Resumen NIST, COBIT, ITI

ETAPA 2: RESUMEN DE LOS MARCOS DE TRABAJO DE SEGURIDAD INFORMÁTICA NIST, COBIT, ITIL

[pic 1]

JHON DAWINSON MORENO PEREA

Edilberto Bermúdez Penagos

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

2021

RESUMEN DE LOS MARCOS NIST, COBIT, ITIL

Las normas, marcos y estándares NIST, COBIT, ITIL; son una serie de referencias y controles relacionados con la implementación en la Seguridad del Sistema Informático. Es importante conocer a profundidad los lineamientos que posee cada uno de estos referentes.

• NIST (INSTITUTO NACIONAL DE ESTÁNDARES Y TECNOLOGÍA):

El NIST es de suma importancia para las diferentes Organizaciones independientemente de su tamaño, porque ayuda a una mejor lectura de los riesgos asociados a la ciberseguridad, a su vez administrar, reducir y proteger sus redes y datos frente a los riesgos o incidentes externos o internos. La utilización de este Marco no es de carácter obligatorio es decir no requiere certificación por parte del negocio, este fomentara la utilización de las mejores prácticas permitiendo un enfoque claro en dónde tiene que concentrar su tiempo y los recursos monetarios en la protección de la ciberseguridad^[1].

El Marco se compone de tres (3) partes fundamentales que son:

• Núcleo del Marco: Son diferentes actividades de seguridad cibernética, resultados deseados y referencias aplicables más habituales en los campos de infraestructura crítica. Este Marco está conformado por estándares, directrices y prácticas de la gestión del riesgo de una manera que permite la comunicación de las actividades y los resultados de seguridad cibernética en toda la organización, abarcando desde el nivel ejecutivo hasta la implementación^[2].

El Núcleo del Marco está conformado por los siguientes elementos:

Las Funciones: Son aquellas que organiza las actividades básicas en su nivel más alto de Seguridad cibernética, cuyas funciones se destacan por cinco (5) funciones simultáneas y continuas las cuales son:

1. Identificar: Busca realizar una comprensión organizacional que permita administrar el riesgo de seguridad cibernética para sistemas, personas, activos, datos y capacidades.

1. Proteger: Permite implementar y ejecutar medidas de seguridad adecuadas, la cuales garanticen la entrega de servicios críticos^[3].

1. Detectar: Realiza e implementa actividades idóneas que permiten identificar la ocurrencia de un evento de seguridad cibernética.

1. Responder: Permite desarrollar y ejecutar actividades eficaces para establecer medidas frente a un incidente detectado de seguridad cibernética.

1. Recuperar: Su objetivo es desarrollar e implementar acciones apropiadas que permitan la recuperar o restablecer los servicios que se hayan afectado por causa de un incidente de seguridad cibernética.

EJEMPLO DE APLICACIÓN DE LAS CINCO (5) FUNCIONES

[pic 2]

[pic 3]

Niveles de implementación del Marco: Este Marco comprende los siguientes niveles:

• Nivel 1 - Parcial: El proceso de gestión de riesgos de seguridad cibernética no están establecidas, por lo tanto, cuando se presenten riesgos en las organizaciones esto deberán ser tratado de forma ad hoc “para este propósito, o para esto”^[4]. Es importante resaltar que no siempre las actividades de seguridad cibernética, están directamente notificada por los objetivos de riesgo de la organización en el ámbito de la amenaza.

• Nivel 2 - Riesgo Informado: Los procesos de gestión de los riesgos, son lideradas por la administración, pero en ocasiones no están establecidas como políticas de la organización.

• Nivel 3 - Repetible: Las prácticas para la gestión de riesgos de la organización son expresadas como políticas y deben ser aprobadas formalmente, y su actualización será de manera periódica “basado en la aplicación de los procesos de gestión de riesgos a los cambios en los requisitos empresariales de misión, y un panorama cambiante de amenazas y tecnología”^[5].

• Nivel 4 - Adaptable: La organización adecua sus prácticas basándose en acciones de seguridad cibernética previas y actuales incluyendo las lecciones aprendidas y los indicadores predictivos. A través de un proceso de mejora continua que incorpora prácticas y tecnologías avanzadas de seguridad cibernética.

Perfiles del Marco:

Permite a las Organizaciones establecer directrices, hoja de ruta que permita mitigar el riesgo de seguridad cibernética, la cual debe estar alineada con respecto a los objetivos organizacionales. Las “Organizaciones, pueden elegir tener múltiples Perfiles, alineados con componentes particulares y reconociendo sus necesidades individuales”^[6].

• COBIT (MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI):

Cobit es un marco de gobierno de Tecnología de la Información (TI), útil para las organizaciones debido a que les permite desarrollar, implementar y organizar planeamientos estratégicos con respecto a “la gobernanza y la gestión de procesos de TI y de los recursos de la organización”^[7].

De igual forma, este framework permite garantizar un EGIT (Gobierno Empresarial de la TI) eficaz, proporcionando así una implementación cómoda e individualizada. Encaminado a establecer el importante papel de COBIT fortaleciendo el papel continuo de COBIT como impulsor de la innovación y las transformaciones de las diferentes empresas^[8].

Principios de COBIT 2019

El marco COBIT está compuesto por dos grupos de principios los cuales son:

• Sistema de gobierno y
• Marco de gobierno.

Principios de sistema de gobierno^[9]: Existen seis principios para un sistema de gobierno:

1. Proporcionar valor a los stakeholders (partes interesadas). Debe lograrse un equilibrio entre el beneficio, el riesgo y los recursos.
2. Enfoque holístico, creado a partir de diferentes componentes conectados entre sí.
3. Sistema de gobierno dinámico. El sistema de gobierno se verá afectado si se cambian los factores de diseño.
4. Separar el gobierno de la gestión. Deben diferenciarse ambos conceptos.
5. Adaptarse (personalizarse) de acuerdo con las necesidades de la empresa, a partir de los factores de diseño.
6. Sistema integrado de gobierno. Debe enfocarse en todo el procesamiento de información y tecnología, y no solamente en TI.

Principios para un marco de gobierno^[10]:

Existen 3 principios para un marco de gobierno:

1. Basado en un modelo conceptual, conformado por componentes y sus relaciones.
2. Abierto y flexible, que permita incorporar nuevos contenidos y asuntos.
3. Alineado con las principales normativas (estándares, marcos y regulaciones).

• ETAPA EVOLUTIVA DEL MARCO COBIT^[11]:

• ITIL (INFRAESTRUCTURA DE TECNOLOGÍA DE LA INFORMACIÓN).

El Marco ITIL es considerado como las guías especializadas en la planeación, suministro y soporte de servicios de la Tecnología de la Información, resumido en mejores prácticas para el área de gerencia de servicios; proporcionando una serie de parámetros como los roles, tareas, procedimientos y responsabilidades que resultan efectivas para las organizaciones.

...