiene una visin estratgica, adems de que deben de ser muy
crticos para asegurar que las decisiones de TI sean las que cumplan los objetivos del
Negocio. [13]
El gobierno TI cuenta con ciertas caractersticas, por ejemplo:
Est orientado a procesos, tanto de TI como del negocio.

Se debe definir el propietario del proceso, la responsabilidad sobre el proceso y la
criticidad del mismo.
~ 22 ~
Basado en prcticas comnmente aceptadas para aprovechar la experiencia del mercado y

ofrecer un conjunto de medidas de control multinacional, hecho especialmente para la
auditora. Las reas del gobierno TI son las siguientes:
Alineamiento estratgico: Se enfoca en asegurar la conexin e integracin del

negocio con los planes de las Tecnologas de informacin. Su objetivo es obtener
mejor alineacin que la competencia.

Entrega de valor: Se refiere a ejecutar las propuestas de valor durante el ciclo de
entrega, asegurando que TI entrega los beneficios relacionados con la estrategia del
negocio, concentrndose en optimizar costes.

Gestin del riesgo: Comprende la necesidad del cumplimiento con los requisitos,
transparencia en el tratamiento de los riesgos ms significativos e integrar las
responsabilidades de la gestin de riesgos en la organizacin.

Gestin de recursos: Se centra en la organizacin de manera ptima de los
recursos de TI de forma que los servicios que los requieran los obtengan en el lugar
y momento requerido.
Medicin del Rendimiento: Da seguimiento y supervisa la estrategia de
implementacin, la finalizacin de proyectos, el desempeo de procesos y la entrega
de servicio. Si no hay forma de medir y evaluar las actividades de TI, no es posible
gobernarlas ni asegurar el alineamiento, la entrega de valor, la administracin de
riesgos y el uso efectivo de los recursos. [11]
Ilustracin 4. rea de enfoque del gobierno de TI
Fuente: Gobierno de TI Estado del arte

Segn lo ledo en la publicacin de Alec Cram [14] una de las claves para el xito en el
desempeo de TI es poder realizar un buen uso de los recursos, utilizar su potencial y saber
~ 23 ~
asignar cada uno de los recursos a las actividades necesarias, en cierto caso la mayora de
las empresas no pueden llegar a usar el mximo de su potencial por el hecho de que estn
empleando mal uno de los recursos que se mencion anteriormente, de lo comentado
resalta una de las ms grandes dudas al momento de distribuir los recursos a las reas, es
saber dnde y cmo se deberan de utilizar, es aqu donde se hace hincapi al estudio de
Alec Cram para establecer los lineamientos del negocio, de la manera tal cual se pueda
medir la eficacia en rendimiento, riesgos y probabilidades, para lo cual las mtricas que se
van a desarrollar deberan ser capaces de medir dichos aspectos fundamentales de TI.
2.3 MARCOS DE GOBIERNO DE TI
En lo que lleva el tiempo de desarrollo se ha podido observar de que existen varios marcos
de Gobierno diseados para brindar un soporte implementar en algunos aspectos enfocados
en resolver prioridades de riesgo como en nuestro caso, de los conocido en la actualidad
hay tres marcos que resaltan como los principales.
2.3.1
Segn
COBIT.
Norma ISO
El Modelo de Calder-Moir.
COBIT
lo indicado por Jos Luis Pea en su apartado, COBIT como tal puede ser usado a
su nivel mximo proporcionando un marco de control general, [15] lo que indica que COBIT
puede medir o evaluar niveles de calidad de las entidades de manera especfica, lo que
brinda a pensar que puede ser colocado en cualquier gobierno y sus funciones no van a
cambiar no por el hecho de ser estricto y rgido sino por el hecho que cada una de sus
funciones estn pre adaptadas a las necesidades del Gobierno que lo piensa poner en
prctica [15]. Lo que se indica es que Cobit puede ser colocado con otros Marcos de
Gobierno para darle un plus adicional y de esta manera poder tener una mejor herramienta a
la cual poder aplicarla en el Gobierno de Seguridad.
De la informacin recolectada a un grupo de investigadores sobre los Dominios de Cobit en
lo que respecta a un proveedor de servicios, y con el conocimiento obtenido hasta el
momento se puede indicar que existen dominios como la Planificacin y Organizacin que
son los ms utilizados dentro del Gobierno como cliente y as como los dominios de
Adquisicin Entrega y Soporte, Monitoreo que son ms desarrollados para la parte del
servidor. [16]
De los diferentes atributos asociados como los de Edimara y en cierto caso los de Lucio da
Silva dan a comprender que tienen en cuenta atributos comunes como sera el diseo de
una metodologa madura para mostrarla de manera sencilla, lo que brinda una escala de
~ 24 ~
madurez poco compleja, adems se podra indicar que los treinta y cuatro procesos pueden
poseer un nivel de madurez especifico. [17] [18]
Como es de conocer los objetivos tienen que tener una vinculacin entre los procesos de
organizacin y los de proceso as como indica Mara Vieira en su apartado si no se llega a
una vinculacin puede ser por mala comunicacin entre dos reas especficas como lo son
el rea de TI y el Gobierno. Se debe de conocer que el camino de cada proceso es de vital
importancia para mantener la vinculacin y de esta manera no perder el camino en comn
de los fines del Gobierno. [19]
En los casos puntuales de COBIT se lo muestra como un marco de Gobierno, adems de
poder mostrarlo como un conjunto de herramientas de apoyo para permitir cerrar las
brechas entre las necesidades y las tcnicas y los riesgos de negocio de TI. Es por esto que
COBIT tiene una gran acogida puesto que suma todos los factores que el personal del
Gobierno de Seguridad est buscando para cerrar las brechas que le presentan
inconvenientes. [20]
Por lo conocido de COBIT es un modelo de Gobierno muy correcto puesto que ayuda a
intensificar los controles sobre los procesos que se basan en desarrollo de los cuales
podran decirse Gestin de Servicio, Cambios, Adquisicin y mantenimiento del Sistema, en
el apartado de estudio se puede revisar que COBIT tiene una funcin de eliminar o mitigar
los riesgos dependiendo de su impacto dentro del Gobierno de TI. [21]
De esta manera se podr tomar en cuenta que COBIT es la mejor opcin para realizar un
control real sobre los diferentes procesos dentro del Gobierno de Seguridad, sin dejar de
lado que es el mejor para reducir riesgos y solucionar problemas.
El marco de trabajo Cobit se cre con las siguientes caractersticas principales: orientado a
negocios, orientado a procesos, basado en controles e impulsado por mediciones. [22]
Ilustracin 5. Evolucin de Alcance de COBIT
~ 25 ~
Fuente: Marco Empresarial de ISACA, en www.isaca.org/cobit

Los principios de COBIT tomados de su libro se basan en lo siguiente
Satisfacer las necesidades del Gobierno

Dar una cobertura de manera integral
Aplicar un marco integrado nico.
Habilitar un enfoque Holsticos.
Separar Gobierno de Administrativo.
Principio 1: Satisfacer las Necesidades de las Partes Interesadas

Las Compaas existen para crear valor para sus partes interesadas.
Ilustracin 6. Principios de COBIT 5
~ 26 ~
El Gobierno deber de tomar en cuenta a todos los puntos interesados en la toma de

decisiones, con respecto a las preguntas que se deben de realizar al aplicar una decisin
son las siguientes:
Quien recibe beneficio

Quien asume el riesgo
Que recurso se necesita
Principio 2: Cubrir la Compaa de Forma Integral:

COBIT 5 se centra en el Gobierno y la Administracin de las TI con relacin a una
perspectiva integral a nivel de la Organizacin
Busca cubrir las funciones y procesos dentro de la Organizacin, adems no solamente se
centra en funciones especficas sino sobre la trata de Tecnologas de informacin como
activos los cuales buscan ser manejados como cualquier otro activo.
~ 27 ~
Ilustracin 7. Cubrir la Compaa de Forma Integral

Principio 3: Aplicar un nico Marco Integrado:
COBIT 5 tiene un alineamiento con los ltimos marcos y normas ms relevantes como lo
pueden ser COSO ISO y con respecto a las TI como lo son ITIL ISO/IEC 27000 CMMI entre
otros. Se indica sobre todo que al ser un modelo de facilita el mapeo de las actividades
contra los otros marco o gobiernos
Principio 4: Habilitar un Enfoque Holstico
Los Factores Habilitantes de COBIT son los siguientes:
Factores de manera individual o colectiva van a influir sobre el resultado de algo, con
respecto a COBIT, serian Gobierno y Administracin.
Se impulsa por finales en cascada, sea convergiendo metas de Alto Nivel con las TI definen
los niveles de habilidad.
~ 28 ~
Ilustracin 8. Habilitar el enfoque un Enfoque Holstico

Principio 5: Separar el Gobierno de la Administracin
En este apartado COBIT 5 realiza una gran diferencia entre Gobierno y administracin como
se indica en lo siguiente:
Manejan diferentes tipos de Actividades.
Requieren diferentes estructuras organizacionales.
Gobierno: En la mayora de las organizaciones el Gobierno es responsabilidad de la Junta
Directiva bajo el liderazgo de su Presidente.
Administracin: En la mayora de las organizaciones, la Administracin es responsabilidad
de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO). [22]
Evaluacin del Modelo de Proceso (PAM)
PAM es un modelo que tiene como objetivo evaluar la capacidad del proceso por uno o
varios modelos de referencia de proceso. Escala seis niveles de capacidad de procesos
definidos en escala ordinal que se inicia de incompleta a la optimizacin. Estos niveles
pueden ser descritos de la siguiente manera.
Nivel-0: proceso incompleto.

Nivel 1: proceso realizado.
Nivel 2: Gestionado proceso.
Nivel 3: proceso establecido.
Nivel 4: proceso predecible.
Nivel 5: Optimizacin del proceso.
PA se puede evaluar sobre la base de los siguientes intervalos [29]:

~ 29 ~
N (no logra): 0 - 15% de logro,

P (logr parcialmente):> 15% - 50% el rendimiento,
L (logrado en gran medida):> 50% - 85% el rendimiento,
F (plenamente alcanzado):> 85% - 100% el rendimiento. [23]
2.3.1.2 META MODELOS BASADOS EN COBIT

En las investigaciones que se realizaran en un futuro se propone estudiar la comparacin de
los marcos como lo indica Ferreira en su citas a travs de sus meta modelos, que pueden
ser muy tiles para el anlisis de las funciones, se puede observar que COBIT ofrece
mtricas con Metaframe para el control exacto de sus componentes. [24]
Los meta modelos son herramientas que permiten generar informes a partir de grficos
donde se indican como se descompone un gobierno como COBIT y tambin cuales son los
requerimientos para cumplir cada componente.
2.3.1.3 COBIT USADO EN OCTAVE
OCTAVE es un muy buen contexto para implementaciones de metodologas como ITIL o
COBIT, en las que la evaluacin de riesgos es un componente importante, sin que en ellas
sea explcita la manera de adelantar dicha evaluacin, que garanticen una aplicacin
consistente cada vez que se adelante, as como contar con herramientas, catlogos
actualizados y mecanismos de evaluacin y seguimiento apropiados. [25] Es por esto que
cuando se desea realizar un anlisis de riesgos dentro de un gobierno se debe elegir una
que entregue mejores beneficios y resulte ms sencilla las tareas de mitigar riesgos para el
Gobierno de Seguridad.
2.3.1.4 COBIT CON SCRUM
El estudio de esperar que ofrece un mapa de riesgos de manejar y una lista de retos y
problemas que resolver. Al hacerlo, en realidad es posible adaptar Scrum con
personalizaciones y extensiones.
Por otro lado, la cuestin de la cantidad de COBIT (v.5.1) es adecuado para apoyar ser gil
puede subir y si es posible, las organizaciones pueden elegir la opcin de adaptar COBIT de
una manera ms gil. De una forma u otra, el estudio recuerda que, si bien las
oportunidades y beneficios de Scrum lo hacen atractivo, las organizaciones deben ser
prudentes en su integracin con las prcticas de COBIT. [26]
2.3.2 ITIL
ITIL es un modelo de trabajo que hace sugerencias, alternativas y soluciones para la mejora
de los servicios de TI, con una gua de las mejores prcticas que no requieren un desaplique
en sus necesidades, no es del todo una normativa, lo que si prescriptiva, se llega a la
~ 30 ~
recopilacin de sus resultados obtenidos por los profesionales de TI en el uso diario del
modelo dentro de su trabajo. [27]Lo que se indica es que tienes ciertas pautas procesos y
reglas que estn colocadas en trabajo pero no necesariamente deben de cumplirse algn
cambio o procesos.
La Information Technology Infrastructure Library es un conjunto de conceptos y mejores
prcticas como lo han expuesto en algunas ocasiones varios artculos ITIL es una coleccin
de Libros los cuales se crearon para cubrir una rea especfica para el desarrollo de las
buenas practicas. [20] Como se indica en principio ITIL no fue ms que un conjunto de ideas
plasmadas en un libro para funciones especficas y con el tiempo estas funciones fueron
cambiando para volverse adaptables y de esta manera ser ms funcionales en diferentes
prcticas.
Teniendo en cuenta que ITIL es un modelo como lo expresa Jos Calvo en sus lneas dando
a conocer que el proceso de vital importancia siempre ser el primero puesto que es el que
indicara el camino que deber tomar el proceso de Gobierno, se pudo revisar en otras
documentaciones que el primer proceso no es fundamental sino que lo expresan como una
tarea que podra ser importante o no dependiendo del Gobierno de Seguridad [28] Como se
puede dar a entender los procesos de ITIL no tienen una secuencia segura de por dnde
comenzar este punto de anclaje lo indica el grupo encargado del desarrollo y aplicacin del
gobierno.
Se escribe en varias secciones que ITIL puede ser clasificado en dos secciones, para el
soporte a la infraestructura y orientados a la entrega de los Clientes, adems los procesos
son organizados por fases de ciclo como estrategia, diseo, transicin, operacin y mejora
de los servicios. Los servicios dentro de ITIL pueden ser clasificados de manera sencilla por
el hecho de ser funciones especficas permiten ser ubicadas de manera rpida y aplicarlas
dentro del Gobierno de Seguridad sin muchos inconvenientes. [10]
2.3.2.1 COMPARACIN ENTRE COBIT E ITIL
La diferencia dentro del modelo de ITIL es la forma en cmo se describe y se trata con
diferentes actividades as como las actividades y diagramas de flujo pueden guiar a las
organizaciones, la relacin como se ha expresado en varios artculos anteriores se vuelve
fuerte cuando se trata de Costo-Beneficio donde se ocupan de los problemas de la
aplicacin de nuevas tecnologas y orientacin para el anlisis de factores crticos que se
escriben ms sobre los factores abordados en COBIT [29] Como se puede observar Cobit
es elegido sobre el resto de gobiernos por el hecho de tratar puntos ms crticos que para
los desarrolladores de gobierno vienen a ser muy importantes.
~ 31 ~
En uno de sus apartados Shamsul define a COBIT como un marco adecuado para la
autoridad , tambin menciona que se vuelve fuerte cuando se trata de Cuestiones de gestin
conocidas como las Guas para la Gestin para los factores crticos de xito con algunas
claves de rendimientos y modelos de Madurez de capacidad [30] Se puede definir que en
varios aspectos COBIT es muy superior a ITIL por el hecho de ser ms estricto en lo que
respecta a evaluar riesgos y poder mitigarlos a lo mnimo
2.3.3
NORMA ISO
De acuerdo con la norma ISO 27001: 2005, es una lista de comprobacin para asegurarse
de que todos los controles son necesarios. Sin embargo, la norma ISO 27001: 2013
recomienda que los controles tienen que ser seleccionados en el progreso del tratamiento
del riesgo. Basndose en este hecho, un plan de tratamiento de riesgos tiene ms prioridad
que un control donde solo se presentan los riesgos. [30] Como se indica con la nueva
reforma de la normativa ISO permite definir a todo control que tenga algn riesgo por mitigar
sea tomando con carcter urgente.
Con respecto a las diferencias entre el ambiente y los procesos que estn tienen con
respecto a los modelos de negocio, se identifican riesgos y una estrategia desarrollada que
resultara diferente, es decir, la Norma ISO 270001 proporciona requisitos y especificaciones
a un SGSI, recordando que cada SGSI puede ser adaptado a cualquier ISO. [31] Es
importante reconocer que la Normativa ISO es un estndar que brinda pautas para
reconocer ciertos criterios para mejorar los objetivos del Gobierno de igual manera es de
forma adaptable a los requerimientos.
La norma ISO 27000 redefine este proceso de gestin de riesgos y se extiende con un prefase de recopilacin de informacin. La norma ISO 27001 exige un conjunto de documentos
que describen los requisitos para el SGSI. [32] Se indica que la Normativa ISO entrega
informacin al Gobierno como s que le resulta de manera mejorada puesto que se basa en
documentacin antes de ser llevados a la fase final
La norma ISO 27001 es certificable, cada uno de los procesos exigidos en la norma
pertenece a una etapa o proceso Plan-Do-Check-Act, para realizar una auditoria se revisan
ciertos puntos como podran ser Polticas de Seguridad, Asignacin de responsabilidad. [33]
Lo que da a entender que siendo la norma bien aplicada no tendra problemas en lo que
respecta a riesgos puesto que se los mitigara tomando como entrada los requisitos de
seguridad.
~ 32 ~
2.4 NORMATIVA ECUATORIANA

La nube informtica es un modelo para permitir, desde cualquier lugar y a travs de la red, el
acceso a un conjunto compartido de recursos informticos configurables (por ejemplo,
redes, servidores, almacenamiento, aplicaciones y servicios) con un esfuerzo mnimo de
gestin as como una mnima interaccin con el proveedor del servicio.
El 16 de marzo de 2010, se present ante la Asamblea Nacional el proyecto de Ley de
Proteccin a la Intimidad y a los Datos personales, el Legislativo resolvi su archivo por
considerar que varias de las normas propuestas ya constan en la Constitucin y en la
legislacin secundaria existente (Ley Orgnica de Garantas Jurisdiccionales y Control
Constitucional, Ley de Transparencia y Acceso a la Informacin Pblica), esto a pesar de
que la propia constitucin seala que debe existir una ley de proteccin a datos privados en
registros pblicos (Asamblea Nacional archiva el proyecto de Ley de Proteccin a la
Intimidad y a los Datos Personales, 2010).
Debido a la falta de una regulacin especfica para la Nube, los contratos o acuerdos de
Nivel de Servicio representan el principal elemento de cumplimiento. Salazar propone una
serie de principios para ser incluidos en un nuevo marco regulatorio especfico para
Ecuador, que abarque la proteccin de datos en la Nube:
Aprobacin: Considerar si el tratamiento de datos necesita el consentimiento del
titular, responsable de los datos, interesado de los datos, etc.

Delimitacin de responsabilidades: Esclarecer cules son las responsabilidades
especficas de las partes en un servicio de Cloud Computing.

Finalidad: Cual ser la finalidad determinada para utilizar la plataforma de Cloud
Computing, y si debe o no extenderse hacia otra finalidad.

Seguridad: Qu medidas tcnicas y organizativas deben adoptarse para el
tratamiento de datos en un entorno de Cloud. Si es posible establecerlo como un
requisito para los proveedores de la Nube.

Transferencias Internacionales: Cmo debera realizarse el flujo transfronterizo de
los datos personales y los niveles de proteccin que deben presentar los
involucrados. Qu se reconoce por un adecuado nivel de proteccin.

Intervencin de terceras partes que afecten el tratamiento de los datos: Qu
requisitos deben cumplir las terceras partes cuando intervengan en un ambiente de
Nube. Comunicacin al cliente de quienes intervienen en el tratamiento de datos en
la Nube.
~ 33 ~
Comunicacin: Comunicacin a los clientes acerca de todos los cambios y

modificaciones importantes que se den en la plataforma de la Nube, que afecten el
servicio, siendo claros y transparentes.

Indemnizaciones, garantas y sanciones: Cmo retribuyen los proveedores de
servicios de la Nube al cliente en el caso de provocarle daos irreparables en el
tratamiento de los datos.

Propiedad intelectual: Cmo se interpreta la propiedad intelectual de los datos
colocados en una infraestructura de Nube. Qu sanciones se colocaran al mal uso o
abuso de contenido con derechos de autor.
~ 34 ~
3. CAPITULO III: PROCESO METODOLGICO.

3.1.
DISEO O TRADICIN DE INVESTIGACION SELECCIONADA.
En este apartado se dar a conocer que el tipo de investigacin que se va a utilizar ser la
de revisar y analizar artculos, libros que tengan enfocado una parte al estudio de los
Gobiernos de Seguridad en sus diferentes enfoques, para lo cual se tomara mayor nfasis al
libro de COBIT puesto que como se mencion anteriormente es el Marco de Gobierno de
mejor puntuacin para el desarrollo de las mtricas. Adems se realizara indagaciones
sobre trabajos ya realizados en lo que respecta a mtricas sobre Gobiernos.
Cabe indicar adems que se utilizara un tipo de investigacin como lo es un Diccionario de
Datos que formara parte del Diseo de la Investigacin puesto que con esto se podr formar
mapas de ideas sobre cmo obtener informacin de manera eficaz sin tener volver a realizar
una estructuracin sobre la informacin que se necesita recolectar.
3.2.
PROCESO DE RECOLECCION DE DATOS EN LA INVESTIGACIN.
Para el proceso de recoleccin de Datos se har el uso de una Base de Conocimientos

aplicada a mtricas y a Gobiernos de Seguridad para lo cual se tomara en cuenta el Marco
de COBIT que es de donde se obtendr la informacin necesaria para la fase previa de las
mtricas entre los cuales se har uso de los Dominios y a su vez de los objetivos de mayor
impacto al momento de aplicar un Gobierno de Seguridad en una empresa. Con respecto al
mapeo que se va a realizar a COBIT, ms adelante se explicara de forma breve cada uno de
los dominios que se usaran y su impacto en la aplicacin dentro del Gobierno de Seguridad.
Se deber de realizar un estudio sobre la Normativa Ecuatoriana basada en la Ley de
Seguridad de la Informacin para de esta manera conocer las limitantes que tendrn cada
una de las mtricas al momento de ser desarrolladas.
3.3.
SISTEMA DE CATEGORIZACION EN EL ANLISIS DE LOS DATOS
Para este apartado se desarroll un grfico donde se explica cmo se llegaron a desarrollar
las mtricas, recordando que se basan en el libro de COBIT 5, tomando como limitante las
Normativas Ecuatorianas para los cual se las dividi de la siguiente manera donde se
indican los dominios y a su vez los objetivos, y entre los cuales se explica el motivo de su
eleccin entre los dems, se indica tambin que en la parte siguiente del trabajo ya se
expresan las mtricas como tal y en la parte siguiente se expresa un ejemplo explcito del
~ 35 ~
uso de las mtricas aplicadas a una empresa que est en vas de desarrollo de un Gobierno
de Seguridad.
Ilustracin 9. Esquema del Desarrollo de la Mtrica
Metrica
s para
Gobier
no
Normativa
Ecuatorian
a
COBIT
5
Objetivo
s de
cada
Dominio
Dominio
s
Fuente: Elaboracin Propia.

3.4.
METODOLOGIAS TOP-DOWN Y BOTTOM-UP
De acuerdo a la experiencia adquirida, previo al anlisis de casos de seguridad de

informacin, las mtricas se determinan de acuerdo a lo que se est tratando de proteger y
medir, as como la situacin actual del negocio. El Cuadro de Mando de Seguridad de la
Informacin es una herramienta de control de gestin que traduce la estrategia de seguridad
en un conjunto de objetivos relacionados, medidos a travs de indicadores, con unas metas
fijadas y ligados a unas iniciativas. Esta es una herramienta que permite sintetizar el control
de procesos de seguridad de informacin, adems ofrece informacin sencilla y detallada
para observar el avance de gestin de los indicadores y mtricas de seguridad, calidad y
eficiencia. El objetivo del modelo bsico del cuadro de mando es el cumplimiento de los
objetivos en la organizacin, que son determinados a travs de unas actuaciones que tienen
reflejo en variables clave y que se controlan a travs de indicadores [20]. Existen dos
metodologas entre las cuales se encuentra el top-down el cual es ms formal y completo, lo
que permite a grupo definir de forma ordenada sus necesidades y objetivos [5]. En cambio
con la metodologa down-top, permite a las empresas inmaduras acelerar su desarrollo en lo
que respecta a seguridad, se expondr los dos enfoques en el siguiente recuadro
~ 36 ~
Cuadro 2. Metodologa de cuadro de mando: ENFOQUE TOP DOWN
a. Definir / lista de objetivos del
ENFOQUE TOP DOWN

Ejemplo de objetivo. Reducir el nmero de
programa general de la seguridad

b. Identificar mtricas que puedan
indicar el progreso hacia cada
infecciones por virus dentro de la compaa en un 30

% sobre el ao anterior
Ejemplo de Mtrica: Alertas de virus por infecciones
en comparacin a la referencia del ao anterior.
objetivo.
Ejemplo de indicadores: Nmero de alertas de virus
*Determinar indicadores
en la organizacin por meses Nmero de infecciones
necesarios paran cada mtrica
de virus reportadas
Mando Integral
Cuadro 3. Metodologa de Cuadro de Mando: ENFOQUE BOTTOM-UP
ENFOQUE BOTTOM-UP
Ejemplo de indicador: Nmero medio de
a. Identificar indicadores que estn o
vulnerabilidades de Nivel 1 detectadas por
pueden ser recogidos en este proceso
servidor en cada departamento utilizando la

herramienta de escaneo xyz
Ejemplo de mtrica: Cambio en el nmero
b. Determinar las mtricas que pueden ser
de vulnerabilidades crticas detectadas en
generadas a partir de los indicadores
los servidores por departamento desde el
c. Determinar las asociaciones entre las
ltimo informe
Ejemplo de objetivo: Reducir el nivel de
mtricas derivadas y los objetivos
vulnerabilidades detectables en servidores
establecidas en el programa general de la
por
cada
departamento
dentro
de
la
seguridad.
compaa.
Mando Integral
Finalmente, para realizar las mtricas estandarizadas y alineadas a la normativa
ecuatoriana, se requerir que las mtricas estn equilibradas de acuerdo a:
El tiempo: Pasadas (resultados) vs. Futuras (mejora y crecimiento).

El alcance: Externas (accionistas y clientes) vs. Internas (empleados y procesos).
~ 37 ~
Las perspectivas: que las mtricas generadas estn alineadas a COBIT 5 y a la

normativa ecuatoriana.
Ilustracin 10. Perspectivas del Cuadro de Mando Integral de Seguridad
Politicas y Planes de
Seguridad.
Responsabilidades de los
actores de la empresa y
la aplicacin de polticas y
SGSI en sus operaciones
Area del Negocio
Recursos Humanos.
Determina que tipo de

activos
a
nivel
de
gobierno se va a medir.
Seleccin yDiseo
formacin
del
de Mtricas
personal y procesos de
gestin.
Valoracin de Activos.
Determinar que tipo de
politicas y estandares se
va a medir a nivel de
gestion de TI.
Procesos general de TI
Determinar que tipo de
buenas
practicas
y
politicas se va a medir.

Mando Integral
3.5 ANALISIS DE LOS OBJETIVOS DEL MAPEO A COBIT 5
Garantizar que el sistema de gobierno para TI est incorporado al gobierno
corporativo.
Se determin este objetivo para establecer elementos eficientes que formaran un sistema de
gobierno para TI incorporado al negocio. Es decir para establecer un sistema de gobierno
para TI, intervienen varios factores que se alinean con los objetivos del negocio para cumplir
las metas de la organizacin, para ello se requiere determinar la calidad de estos factores y
as crea un sistema de gobierno de acuerdo al gobierno corporativo del negocio.
Los umbrales de riesgo son definidos y comunicados, y los riesgos clave
relacionados con la TI son conocidos.
Se escoge este objetivo de control, para identificar los riesgos a nivel de gobierno de TI.
Luego de identificar los riesgos se requiere establecer polticas de seguridad, plan de
gestin de riesgos etc., por ello se requiere determinar un nivel de calidad de los elementos
que intervendrn en el control y monitoreo de estos riesgos.
~ 38 ~
Asegurar que las necesidades de recursos de la empresa sean cubiertas de un modo

ptimo con ello se incrementa la probabilidad de obtencin de beneficios y la
preparacin para cambios futuros.
Los factores establecidos en este objetivo de control determinan la optimizacin de recursos
en la empresa, es decir administrarlos en funcin a su necesidad, adems de proveer una
organizacin y gestin optima de los activos en la empresa; para que no exista un
desperdicio o desabastecimiento es necesario tener una eficiente distribucin de los
recursos de acuerdo a su utilidad y capacidad para realizar determinadas actividades del
negocio.
Optimizar las capacidades de los recursos humanos para cumplir los objetivos de la
empresa
El recurso humano en la organizacin del negocio es importante, por ello se requiere
determinar una eficaz gestin de estos activos, de modo que se establezca prioridades en
funcin de las capacidades y habilidades para lograr cumplir con los objetivos del negocio;
por lo tanto se requiere establecer polticas que determinen su trabajo de manera eficiente y
que las actividades del negocio estn acorde al nmero de empleados contratados por la
organizacin y no se genere un exceso de personal.
Mantener el impacto y ocurrencia de los incidentes de la seguridad de informacin
dentro de los niveles de apetito de riesgo de la empresa.
En todo negocio de TI, surgen diferentes riesgos a nivel de gobierno, por lo cual se requiere
establecer controles de calidad descritos en un plan anual de la empresa, adems de
determinar polticas que monitoreen el riesgo minimizando el impacto en el negocio. Los
riesgos deben estar sujetos a una vigilancia constante, adems de ser contabilizados y
alienados a factores de gestin, con ello se mantendra los posibles riesgos de la empresa
bajo control continuo.
Contabilizacin de todos los activos de TI y optimizacin del valor proporcionado por
estos activos.
Se requiere factores que determinen la optimizacin de los activos, estableciendo polticas
que permitan gestionar los activos en inventarios, efectuando un eficaz funcionamiento y
designacin de estos recursos en el negocio. La correcta organizacin de activos en la
empresa determina el eficiente desempeo del negocio en las actividades que realiza, por lo
tanto se debe tener parmetros que regulen la eficiente distribucin de estos activos en la
empresa.
~ 39 ~
Cuadro 4. Mtricas del rea de Gestin

Dimensi
n
Marco de
referencia
de
gobierno
Objetivo de TI
Garantizar que el
sistema de gobierno
para TI est
incorporado al
gobierno corporativo.
Mtrica
Frmula
Tiempo de ciclo actual vs objetivo para

las decisiones claves
Ciclo estratgico = (# objetivos cumplidos * tiempo)/

# de semanas,
Nmero de Roles, responsabilidades y

autoridades que estn definidas,
asignadas y aceptadas a gestores
para una gestin de negocio y de las
TI apropiadas.
Nmero de roles estratgicos asignados = # de

empleados * # de gestiones del negocio / tiempo de
vigencia
Grado en que los principios de

gobierno acordados para TI estn
evidenciados en procesos y practicas
Asegurar
la
optimizaci
n de
Riesgo
Los umbrales de
riesgo son definidos
y comunicados, y los
riesgos clave
relacionados con la
TI son conocidos
Porcentaje de procesos de negocio

crticos, servicios TI, y programas de
Negocio habilitados por las TI
cubiertos por evaluaciones de riesgos.
Nmero de incidentes significativos
relacionados con las TI, que no fueron
identificados en la evaluacin de
riesgos.
Actualizacin del perfil de Riesgo.
~ 40 ~
Grado de principios acordados al Gobierno de TI =

(porcentaje de procesos establecidos * # de
prcticas con clara trazabilidad a los principios) /
tiempo de duracin
Riesgos de negocios relacionados con TI =
(Porcentaje de procesos crticos * grado de
programas de negocios habilitador por TI )/ tiempo
de ejecucin
Porcentaje de incidentes = (# de incidentes
relacionados con TI * nivel de riesgo ) / tiempo
Grado de Gestin de riesgo critico = (Porcentaje de
planes de accin de riesgo TI * tiempo)/ riesgos
crticos mitigados
Cuadro 4. (Continuacin)
Dimensi
n
Objetivo de TI
Asegurar
la
Optimizaci
n de
Recursos
Gestionar
los
recursos
humanos
Asegurar que las

necesidades de
recursos de la
empresa sean
cubiertas de un
modo ptimo con ello
se incrementa la
probabilidad de
obtencin de
beneficios y la
preparacin para
cambios futuros.
Optimizar las
capacidades de los
recursos humanos
para cumplir los
objetivos de la
empresa
Mtrica
Frmula
Nivel de realimentacin de las partes

interesados sobre la optimizacin de
los recursos.
Porcentaje de necesidad de recursos = nivel de

realimentacin de recursos * frecuencia de
ocupacin / # de recursos optimizados
Nivel de gestin de Recursos = Nmero de
desviaciones de recursos * # de principios
establecidos relacionados con recursos / tiempo
empleado
Nmero de desviaciones (y
excepciones) de los principios de
gestin de recursos.
Porcentaje de proyectos y programas
con un estado de riesgo medio o alto
debido a problemas en la gestin de
recursos.
Porcentaje de proyectos con
asignacin de recursos.
Porcentaje de rotacin del personal
Duracin media de las vacantes.
Nivel de satisfaccin de los ejecutivos

con la toma de decisiones de la
gerencia.
~ 41 ~
Porcentaje de proyectos en riesgo = # de programas

en riesgo medio o alto * # de incidentes de gestin
de recursos / frecuencia de control de programas
Porcentaje de proyectos con asignacin de recursos
= # de proyectos de gestin * frecuencia de
asignacin de recursos / # de recursos designados
Porcentaje de rotacin del personal = tiempo
empleado en un determinado trabajo * # de
actividades TI / # de personal de TI
Duracin Media de las vacantes = Porcentajes de
vacantes en TI * # de actividades de TI / frecuencia
de Vacantes de TI.
Nivel de satisfaccin de Ejecutivos = # de objetivos
satisfactorios de TI * nivel de optimizacin de
objetivos / frecuencia de toma de decisiones
Cuadro 4. (Continuacin)
Dimensi
n
Objetivo de TI
Gestionar
la
Seguridad
Mantener el impacto
y ocurrencia de los
incidentes de la
seguridad de
informacin dentro
de los niveles de
apetito de riesgo de
la empresa.
Gestionar
los activos
Contabilizacin de
todos los activos de
TI y optimizacin del
valor proporcionado
por estos activos.
Mtrica
Frmula
Nmero de roles de seguridad claves

claramente definidos.
Nivel de seguridad en los roles= # de polticas de

seguridad * frecuencia de actualizacin de roles / #
de roles seguridad estratgicos.
Nmero de incidentes relacionados

con la seguridad
Nmero de incidentes sin monitoreo= # de riesgos

estratgicos de seguridad * # objetivos del plan de
seguridad faltantes = / frecuencia de control de
riesgo.
Porcentaje de licencias usadas a

respecto a licencias pagadas.
Nmero de activos no utilizados.
Comparativa de costes
Nmero de Activos Obsoletos
Fuente: Elaboracin Propia
~ 42 ~
Porcentaje de licencias alineadas a las necesidades

del negocio = Porcentaje de licencias usadas *
porcentaje de licencias pagadas / tiempo de
duracin de licencias
Nmero de activos en condiciones ptimas = # de
activos reparados * Nivel de activos de TI / Tiempo
de vida til
Grado de coste de los activos = # de activos
adquiridos * # de necesidades de TI / tiempo de
adquisicin del activo.
Nmero de activos en condiciones Obsoletos = # de
activos reparados * # de activos excluidos / Tiempo
de vida til
Cuadro 5. Detalle ejemplos de Mtricas

FORMULA
Ciclo estratgico = (#
objetivos cumplidos *
tiempo)/ # de semanas,
Se desea
estratgico
empresa:
medir
de
ciclo
una
EJEMPLO APLICADO AL 50 %
Datos:
objetivo cumplidos = 22
# tiempo = 18 meses
% del avance del plan anual = 40
%
Ciclo estratgico = (22 * 18) / 40
Ciclo estratgico = 10 meses
Nmero
de
roles
estratgicos asignados =
# de empleados * # de
gestiones del negocio /
tiempo de vigencia.
Con esta mtrica se
puede medir el nmero de
roles
estratgicos
asignados.
Grado
de
principios
acordados al Gobierno de
TI = (porcentaje de
procesos establecidos * #
de prcticas con clara
trazabilidad
a
los
principios) / tiempo de
duracin
Datos:
Porcentaje
de
procesos
establecidos= 12
Nmero de prcticas con clara
trazabilidad = 4
Tiempo de duracin: 6 meses
Grado de principios acordados
al Gobierno de TI = (12 % * 4) /
6=8%
Grado de principios acordado es
de 8 %.

Datos:
objetivo cumplidos = 50
# tiempo = 2 aos
% del avance del plan anual = 75%
Ciclo estratgico = (50 * 2) / 75
Ciclo estratgico = 1 ao
RECOMENDACIN
Se debe cumplir 22 objetivos de
50 en un periodo de 10 meses,
para que al culminar del avance
plan anual se logre culminar en
dos aos.
Nivel de la Organizacin
Nivel 2 Colaboracin
Datos:
Nmeros de empleados por gestin = 40
Nmero de gestiones implicadas = 4
Tiempo de vigencia de la gestin = 8
semanas
Nmeros de roles asignados = (20 * 4) /
8 = 20
Nmero de roles estratgicos que
deben de ser asignados es de 20.
Se debe tener en claro las

gestiones y roles asignados
para poder contratar personal, y
optimizar la calidad de gestin.
Datos:
Porcentaje
de
procesos
establecidos= 75
Nmero de prcticas con clara
trazabilidad = 8
Tiempo de duracin: 12 meses
Grado de principios acordados al
Gobierno de TI = (75 % * 8) / 12 meses
= 50%
Grado de principios acordado es de 8 %.
Con esta mtrica se pude medir

el
grado
de
principios
acordados al Gobierno de TI
Nivel de la organizacin:
Nivel
4
Seguridad
Informtica Corporativa
~ 43 ~
Nivel de la organizacin Nivel

2. Colaboracin
Cuadro 5. Continuacin
FORMULA
Porcentaje
de
incidentes
= (# de
incidentes
relacionados con TI *
nivel de riesgo ) /
tiempo
Grado de Gestin de
riesgo
critico
=
(Porcentaje de planes
de accin de riesgo TI
*
tiempo)/
riesgos
crticos mitigados
Porcentaje
de
necesidad de recursos
=
nivel
de
realimentacin
de
recursos * frecuencia
de ocupacin / # de
recursos optimizados
Con esta mtrica se puede medir el
porcentaje de incidentes crticos.
Datos:
Nmero de incidentes = 15
Nivel de riesgo = 2
Tiempo = 6 meses
Porcentaje de incidentes crticos =
(15*2)/6 = 5
Nivel de Riesgo de incidentes:
Nivel 2 Supervisado
Nivel de la organizacin: Nivel 4
Datos:
Porcentaje de Planes de Accin de
Riesgo = 25 %
Tiempo = 3 meses
Riesgos crticos mitigados = 8
Grado de Gestin de riesgo critico =
(25*3 meses)/8 = 9
Nivel de Riesgo: Nivel 3
Supervisado y Controlado

Con esta mtrica se puede medir el
porcentaje de incidentes crticos.
Datos:
Nmero de incidentes = 40
Nivel de riesgo = 3
Tiempo = 12 meses
Porcentaje de incidentes crticos =
(40*3)/12 = 10
Nivel de Riesgo de incidentes: Nivel 2
Supervisado
Nivel de la organizacin: Nivel 4
Datos:
Porcentaje de Planes de Accin de
Riesgo = 100 %
Tiempo = 12 meses
Riesgos crticos mitigados = 40
Grado de Gestin de riesgo critico =
(100*12 meses)/40 = 30
Nivel de Riesgo: Nivel 3 Supervisado
y Controlado
Datos
Nivel
de
realimentacin
de
recursos = 2
Frecuencia de ocupacin= 25
# de recursos Optimizados = 12
Porcentaje de necesidad de
recursos = (2*25) / 12 = 4 %
Datos
Nivel de realimentacin de recursos =
4
Frecuencia de ocupacin= 55
# de recursos Optimizados = 26
Porcentaje de necesidad de recursos
= (4*55) / 26 = 8.5 %
~ 44 ~
RECOMENDACIN
Se debe tener en cuenta el
nivel del incidente para poder
tratarlo, con esta mtrica se
puede medir el nmero de
incidentes en un determinado
tiempo segn su nivel.
Nivel
4
Seguridad
Con esta mtrica se puede
medir el grado de la gestin de
riesgo crtico, adems se debe
tener en cuenta el porcentaje
de avance de los Planes de
Accin de Riesgo, para poder
medir el grado de gestin.
Nivel de la Organizacin:
Nivel 4 Seguridad Informtica
Corporativa
El porcentaje de necesidad de
los recursos es muy importante
en la empresa para recursos a
los empleados y medir la
necesidad de la ocupacin del
recurso
medida
en
una
frecuencia establecida.
FORMULA
Nivel de gestin de
Recursos = Nmero de
desviaciones de recursos
*
#
de
principios
establecidos relacionados
con recursos / tiempo
empleado
Datos
Nmero de desviaciones de
recursos = 9
# de principios establecidos
relacionados con recursos =
8
# tiempo empleado = 18 meses
Nivel de gestin de Recursos =
(9*8)/18 = 4

Datos
Nmero de desviaciones de recursos
= 24
# de principios establecidos
relacionados con recursos = 7
# tiempo empleado = 26 meses
Nivel de gestin de Recursos = (24*7)/26
Nivel de gestin de Recursos = 6
Porcentaje de proyectos
en riesgo = # de
proyectos en gestin * #
de incidentes de gestin
de recursos / frecuencia
de control de programas
Datos
# de proyectos en gestin = 20
* # de incidentes de gestin de
recursos = 25
/ frecuencia de control de
proyectos = 6 meses
Porcentaje de proyectos en
riesgo = ( 20 *25)/6 = 83%
Datos
# de proyectos de gestin = 44
frecuencia de asignacin de
recursos = 24 meses
# de recursos designados = 36
Porcentaje de proyectos con
asignacin
de
recursos
=
(44*24)/36 = 29 %
Datos
# de proyectos en gestin = 40
* # de incidentes de gestin de
recursos = 10
/ frecuencia de control de proyectos
= 12 meses
Porcentaje de proyectos en riesgo =
( 40 *10)/12 = 33%
Datos
# de proyectos de gestin = 80
frecuencia de asignacin de recursos
= 48 meses
# de recursos designados = 100
Porcentaje de proyectos con asignacin
de recursos = (80*48)/100 = 38 %
Porcentaje de proyectos
con
asignacin
de
recursos = # de proyectos
de gestin * frecuencia de
asignacin de recursos / #
de recursos designados
~ 45 ~
RECOMENDACIN
En el nivel de gestin de
recursos, se debe tener en
cuenta
las
diferentes
ocupaciones o deviaciones del
mismo los principios de los
recursos y el tiempo que se va
a tardar en emplear al recurso,
con ello se puede medir su
gestin.
Nivel de la organizacin
Nivel 8 Administracin de
Activos Informticos
medir
el
porcentaje
de
proyectos
en
riesgo,
estableciendo el nmero de
incidentes y su frecuencia
Nivel
4
Seguridad
medir
el
porcentaje
de
proyectos, que deben utilizar
recursos de la empresa para un
mejor rendimiento, se realiza
una comparacin con en
proporcin
al
tiempo
de
asignacin de recursos.
Nivel
7
Recursos
Empresariales
FORMULA
Duracin Media de las
vacantes = Porcentajes
de vacantes en TI * # de
actividades de TI /
frecuencia de Vacantes
de TI.
Nivel de satisfaccin de
Ejecutivos
=
#
de
objetivos satisfactorios de
TI * nivel de optimizacin
de objetivos / frecuencia
de toma de decisiones
Nivel de Seguridad en los
roles = # de polticas de
seguridad * frecuencia de
actualizacin de roles / #
de
roles
seguridad
estratgicos.
Datos
Porcentajes de vacantes en TI
= 25
# de actividades de TI = 15
Frecuencia de Vacantes de TI =
36 semanas
Duracin Media de las
vacantes = (25*15)/6 = 10
semanas
Datos
# Objetivos Satisf. de TI = 18
Nivel de optimizacin de
objetivos = 2
frecuencia
de
toma
de
decisiones: 6 meses
Nivel
de
satisfaccin
de
Ejecutivos = (18*2)/6 = 6.
Datos
# de polticas de seguridad =
15
Frecuencia de actualizacin de
roles. = 3 meses
#
De
roles
seguridad
estratgicos. = 6
Nivel de Seguridad en los roles
= (15*3)/6 = 7

Datos
Porcentajes de vacantes en TI = 50
# de actividades de TI = 25
Frecuencia de Vacantes de TI. = 72
semanas
Duracin Media de las vacantes =
(50*25)/72 = 17 semanas
Datos
# de objetivos satisfactorios de TI =
35
Nivel de optimizacin de objetivos = 5
frecuencia de toma de decisiones =
24
Nivel de satisfaccin de Ejecutivos
= (45*5)/25 = 9
Datos
# de polticas de seguridad = 25
Frecuencia de actualizacin de roles.
= 6 meses
# De roles seguridad estratgicos. =
12
Nivel de Seguridad en los roles =
(25*6)/12= 12
~ 46 ~
RECOMENDACIN
De acuerdo a esta mtrica se
obtiene
el
porcentaje
de
duracin de una vacante en la
empresa, con este resultado se
puede ajustar los tiempos de
vigencia de las vacantes y
obtener personal en un tiempo
ms eficiente.
Nivel 2 Colaboracin
Con esta mtrica se logra
obtener un nivel de satisfaccin
de los ejecutivos principales de
la empresa, de acuerdo con los
objetivos
cumplidos
y
la
optimizacin de los mismos,
Nivel 2 Colaboracin
medir el nivel de seguridad del
rol, de acuerdo a la poltica de
seguridad relacionada al rol y al
tiempo de actualizacin del
mismo. Esto sirve para observar
la eficiencia y eficacia de roles
administrados por la empresa.
Nivel
4
Seguridad
FORMULA
Nmero de incidentes sin
monitoreo = # de riesgos
estratgicos de seguridad
*# objetivos del plan de
seguridad faltantes = /
frecuencia de control de
riesgo.
Datos
# de riesgos estratgicos de
seguridad = 5
#
objetivos del plan de
seguridad faltantes = 3
Frecuencia de control de
riesgo = 3 semanas
Nmero de incidentes sin
monitoreo = (5*3)/3 = 5

Datos
# de riesgos estratgicos de
seguridad = 10
# objetivos del plan de seguridad
faltantes = 6
Frecuencia de control de riesgo = 6
semanas
Nmero de incidentes sin monitoreo =
(10*6)/6 = 10
Porcentaje de licencias
alineadas
a
las
necesidades del negocio
= Porcentaje de licencias
usadas * porcentaje de
licencias
pagadas
/
tiempo de duracin de
licencias
Datos
Porcentaje de licencias usadas
= 12
porcentaje
de
licencias
pagadas = 4
tiempo
de
duracin
de
licencias = 12 meses
Porcentaje de licencias alineadas
a las necesidades del negocio =
(12*4)/12 = 4 licencias
Datos
# de activos reparados = 15
Nivel de activos de TI = 2
Tiempo de vida til = 12 meses
Nmero
de
activos
en
condiciones ptimas (15*2)/12 =
2 activos
Datos
Porcentaje de licencias usadas = 18
porcentaje de licencias pagadas = 9
tiempo de duracin de licencias = 24
meses
Porcentaje de licencias alineadas a las
necesidades del negocio = (18*9)/24 =
licencias = 6 licencias.
Nmero de activos en
condiciones ptimas = #
de activos reparados *
Nivel de activos de TI /
Tiempo de vida til
Datos
Nivel de activos de TI = 4
Nmero de activos en condiciones
ptimas (25*4)/24 = 4 activos
~ 47 ~
RECOMENDACIN
Con esta mtrica se obtener el
nmero de incidentes sin
monitorear, de acuerdo a los
riesgos, y objetivos faltantes de
cumplir del plan de seguridad
empresarial, adems de la
frecuencia del control del riesgo.
Nivel
4
Seguridad
Esta mtrica logra determinar
cuntas licencias de software o
de hardware cumple con los
lineamientos del negocio, de
acuerdo a la economa y
administracin de la empresa.
Activos Informticos
Con esta mtrica saber cuntos
activos se encuentran en
excelentes condiciones ptimas
para seguir ocupando su
servicio en lo posterior de
acuerdo a su nivel de prioridad.
Activos Informticos
FORMULA
Grado de coste de los
activos = # de activos
adquiridos
*
#
de
necesidades de TI /
tiempo de adquisicin del
activo.
Datos
# de activos adquiridos = 5
# de necesidades de TI = 8
tiempo de adquisicin del
activo = 4 semanas
Grado de coste de los activos =
(5*8)/4 = 10

Datos
# de activos adquiridos = 20
# de necesidades de TI = 10
tiempo de adquisicin del activo = 40
semanas
Grado de coste de los activos =
(20*10)/40 = 5
Nmero de activos en
condiciones Obsoletos =
# de activos reparados * #
de activos excluidos /
Tiempo de vida til
Datos
# de activos excluidos = 4
Nmero
de
activos
en
condiciones Obsoletos = 4
Datos
# de activos excluidos = 2
Nmero de activos en condiciones
Obsoletos = 2
Fuente: Elaboracin Propia
~ 48 ~
RECOMENDACIN
De acuerdo a esta mtrica se
puede medir el grado de coste
de
los
activos
que
se
encuentran funcionando en el
negocio. Se considera tener
identificadas las necesidades de
la empresa para una mejor
medida
Nivel 5 Disponibilidad
Con esta mtrica se identifica
los
activos
obsoletos
de
acuerdo
a
la
reparacin
semestral y anual q estos
reciben.
Nivel 5 Disponibilidad
Una efectiva estructura de seguridad informtica se basa en cuatro tcnicas de

administracin de riesgos, mostradas en el siguiente diagrama
Ilustracin 11. Estructura de Seguridad Informtica
3.6 Nivel de Integridad de Seguridad (SIL)

Los niveles de integridad de seguridad que se muestran en la matriz, identifican el nivel de
reduccin de riesgo requerido para una funcin de seguridad en particular
Ilustracin 12. Niveles de Seguridad de Informacin
Fuente: COBIT 5
El consultor e-Business, Eugenio Velzquez, explica cules son las claves informticas que
convierten a las empresas en competitivas.
~ 49 ~
Toda organizacin actualmente utiliza las TI para realizar parte o el total de sus operaciones
cotidianas. Dicho de otra forma, los bits que corren por las redes de las organizaciones y
que se almacenan y comparten en los discos duros de las desktops, notebooks y servers no
son sino uno de los activos ms importantes con que cuenta la organizacin.
Viendo un entorno organizacional de esta forma, en la que los bits se equiparan con dinero
de la organizacin; se pueden definir ciertos niveles de TI que las organizaciones pueden o
deben tener para considerarse con una informtica eficiente, y por ende altamente
competitiva.
Estos niveles se establecen en orden del ms bsico al ms complejo, tomando en cuenta
que mientras mayor es la envergadura de la organizacin (de micro a gran empresa en el
caso de las organizaciones comerciales), ms niveles la organizacin abarca o deber
abarcar.
Nivel 1 Ofimtica: Esta claro que una organizacin expresa gran parte de la informacin
de sus operaciones en documentos ofimticos (documentos escritos, hojas de clculo,
presentaciones, pequeas bases de datos, etc., etc.).
Aqu el estndar actual es el de los documentos de Microsoft Office, sin embargo, no
necesariamente se tiene que contar con Microsoft Office para trabajar sobre documentos de
ste; actualmente OpenOffice.org es una gran alternativa completamente gratuita y otras
opciones sensitivas serian Corel WordPerfect Office o incluso Google Docs. (100% online).
Nivel 2 Colaboracin: Poco prctico es tener toda la documentacin ofimtica sino se
tiene
la capacidad de compartirla con el exterior de la organizacin. Ya sea propio o
alquilado, es necesario contar con servicios de colaboracin como e-mail y mensajera

instantnea; sea que se use servicios corporativos o gratuitos.
Aqu las opciones son mltiples; es evidente que lo ideal es usar un servicio propietario bajo
un dominio propio como miorganziacion.com.mx; pero en casos de austeridad se podr usar
servicios gratuitos de proveedores como Google, Yahoo!!!, Microsoft o muchos ms. En el
mbito de la mensajera instantnea esto es ms palpable que en el correo electrnico
corporativo.
Nivel 3 Contabilidad y Finanzas: Es necesario llevar el control contable y financiero de la
organizacin mediante aplicaciones informticas. De esta forma los controles administrativos
son mucho ms cerrados y eficientes a la operacin cotidiana. Ejemplos de proveedores de
~ 50 ~
aplicaciones de este tipo (muchas de ellas bastante econmicas) sobran, ejemplo:

Computacin en Accin, Aspel, SAGE, etc.
Nivel 4 Seguridad Informtica Corporativa: Ya que se tiene los activos informticos
bsicos (documentos e informacin contable y financiera) corriendo por nuestra red,
compartindolos, y con acceso desde el exterior a nuestra red va las aplicaciones de
colaboracin; es imprescindible contar con un sistema de seguridad informtica del tipo
corporativo
Nivel 5 Disponibilidad: Una vez que se tiene todos estos activos informticos en
movimiento y aun a pesar de contar con un buen sistema de seguridad informtica
corporativa; siempre existe la posibilidad de un fallo crtico, por lo que es altamente
recomendable el contar con un sistema de respaldo y restauracin. Aqu puedo referir a dos
de los principales jugadores de este tipo de aplicaciones: Symantec y Acronis.
Nivel 6 e-Business: Dependiendo del giro de la organizacin, muchas veces es altamente
eficiente y lucrativo ejercer ciertos servicios o controles va la web. Para ello es posible
implementar ya sea sobre un servidor propio o uno alquilado, tiendas online, catlogos,
inventarios en lnea, atencin y acceso para clientes, proveedores y socios, etc., etc. Sobre
que plataforma se desarrollen tales aplicaciones depende mucho de cual funcin cumplirn;
pero si se va por costos lo que actualmente predomina es PHP-MySQL y en segundo
trmino la plataforma .NET de Microsoft.
Nivel 7 Recursos Empresariales: Al llegar a este nivel implica que la organizacin cuenta
con un giro de operaciones considerablemente robustas, por lo que se requiere del uso de
aplicaciones de inteligencia de negocios y recursos empresariales. Los proveedores ms
reconocidos en este campo son: SAP, Microsoft (Dynamics), Oracle y SAGE; y claro existen
algunos otros alternos.
Nivel 8 Administracin de Activos Informticos: Si se cuenta con aplicaciones y activos
informticos correspondientes a los 7 niveles anteriormente citados, yo citara un ltimo nivel
necesario para administrar todo lo anterior de una forma ms que eficiente. Es decir,
aplicaciones para ver si nuestro software corporativo est correctamente funcionando, vigilar
que este actualizado, instalar y migrar nuevas versiones del mismo, etc., etc. Aqu los dos
proveedores relevantes que puedo mencionar son Alturas y Novell.
Una vez con estos niveles anteriores descritos, una organizacin empresarial del tipo
microempresa debe cumplir del nivel 1 al 2, una Pyme debe llegar del 4 al 6 dependiendo
~ 51 ~
del tipo de operaciones que realice, mientras que una gran empresa debe mnimo llegar
hasta el 7. Evidentemente para organizaciones del tipo Gobierno o Acadmicas se cotejan
con su equivalente al tipo empresarial dependiendo del tamao de organizacin que se
trate.
~ 52 ~
CAPITULO IV: RESULTADO DE LA INVESTIGACIN
4.1 RESULTADO
Estableciendo el anlisis y mapeo de diferentes procesos de COBIT 5, se llego a desarrollar
mtricas para ser aplicado a los Gobiernos de Seguridad cumpliendo los objetivos estndar
de una empresa y las gestiones alineadas a est. Los atributos escogidos para medir la
calidad, la gestin, polticas, organizadas en un negocio, son referentes a activos, personal,
y gestin de riesgos.
Para establecer un gobierno efectivo, la seguridad de la informacin es fundamental, por lo
que es necesario evaluar el contenido de los procesos, es decir se deben alinear las
necesidades de seguridad con las de negocio, por ello fue determinante disponer de
indicadores adecuados que ofrezcan unas mtricas eficientes para medir los objetivos del
negocio.
Las mtricas de seguridad, gestin y calidad permiten cuantificar la implantacin de los
controles, polticas y evaluar la eficiencia de los mismos, identificando posibles futuras
mejoras. Por lo tanto, para establecer mtricas se debe tener en cuenta la naturaleza del
negocio y organizacin.
Las mtricas construidas a partir del Cuadro de Mando Interno de Seguridad como unas
herramientas aportarn:
Control de la gestin de la seguridad a nivel de gobierno alineado con los objetivos

de la organizacin.
Perspectiva sobre posibles mejoras y evolucin de las polticas de seguridad y del

SGSI.
Una referencia interna y externa de las mtricas establecidas en este informe, frente
a mtricas determinadas en otros estndares.
Una herramienta de informacin a los Altos Mandos, para soporte a la toma de

decisiones.
Alinear la seguridad con los objetivos de la empresa o del departamento.
~ 53 ~
CONCLUSIONES
Los Gobiernos de Seguridad han sido activos de la empresas que tienen el mayor valor
dentro de las mismas puesto que al poder manejar y ordenar los diferentes recursos que se
manejan, son los que mejor conocen los riesgos y vulnerabilidades dentro de su entorno, se
vuelve complejo cuando el Gobierno no est totalmente bien constituido lo que provoca que
no pueda manejar bien los recursos, con las mtricas desarrolladas a partir de los dominios
de COBIT y tomando en cuenta la Normativa Ecuatoriana se aplica una herramienta que
ayuda a conocer los alcances que est teniendo el gobierno en cada una de sus partes en
un intervalo de tiempo que depender exclusivamente cuando se aplique la mtrica.
Las Vulnerabilidades encontradas dentro del Gobierno de Seguridad nos elevadas en
algunos casos, puesto que como no se conoce cules son las limitantes que debe tener
cada recurso esto provoca en ciertos casos que no se le brinde la suficiente Seguridad del
caso lo que provoca que la misma no sea atendida de la mejor manera.
Ciertas reas del Gobierno de la Seguridad son de vital importancia puesto que al tener
recursos valiosos para la empresa tienen que ser fijadas para que de esta manera puedan
ser mejor fijadas por medio del uso de las mtricas y asi poder tener siempre una idea clara
de cmo se est manejando dicho sector con relacin a los recursos que posee.
Las mtricas desarrolladas para reducir incidentes forman parte de un conjunto mayor que
tambin cumplen las mismas tareas en otros lugares, puesto que al realizar una mtrica
esttica no permitir usarla en cualquier momento de la implementacin del Gobierno.
De acuerdo a la realizacin de las mtricas se lleg a las siguientes conclusiones:
~ 54 ~
RECOMENDACIONES
Para la realizacin de mtricas se debe de tomar en cuenta los diferentes parmetros de la
misma ya que con esa idea clara se puede desarrollar una mtrica robusta que entregara
datos de forma correcta y significara una mejor ayuda al momento de aplicarla.
Determinar los ndices con los cuales se medir y se realizara el anlisis de los parmetros
otorgados en el momento en que la mtrica sea aplicada al Gobierno de Seguridad, por lo
que con esta informacin se podrn clasificar y otorgarles la prioridad dentro del proceso de
aplicacin.
Al momento de establecer las reas de mayor incidencia u de mayor riesgo en las que la
mtrica va a trabajar, se deber realizar un mapeo de los Objetivos de los dominios de
COBIT para que de esta manera conocer cual objetivo estara cumpliendo con la creacion
de la mtrica para mitigar dicho proceso.
Se puede realizar mtricas para reducir incidentes en los activos del negocio, estableciendo
una clasificacin del tipo de activo que se quiere aplicar la mtrica. Adems se debe tener
en cuenta el tipo de mtrica a aplicar, Cualitativa o cuantitativa.
~ 55 ~
BIBLIOGRAFA
[1] J. Pagani, Investigacin en Progreso: Estudio del Comportamiento Dinmico del

Diseo de Sistemas de Informacin basado en Redes Complejas, Latinoamericana de
Ingeniera de Software, vol. 1, n 2, pp. 95-98, 2013.
[2] D. O. R. Martnez, Marco para el Gobierno de la Seguridad de Informacin,
Departamento de Tecnologas y Sistemas de Informacin, Real, Espaa, 2014.
[3] R. Ventura, J. Salinas, A. Lpez, S. Mota y . Flores, Anlisis de proyectos de
Programacin Orientada a Objetos utilizando mtricas de software como medio para
determinar necesidades didcticas, Investigacin y Ciencia, vol. 22, n 61, pp. 19-25,
2014.
[4] C. d. A. M. Alejandro Corletti, Mtricas de Seguridad Indicadores y Cuadro de
Mando, Revista Dintel, Abril 2008.
[5] L. E. S. E. F.-M. Daniel Villafranca, Metodologa para la seleccin de mtricas en la
construccin de un Cuadro de Mando Integral, Ciudad Real, Spain: Grupo de
Investigacin ALARCOS, Universidad Castilla-La Mancha, 2013.
[6] A. L. Quirs, Uso de la norma ISO/IEC 27004 para Auditora Informtica, Madrid,
2010.
[7] H. Akbar Khrisna, Risk Management Framework With COBIT 5 And Risk
Management Framework for Cloud Computing Integration, p. 6.
[8] . P. Saucedo, Mtrica para evaluar la seguridad de los SGIC., Avanzada Cientfica,
vol. 16, n 3, pp. 1-18, 2013.
[9] M. Villegas, M. Meza y P. Len, Las mtricas, elemento fundamental en la
construccin de modelos de madurez de la seguridad informatica, Tlmatique, vol. 10,
n 1, pp. 1-16, 2011.
[10] A. R. Jos Verdn, Modelo de Procesos Integrado de Gobernanza y Gestin de TI,
Revista de Procesos y Mtricas, vol. 9, n 1, pp. 29-45, 2012.
[11] G. U. Ingrid Muoz, Gobierno de TI Estado del arte, Sistemas & Telemtica, vol. 9,
n 17, pp. 23-53, 2011.
[12] P. Prez Lorences y L. Garca vila, LA CONSTRUCCIN DE UN CUADRO DE
MANDO INTEGRAL DE TECNOLOGAS DE LA INFORMACIN EN UNA
EMPRESA, Visin de Futuro, vol. 18, n 2, pp. 154-171, 2014.
[13] J. G. Eduardo Martnez, GOBIERNO DE TI A TRAVS DE COBIT 4.1 Y CAMBIOS
ESPERADOS EN COBIT 5.0, ECORFAN, vol. 2, n 5, pp. 109-131, 2011.
[14] A. Cram, INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION,
Information Systems Control Journal, vol. 5, p. 33, 2007.
[15] J. J. S. Pea, ITIL, COBIT and EFQM: Can They Work Together?, International
Journal of Combinatorial Optimization Problems and Informatics, pp. 54-64, 2013.
[16] R. M. Bernabe, COBIT 5, Madrid: ISACA, 2012.
[17] J. S. N. Lcio Melre da Silva, METHOD FOR MEASURING THE ALIGNMENT
BETWEEN INFORMATION TECHNOLOGY STRATEGIC PLANNING AND
ACTIONS OF INFORMATION TECHNOLOGY GOVERNANCE, Journal of
Information Systems and Technology Management, pp. 131-152, 2014.
[18] M. G. T. Edimara Luciano, CONTROLS OF INFORMATION TECHNOLOGY
MANAGEMENT FOR BUSINESS PROCESSES OUTSOURCING BASED ON
COBIT, JISTEM: Journal of Information Systems and Technology Management, pp.
~ 56 ~
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]
[31]
[32]
[33]
[34]
[35]
[36]
[37]
237-262, 2011.
J. S. Maria Vieira, INFORMATION TECHNOLOGY SERVICE MANAGEMENT
PROCESSES MATURITY IN THE BRAZILIAN FEDERAL DIRECT
ADMINISTRATION, Journal of Information Systems and Technology Management,
vol. 12, n 3, pp. 663-686, 2015.
A. M. Ricardo Colomo, Hacia una Oficina de Gestin de Servicios en el mbito de
ITIL, Revista de Procesos y Mtricas, vol. 9, n 1, pp. 12-28, 2012.
P. C. d. S. Jos Poggio, IT MANAGEMENT MODEL FOR FINANCIAL REPORT
ISSUANCE AND REGULATORY AND LEGAL COMPLIANCE, Journal of
Information Systems and Technology Management, vol. 10, n 3, pp. 597-620, 2013.
ISACA, COBIT 5, Panama, 2012.
S. S. &. Y. R. Perdana Kusumah, Model Design of Information Security Governance
Assessment with Collaborative Integration of COBIT 5 and ITIL, School of Electrical
Engineering and Informatics Bandung Institute of Technology, p. Indonesia.
A. N. Ferreira Neto y J. Souza Neto, METAMODELS OF INFORMATION
TECHNOLOGY BEST PRACTICES FRAMEWORKS, Journal of Information
Systems and Technology Management, vol. 8, n 3, pp. 619-640, 2011.
A. P. J. &. B. J. A. Abril, Anlisis de Riesgos en Seguridad de la Informacin,
Fundacion Juan de Castellanos, vol. 1, pp. 39-53, 2013.
N. Ozkan, Risks, Challenges and Issues in a Possible Scrum and COBIT Marriage,
IEEE, pp. 111-118, 2015.
E. Rodolfo Abraham, J. G. Mendes dos Reis y M. Mollo Neto, Utilizao do ITIL V3
no Brasil: uma verificao da aplicao do domnio Estratgia de Servios entre os
profissionais de Tecnologia da Informao Exacta, Exacta, vol. 13, n 3, pp. 305-313,
2015.
L. L. M. A. J. R. Jose Calvo, How small and medium enterprises can begin, Revista
Facultad de Ingeniera, Universidad de Antioquia, n 77, pp. 127-136, 2015.
M. Gehrmann, Combining ITIL, COBIT and ISO/IEC 27002 for structuring
comprehensive information technology for management in organizations, Revista de
Gesto e Tecnologia, vol. 2, n 2, pp. 66-77, 2012.
M. S. M. A. Shamsul Sahibudin, Combining ITIL , COBIT and ISO / IEC 27002 in
Order to Design a Comprehensive IT Framework in Organizations, IEEE, pp. 749-753,
2008.
T. W. A. L. Carol Hsu, The Impact of ISO 27001 Certification on Firm Performance,
IEEE, pp. 4842-4848, 2016.
K. F. S. H. M. &. S. H. Beckers, Using security requirements engineering approaches to
support ISO 27001 information security management systems development and
documentation, Availability, Reliability and Security, pp. 242-248, 2012.
M. I. LADINO A., P. A. VILLA S. y A. M. LPEZ E., FUNDAMENTOS DE ISO
27001 Y SU APLICACIN EN LAS EMPRESAS, Scientia Et Technica, vol. 17, n 47,
pp. 334-339, 2011.
A. M. D. G. Lourdes Salomn Sancho, ALGUNAS REFLEXIONES EN TORNO A
LOS ASPECTOS, AFDUDC, p. 10, 2008.
C. C. Peaherrera, ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA
INFORMACION EGSI, Registro Oficial Suplemento 88, Quito, 2013.
R. B. Nieves y W. V. Marin, Marco de Gobierno de TI en las empresas, Espaa, 2014.
M. Constanzo, COMPARACION DE MODELOS DE CALIDAD, FACTORES Y
METRICAS EN EL AMBITO DE LA INGENERIA DE SOFTWARE, Informes
~ 57 ~
Cientficos-Tcnicos UNPA, vol. 6, n 1, pp. 1-36, 2014.

[38] B. F. H. &. S. I. Shojaie, Evaluating the effectiveness of ISO 27001: 2013 based on
Annex A, In Availability, Reliability and Security, vol. 7, n 14, pp. 259-264, 2014.
[39] L. G. Patricia Prez, THE EVALUATION AND IMPROVEMENT OF IT
GOVERNANCE, Journal of Information Systems and Technology Management, vol.
10, n 2, pp. 219-234, 2013.
~ 58 ~

Correa Castro Gabriel Luis

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Correa Castro Gabriel Luis

Caricato da

Copyright:

Formati disponibili

RESUMEN

En la actualidad las empresas que tienen o desean adquirir un Gobierno de Seguridad de la

2. CAPITULO II: FUNDAMENTACIN TERICO-EPISTEMOLGICA DEL ESTUDIO.....15

CREACIN DE UNA MTRICA.............................................................................16

MTODO DE LAS MEDICIONES...........................................................................18

MEMSI (MODELO ESTRATGICO DE MTRICAS EN SEGURIDAD DE LA

3. CAPITULO III: PROCESO METODOLGICO.................................................................35

DISEO O TRADICIN DE INVESTIGACION SELECCIONADA.............................35

PROCESO DE RECOLECCION DE DATOS EN LA INVESTIGACIN.....................35

SISTEMA DE CATEGORIZACION EN EL ANLISIS DE LOS DATOS....................35

METODOLOGIAS TOP-DOWN Y BOTTOM-UP........................................................36

3.5 ANALISIS DE LOS OBJETIVOS DEL MAPEO A COBIT 5..........................................38

Ilustracin 1. Proceso de Medicin......................................................................................16

En el proceso de investigacin para obtener las mtricas de Gobierno de Seguridad

La mayora de las empresas siendo estas pblicas o privada en la actualidad dependen de

Este informe presenta la siguiente estructura:

Captulo 1: Se indica la definicin del Objeto de estudio en donde se explica ms a

1. CAPITULO I: GENERALIDADES DEL OBJETO DE ESTUDIO

administracin del negocio de acuerdo a la normativa ecuatoriana.

intervienen en la administracin de tecnologa de informacin

Una Mtrica de Seguridad podra definirse como el conjunto de preceptos y reglas,

Mtrica indirecta: en esta se centran en la calidad, complejidad, fiabilidad,

Mtrica directa: respecto a esta se engloba en velocidad de ejecucin, defectos

de lneas de cdigo, etc. [4].

Ilustracin 1. Proceso de Medicin

Fuente: Uso de la norma ISO/IEC 27004 para Auditora Informtica

Formulacin: en esta primera etapa tiene como principal objetivo el de buscar y

elegir las mtricas y medidas apropiadas para aplicar.

el fin de obtener una visin interna de la calidad de la representacin.

CREACIN DE UNA MTRICA

Ttulo: En este apartado tendr un nombre significativo para describir la seguridad

nmero de veces que hay que obtenerlos.

algo? Cunto tiempo dura un evento? Cunto cuesta un evento?

de seguridad y para el uso y la presentacin de la garanta de dicha mtrica.

recogern los datos.

La normativa ISO/IEC 27004 est centrada sobre el modelo PlanDoCheckAct, tambin

Fuente: Metodologa para la seleccin de mtricas en la construccin de un Cuadro de

Indicar y avisar los valores de seguridad de la entidad.

entradas para auditar y para ayudar a mejorar la seguridad de la entidad.

Revisin de los datos obtenidos de las mtricas realizadas

Fuente: Metodologa para la seleccin de mtricas en la construccin de un Cuadro de

MTODO DE LAS MEDICIONES

primero a los procesos.

Dichos mtodos pueden englobar diferentes tipos de actividades y a su vez un mtodo

Cuestionarios al personal de la entidad.

Ratio: uso de escalas de distancias.

El modelo estratgico de las mtricas respecto a la seguridad de la informacin se divide en

Fuente: Las mtricas, elemento fundamental en la construccin de modelos de madurez de

Cumplimiento: se centrar en llevar a cabo los estndares de la seguridad

informtica, realizar auditoras as como las pruebas de cumplimiento.

de planes de seguimiento y actualizacin, creacin de pruebas respecto a

vulnerabilidades as como la creacin de mapas de controles y riesgos.

vulnerabilidades identificadas y utilizacin de funciones no documentadas.

Integridad: cuya funcin consiste en eliminar, borrar o manipular datos, como

protegerse ante virus informticos.

suplantacin de datos o IP, eliminar, borrar y manipular datos.

Caractersticas del modelo

Se consigue sugerir una manera de integrar los principios de la seguridad

informtica, los incidentes y las tecnologas de seguridad.

Se establece las preguntas que integran dichas expectativas, acciones de los

Ejemplos de mtricas para la seguridad informtica

Conocer el % (tanto por ciento) de las cuentas inactivas de usuario deshabilitadas

respecto al total de cuentas inactivas.