Definition of Cybersecurity Businness Framework Based On ADM TOGAF PDF
Definition of Cybersecurity Businness Framework Based On ADM TOGAF PDF
Definition of Cybersecurity Businness Framework Based On ADM TOGAF PDF
net/publication/282329839
CITATION READS
1 946
5 authors, including:
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Danilo Rubén Jaramillo on 30 September 2015.
Resumen – En este trabajo se propone un conjunto de controles y procedimientos a través de normas y marcos de
actividades y pasos que son requeridos para la implementación trabajo para minimizar los riesgos de pérdidas de información.
de un marco de referencia de ciberseguridad empresarial, para lo
cual, se ha tomado como referencia al Método de Descripción En la actualidad, debido a que todas las funciones de las
Arquitectónica ADM-TOGAF y su integración con SABSA organizaciones giran en torno a la tecnología y uso intensivo
metodología de seguridad empresarial, que definen un conjunto del internet para sus operaciones internas y externas, los altos
de fases iterativas adaptadas con las normas de ciberseguridad directivos deben establecer un compromiso colaborativo y así
definidas en los marcos COBIT 5 y NIST, y en los estándares ISO evitar riesgos potenciales que afecten a la seguridad dentro de
27001 e ISO 27032. Además se presentan los resultados obtenidos su organización, y, por consiguiente, pérdidas económicas y
luego de la aplicación del marco de referencia al contexto de imagen.
empresarial local.
Ciberseguridad, “es el conjunto de actividades centradas en
Palabras Clave – Ciberseguridad, Arquitectura Empresarial, mecanismos defensivos y ofensivos empleados tanto para
ADM, TOGAF. proteger el ciberespacio contra el uso indebido del mismo,
defender su infraestructura tecnológica, los servicios que
Abstract - In this paper a set of activities and steps that are
prestan y la información que manejan” [2].
required to implement a framework enterprise cybersecurity is
proposed, for which, is taken as a reference to Method of Arquitectura Empresarial (AE) “es un enfoque para la
Architectural Description ADM-TOGAF and its integration with gestión de la complejidad de la estructura de la organización,
SABSA methodology enterprise Security, which define a set of la tecnología de información (TI) y el entorno empresarial, y
iterative phases adapted cybersecurity standards defined in NIST facilitar la integración de estrategia, personal, negocio y TI
COBIT 5 frames, and the ISO 27001 and ISO standard 27032. In hacia un objetivo común” [3]. La AE se ha tomado como base
addition the results obtained after the application of the para la definición del marco de referencia de ciberseguridad,
framework are presented to local business context. por ello, nos hemos basado en el método de desarrollo de
arquitectura ADM-TOGAF, el mismo que estipula un
Keywords – Cybersecurity, Enterprise Architecture, ADM,
TOGAF.
conjunto de fases que se alinearan con las técnicas, métodos,
procedimientos y normas de otros marcos de trabajo para
I. INTRODUCCIÓN ciberseguridad como COBIT 5, ISO 27001, ISO 27032 y
NIST para de esta manera proponer una solución que se pueda
El ambiente empresarial va cambiando conforme se gestionar, mantener y mejorar de forma continua. En la
adoptan nuevas tecnologías, donde se presentan oportunidades implementación del modelo de referencia de ciberseguridad
que las organizaciones deben aprovechar para mejorar su fue necesario identificar un marco de trabajo de AE adaptable,
gestión; actualmente cada organización busca alinear su que permita su integración con otros marcos, por lo cual, se
estrategia de negocio con las tecnologías de la información analizó los marcos de referencia de Zachman y TOGAF por
(TI), utilizando por ejemplo, servicios externos como la nube, ser los más difundidos a nivel comercial.
en la cual se ha visto un incremento considerable. Según Eset
[1], se espera que para el año 2016, un 36% de la información II. MARCOS DE TRABAJO DE ARQUITECTURA EMPRESARIAL
de los usuarios finales esté almacenada en la nube es así que, a
partir de todo este cambio, surge la necesidad de implementar Para trabajar con una estructura base que soporte todo el
trabajo de ciberseguridad en un entorno empresarial, se han
seleccionado dos marcos de trabajo, TOGAF y Zachman, que Gestión de riesgos x
se detallan a continuación. Adaptable a otros marcos de trabajo x
Reducción de costos x x
A. Zachman Framework Identificación de oportunidades x x
Este marco de trabajo se utiliza para realizar Luego de la comparación de los componentes se ha
“representaciones descriptivas o modelos de una empresa. tomado al marco de trabajo de TOGAF, como modelo de
Sirve fundamentalmente para implementar una AE en las referencia a seguir, considerando mayormente aspectos como
compañías, siendo el mismo marco que toda compañía grande adaptabilidad con otros marcos de referencia, basado en
o pequeña necesita aplicar conceptos de arquitectura entregables y el trabajo que realiza sobre los cuatro principios
independientemente de sus características” [4]; Zachman de AE (negocio, datos, aplicaciones y tecnología)
framework clasifica toda la estructura de una empresa de
manera inteligente y ordenada a través de seis vistas [5]: III. NORMAS Y MARCOS DE TRABAJO DE CIBERSEGURIDAD
Alcance, Modelo empresarial, Modelo de sistema de Se han considerado marcos de trabajo y normas de
información, Modelo tecnológico, Especificación detallada y ciberseguridad que se integren en el ADM de TOGAF, los
Empresa en funcionamiento. mismos se resumen a continuación:
Como tal Zachman, es un modelo de clasificación que se A. ISO/IEC 27001
encuentra en las disciplinas más maduras de arquitectura, Esta norma contiene los requisitos del sistema de gestión de
utilizado para clasificar y organizar los artefactos de diseño seguridad de la información; tiene como objetivo proporcionar
relacionados con los productos físicos y lógicos de una una metodología para la implementación de un sistema de
organización. gestión de seguridad de la información (SGSI) en una
B. TOGAF organización [7]. En esta norma existen 4 fases (planificación,
El marco de TOGAF “proporciona los métodos y implementación, revisión, mantenimiento) que se deben
herramientas para ayudar en la aceptación, producción, uso y implementar de forma constante para reducir al mínimo los
mantenimiento de una AE, se basa en un modelo de procesos riesgos en la confidencialidad, integridad y disponibilidad de la
iterativo, el apoyo de las mejores prácticas y un conjunto información. ISO 27001 especifica los requisitos necesarios
reutilizable de activos existentes” [6]. TOGAF dispone de un para establecer, implementar, mantener y mejorar un sistema
método central llamado ADM, el cual proporciona un proceso de gestión de la seguridad de la información (SGSI) mediante
repetible para el desarrollo de arquitecturas, mediante cada sus cuatro fases que son apoyadas por 130 requisitos, 14
una de sus fases: gestión de requerimientos, fase preliminar, dominios y 114 controles para seguridad de la información.
visión de arquitectura, arquitectura de negocio, arquitectura de B. ISO/IEC 27032
sistemas de información, arquitectura tecnológica, Proporciona una guía para mejorar el estado de
oportunidades y soluciones, planificación de migración, ciberseguridad, extrayendo los aspectos únicos de esta
gobierno de la implementación y gestión de cambios de la
actividad y de sus dependencias en otros dominios de
arquitectura. En resumen TOGAF es un marco de trabajo que
seguridad. Concretamente: información de seguridad,
a través del ADM y su proceso iterativo de mejora continua,
seguridad de las redes, seguridad en Internet e información de
mediante varias iteraciones implementa cada fase para la
protección de infraestructuras críticas (CIIP) [8]. ISO 27032,
construcción y mantenimiento de una AE. proporciona directrices para mejorar el estado de la
C. Comparación entre TOGAF y Zachman Framework ciberseguridad, destacando aspectos únicos de dicha actividad
Es necesario identificar el nivel de madurez empresarial y y su dependencia de otros ámbitos de seguridad [9]. Esta norma
las capacidades arquitectónicas que posee una organización, a ayuda a las organizaciones mediante sus dominios y controles,
través de las cuatro dimensiones de AE (arquitectura de en la prevención, protección y gestión de los incidentes hacia
negocio, arquitectura de información, arquitectura de los sistemas de información que se encuentran dentro del
aplicaciones y arquitectura tecnológica), de acuerdo a estas internet.
dimensiones, y desde el enfoque de construcción de una AE se C. Transformando la ciberseguridad usando Cobit 5 (TCS)
han comparado los marcos de trabajo que se detallan en la Examina el impacto del cibercrimen, basado en tres
tabla 1. factores como: conectividad permanente, una sociedad cada
TABLA 1. COMPARACIÓN ENTRE TOGAF Y ZACHMAN FRAMEWORK
vez más centrada en TI y un nuevo sistema de clasificación que
identifica a la gente por habilidades tecnológicas [10]. Esta
Marcos de trabajo
TOGAF
Zachman guía proporciona las directrices necesarias de cómo administrar
Componentes Framework y transformar la seguridad a través de COBIT 5, en donde los
Aporta beneficios de TI x x procesos de COBIT se encuentran orientados hacia la
Basado en entregables x x ciberseguridad.
Adaptable a las necesidades de una empresa x x
Gestión de infraestructura x x D. NIST - marco de trabajo para mejorar la ciberseguridad
Centrado en las actividades del negocio x de infraestructuras críticas (CS-IC)
Organización y clasificación de artefactos x x
Gestión de requerimientos x Este marco contiene un conjunto de directrices sobre
Gestión de alcance x x ciberseguridad para ayudar a proteger infraestructuras críticas,
Gestión de cambios x x y está basado en la gestión de riesgos para la ciberseguridad
[11], este marco de trabajo se compone de tres partes: el núcleo generados a partir de todo el ciclo de implementación de
del marco de trabajo, presenta estándares de la industria, ciberseguridad.
directrices y prácticas; niveles de aplicación del marco de
trabajo, que proporciona un contexto de cómo una
organización entiende y gestión el riesgo de la ciberseguridad;
perfil del marco de trabajo, representa los resultados de las
necesidades del negocio que se han seleccionado en las
categorías y subcategorías del marco de trabajo.
E. Características de los marcos de trabajo y normas de
ciberseguridad
Para la implementación de ciberseguridad es necesario
conocer los componentes que se pueden ayudar a fortalecer en
una AE, por esta razón se identifican las ventajas (ver tabla 2)
que ofrece cada marco de trabajo y norma de ciberseguridad.
Normas, marcos de
ISO ISO COBIT NIST
trabajo
27001 27032 5 (TCS) (CS-IC)
Parámetros CS Figura 1 – Ciclo de vida de SABSA relacionado el ADM de TOGAF
Políticas de seguridad x x x
Preservación de CID x x x IV. INTEGRACIÓN DEL ADM DE TOGAF Y SABSA ORIENTADA
Gestión de incidentes A CIBERSEGURIDAD
x x x x
informáticos
Gestión de recursos x El ADM cuenta con un conjunto de fases que se pueden
Gestión de riesgos x x utilizar en el desarrollo de actividades, para ayudar en la
Hacking x implementación de un esquema de ciberseguridad, de esta
Seguridad de internet x x x x forma, se puede aprovechar una AE ya implementada junto a
Mejora continua x x x x
sus elementos desarrollados, para determinar un conjunto de
Software malicioso x x
Intercambio de información x x x x
controles y procedimientos que se integren en la arquitectura.
Cloud computing x Analizar el propósito que tiene
Dispositivos móviles x x cada fase dentro del ADM, Definir actividades para cada fase
Gestión de infraestructura x para obtener una idea clara de del ADM, orientadas al trabajo de
Cada marco de trabajo de ciberseguridad y seguridad de la las necesidades requeridas en ciberseguridad en AE.
información disponen de un conjunto de características que sus actividades.
fortalecen y gestionan los diferentes SI de una organización.
Obtener de cada uno de los
F. Integración de ADM-TOGAF y SABSA Comparar las caracteristicas de
marcos de trabajo y normas, los
cada marco y norma de CS,
SABSA es una metodología enfocada en el desarrollo de puntos (controles, categorias,
para asociarlas a las
procesos) que se pueden
arquitecturas de seguridad empresarial. La visión y propósito actividades definidas en el
acoplar a las necesidades de
de la integración de ambos marcos de trabajo es apoyar a los ADM.
cada actividad.
arquitectos empresariales, para tomar en cuenta la gestión del
riesgo operacional proporcionando orientación que describe
cómo TOGAF y SABSA se pueden combinar; de tal manera Integrar los puntos obtenidos
Detallar de forma clara un
de las normas y marcos de
que el riesgo de negocio, y, el enfoque de la arquitectura de ciberseguridad en las
proceso a seguir, para la
seguridad de SABSA promovida por las oportunidades, se actividades definidas para
implementacion de cada
actividad en su respectiva fase.
pueden integrar perfectamente en la estrategia de TOGAF ciberseguridad.
impulsada por el negocio [12]. En la Fig. 1 se observó el
mapeo de las fases del ADM de TOGAF, junto a la interacción
Elaborar las plantillas de
entre sus fases, con el ciclo de vida de SABSA. Cada iteración implementacion y
Implementar una herramienta
realiza un trabajo específico, en iteración de capacidad levantamiento de informacion
para validación de la guia de
arquitectónica se evalúa y define el trabajo que realizará la ciberseguridad en un entorno
de acuerdo a los procesos de
empresarial.
ciberseguridad, y, mediante que herramientas se ejecutará el cada actividad de la guía.
mismo; en la iteración de desarrollo se analiza el estado actual Figura 2 – Proceso de elaboración del modelo de ciberseguridad para AE
y el estado objetivo; además, del proceso requerido para
alcanzar dicho estado objetivo; en la iteración de planificación Para trabajar a través de cada fase del ADM es importante
de transición se evalúan los procedimientos principales para la conocer que se realizará en cada una de ellas de acuerdo a las
implementación de ciberseguridad, y en la iteración de necesidades y requerimientos de ciberseguridad, además de
gobernanza se valida que todo lo propuesto desde el inicio se saber que marcos de trabajo o normas de ciberseguridad se
haya cumplido, así mismo, como gestionar los cambios pueden utilizar. Para obtener las características de cada norma
y marco de trabajo en la elaboración del modelo de Marcos de - TOGAF y SABSA - Marcos de control [12]
ciberseguridad para AE. Se siguió un proceso, el cual se referencia de - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13].
muestra en la Fig. 2.
En cada uno de los puntos mostrados en la Fig. 2 se puede D. Arquitectura de negocio (BA)
ver que es necesario un estudio para relacionar las En esta fase se determinan las leyes y marcos de confianza,
características de cada norma y marco de trabajo, este estudio, independientemente de TI, que se encuentran dentro de la
valida que dentro de cada una de las actividades definidas arquitectura, además, se identifican los diferentes documentos
encajen los controles, características y procesos orientados a que respaldan el trabajo de ciberseguridad. En la tabla 6 se
ciberseguridad. observa cada una de las actividades junto a sus marcos de
trabajo y normas de ciberseguridad.
A. Gestión de requerimientos (RM)
Esta fase trabaja mediante un proceso dinámico la gestión TABLA 6. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE BA
de los atributos del perfil de negocio, y los requerimientos de Actividad Normas y marcos de trabajo considerados
ciberseguridad obtenidos de las partes interesadas. En la tabla Modelo de
3 se pueden ver las normas y marcos de trabajo que apoyan - Guía para el especialista - Formulario de evaluación
riesgo del
de riesgos de TI para empresas [16].
cada una de las actividades de esta fase. negocio
Leyes y - COIP - SECCIÓN TERCERA - Delitos contra la
TABLA 3. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE DE RM regulaciones de seguridad de los activos de los sistemas de
ciberseguridad información y comunicación. [17]
Actividad Normas y marcos de trabajo considerados Marcos de - TOGAF y SABSA - Marcos de control [12]
Atributos del perfil referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
- TOGAF y SABSA -Atributos de negocio de la
de negocio para ciberseguridad marcos [13].
taxonomía de SABSA [12].
ciberseguridad Modelo del
Control de - TOGAF 9.1 -Cap. 17 de Gestión de - TOGAF y SABSA - Modelo del dominio de
dominio de
requerimientos requerimientos de arquitectura [13]. seguridad [12].
ciberseguridad
Protocolos de - ISO 27001 - A.13.1.1, A.13.1.2, A.13.2.1 [18]
B. Fase Preliminar (PP) confianza - NIST (CS-IC) - (ID.AM-3) [11].
Esta fase prepara a la organización para la implementación Organización
- ISO 27001 - A.12.2.1, A.16.1.1, A.16.1.2, A.16.1.3,
del trabajo de ciberseguridad, donde se toman dos aspectos A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7 [18]
de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
principales, como: los principios de ciberseguridad y los ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11]
marcos de trabajo que se van a utilizar. En la tabla 4 se pueden - ISO 27001:2013 - A.5.1.1, A.5.1.2, A.18.2.2) [18]
ver las actividades correspondientes a esta fase, junto a las Arquitectura de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
las políticas de
normas y marcos de trabajo de ciberseguridad. ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11].
- COBIT 5 (TCS) - políticas de ciberseguridad [14].
TABLA 4. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE PP
E. Arquitectura de sistemas de información (ISA):
Actividad Normas y marcos de trabajo considerados
Comprende la arquitectura de datos y de aplicación, en
- COBIT 5 (TCS) -Apartado de principios de seguridad donde se trabaja principalmente con un análisis de brechas para
Principios de
de la información [14].
ciberseguridad
- TOGAF 9.1 -Cap. 23, principios de arquitectura [13].
identificar el estado actual, el estado objetivo y el proceso para
llegar al estado objetivo. En la tabla 7 se pueden ver las
Equipo de - TOGAF-SABSA Plan de recursos de seguridad [12].
ciberseguridad - Proceso (APO01.02) de COBIT 5 (TCS) [14].
actividades relacionadas con las normas y marcos que apoyan
Marcos de - TOGAF y SABSA - Marcos de control [12] el trabajo de ciberseguridad de esta fase.
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13]. TABLA 7. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ISA
- ISACA (RG1.1) - Desarrolla en una empresa el
Áreas de riesgo Actividad Normas y marcos de trabajo considerados
marco específico de gestión de riesgos TI [15].
Catálogo de - TOGAF 9.1 - 43.4. Taxonomía de aplicaciones de la
C. Visión de arquitectura (AV): servicios de plataforma, 43.5. detalle de la taxonomía de la
ciberseguridad plataforma [13].
En esta fase se describe de forma inicial, a través de la Clasificación
identificación de requerimientos e interesados, lo que se desea de servicios de - ISO 27001 - A.8.2.1, A.8.2.2 [18]
realizar y alcanzar con la ciberseguridad. En la tabla 5 se ciberseguridad
pueden ver las normas y marcos de trabajo que apoyan a cada Marcos de - TOGAF y SABSA - Marcos de control [12]
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
una de las actividades. ciberseguridad marcos [13].
- ISO 27001 - A.10.1.1, A.12.2.1, A.12.6.2 [18]
TABLA 5. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE AV - NIST (CS-IC) - ID.AM-4, PR.AC-3. [11]
Análisis de
Actividad Normas y marcos de trabajo considerados - COBIT 5 (TCS) - políticas de ciberseguridad -
brechas
APO02.04 “llevar a cabo un análisis de brechas”,
Partes interesadas
- TOGAF 9.1 - Cap. 24. Gestión de interesados [13] APO02.05 “Definir plan estratégico, hoja de ruta” [14]
de ciberseguridad
- ISO 27001 [18]
- COBIT 5 (TCS) - Gobernanza de ciberseguridad en Reglas y
- COBIT 5 (TCS) [14]
Requerimientos el dominio de EDM (EDM05.01, EDM02.01), y el prácticas de
- NIST (CS-IC) [11]
de ciberseguridad proceso mapeado DSS (DSS01.02) [14]. ciberseguridad
- TOGAF y SABSA - [12].
- TOGAF 9.1-17.2 Desarrollo de requerimientos [13].
F. Arquitectura tecnológica (TA) Governanza - TOGAF 9.1 - Fase planificación
Esta fase determina que estándares de seguridad son J. Gestión de cambios de la arquitectura (ACM)
necesarios para la protección de los componentes tecnológicos
Esta fase controla continuamente que el trabajo de
que soportan los SI. En la tabla 8 se pueden observar las
ciberseguridad responde a las necesidades de la organización, y
actividades junto sus normas y marcos de ciberseguridad.
que los cambios que han surgido se gestionen de manera
TABLA 8. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE TA
controlada para que no causen un impacto negativo. En la tabla
12 se encuentran los marcos y normas que soportan el trabajo
Actividad Normas y marcos de trabajo considerados de ciberseguridad de las actividades de esta fase.
Estándares de
- TOGAF y SABSA - Estándares de seguridad [12].
Ciberseguridad TABLA 12. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ACM
Reglas y
- ISO 27001 - A.14.1.2 [18]
prácticas de Actividad Normas y marcos de trabajo considerados
- NIST (CS-IC) - PR.AC-5, PR.DS-2, etc. [11].
ciberseguridad Gestión de - TOGAF 9.1 - 16.2.2. Proceso de gestión de cambios
Marcos de - TOGAF y SABSA - Marcos de control [12] cambios de la arquitectura empresarial [13].
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
Gestión de
ciberseguridad marcos [13]. - TOGAF y SABSA: Gestión de riesgos [12].
riesgos
G. Oportunidades y soluciones (OS) - COBIT 5 (TCS) - Objetivos de gobernanza de
Gobernanza de
ciberseguridad, Gobernanza de ciberseguridad en el
Evalúa y determina la importancia de la implementación de la
dominio EDM, Gobernanza de ciberseguridad en el
ciberseguridad
los procesos más relevantes de ciberseguridad para la AE, a dominio APO [14].
través de la actividad de control de procedimientos de
oportunidades y soluciones. En la tabla 9 se puede observar el V. RESULTADOS
marco de trabajo asociado que apoya a esta actividad. Para el proceso de validación de las actividades se utilizó
una aplicación que permitió evaluar el nivel de ciberseguridad
TABLA 9. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE OS que posee una organización, a través de un conjunto de ítems
Normas y marcos de trabajo para cada actividad, donde se consideró el punto de vista de las
Actividad normas y marcos de referencia citados en cada actividad. De
considerados
Control del procedimientos de - TOGAF 9.1 – Fase E: Oportunidades acuerdo a las pruebas de verificación, en la Fig. 3 se puede
oportunidades y soluciones y soluciones [13]. observar el porcentaje de cumplimiento de ciberseguridad de
H. Planificación de la migración (MP) cada fase, dentro del caso de estudio evaluado en una
organización.
Esta fase trabaja con los riesgos, beneficios, costos y
controles asociados a la transición desde el estado actual al
estado objetivo, a través de la actividad de control de
migración. En la tabla 10 se puede el marco de trabajo que
apoya a esta actividad.