IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA

CIBERSEGURIDAD NIST CSF DESDE LA PERSPECTIVA DE

COBIT 5

IMPLEMENTATION OF THE FRAMEWORK FOR CYBERSECURITY

NIST CSF FROM PERSPECTIVE OF COBIT 5
Yosvany Castaño Gil1

1 Grupo de Administración Empresarial S.A. (GAE), Cuba, yosvany@nac.gae.com.cu, Avenida del Puerto 4to piso e/ Jústiz
y Obrapía, Habana Vieja, La Habana. CP 10100

RESUMEN: El auge de la sociedad de la información y el aumento de los niveles de conectividad, han llevado
a las organizaciones a mejores mercados económicos para la sostenibilidad. Pero a la par de estos desarrollos,
el cibercrimen está creciendo rápidamente, lo que hace que sea vital adoptar y mantener un sólido perfil de ci-
berseguridad. Debido a esto, las organizaciones necesitan un enfoque pragmático para implementar la efectivi-
dad de las contramedidas de seguridad que les permita ajustar sus estrategias y decidir sobre las inversiones, lo
cual significa que la ciberseguridad se convierte en un desafío moderno para la gobernanza. Para ayudar a las
organizaciones a abordar y evaluar los aspectos relacionados con la ciberseguridad, el Instituto Nacional de
Estándares y Tecnología (NIST, por sus siglas en inglés) ha desarrollado un marco de trabajo para la cibersegu-
ridad (NIST CSF) con un conjunto de buenas prácticas. Aun así, cada empresa es diferente, creando desafíos
únicos para su implementación. En tal sentido, el marco de gobierno de COBIT 5 ha demostrado ser extrema-
damente valioso. Este trabajo describe los pasos para llevar su programa de ciberseguridad NIST CSF bajo una
estructura COBIT 5, estableciendo las similitudes de principios, procesos y niveles de madurez con respecto al
NIST CSF, lo que hace que el acoplamiento de estos marcos en un enfoque de gobernanza coherente sea una
buena decisión.

Palabras Clave: Ciberseguridad, Gobernanza, NIST CSF, COBIT 5.

ABSTRACT: The rise of the information society and the increase in levels of connectivity have led organizations
to better economic markets for sustainability. But along with these developments, cybercrime is growing rapidly,
which makes it vital to adopt and maintain a strong cybersecurity profile. Because of this, organizations need a
pragmatic approach to implement the effectiveness of security countermeasures that allow them to adjust their
strategies and decide on investments, which means that cybersecurity becomes a modern challenge for govern-
ance. To help organizations to address and evaluate aspects related to cybersecurity, the National Institute of
Standards and Technology (NIST) has developed a framework for cybersecurity (NIST CSF) with a set of good
practices. Even so, each company is different, creating unique challenges for its implementation. In this regard,
the COBIT 5 governance framework has proven to be extremely valuable. This paper describes the steps to take
your NIST CSF cybersecurity program under a COBIT 5 structure, establishing the similarities of principles, pro-
cesses and maturity levels with respect to the NIST CSF, which makes the coupling of these frameworks into a
coherent governance is a good decision.

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA PERS-
PECTIVA DE COBIT 5
”
KeyWords: Cybersecurity, Governance, NIST CSF, COBIT 5.
1. INTRODUCCIÓN
La vida moderna depende cada vez más de una
multitud de infraestructuras interconectadas e
interdependientes. Si bien sectores como el indus-
trial, el hidráulico, el de la salud, el del transporte y
otros, siempre se han considerado críticos por la
infraestructura que los soporta, cada vez más su
capacidad de producción y entrega está más
comprometida con las Tecnologías de la Informa-
ción y las Comunicaciones (TIC) que se han con-
vertido en componentes esenciales de la vida
cotidiana [1].
La evolución rápida de las TIC ha provocado la
búsqueda de mejores soluciones y productos para
el mundo digital. El avance tecnológico y una ma-
yor conectividad han llevado a las organizaciones
a mejores mercados económicos para la sosteni-
bilidad. Aparejado al desarrollo tecnológico y el
aumento de los niveles de conectividad, el ciber-
crimen también está creciendo rápidamente [2].
En consecuencia, las empresas necesitan un en-
foque pragmático para monitorear la efectividad
de las contramedidas de seguridad que le permi-
tan ajustar su estrategia y decidir sobre sus planes
de inversiones [6]. De esta manera adoptarían un
esquema de gobernabilidad basado en informes o
medidas que evalúen la adecuación de la seguri-
dad de la información y el retorno de la inversión,
de manera tal que se cumplan los objetivos de la
organización [6].
El tema de la gobernanza de la ciberseguridad ha
evolucionado y ha alcanzado un mayor grado de
importancia a medida que las organizaciones au-
mentan su eficiencia operativa a través de la tec-
nología de la información. Como resultado, las
organizaciones deben comprender la profundidad
y la amplitud de la investigación sobre el tema de
la gobernanza de la seguridad de la información
para elegir la mejor metodología para su imple-
mentación. Con ello las organizaciones pueden
planificar mejor y actuar para obtener ventajas
competitivas, evitando penalidades o pérdidas
legislativas o la confianza de los accionistas [7].
La ciberseguridad es un desafío moderno para la
gobernanza [8]. En la misma medida que los sec-
tores público y privado continúen entregando bie-
nes a través de medios digitales, el dominio del
ciberespacio continuará expandiéndose y será
más relevante para el campo de la gobernanza.
Este nuevo dominio plantea amenazas a la gober-
nanza en forma de guerra cibernética, terrorismo
cibernético, ciberespionaje y cibercrimen, y crea
nuevas vulnerabilidades como las Infraestructuras
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
críticas y el Big Data [4].
No prepararse para estas amenazas podría expo-
ner a las empresas a la pérdida de ingresos, pér-
dida de reputación, operaciones interrumpidas y
medidas reguladoras [9]. Para mejorar sus postu-
ras de ciberseguridad, se podrían considerar dife-
rentes marcos de ciberseguridad, estándares y
mejores prácticas. Algunos de estos son el Marco
de Ciberseguridad del Instituto Nacional de Están-
dares y Tecnología (NIST CSF) [10], [11], la Orga-
nización Internacional de Normalización (ISO) y la
Comisión Electrotécnica Internacional (IEC), ISO /
IEC 27001: 2013 [12] y COBIT 5 [13] entre otros.
El presente trabajo describe los pasos para la
adopción del marco de ciberseguridad NIST CSF
en una organización bajo una estructura COBIT 5,
guiado a través de sus principios y las fases del
ciclo de vida para la implementación de un marco
de gobierno para las TIC.
2. CONTENIDO
2.1 Materiales y Métodos
En la realización de la investigación se utilizaron
los siguientes métodos científicos:
Histórico lógico y el dialéctico: para el estudio
crítico de trabajos anteriores. También para com-
probar la evolución del fenómeno investigado y el
comportamiento de este en una secuencia tempo-
ral.
Hipotético-deductivo: permite a través de los
conocimientos generales abarcados, definir
criterios específicos, conceptos del fenómeno
investigado y factores de alta influencia en las
etapas de la investigación, además de relacionar
elementos de conceptos relevantes para lograr el
objetivo propuesto en la investigación.
Analítico-sintético: utilizado al descomponer el
problema de investigación en elementos por
separado y profundizar en el estudio de cada uno
de ellos, para luego sintetizarlos en la solución de
la propuesta.
Inducción-deducción: para definir criterios
específicos a partir de los conocimientos
generales, conceptos del fenómeno investigado y
factores de alta influencia en las etapas de la
investigación a partir del análisis de la bibliografía
que se consulta.
Análisis documental: en la consulta de la
literatura especializada, para extraer la
información necesaria que responda a las
características distintivas del problema.
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”
2.2 Gobernanza de la ciberseguridad
La gobernabilidad de TI (GTI) se ha convertido en
elemento fundamental para responder a los reque-
rimientos cada vez más exigentes de las TI y con-
tribuir a mejorar la calidad de la toma de decisio-
nes [14].
El gran problema del gobierno de TI es alinear los
objetivos estratégicos de TI con los de la organi-
zación y entregar valor [15]. El valor consiste en
lograr beneficios comerciales mientras se optimi-
zan los riesgos y los recursos. Los elementos en
esta definición de "valor" pueden ser explicados
de la siguiente manera:
 La realización de beneficios. Significa la
generación de nuevos beneficios para la
empresa, el mantenimiento y ampliación
de las formas existentes de beneficios y la
eliminación de aquellas iniciativas y acti-
vos que no están creando suficiente valor.
 La optimización del riesgo. Significa que
el apetito y la tolerancia al riesgo de la
empresa son entendidos y gestionados de
forma óptima.
 La optimización de los recursos. Signi-
fica que la empresa hace un uso efectivo,
eficiente y responsable de todos los recur-
sos disponibles: humanos, financieros,
equipamiento, inmuebles, etc. [13]
A este desafío de proporcionar valor, se agregan
términos como ciberseguridad, cibercrimen y ci-
berguerra, los cuales han tomado relevancia en el
mundo de la seguridad en general debido, en par-
te, a la evolución tecnológica y, en mayor medida,
al incremento en las violaciones de seguridad [17].
Aunque la ciberseguridad se ha pensado tradicio-
nalmente como un problema tecnológico, el riesgo
de ciberseguridad no puede ser dirigido sólo por
soluciones técnicas, sino que requiere varios nive-
les de esfuerzo que involucran:
 Aplicación de la tecnología.
• Supervisión de la Gestión.
• Conciencia legal y regulatoria.
• Capacitación de los empleados.
• La adopción y aplicación de políticas y
procedimientos que rijan el entorno de
tecnología de la información [16].
En este sentido, la postura de una empresa debe
encajar en una estructura integral más amplia del
gobierno y la gestión de las TIC. Debe contener
una estructura con programas adecuados de go-
bernanza, riesgo y control (GRC) y respaldada por
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
una función de auditoría y aseguramiento comple-
ta [17].
La gobernanza juega un papel extremadamente
importante en el logro del objetivo de seguridad de
la organización no solo para las necesidades ac-
tuales, sino también para asegurar planes de miti-
gación bien elaborados para los desafíos futuros.
Para abordar los problemas actuales, el marco de
gobernanza debe contemplar mejoras a las políti-
cas de seguridad; la implementación de controles
técnicos; auditorías y evaluaciones; e impulsar el
conocimiento entre las personas para moldear su
actitud hacia comportamientos seguros [18].
La ciberseguridad es un ecosistema; sus compo-
nentes están interrelacionados y son inseparables.
Requieren intervenciones cualitativas, subjetivas y
de riesgo. La ciberseguridad, las TIC las amena-
zas son demasiado complejas y volátiles para que
las organizaciones gestionen todos los riesgos y
vulnerabilidades de manera ágil y oportuna. Las
empresas deben desconectarse de redes insegu-
ras, encriptar su información más sensible y frenar
su apetito por tecnología nueva y no segura [19].
La ciberseguridad es multidimensional y requiere
de personal especializado. Las organizaciones
necesitan escalar la ciberseguridad hacia una de
las prioridades a nivel empresarial y no verla so-
lamente subordinada a las TIC e involucrar a es-
pecialistas en todos los niveles y fases del ciclo de
vida del negocio [19].
2.2.1 Necesidad de un enfoque único y
simple para la gobernanza de la ci-
berseguridad
Reconociendo que la ciberseguridad no es un
tema que sólo compete a las TIC, los directivos
deben asegurarse de que en la empresa se desa-
rrolle o implemente un marco de trabajo para la
gobernanza y gestión de los riesgos y la seguri-
dad. Existe una gran variedad de éstos, incluso,
hay una gran disponibilidad de buenas prácticas
para todo: gobernanza, riesgo, ciclos de desarro-
llo, gestión de servicios y por supuesto para ciber-
seguridad.
Las listas de estas buenas prácticas incluyen mar-
cos de trabajo, cuerpos de conocimiento, estánda-
res, metodologías, entre otras. Pueden ser encon-
tradas tanto en el dominio público como propieta-
rio. Pero el secreto para el éxito en la adopción de
éstas buenas prácticas para la organización radica
en no creer que un solo marco de trabajo puede
gestionar todas las necesidades de la entidad,
sino la combinación de todas las buenas prácticas
posibles en un marco de trabajo para la gobernan-
za que gobierne y gestione el uso de todos estos
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

marcos de trabajo de forma integral [17]. diferentes estándares, directrices y mejores prác-
Desde una perspectiva de ciberseguridad, la lista ticas a nivel internacional, su implementación no
de buenas prácticas está creciendo rápidamente y está limitada únicamente a Estados Unidos. De
todas ellas presentan proposiciones significativas hecho, su despliegue fuera de las fronteras de ese
de valor para las organizaciones si son implemen- país agrega una nueva capa de cooperación e
tadas de forma correcta. Una solución viable para integración global en ciberseguridad, tema que no
la ciberseguridad es adoptar un marco de trabajo está restringido a un ámbito geográfico en particu-
que gestione marcos de trabajo. Esto se puede lar.
llevar a cabo con la intersección del marco de El CSF está basado y/o hace referencia a los si-
trabajo para la ciberseguridad del NIST (NIST guientes estándares, directrices y mejores prácti-
CSF) [10; 11] y COBIT 5 [13] como un marco de cas:
trabajo integrador [17].  COBIT 5 [13; 16; 21].
memorias y los diplomas que otorga la Conven-
 Council on CyberSecurity (CCS) Top 20
ción.
Critical Security Controls (CSC).
 ANSI/ISA-62443-2-1 (99.02.01)-2009 [22].
2.2.2 La estructura del NIST CSF
 ANSI/ISA-62443-3-3 (99.03.03)-2013 [23].
El Instituto Nacional de Estándares y Tecnología  ISO/IEC 27001:2013 [12].
(NIST) ha confeccionado marco de trabajo para  NIST SP 800-53 Rev. 4 [24].
proporcionar orientación a las organizaciones den-
tro del sector de las infraestructuras críticas para
reducir el riesgo asociado con la ciberseguridad. El marco de trabajo se encuentra compuesto de
El marco se llama NIST Cyber Security Frame- tres partes principales: El marco bási-
work for Critical Infrastructure (NIST CSF). Ac- co (Framework Core), los niveles de implemen-
tualmente cuenta con dos versiones, una lanzada tación del marco (Framework Implementation
en el 2014 [10] y otra más reciente lanzada en el Tiers) y los perfiles del marco (Framework Profi-
2017 [11]. La implementación del NIST CSF nece- les) [10; 11]. Ver Figura 1.
sita alinearse y complementarse con otros marcos
existentes. El NIST afirma que el CSF no es un
marco de madurez. Por lo tanto, es necesario
adoptar un modelo de madurez existente o crear
uno para tener una forma común de medir el pro-
greso de la implementación del CSF [20].
De acuerdo con el NIST: “El marco de trabajo es
una guía voluntaria, basada en estándares, direc-
trices y prácticas existentes para que las organi-
zaciones de infraestructura crítica gestionen mejor
y reduzcan el riesgo de ciberseguridad. Además,
se diseñó para fomentar las comunicaciones de
gestión del riesgo y la seguridad cibernética entre
los interesados internos y externos de la organiza-
ción" [10].
A pesar que el marco de trabajo fue desarrollado
teniendo en mente la protección de la infraestruc-
tura crítica de Estados Unidos, su implementación
es asumible de forma indistinta en cualquier orga-
nización independientemente de su tamaño, grado
de riesgo o sofisticación de ciberseguridad.
Es importante tener presente que el marco de
trabajo no es un documento estático, sino que Figura. 1: Componentes del NIST CFS. Fuente:
cada organización puede determinar – con base adaptado de [10; 11]
en sus necesidades – las actividades que conside-
ra prioritarias, permitiendo de esa forma un des-
pliegue personalizado y paulatino.
Debido a que la base del marco de trabajo está Marco básico (Framework Core)
fundamentada en la integración de los criterios de Es un conjunto de actividades de ciberseguridad,
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

resultados esperados y referencias aplicables que Referencias

son comunes a los sectores de infraestructuras
críticas, en términos de estándares de la industria,
directrices y prácticas que permiten la comunica-
ción de actividades de ciberseguridad y sus resul-
tados a lo largo de la organización, desde el nivel
ejecutivo hasta el nivel de implementa-
ción/operación.
Para ello, emplea cinco funciones fundamentales:
Identificar (Identify): Permite determinar los sis-
temas, activos, datos y competencias de la orga-
nización, su contexto de negocio, los recursos que
soportan las funciones críticas y los riesgos de
ciberseguridad que afectan este entorno.
Proteger (Protect): Permite desarrollar e imple-
mentar las contramedidas y salvaguardas necesa-
rias para limitar o contener el impacto de un even-
to potencial de ciberseguridad.
Detectar (Detect): Permite desarrollar e imple-
mentar las actividades apropiadas para identificar
la ocurrencia de un evento de ciberseguridad a
través de la monitorización continua.
Responder (Respond): Permite la definición y
despliegue de actividades para reaccionar frente a
un evento de ciberseguridad identificado y mitigar
su impacto.
Recuperar (Recover): Permite el despliegue de
actividades para la gestión de resiliencia y el re-
torno a la operación normal después de un inci-
dente.
A su vez, cada una de estas funciones cuenta con
categorías y sub-categorías con sus referencias
informativas relacionadas (estándares, directrices
y prácticas). Ver figura 2.
Funciones Categorías Subcategorías
Informativas
Identificar
Proteger
Detectar
Responder
Recuperar
Figura. 2: Estructura del marco básico del NIST
CFS. Fuente: adaptado de [10; 11]
Niveles de implementación del marco (Frame-
work Implementation Tiers)
Los niveles de implementación le permiten a la
organización catalogarse en un umbral predefinido
en función de las prácticas actuales de gestión de
riesgo, el entorno de amenazas, los requerimien-
tos legales y regulatorios, los objetivos y misión
del negocio y las restricciones de la propia empre-
sa. Ver figura 3.
Los rangos de los niveles de implementación son
los siguientes:
Nivel 1 – Parcial (Partial): En este nivel las prác-
ticas de gestión de riesgos de ciberseguridad no
están formalizadas (ad-hoc) y actúan por lo gene-
ral de forma reactiva. La priorización de activida-
des no se encuentra alineada con los objetivos de
riesgo organizacionales, el entorno de amenazas
ni con los requerimientos de negocio. Se cuenta
con una mínima participación externa en términos
de colaboración y compartición de información.
Nivel 2 – Riesgos informados (Risk Infor-
med): En este nivel las prácticas de gestión de
riesgo están aprobadas por la Dirección, pero
pueden no estar establecidas como una política
global. Se cuenta con procedimientos y procesos
definidos e implementados y con personal cualifi-

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

cado. La participación externa se realiza de ma-
nera informal.
Nivel 3 – Repetible (Repeatable): En este nivel
las prácticas formales de gestión de riesgo son
actualizadas regularmente como parte de la apli-
cación de análisis en cambios en requerimientos
de negocio, amenazas o tecnologías. Se ha esta-
blecido un marco de colaboración formal con ter-
ceros.
Nivel 4 - Adaptativo (Adaptive): Las prácticas
de ciberseguridad están basadas en lecciones
aprendidas e indicadores predictivos derivados de
actividades previas y actuales de ciberseguridad,
a través de un proceso de mejora continua de
adaptación a los cambios. Estas tareas hacen
parte de la cultura organizacional. Se colabora de
forma activa con terceros, compartiendo informa-
ción de eventos de ciberseguridad.
Perfiles del marco (Framework Profiles)
Los perfiles se emplean para describir el estado
actual (Current profile) y el estado objetivo (Target
profile) de determinadas actividades de cibersegu-
ridad. El análisis diferencial entre perfiles permite
la identificación de brechas que deberían ser ges-
tionadas para cumplir con los objetivos de gestión
de riesgos.
Para ello, se requiere la definición de un plan de
acción que incluya una priorización de actividades
dependiendo de las necesidades de negocio y
procesos de gestión de riesgos de la organización.
Este enfoque basado en el riesgo le permite a la
organización estimar los recursos necesarios (por
ejemplo, personal y financiación) para lograr las
metas de ciberseguridad establecidas de una ma-
nera rentable y priorizada.

Figura. 3: Niveles de implementación del NIST CFS. Fuente: adaptado de [10; 11]

De acuerdo con las descripciones anteriores, la

arquitectura global del marco de trabajo de ciber-
seguridad quedaría como muestra la figura 4:

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

NIST CSF Figura. 5: Pasos para la implementación de un

programa de ciberseguridad basado en el NIST
Marco Básico Niveles Perfiles CFS. Fuente: adaptado de [10; 11]
Funciones
2.2.3 Adoptando un programa de ciber-
Nivel 1: Parcial Perfil Actual seguridad usando COBIT 5
Identificar Categorías
Independientemente del tipo de marco, la adop-
ción puede ser típicamente logrado de una de dos
Nivel 2: Riesgo
Proteger maneras:
Informado
a. Adoptar el marco de trabajo gradualmente
Plan de Acción
Subcategorías comenzando con poco para crear ganan-
Detectar
cias rápidas y aprovechando los éxitos ini-
Nivel 3: Repetible ciales para iterar las implementaciones de
forma regular.
Responder
b. Usando un enfoque de "Big Bang" en toda
Referencias
Informaticas
la empresa [17].
Nivel 4: Adaptativo Perfil Objetivo
Recuperar Aunque el enfoque del Big Bang puede ser una
solución viable, dependiendo de la situación, ge-
neralmente es mejor adoptar la opción 1, el enfo-
Figura. 4: Arquitectura del NIST CFS. Fuente:
adaptado de [10; 11]
que gradual. El enfoque de implementación de
NIST es muy bueno con el marco COBIT 5, por-
Implementación del NISTCSF que COBIT 5:
La implementación de un programa de cibersegu-  Emplea una estructura basada en princi-
ridad basado en CSF consta de los siguientes pios
pasos iterativos:  Proporciona un enfoque holístico
Paso 1 – Priorización y definición de alcance.  Tiene una metodología de implementación
Paso 2 – Orientación. gradual e iterativa
Paso 3 – Crear un perfil actual.  Se usa como referencia informativa en el
Paso 4 – Ejecutar un análisis de riesgos. CSF de NIST
Paso 5 – Crear un perfil objetivo.  Incluye un programa de evaluación basa-
do en estándares de la industria [17]
Paso 6 – Determinar, analizar y priorizar las
brechas detectadas. Por lo tanto, no sorprende que COBIT 5 sea una
opción natural para adoptar no solo prácticas sóli-
Paso 7 – Implementar el plan de acción. das de GRC, sino también prácticas de cibersegu-
Paso 8 – Revisión del plan de acción. ridad basadas en el NIST CSF. La Figura 7 mues-
Paso 9 – Gestión del ciclo de vida. Ver figura 5. tra la alineación entre los pasos y principios de
implementación del NIST CSF y COBIT 5. Usar
una metodología de implementación comprobada
en la industria es primordial. Debido a que NIST
CSF y COBIT 5 se alinean muy bien, es un enfo-
que lógico. Los siguientes son los pasos de una
implementación empresarial típica.

Paso 1 – Priorización y definición de alcance:

El objetivo de este paso es comprender el enfoque
actual de la gobernanza y la ciberseguridad en la
empresa e identificar las partes interesadas clave,
la misión de la organización, los roles y las res-
ponsabilidades. Esto se alinea con la fase de im-
plementación de COBIT 5 ¿Cuáles son los moti-
vos? y el principio Satisfacer las necesidades de
las partes interesadas.
El paso 1 es también el momento adecuado para
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”
realizar un ejercicio de cascada de metas (otra
característica en COBIT 5), que es una herramien-
ta realmente útil y efectiva. La cascada de metas
es una serie de asignaciones que permiten a una
empresa vincular las necesidades de las partes
interesadas con los objetivos empresariales, los
objetivos relacionados con TI y los objetivos de
habilitación. La figura 6 muestra una descripción a
alto nivel de la cascada de metas.
Figura. 6: Cascada de metas de COBIT 5. Fuen-
te: [13]
Paso 2 y 3 – Orientación y Crear un perfil ac-
tual: Ahora que las metas en cascada están com-
pletas, es hora de identificar amenazas y vulnera-
bilidades de esos sistemas y activos. El propósito
de estos dos pasos es obtener una comprensión
de los sistemas y activos de la organización que
permiten la misión descrita en el Paso 1. Estos
pasos se alinean con la implementación de COBIT
5, Paso 2, ¿Dónde estamos ahora? y los princi-
pios de COBIT 5 Cubrir la empresa de extremo a
extremo y Aplicar un marco de referencia único
integrado.
Aquí es donde los niveles de implementación del
marco entran en la ecuación. Estos son niveles de
implementación que pueden ayudar en la evalua-
ción y planificación de actividades de ciberseguri-
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
dad. Los niveles describen los atributos que se
deben tener en cuenta al completar el perfil actual
y crear un perfil objetivo más adelante, y describir
la progresión de la implementación. Estos niveles
también se alinean bien con los niveles de capaci-
dad de proceso de COBIT 5. La figura 8 muestra
los cuatro niveles.
Este paso lleva a cabo una evaluación de estado
actual utilizando el enfoque ISO 15504 [25] para
procesar la capacidad. La metodología de evalua-
ción COBIT 5 [26] se utiliza para completar el perfil
actual, iterar a través de cada subcategoría y re-
gistrar el estado actual, que va desde no alcanza-
do hasta totalmente alcanzado.
Por lo tanto, un perfil actual también se puede
denominar estado actual. Este es el resultado
clave del paso 3. El NIST CSF proporciona una
plantilla para esto, como se ilustra en la tabla I. En
esta plantilla de muestra, cada una de las subca-
tegorías está vinculada a prácticas específicas de
COBIT 5. Estas subcategorías también se pueden
vincular a las otras referencias de la industria. La
información sobre estas prácticas específicas de
COBIT 5 se puede encontrar en la guía COBIT 5:
Habilitación de procesos [27].
Paso 4 y 5 – Ejecutar un análisis de riesgos y
Crear un perfil objetivo: El propósito de estos
dos pasos es identificar las amenazas generales y
las vulnerabilidades de los sistemas y activos
identificados anteriormente, y determinar la proba-
bilidad y el impacto de un evento de ciberseguri-
dad. Estos pasos dan como resultado final un
catálogo de posibles riesgos de seguridad y una
evaluación del impacto en el negocio, un nivel de
capacidad objetivo y un perfil objetivo.
Estos dos pasos se alinean con el paso de imple-
mentación de COBIT 5, ¿Dónde queremos ir?, y
los principios de COBIT 5 Cubrir la empresa de
extremo a extremo y Aplicar un marco de referen-
cia único integrado.
Paso 6 – Determinar, analizar y priorizar las
brechas detectadas: En este paso, la organiza-
ción busca comprender y documentar las acciones
necesarias para cerrar las brechas entre los en-
tornos de estado actuales y de destino. Este paso
está alineado con el paso de implementación de
COBIT 5 ¿Qué es preciso hacer? y los principios
de COBIT 5 Cubrir la empresa de extremo a ex-
tremo y Aplicar un marco de referencia único inte-
grado.
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Pasos de implementación Pasos de implementación

Principios de COBIT 5
del NIST CSF de COBIT 5

Priorización y definición ¿Cuales son los Satisfacer las

1 de alcance
1 motivos?
1 Necesidades de las Partes Interesadas

2 Orientación
¿Dónde estamos
2 ahora?
2 Cubrir la Empresa Extremo a Extremo
3 Crear un perfil actual

Ejecutar un análisis de
4 riesgos
3 ¿Dónde queremos ir?
Aplicar un Marco de Referencia Único
5 Crear un perfil objetivo 3 Integrado

Determinar, analizar y
6 priorizar las brechas
4 ¿Qué es preciso hacer?

Implementar el plan de ¿Cómo conseguiremos

7 acción
5 llegar?
4 Hacer posible un Enfoque Holístico

Revisión del plan de ¿Hemos conseguido

8 acción
6 llegar?

¿Cómo mantenemos
9 Gestión del ciclo de vida 7 vivo el impulso?

5 Separar el Gobierno de la Gestión

Figura. 7: Alineación en la implementación del NIST CSF y COBIT 5. Fuente: [17]

La entidad registra las diferencias entre los esta-  Estados

dos actuales y los deseados y utiliza COBIT 5:
procesos catalizadores [27] para determinar las
prácticas y actividades que deben mejorarse para
cerrar las brechas. Además de las lagunas, se
debe comprender los recursos y capacidades que
se requieren para llevar a cabo estos esfuerzos.
Este plan de acción de actividades incluye hitos,
responsabilidades y resultados deseados de
acuerdo con las prioridades establecidas. Un plan
de acción debe incluir lo siguiente:
 Identificación
 Prioridades
 Asunciones y Restricciones
 Racionalidad
 Acciones específicas
 Recursos
 Cronogramas / hitos
 Prerrequisitos / dependencias
 Asignación de acciones
 Los roles de los interesados
Paso 7 – Implementar el plan de acción: Una
vez que se conocen las lagunas y se han determi-
nado los planes para cerrar esas brechas, la em-
presa puede ejecutar el plan que aborda las priori-
dades para mejorar la seguridad y cumplir los
objetivos de las partes interesadas. Este paso
está alineado con el paso de implementación de
COBIT 5 ¿Cómo conseguiremos llegar? y el prin-
cipio COBIT 5 Hacer posible un enfoque holístico.
La entidad debe considerar los desafíos, las cau-
sas y los factores de éxito mediante el uso de la
guía de implementación de COBIT 5 [28], que
incluyen:
 Probar el enfoque haciendo pequeñas

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

mejoras inicialmente y para proporcionar ID.AM-4 APO02.02

algunas victorias rápidas.
APO03.03,
 Involucrar a todos los interesados APO03.04,
 Mejorar los procesos antes de intentar ID.AM-5 BAI09.02
aplicar la automatización. APO01.02,
 Establecer objetivos claros y medibles que ID.AM-6 DSS06.03
tributen a cuadros de mando que mues-
tren cómo marcha el rendimiento.
Paso 8 – Revisión del plan de acción: La enti-
 Comunicar en términos de impacto para el dad revisa la aplicación de las prácticas mejora-
negocio. das de gobernanza y de gestión, y confirma que el
Usar principios sólidos de administración de pro- plan de acción aportó los beneficios esperados.
yectos y programas en este paso es clave. Si este Este paso está alineado con el paso de implemen-
paso es exitoso, los resultados incluirán procedi- tación de COBIT 5 ¿Hemos conseguido llegar?
mientos operativos para elementos de acción im- Además, se evalúan las actividades desde el paso
plementado, informes de rendimiento y métricas. de implementación para garantizar que las mejo-
ras logren los objetivos previstos y los objetivos de
gestión de riesgos. Se debe documentar las lec-
Niveles de Niveles de ciones aprendidas e identificar cualquier necesi-
implementación del capacidad de dad específica de monitoreo continuo.
NIST CSF procesos COBIT 5 Paso 9 – Gestión del ciclo de vida: El objetivo
de este paso es proporcionar una revisión / eva-
0 Incompleto luación continua del éxito general de la iniciativa,
identificar otros requisitos de gobernanza y/o ges-
1 Parcial
tión y respaldar la mejora continua. Este paso está
1 Realizado alineado con el paso de implementación de CO-
BIT 5 ¿Cómo mantenemos vivo el impulso?

2 Rieso Informado 2 Gestionado

2.2.4 Auditoría y aseguramiento
Se permiten tres niveles diferentes de encabeza-
3 Repetible 3 Consolidado
dos a lo largo del artículo:
Tener este marco único e integrado para la gober-
4 Predecible nanza y gestión de las TIC y la ciberseguridad en
las entidades crea claramente valor para las mis-
4 Adaptativo
mas; sin embargo, dar por seguros todos estos
5 Optimizado esfuerzos es igualmente crítico. Desde la perspec-
tiva de la ciberseguridad, una auditoría proporcio-
Figura. 8: Alineación de los niveles de imple- na a la administración una evaluación de la efecti-
mentación del NIST CSF con los niveles de capaci- vidad de las políticas relacionadas con esta activi-
dad de procesos de COBIT 5. Fuente: [10; 11] dad, la implementación de controles y el logro de
los objetivos de los procesos. Estos pueden identi-
Tabla I: Plantilla para el perfil actual del NIST ficar las deficiencias internas y externas que po-
CSF drían afectar la capacidad de la entidad para cum-
plir sus objetivos. Teniendo en cuenta las tres
Práctica de líneas del modelo de defensa en la figura 9, la
Sub simple adopción de los marcos COBIT 5 y NIST
Función Categoría COBIT
Categoría se puede vincular a las dos primeras líneas de
relacionada defensa. Por lo tanto, teniendo la tercera línea de
BAI09.01, defensa, el departamento de auditoría, puede
ID.AM-1 BAI09.02 proporcionar una vista objetiva de cómo
las prácticas y actividades de los marcos son con-
Identificar Gestión BAI09.01, fiables, precisas y seguras.
(ID) de activos BAI09.02,
ID.AM-2 BAI09.05
ID.AM-3 DSS05.02
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”
Figura. 9: Modelo de tres líneas de defensa ba-
sado en COBIT 5 para el riesgo. Fuente: [29]
Existen numerosos programas disponibles en la
actualidad que brindan sólidos modelos para el
aseguramiento. Teniendo en cuenta el tema de
este trabajo, tiene sentido adoptar un programa de
auditoría que se centre en los marcos de COBIT 5
y NIST CSF. El programa de auditoría / asegura-
miento para la ciberseguridad de ISACA basado
en NIST CSF, proporciona objetivos de control,
controles y pasos de prueba basados en las fun-
ciones, categorías, subcategorías y referencias
informativas del NIST CSF. Adoptar el modelo de
las tres líneas de defensa, incorporado con proce-
sos y prácticas sólidas, realmente proporciona un
enfoque holístico que satisface las necesidades
de las partes interesadas.
3. CONCLUSIONES
Con el presente trabajo se puede concluir que es
posible implementar un marco de trabajo de
ciberseguridad del NIST (NIST CSF) usando
COBIT 5 como marco único de referencia para la
gobernanza y la gestión de las TIC en las
entidades.
La gobernanza y la gestión de las TIC en las or-
ganizaciones, ha adquirido un nuevo significado
con el rápido crecimiento de la ciberseguridad y la
multitud de mejores prácticas existentes en el
mercado. Dada la complejidad, no es de extrañar
por qué algunas instituciones continúan luchando
con sus esfuerzos o toman acciones incompletas.
Aunque existen algunos enfoques excelentes para
un programa de ciberseguridad, un factor crítico
de éxito es garantizar que existan algunos princi-
pios clave: satisfacer las necesidades de las par-
tes interesadas, utilizar un enfoque holístico, abar-
car toda la empresa y aprovechar un único marco
integrado. Todos estos principios conducen al
objetivo empresarial de proporcionar valor.
Desde una perspectiva de ciberseguridad y/o ries-
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
go, adoptando el marco COBIT 5 y el Marco del
Instituto Nacional de Estándares y Tecnología
(NIST) para mejorar la ciberseguridad de las infra-
estructuras críticas, puede ser un factor importan-
te en la creación de valor para las entidades. Es-
tos marcos se complementan bien; Las prácticas
de COBIT 5 se sincronizan con las categorías de
NIST CSF. Las metodologías de adopción para
cada marco tienen un parecido sorprendente, lo
que hace que el acoplamiento de estos marcos en
un enfoque de gobernanza coherente sea una
buena decisión. Estos marcos son modelos flexi-
bles que se pueden modificar para satisfacer las
necesidades de la empresa y permiten que cual-
quier organización tenga un marco central proba-
do y repetible.
4. REFERENCIAS BIBLIOGRÁFICAS
[1]. CLEMENTE, D. Cyber Security and
Global Interdependence: What is Critical?
London: Royal Institute for International
Affairs/Chatham House, 2013. 40 p. ISBN
978-1-86203-278-1.
[2]. PATRICK, H. y FIELDS, Z. A Need for
Cyber Security Creativity. En Collective
Creativity for Responsible and Sustainable
Business Practice. 2017, p. 42-61. ISBN
978-1-5225-1823-5.
[3]. KLIMBURG, A. National Cyber Security
Framework Manual. NATO Cooperative
Cyber Defence Centre of Excellence,
2014. 235 p. ISBN 978-9949-9211-2-6.
[4]. SCHJØLBERG, S. y GHERNAOUTI, S. A
global treaty on cybersecurity and
cybercrime. 2da ed. AiTOslo, 2011. 98 p.
ISBN 978-82-997274-3-3.
[5]. ARORA, A.; NANDKUMAR, A., et al. Does
Information Security Attack Frequency
Increase with Vulnerability Disclosure? An
Empirical Analysis. Information Systems
Frontiers, December 2006, vol. 8, nº 5, p.
350–362. [Consultado el: 2017-10-15
20:29:22]. ISSN 1387-3326.
[6]. VOLCHKOV, A. How to Measure Security
From a Governance Perspective ISACA
Journal, 2013, vol. 5, nº p. 8. Disponible
en:
https://www.isaca.org/Journal/archives/20
13/Volume-5/Pages/How-to-Measure-
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Security-From-a-Governance- DE DESARROLLO PARA GOBIERNO TI

Perspective.aspx. ISSN 1526-7407.
[7]. WILLIAMS, K. L. Management Wake-Up
and Govern: The Era of the Cyber Security
Governance. En 2014 Annual Global
Online Conference on Information and
Computer Technology. December 3-5
2014. p. 50-52.
[8]. BRUIN, R. D. y SOLMS, S. H. V.
Cybersecurity Governance: How can we
measure it? En 2016 IST-Africa Week
Conference. May 2016 2016. p. 1-9.
Scientia et Technica, Mayo 2009, nº 41, p.
6. ISSN 0122-1701
[15]. WEILL, P.; SUBRAMANI, M., et al. IT
Infrastructure for Strategic Agility. Social
Science Research Network. ID 317307.
2002
[16]. ISACA. Transforming Cybersecurity:
Using COBIT 5. Rolling Meadows, Ill.:
Information Systems Audit and Control
Association, 2013. ISBN 1604203412,
9781604203417.

[9]. TWENEBOAH-KODUAH, S.; TSETSE, A. [17]. ---. Implementing the NIST Cybersecurity
K., et al. Evaluation of Cybersecurity Framework. Isaca, 2014. 108 p. ISBN
Threats on Smart Metering System. En 978-1-60420-357-8.
Information Technology - New
Generations. Springer, Cham, 2018, p.
[18]. SLUSKY, L. y GOODRICH, J. A. Human
199-207. ISBN 978-3-319-54977-4, 978-
Factors of Cybersecurity Awareness. En
3-319-54978-1.
EdMedia: World Conference on
Educational Media and Technology. Junio
[10]. NATIONAL INSTITUTE OF STANDARDS 28 2016. p. 436-444.
AND TECHNOLOGY (NIST). Framework
for Improving Critical Infrastructure
[19]. TISDALE, S. M. ARCHITECTING A
Cybersecurity. Gaithersburg, Maryland
CYBERSECURITY MANAGEMENT
NIST U.S. Department of Comerce,
FRAMEWORK. Issues in Information
Versión: 1.0, publicado: Febrero 12 de
Systems, 2016, vol. 17, nº 4, p. 10.
2014.
[Consultado el: 2017-09-13]. Disponible
en:
[11]. ---. Framework for Improving Critical http://www.iacis.org/iis/2016/4_iis_2016_2
Infrastructure Cybersecurity. Gaithersburg, 27-236.pdf. ISSN 1529-7314.
Maryland NIST U.S. Department of
Comerce, Versión: 1.1, publicado: Enero
[20]. ALMUHAMMADI, S. y ALSALEH, M.
10 de 2017.
Information Security Maturity Model for
Nist Cyber Security Framework. En 11th
[12]. ISO/IEC. ISO/IEC 27001:2013. International Conference on Computer
Information technology — Security Science & Information Technology (CSIT
techniques — Information security 2017). February 25 2017. p. 51-62.
management systems — Requirements.
Ginebra, Zwitzerland: International
[21]. ISACA. COBIT 5 para Seguridad de la
Organization for Standarization.,
Información. Traducido por: The Isaca®
publicado: Octubre de 2013, 23 p.
Madrid Chapter. Rolling Meadows, Ill.:
Information Systems Audit and Control
[13]. ISACA. COBIT 5: A Business Framework Association, 2012. 220 p. ISBN 978-1-
for the Governance and Management of 60420-454-4.
Enterprise IT. Rolling Meadows, Ill.:
Information Systems Audit and Control
[22]. INTERNATIONAL SOCIETY OF
Association, 2012. ISBN 1604202378,
AUTOMATION (ISA). ANSI/ISA–62443-2-
9781604202373.
1 (99.02.01)–2009 Security for Industrial
Automation and Control Systems:
[14]. MARULANDA ECHEVERRY, C. E.; Establishing an Industrial Automation and
LÓPEZ TRUJILLO, M., et al. MODELOS Control Systems Security Program. North
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Carolina: ISA, publicado: Agosto de 2009, Model (PAM): Using COBIT 5. Rolling
170 p. Meadows, Ill.: Information Systems Audit
and Control Association, 2013. ISBN
1604202718, 9781604202717.
[23]. ---. ANSI/ISA-62443-3-3 (99.03.03)
Security for industrial automation and
control systems Part 3-3: System security [27]. ---. COBIT 5: Enabling Processes. Rolling
requirements and security levels. North Meadows, Ill.: Information Systems Audit
Carolina: ISA, publicado: Agosto 12 de and Control Association, 2013. 230 p.
2013, 43 p. ISBN 9781604202397.

[24]. NATIONAL INSTITUTE OF STANDARDS [28]. ---. COBIT 5 Implementación. Traducido

AND TECHNOLOGY (NIST). Special por: The Isaca® Madrid Chapter. Rolling
Publication 800-53 Information Security. Meadows, Ill.: Information Systems Audit
Paramount, CA: CreateSpace, 2011. ISBN and Control Association, 2012. 78 p. ISBN
978-1-4611-1235-8. 978-1-60420-289-2.

[25]. ISO/IEC. ISO/IEC 15504-2:2003. [29]. ---. COBIT 5 for Risk. Rolling Meadows,
Information technology -- Process Ill.: Information Systems Audit and Control
assessment -- Part 2: Performing an Association, 2013. ISBN 1604204575,
assessment. Ginebra, Zwitzerland: 9781604204575.
International Organization for
Standarization., 2003, 46 p.

[26]. ISACA. COBIT Process Assessment

5. SÍNTESIS CURRICULARES DE LOS AU-
TORES
Yosvany Castaño Gil, nacido el 27 de julio de 1971 en Santa
Clara, Villa Clara. Graduado en ingeniería en sistemas
automatizados de dirección en 1995 en el Instituto Técnico
Militar (ITM) “José Martí”. Se ha desempeñado por más de 25
años a la especialidad de informática. Dirigió un centro de
cálculo y diseño durante 6 años en la provincia de Matanzas y
luego fue jefe del Centro de Proyección e Integración de
Sistemas de la empresa XETID, siendo más tarde el Director
de la División de Servicios Profesionales de esa propia
entidad. Es graduado de la Maestría en Informática Avanzada
en su primera edición de la Universidad de las Ciencias
Informáticas UCI. Se desempeña en este momento como
Director de Informática del Grupo de Administración
Empresarial S.A. (GAE S.A.). Dirección de correo electrónico:
yosvany@nac.gae.com.cu

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”