Definition of Cybersecurity Businness Framework Based On ADM TOGAF PDF

Download as pdf or txt
Download as pdf or txt
You are on page 1of 8

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/282329839

Definition of cybersecurity businness framework based on ADM-TOGAF

Conference Paper · June 2015


DOI: 10.1109/CISTI.2015.7170391

CITATION READS

1 946

5 authors, including:

Danilo Rubén Jaramillo Armando A. Cabrera-Silva


Universidad Técnica Particular de Loja Universidad Técnica Particular de Loja
17 PUBLICATIONS   11 CITATIONS    3 PUBLICATIONS   1 CITATION   

SEE PROFILE SEE PROFILE

Marco Abad J. Carrillo Verdún


Universidad Técnica Particular de Loja Universidad Politécnica de Madrid
10 PUBLICATIONS   10 CITATIONS    41 PUBLICATIONS   75 CITATIONS   

SEE PROFILE SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Study of Strategic IT Demand Management in Organizations View project

All content following this page was uploaded by Danilo Rubén Jaramillo on 30 September 2015.

The user has requested enhancement of the downloaded file.


Definición de un Marco de Referencia de
Ciberseguridad Empresarial basado en ADM-
TOGAF
Definition of Cybersecurity Businness Framework
based on ADM-TOGAF
{djaramillo, aacabrera, mpabad, adtorres}@utpl.edu.ec
Danilo Jaramillo H., Armando Cabrera S., Marco José Carrillo Verdúm
Abad E., Alfredo Torres V. Universidad Politécnica de Madrid
Universidad Técnica Particular de Loja Madrid, España
Loja, Ecuador jcarrillo@fi.upm.es

Resumen – En este trabajo se propone un conjunto de controles y procedimientos a través de normas y marcos de
actividades y pasos que son requeridos para la implementación trabajo para minimizar los riesgos de pérdidas de información.
de un marco de referencia de ciberseguridad empresarial, para lo
cual, se ha tomado como referencia al Método de Descripción En la actualidad, debido a que todas las funciones de las
Arquitectónica ADM-TOGAF y su integración con SABSA organizaciones giran en torno a la tecnología y uso intensivo
metodología de seguridad empresarial, que definen un conjunto del internet para sus operaciones internas y externas, los altos
de fases iterativas adaptadas con las normas de ciberseguridad directivos deben establecer un compromiso colaborativo y así
definidas en los marcos COBIT 5 y NIST, y en los estándares ISO evitar riesgos potenciales que afecten a la seguridad dentro de
27001 e ISO 27032. Además se presentan los resultados obtenidos su organización, y, por consiguiente, pérdidas económicas y
luego de la aplicación del marco de referencia al contexto de imagen.
empresarial local.
Ciberseguridad, “es el conjunto de actividades centradas en
Palabras Clave – Ciberseguridad, Arquitectura Empresarial, mecanismos defensivos y ofensivos empleados tanto para
ADM, TOGAF. proteger el ciberespacio contra el uso indebido del mismo,
defender su infraestructura tecnológica, los servicios que
Abstract - In this paper a set of activities and steps that are
prestan y la información que manejan” [2].
required to implement a framework enterprise cybersecurity is
proposed, for which, is taken as a reference to Method of Arquitectura Empresarial (AE) “es un enfoque para la
Architectural Description ADM-TOGAF and its integration with gestión de la complejidad de la estructura de la organización,
SABSA methodology enterprise Security, which define a set of la tecnología de información (TI) y el entorno empresarial, y
iterative phases adapted cybersecurity standards defined in NIST facilitar la integración de estrategia, personal, negocio y TI
COBIT 5 frames, and the ISO 27001 and ISO standard 27032. In hacia un objetivo común” [3]. La AE se ha tomado como base
addition the results obtained after the application of the para la definición del marco de referencia de ciberseguridad,
framework are presented to local business context. por ello, nos hemos basado en el método de desarrollo de
arquitectura ADM-TOGAF, el mismo que estipula un
Keywords – Cybersecurity, Enterprise Architecture, ADM,
TOGAF.
conjunto de fases que se alinearan con las técnicas, métodos,
procedimientos y normas de otros marcos de trabajo para
I. INTRODUCCIÓN ciberseguridad como COBIT 5, ISO 27001, ISO 27032 y
NIST para de esta manera proponer una solución que se pueda
El ambiente empresarial va cambiando conforme se gestionar, mantener y mejorar de forma continua. En la
adoptan nuevas tecnologías, donde se presentan oportunidades implementación del modelo de referencia de ciberseguridad
que las organizaciones deben aprovechar para mejorar su fue necesario identificar un marco de trabajo de AE adaptable,
gestión; actualmente cada organización busca alinear su que permita su integración con otros marcos, por lo cual, se
estrategia de negocio con las tecnologías de la información analizó los marcos de referencia de Zachman y TOGAF por
(TI), utilizando por ejemplo, servicios externos como la nube, ser los más difundidos a nivel comercial.
en la cual se ha visto un incremento considerable. Según Eset
[1], se espera que para el año 2016, un 36% de la información II. MARCOS DE TRABAJO DE ARQUITECTURA EMPRESARIAL
de los usuarios finales esté almacenada en la nube es así que, a
partir de todo este cambio, surge la necesidad de implementar Para trabajar con una estructura base que soporte todo el
trabajo de ciberseguridad en un entorno empresarial, se han
seleccionado dos marcos de trabajo, TOGAF y Zachman, que Gestión de riesgos x
se detallan a continuación. Adaptable a otros marcos de trabajo x
Reducción de costos x x
A. Zachman Framework Identificación de oportunidades x x
Este marco de trabajo se utiliza para realizar Luego de la comparación de los componentes se ha
“representaciones descriptivas o modelos de una empresa. tomado al marco de trabajo de TOGAF, como modelo de
Sirve fundamentalmente para implementar una AE en las referencia a seguir, considerando mayormente aspectos como
compañías, siendo el mismo marco que toda compañía grande adaptabilidad con otros marcos de referencia, basado en
o pequeña necesita aplicar conceptos de arquitectura entregables y el trabajo que realiza sobre los cuatro principios
independientemente de sus características” [4]; Zachman de AE (negocio, datos, aplicaciones y tecnología)
framework clasifica toda la estructura de una empresa de
manera inteligente y ordenada a través de seis vistas [5]: III. NORMAS Y MARCOS DE TRABAJO DE CIBERSEGURIDAD
Alcance, Modelo empresarial, Modelo de sistema de Se han considerado marcos de trabajo y normas de
información, Modelo tecnológico, Especificación detallada y ciberseguridad que se integren en el ADM de TOGAF, los
Empresa en funcionamiento. mismos se resumen a continuación:
Como tal Zachman, es un modelo de clasificación que se A. ISO/IEC 27001
encuentra en las disciplinas más maduras de arquitectura, Esta norma contiene los requisitos del sistema de gestión de
utilizado para clasificar y organizar los artefactos de diseño seguridad de la información; tiene como objetivo proporcionar
relacionados con los productos físicos y lógicos de una una metodología para la implementación de un sistema de
organización. gestión de seguridad de la información (SGSI) en una
B. TOGAF organización [7]. En esta norma existen 4 fases (planificación,
El marco de TOGAF “proporciona los métodos y implementación, revisión, mantenimiento) que se deben
herramientas para ayudar en la aceptación, producción, uso y implementar de forma constante para reducir al mínimo los
mantenimiento de una AE, se basa en un modelo de procesos riesgos en la confidencialidad, integridad y disponibilidad de la
iterativo, el apoyo de las mejores prácticas y un conjunto información. ISO 27001 especifica los requisitos necesarios
reutilizable de activos existentes” [6]. TOGAF dispone de un para establecer, implementar, mantener y mejorar un sistema
método central llamado ADM, el cual proporciona un proceso de gestión de la seguridad de la información (SGSI) mediante
repetible para el desarrollo de arquitecturas, mediante cada sus cuatro fases que son apoyadas por 130 requisitos, 14
una de sus fases: gestión de requerimientos, fase preliminar, dominios y 114 controles para seguridad de la información.
visión de arquitectura, arquitectura de negocio, arquitectura de B. ISO/IEC 27032
sistemas de información, arquitectura tecnológica, Proporciona una guía para mejorar el estado de
oportunidades y soluciones, planificación de migración, ciberseguridad, extrayendo los aspectos únicos de esta
gobierno de la implementación y gestión de cambios de la
actividad y de sus dependencias en otros dominios de
arquitectura. En resumen TOGAF es un marco de trabajo que
seguridad. Concretamente: información de seguridad,
a través del ADM y su proceso iterativo de mejora continua,
seguridad de las redes, seguridad en Internet e información de
mediante varias iteraciones implementa cada fase para la
protección de infraestructuras críticas (CIIP) [8]. ISO 27032,
construcción y mantenimiento de una AE. proporciona directrices para mejorar el estado de la
C. Comparación entre TOGAF y Zachman Framework ciberseguridad, destacando aspectos únicos de dicha actividad
Es necesario identificar el nivel de madurez empresarial y y su dependencia de otros ámbitos de seguridad [9]. Esta norma
las capacidades arquitectónicas que posee una organización, a ayuda a las organizaciones mediante sus dominios y controles,
través de las cuatro dimensiones de AE (arquitectura de en la prevención, protección y gestión de los incidentes hacia
negocio, arquitectura de información, arquitectura de los sistemas de información que se encuentran dentro del
aplicaciones y arquitectura tecnológica), de acuerdo a estas internet.
dimensiones, y desde el enfoque de construcción de una AE se C. Transformando la ciberseguridad usando Cobit 5 (TCS)
han comparado los marcos de trabajo que se detallan en la Examina el impacto del cibercrimen, basado en tres
tabla 1. factores como: conectividad permanente, una sociedad cada
TABLA 1. COMPARACIÓN ENTRE TOGAF Y ZACHMAN FRAMEWORK
vez más centrada en TI y un nuevo sistema de clasificación que
identifica a la gente por habilidades tecnológicas [10]. Esta
Marcos de trabajo
TOGAF
Zachman guía proporciona las directrices necesarias de cómo administrar
Componentes Framework y transformar la seguridad a través de COBIT 5, en donde los
Aporta beneficios de TI x x procesos de COBIT se encuentran orientados hacia la
Basado en entregables x x ciberseguridad.
Adaptable a las necesidades de una empresa x x
Gestión de infraestructura x x D. NIST - marco de trabajo para mejorar la ciberseguridad
Centrado en las actividades del negocio x de infraestructuras críticas (CS-IC)
Organización y clasificación de artefactos x x
Gestión de requerimientos x Este marco contiene un conjunto de directrices sobre
Gestión de alcance x x ciberseguridad para ayudar a proteger infraestructuras críticas,
Gestión de cambios x x y está basado en la gestión de riesgos para la ciberseguridad
[11], este marco de trabajo se compone de tres partes: el núcleo generados a partir de todo el ciclo de implementación de
del marco de trabajo, presenta estándares de la industria, ciberseguridad.
directrices y prácticas; niveles de aplicación del marco de
trabajo, que proporciona un contexto de cómo una
organización entiende y gestión el riesgo de la ciberseguridad;
perfil del marco de trabajo, representa los resultados de las
necesidades del negocio que se han seleccionado en las
categorías y subcategorías del marco de trabajo.
E. Características de los marcos de trabajo y normas de
ciberseguridad
Para la implementación de ciberseguridad es necesario
conocer los componentes que se pueden ayudar a fortalecer en
una AE, por esta razón se identifican las ventajas (ver tabla 2)
que ofrece cada marco de trabajo y norma de ciberseguridad.

TABLA 2. COMPARACION DE MARCOS DE TRABAJO Y NORMAS DE


CIBERSEGURIDAD

Normas, marcos de
ISO ISO COBIT NIST
trabajo
27001 27032 5 (TCS) (CS-IC)
Parámetros CS Figura 1 – Ciclo de vida de SABSA relacionado el ADM de TOGAF
Políticas de seguridad x x x
Preservación de CID x x x IV. INTEGRACIÓN DEL ADM DE TOGAF Y SABSA ORIENTADA
Gestión de incidentes A CIBERSEGURIDAD
x x x x
informáticos
Gestión de recursos x El ADM cuenta con un conjunto de fases que se pueden
Gestión de riesgos x x utilizar en el desarrollo de actividades, para ayudar en la
Hacking x implementación de un esquema de ciberseguridad, de esta
Seguridad de internet x x x x forma, se puede aprovechar una AE ya implementada junto a
Mejora continua x x x x
sus elementos desarrollados, para determinar un conjunto de
Software malicioso x x
Intercambio de información x x x x
controles y procedimientos que se integren en la arquitectura.
Cloud computing x Analizar el propósito que tiene
Dispositivos móviles x x cada fase dentro del ADM, Definir actividades para cada fase
Gestión de infraestructura x para obtener una idea clara de del ADM, orientadas al trabajo de
Cada marco de trabajo de ciberseguridad y seguridad de la las necesidades requeridas en ciberseguridad en AE.
información disponen de un conjunto de características que sus actividades.
fortalecen y gestionan los diferentes SI de una organización.
Obtener de cada uno de los
F. Integración de ADM-TOGAF y SABSA Comparar las caracteristicas de
marcos de trabajo y normas, los
cada marco y norma de CS,
SABSA es una metodología enfocada en el desarrollo de puntos (controles, categorias,
para asociarlas a las
procesos) que se pueden
arquitecturas de seguridad empresarial. La visión y propósito actividades definidas en el
acoplar a las necesidades de
de la integración de ambos marcos de trabajo es apoyar a los ADM.
cada actividad.
arquitectos empresariales, para tomar en cuenta la gestión del
riesgo operacional proporcionando orientación que describe
cómo TOGAF y SABSA se pueden combinar; de tal manera Integrar los puntos obtenidos
Detallar de forma clara un
de las normas y marcos de
que el riesgo de negocio, y, el enfoque de la arquitectura de ciberseguridad en las
proceso a seguir, para la
seguridad de SABSA promovida por las oportunidades, se actividades definidas para
implementacion de cada
actividad en su respectiva fase.
pueden integrar perfectamente en la estrategia de TOGAF ciberseguridad.
impulsada por el negocio [12]. En la Fig. 1 se observó el
mapeo de las fases del ADM de TOGAF, junto a la interacción
Elaborar las plantillas de
entre sus fases, con el ciclo de vida de SABSA. Cada iteración implementacion y
Implementar una herramienta
realiza un trabajo específico, en iteración de capacidad levantamiento de informacion
para validación de la guia de
arquitectónica se evalúa y define el trabajo que realizará la ciberseguridad en un entorno
de acuerdo a los procesos de
empresarial.
ciberseguridad, y, mediante que herramientas se ejecutará el cada actividad de la guía.
mismo; en la iteración de desarrollo se analiza el estado actual Figura 2 – Proceso de elaboración del modelo de ciberseguridad para AE
y el estado objetivo; además, del proceso requerido para
alcanzar dicho estado objetivo; en la iteración de planificación Para trabajar a través de cada fase del ADM es importante
de transición se evalúan los procedimientos principales para la conocer que se realizará en cada una de ellas de acuerdo a las
implementación de ciberseguridad, y en la iteración de necesidades y requerimientos de ciberseguridad, además de
gobernanza se valida que todo lo propuesto desde el inicio se saber que marcos de trabajo o normas de ciberseguridad se
haya cumplido, así mismo, como gestionar los cambios pueden utilizar. Para obtener las características de cada norma
y marco de trabajo en la elaboración del modelo de Marcos de - TOGAF y SABSA - Marcos de control [12]
ciberseguridad para AE. Se siguió un proceso, el cual se referencia de - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13].
muestra en la Fig. 2.
En cada uno de los puntos mostrados en la Fig. 2 se puede D. Arquitectura de negocio (BA)
ver que es necesario un estudio para relacionar las En esta fase se determinan las leyes y marcos de confianza,
características de cada norma y marco de trabajo, este estudio, independientemente de TI, que se encuentran dentro de la
valida que dentro de cada una de las actividades definidas arquitectura, además, se identifican los diferentes documentos
encajen los controles, características y procesos orientados a que respaldan el trabajo de ciberseguridad. En la tabla 6 se
ciberseguridad. observa cada una de las actividades junto a sus marcos de
trabajo y normas de ciberseguridad.
A. Gestión de requerimientos (RM)
Esta fase trabaja mediante un proceso dinámico la gestión TABLA 6. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE BA
de los atributos del perfil de negocio, y los requerimientos de Actividad Normas y marcos de trabajo considerados
ciberseguridad obtenidos de las partes interesadas. En la tabla Modelo de
3 se pueden ver las normas y marcos de trabajo que apoyan - Guía para el especialista - Formulario de evaluación
riesgo del
de riesgos de TI para empresas [16].
cada una de las actividades de esta fase. negocio
Leyes y - COIP - SECCIÓN TERCERA - Delitos contra la
TABLA 3. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE DE RM regulaciones de seguridad de los activos de los sistemas de
ciberseguridad información y comunicación. [17]
Actividad Normas y marcos de trabajo considerados Marcos de - TOGAF y SABSA - Marcos de control [12]
Atributos del perfil referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
- TOGAF y SABSA -Atributos de negocio de la
de negocio para ciberseguridad marcos [13].
taxonomía de SABSA [12].
ciberseguridad Modelo del
Control de - TOGAF 9.1 -Cap. 17 de Gestión de - TOGAF y SABSA - Modelo del dominio de
dominio de
requerimientos requerimientos de arquitectura [13]. seguridad [12].
ciberseguridad
Protocolos de - ISO 27001 - A.13.1.1, A.13.1.2, A.13.2.1 [18]
B. Fase Preliminar (PP) confianza - NIST (CS-IC) - (ID.AM-3) [11].
Esta fase prepara a la organización para la implementación Organización
- ISO 27001 - A.12.2.1, A.16.1.1, A.16.1.2, A.16.1.3,
del trabajo de ciberseguridad, donde se toman dos aspectos A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7 [18]
de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
principales, como: los principios de ciberseguridad y los ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11]
marcos de trabajo que se van a utilizar. En la tabla 4 se pueden - ISO 27001:2013 - A.5.1.1, A.5.1.2, A.18.2.2) [18]
ver las actividades correspondientes a esta fase, junto a las Arquitectura de
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
las políticas de
normas y marcos de trabajo de ciberseguridad. ciberseguridad
RS.MI-1, RS.MI-2, RS.MI-3 [11].
- COBIT 5 (TCS) - políticas de ciberseguridad [14].
TABLA 4. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE PP
E. Arquitectura de sistemas de información (ISA):
Actividad Normas y marcos de trabajo considerados
Comprende la arquitectura de datos y de aplicación, en
- COBIT 5 (TCS) -Apartado de principios de seguridad donde se trabaja principalmente con un análisis de brechas para
Principios de
de la información [14].
ciberseguridad
- TOGAF 9.1 -Cap. 23, principios de arquitectura [13].
identificar el estado actual, el estado objetivo y el proceso para
llegar al estado objetivo. En la tabla 7 se pueden ver las
Equipo de - TOGAF-SABSA Plan de recursos de seguridad [12].
ciberseguridad - Proceso (APO01.02) de COBIT 5 (TCS) [14].
actividades relacionadas con las normas y marcos que apoyan
Marcos de - TOGAF y SABSA - Marcos de control [12] el trabajo de ciberseguridad de esta fase.
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
ciberseguridad marcos [13]. TABLA 7. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ISA
- ISACA (RG1.1) - Desarrolla en una empresa el
Áreas de riesgo Actividad Normas y marcos de trabajo considerados
marco específico de gestión de riesgos TI [15].
Catálogo de - TOGAF 9.1 - 43.4. Taxonomía de aplicaciones de la
C. Visión de arquitectura (AV): servicios de plataforma, 43.5. detalle de la taxonomía de la
ciberseguridad plataforma [13].
En esta fase se describe de forma inicial, a través de la Clasificación
identificación de requerimientos e interesados, lo que se desea de servicios de - ISO 27001 - A.8.2.1, A.8.2.2 [18]
realizar y alcanzar con la ciberseguridad. En la tabla 5 se ciberseguridad
pueden ver las normas y marcos de trabajo que apoyan a cada Marcos de - TOGAF y SABSA - Marcos de control [12]
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
una de las actividades. ciberseguridad marcos [13].
- ISO 27001 - A.10.1.1, A.12.2.1, A.12.6.2 [18]
TABLA 5. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE AV - NIST (CS-IC) - ID.AM-4, PR.AC-3. [11]
Análisis de
Actividad Normas y marcos de trabajo considerados - COBIT 5 (TCS) - políticas de ciberseguridad -
brechas
APO02.04 “llevar a cabo un análisis de brechas”,
Partes interesadas
- TOGAF 9.1 - Cap. 24. Gestión de interesados [13] APO02.05 “Definir plan estratégico, hoja de ruta” [14]
de ciberseguridad
- ISO 27001 [18]
- COBIT 5 (TCS) - Gobernanza de ciberseguridad en Reglas y
- COBIT 5 (TCS) [14]
Requerimientos el dominio de EDM (EDM05.01, EDM02.01), y el prácticas de
- NIST (CS-IC) [11]
de ciberseguridad proceso mapeado DSS (DSS01.02) [14]. ciberseguridad
- TOGAF y SABSA - [12].
- TOGAF 9.1-17.2 Desarrollo de requerimientos [13].
F. Arquitectura tecnológica (TA) Governanza - TOGAF 9.1 - Fase planificación
Esta fase determina que estándares de seguridad son J. Gestión de cambios de la arquitectura (ACM)
necesarios para la protección de los componentes tecnológicos
Esta fase controla continuamente que el trabajo de
que soportan los SI. En la tabla 8 se pueden observar las
ciberseguridad responde a las necesidades de la organización, y
actividades junto sus normas y marcos de ciberseguridad.
que los cambios que han surgido se gestionen de manera
TABLA 8. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE TA
controlada para que no causen un impacto negativo. En la tabla
12 se encuentran los marcos y normas que soportan el trabajo
Actividad Normas y marcos de trabajo considerados de ciberseguridad de las actividades de esta fase.
Estándares de
- TOGAF y SABSA - Estándares de seguridad [12].
Ciberseguridad TABLA 12. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ACM
Reglas y
- ISO 27001 - A.14.1.2 [18]
prácticas de Actividad Normas y marcos de trabajo considerados
- NIST (CS-IC) - PR.AC-5, PR.DS-2, etc. [11].
ciberseguridad Gestión de - TOGAF 9.1 - 16.2.2. Proceso de gestión de cambios
Marcos de - TOGAF y SABSA - Marcos de control [12] cambios de la arquitectura empresarial [13].
referencia para - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
Gestión de
ciberseguridad marcos [13]. - TOGAF y SABSA: Gestión de riesgos [12].
riesgos
G. Oportunidades y soluciones (OS) - COBIT 5 (TCS) - Objetivos de gobernanza de
Gobernanza de
ciberseguridad, Gobernanza de ciberseguridad en el
Evalúa y determina la importancia de la implementación de la
dominio EDM, Gobernanza de ciberseguridad en el
ciberseguridad
los procesos más relevantes de ciberseguridad para la AE, a dominio APO [14].
través de la actividad de control de procedimientos de
oportunidades y soluciones. En la tabla 9 se puede observar el V. RESULTADOS
marco de trabajo asociado que apoya a esta actividad. Para el proceso de validación de las actividades se utilizó
una aplicación que permitió evaluar el nivel de ciberseguridad
TABLA 9. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE OS que posee una organización, a través de un conjunto de ítems
Normas y marcos de trabajo para cada actividad, donde se consideró el punto de vista de las
Actividad normas y marcos de referencia citados en cada actividad. De
considerados
Control del procedimientos de - TOGAF 9.1 – Fase E: Oportunidades acuerdo a las pruebas de verificación, en la Fig. 3 se puede
oportunidades y soluciones y soluciones [13]. observar el porcentaje de cumplimiento de ciberseguridad de
H. Planificación de la migración (MP) cada fase, dentro del caso de estudio evaluado en una
organización.
Esta fase trabaja con los riesgos, beneficios, costos y
controles asociados a la transición desde el estado actual al
estado objetivo, a través de la actividad de control de
migración. En la tabla 10 se puede el marco de trabajo que
apoya a esta actividad.

TABLA 10. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE MP

Actividad Normas y marcos de trabajo considerados


Control de - TOGAF 9.1 – Fase F: Planificación de la
migración migración [13].

I. Gobierno de la implementación (IG)


Esta fase asegura que la implementación del proyecto esté
de acuerdo a lo planificado, y, que se garantice que los
procesos y sistemas se adhieran a la arquitectura de seguridad o Figura 3 – porcentaje de cumplimiento de ciberseguridad de acuerdo a cada
seguridad de la información en general. En la tabla 11 se fase de la guía
observa las normas y marcos de trabajo que apoyan las
actividades de ciberseguridad de esta fase. Como se observa en la Fig. 3 normalmente no se lleva un
trabajo de ciberseguridad de acuerdo a las actividades
TABLA 11. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE IG planteadas para el caso evaluado, en donde intervienen las
Actividad Normas y marcos de trabajo considerados
normas y marcos de trabajo de cada actividad; lo se ve
- COBIT 5 (TCS) - Gestión de ciberseguridad,
reflejado en los porcentajes que representan las actividades de
Gestión de oportunidades y soluciones y planificación de la migración.
Controles de seguridad existentes, Procesos de
ciberseguridad
aplicación de ciberseguridad [14].
- OWASP, guía de pruebas [19].
En la Fig. 4 se puede ver la fase de gestión de
Auditoría de - ISO 27001 - A.5.1.2, A.18.2.2. [18]. requerimientos que muestra los ítems, que han sido cumplidos
ciberseguridad - COBIT 5 (TCS) - Auditoria y revisión de la y los que aún no se han cumplido; la validación de esta fase
ciberseguridad [14]. muestra que la mayoría de los ítems evaluados no han sido
Implementar cumplidos, lo que refleja un bajo control en cada una de las
conciencia en - COBIT 5 (TCS) - Conciencia de seguridad [14]. fases del ADM.
ciberseguridad
La importancia que se dé al trabajo y gestión de
ciberseguridad es un tema que debe ser considerado, desde el
nivel más alto de la cadena de mando hasta el más bajo, donde
se lleve una comunicación fluida para actuar ágilmente ante el
riesgo de ataques informáticos, y así mismo resolverlos. Esta
importancia va ligada desde los principios y requerimientos de
ciberseguridad, para así tener claro el trabajo de la
ciberseguridad y lo que se tratara de resolver con la misma.
REFERENCIAS

[1] Equipo de Investigación de ESET Latinoamérica, «Pérdida de


Figura 4 – Items cumplidos y no cumplidos en la fase de gestión de privacidad y mecanismos para proteger la información en internet,»
requerimientos p. 4, 2014.
[2] X. Servitja Roca, «Ciberseguridad, contrainteligencia y operaciones
En la iteración de evaluación de capacidad arquitectónica, encubiertas en el programa nuclear de irán,» IEEE, 7 Mayo 2013.
donde están las actividades de la fase preliminar que alcanza un [3] E. Niemi y S. Pekkola, «Enterprise Architecture Quality Attributes:
52% y la fase de visión de arquitectura que alcanza un 55%, A Case Study,» Computer Society, p. 3878, 2013.
son las fase que cuentan con un mayor porcentaje de [4] N. León Beltrán, Y. Toapanta Bastidas, R. Delgado Rodríguez y D.
cumplimiento, las mismas que tienen el objetivo de verificar Marcillo Parra, Metodología para la creación de arquitecturas de
información empresarial para pequeñas y medianas empresas
que estén claros los lineamientos necesarios para iniciar el (Pyme's) apoyada en las TIC'S y herramientas web 2.0 y 3.0, 2010,
trabajo de implementación de ciberseguridad. Dentro de la p. 79.
evaluación de la iteración de desarrollo se encuentran las fases [5] J. Osorio, «Togaf y Zachman Framework,» pp. 19 - 20, 2010.
de arquitectura de negocio, arquitectura de SI y la arquitectura [6] The Open Group and The SABSA Institute, «TOGAF Architecture
tecnológica. Hay que prestar mucha atención a esta iteración, Development Method (ADM),» 2011.
puesto que el cumplimiento de la misma determina que existan [7] 27001 Academy, «27001 Academy,» 2013. [En línea]. Available:
los controles y procesos necesarios de ciberseguridad en los http://www.iso27001standard.com/es/que-es-la-norma-iso-27001.
servicios y SI de la organización, que dentro del caso evaluado [Último acceso: 5 Noviembre 2013].
solo alcanza un porcentaje que esta alrededor del 25%. En la [8] ISO 27000.ES, «ISO/IEC 27032,» 16 julio 2012. [En línea].
iteración de transición interviene la fase de oportunidades y Available: http://www.iso27000.es/iso27000.html. [Último acceso:
soluciones y la fase de planificación de la migración, las 16 Noviembre 2014].
mismas que priorizan los procesos a implementar. [9] ISO, «ISO/IEC 27032:2012,» ISO / IEC 27032:2012, 2012. [En
línea]. Available:
VI. CONCLUSIONES http://www.iso.org/iso/catalogue_detail?csnumber=44375.
Una organización que cuente con una AE formalmente [10] ISACA, «New COBIT 5 Guide Identifies Top Three Cybersecurity
Game Changers,» 19 Junio 2013. [En línea]. Available:
definida facilita la integración de ciberseguridad, dentro de la http://www.isaca.org/About-ISACA/Press-room/News-
misma, debido a que se aprovechan los procesos trabajados Releases/2013/Pages/New-COBIT-5-Guide-Identifies-Top-Three-
dentro de ella. De acuerdo al caso de estudio se observa que si Cybersecurity-Game-Changers.aspx. [Último acceso: 11 Octubre
los procesos de AE, no han sido trabajados formalmente 2014].
afectan a cada una de las fases y se refleja en el nivel de la [11] NIST, «Framework for Improving Critical Infraestructure
ciberseguridad. Cybersecurity,» 12 Febrero 2014. [En línea]. [Último acceso: 10
Octubre 2014].
La flexibilidad proporcionada por el ADM-TOGAF y su [12] The Open Group TOGAF-SABSA Integration Working Group,
capacidad para trabajar con otras normas y marcos de trabajo, «TOGAF and SABSA Integration,» 2011. [En línea]. [Último
permiten adaptar las actividades requeridas de ciberseguridad acceso: 3 Noviembre 2014].
en cada una de sus fases. Los controles, técnicas y procesos de [13] The open Group, «The open Group,» 2011. [En línea]. Available:
estas normas y marcos de trabajo de COBIT 5, ISO 27001, ISO http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html.
27032 y NIST, permitieron elaborar un marco de referencia de [Último acceso: 11 Febrero 2014].
ciberseguridad para trabajar dentro del entorno de una AE; en [14] ISACA, «Transforming Cybersecurity Using COBIT 5,» 2013. [En
donde cada actividad que se validó en el caso de estudio, y que línea]. [Último acceso: 18 Julio 2014].
no haya sido cumplida de acuerdo a las normas y marcos de [15] ISACA, «Marco de riesgos de TI,» 2009. [En línea]. [Último acceso:
trabajo propuestos, representan un punto bajo dentro de la fase 14 Noviembre 2014].
a la que pertenecen y por consiguiente en el modelo. [16] ISACA, «The Risk IT Practitioner Guide,» 2009. [En línea]. [Último
acceso: 17 Octubre 2014].
La evaluación que se realiza mediante el análisis de [17] Ministerio de Justicia, Derechos Humanos y Cultos, Código
brechas, durante la fase de Arquitectura de SI para identificar el Orgánico Integral Penal (COIP), Quito, Pichincha, 2014, pp. 93 - 95.
estado actual y así definir un estado objetivo, debe ser una [18] ISO, «ISO/IEC 27001:2013 - Information technology -- Security
prioridad para mejorar la seguridad en los controles de los SI, techniques -- Information security management systems --
más los puntos elaborados dentro de las políticas de Requirements,» 25 Septiembre 2013. [En línea].
ciberseguridad de la fase de Arquitectura de Negocio, que [19] OWASP, «OWASP Testing Guide v4,» 17 Mayo 2014. [En línea].
determinan el horizonte a alcanzar con la ciberseguridad. [Último acceso: 6 Julio 2014].
View publication stats

You might also like