Implementación del

Marco de
Ciberseguridad de NIST

[Link]/cyber
Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez
Implementación del Marco de Ciberseguridad de NIST

Acerca de ISACA®
Con más de 115.000 integrantes en 180 países, ISACA ([Link]) ayuda a líderes empresariales
y de TI a confiar y maximizar el valor de la información y de los sistemas de información. Fundada en
1969, ISACA es una fuente fiable de conocimiento, normas, comunidad y desarrollo profesional para las
personas que se dedican al gobierno, privacidad, riesgos, seguridad, evaluación y auditoría de sistemas
de información. ISACA ofrece Cybersecurity NexusTM, un conjunto de recursos completo para los
profesionales de ciberseguridad, y COBIT®, un marco de negocio que ayuda a las empresas a gobernar
y gestionar su información y tecnología. ISACA también promueve el avance y valida las habilidades y
conocimientos críticos del negocio, a través de las credenciales: Certified Information Systems Auditor®
(Auditor de Sistemas de Información Certificado (CISA®), Certified Information Security Manager®
(Gerente Certificado de Seguridad de la Información) (CISM®), Certified in the Governance of Enterprise
IT® (Certificado en Gobierno de Tecnologías de la Información Empresarial) (CGEIT®) y Certified in
Risk and Information Systems ControlTM (Certificado en Riesgo y Control de Sistemas de Información)
(CRISCTM). La asociación tiene más de 200 capítulos en todo el mundo.

Descargo de responsabilidad
ISACA ha diseñado y creado Implementación del Marco de Ciberseguridad de NIST (el “Trabajo”), ante
todo como un recurso educativo para profesionales relacionados con el aseguramiento, gobierno, riesgo
y seguridad. ISACA no afirma que el uso de cualquier componente del “Trabajo” asegure un resultado
exitoso. El “Trabajo” no debe ser considerado como inclusivo de toda la información, procedimientos y
pruebas apropiadas, ni tampoco como excluyente de otra información, procedimientos y pruebas que se
aplican razonablemente para obtener los mismos resultados. Para determinar la pertinencia de cualquier
información específica, procedimiento o prueba, los profesionales relacionados con el aseguramiento,
gobierno, riesgo y seguridad deberán aplicar su propio criterio profesional a las circunstancias específicas
presentadas por los sistemas particulares o por el entorno de tecnología de la información.

Reserva de Derechos
© 2014 ISACA. Todos los derechos reservados.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 [Link].
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@[Link]
Página web: [Link]

Envíe sus comentarios: [Link]/US-cyber-implementation

Participe en el Centro de Conocimientos de ISACA: [Link]/knowledge-center
Siga a ISACA en Twitter: [Link]
Únase a ISACA en LinkedIn: ISACA (Oficial), [Link]
Me gusta ISACA en Facebook: [Link]/ISACAHQ

Implementación del Marco de Ciberseguridad de NIST

ISBN 978-1-60420-621-0

2 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Agradecimientos

Agradecimientos
Equipo de Desarrollo
Greg Witte, CISM, CISSP-ISSEP, PMP, G2 Inc., [Link].
Tom Conkle, CISSP, G2 Inc., [Link].

Participantes del Taller

Louis Aponte, ITIL, Weber State University, [Link].
Raymond R. Czech, CISSP, Las Vegas Sands Corp., [Link].
Christopher J. Egan, CISA, CRISC, IBM, [Link].
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, PMP, Mittal Technologies, [Link].
Carlo Morgano, CISA, CGEIT, CRISC, EQT Corporation, [Link].
Tim Virtue, [Link], [Link].
Ernest W. Wohnig III, CISM, PMP, System 1 Inc., [Link].

Revisores Expertos
Jim W. Gearhart, CISA, CGEIT, CRISC, Banco de la Reserva Federal de Richmond, [Link].
Norman Kromberg, CISA, CGEIT, CRISC, CQA, NBE, ACI Worldwide, [Link].
Theodore Lloyd, CISM, NTT Com Security, [Link].
Jeff Lukins, CISA, CISSP, CIPP/IT, CEH, MCSE, MSE, Dynetics, [Link].
Vincent Orrico, Ph.D., CISA, CGEIT, CRISC, CBCLA, CBCP, C|CISO, CISSP, PMP,
Teachers College, Columbia University, [Link].
T.J. Short, Global Cash Access, EE. UU.

Consejo de Dirección de ISACA

Robert E Stroud, CGEIT, CRISC, CA, [Link]., Presidente Internacional
Steven A. Babb, CGEIT, CRISC, ITIL, Vodafone, Reino Unido, Vicepresidente
Garry J. Barnes, CISA, CISM, CGEIT, CRISC, BAE Systems Detica, Australia, Vicepresidente
Robert A. Clyde, CISM, Adaptive Computing, [Link]., Vicepresidente
Ramses Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Six Sigma Black Belt, Dell, España,
Vicepresidente
Theresa Grafenstine, CISA, CGEIT, CRISC, CGAP, CGMA, CIA, CPA, Cámara de Representantes de
[Link]., [Link]., Vicepresidente
Vittal R. Raj, CISA, CISM, CGEIT, CRISC, CFE, CIA, CISSP, FCA, Kumar & Raj, India,
Vicepresidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia,
Expresidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Co., [Link]., Expresidente Internacional
Debbie A. Lew, CISA, CRISC, Ernst & Young LLP, [Link]., Director
Frank K.M. Yam, CISA, CIA, FHKCS, FHKIoD, Focus Strategic Group Inc., Hong Kong, Director
Alexander Zapata Lenis, CISA, CGEIT, CRISC, ITIL, PMP, Grupo Cynthus S.A. de C.V.,
México, Director

Comité de Conocimiento
Steven A. Babb, CGEIT, CRISC, ITIL, Vodafone, Reino Unido, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Neil Patrick Barlow, CISA, CISM, CRISC, CISSP, IntercontinentalExchange, Inc. NYSE, Reino Unido
Charlie Blanchard, CISA, CISM, CRISC, ACA, CIPP/E, CIPP/US, CISSP, FBCS, Amgen Inc., [Link].
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, [Link].
Anthony P. Noble, CISA, Viacom, [Link].
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Ivan Sanchez Lopez, CISA, CISM, CISSP, ISO 27001 LA, DHL Global Forwarding & Freight, Alemania

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 3

Implementación del Marco de Ciberseguridad de NIST

Agradecimientos (continuación)
Grupo de Trabajo de Ciberseguridad
Eddie Schwartz, CISA, CISM, CISSP, MCSE, PMP, [Link]., Presidente
Manuel Aceves, CISA, CISM, CGEIT, CRISC, CISSP, FCITSM, Cerberian Consulting,
SA de CV, México
Sanjay Bahl, CISM, CIPP, India
Neil Patrick Barlow, CISA, CISM, CRISC, CISSP, IntercontinentalExchange, Inc. NYSE, Reino Unido
Brent Conran, CISA, CISM, CISSP, [Link].
Derek Grocke, HAMBS, Australia
Samuel Linares, CISA, CISM, CGEIT, CRISC, CISSP, GICSP,
Centro de Ciberseguridad Industrial (CCI), España
Marc Sachs, Verizon, [Link].

4 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Índice

Contenido
Resumen Ejecutivo............................................................................................................................. 9

Capítulo 1. Introducción................................................................................................................... 11
Antecedentes.................................................................................................................................... 11
Gobierno y Gestión de la Tecnología de Información de la Empresa............................................ 12
Introducción al Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica................ 13
Introducción a COBIT 5.................................................................................................................. 16
Gobierno y Gestión de COBIT 5......................................................................................... 17
Cascada de Metas de COBIT 5............................................................................................ 17
Catalizadores de COBIT 5................................................................................................... 17
Modelo de Referencia de Procesos de COBIT 5................................................................. 18
Guía de Implementación de COBIT 5................................................................................. 20
Alcance y Enfoque.......................................................................................................................... 20

Capítulo 2. Introducción al Marco de Ciberseguridad de NIST 1.0................................................... 23

Antecedentes del Marco.................................................................................................................. 23
Coordinación de la Implementación del Marco............................................................................. 27
Marco Básico................................................................................................................................... 29
Niveles de Implementación del Marco........................................................................................... 32
Perfiles del Marco............................................................................................................................ 35
Consideraciones de Riesgo de COBIT y el MCS........................................................................... 36
La Perspectiva de la Función de Riesgo......................................................................................... 37
La Perspectiva de la Gestión de Riesgo.......................................................................................... 38

Capítulo 3. Implementación del Marco............................................................................................ 41

Relación entre la Cascada de Metas de COBIT 5 y el MCS.......................................................... 41
Paso 1 del MCS: Establecer la Prioridad y el Alcance.................................................................. 43
Paso 2 del MCS: Orientar, y paso 3: Crear un Perfil Actual........................................................ 47
Paso 4 del MCS: Realizar una Evaluación de Riesgo, y paso 5: Crear un Perfil Objetivo......... 51
Paso 6 del MCS: Determinar, Analizar y Priorizar las Diferencias.............................................. 55
Paso 7 del MCS: Implementar el Plan de Acción.......................................................................... 59
Revisión del Plan de Acción del MCS............................................................................................ 66
Gestión del Ciclo de Vida del MCS................................................................................................ 68

Capítulo 4. Comunicar los Requerimientos de Ciberseguridad a las Partes

Interesadas....................................................................................................................................... 75

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 5

Implementación del Marco de Ciberseguridad de NIST

Apéndice A: Marco Básico...............................................................................................................77

Apéndice B: Plantilla del Perfil Detallada.........................................................................................95

Apéndice C: Carta de Presentación del Marco.................................................................................99

Apéndice D: Plan de Acción...........................................................................................................103

Apéndice E: Consideraciones para los Sectores de Infraestructura Crítica..................................105

6 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Lista de Figuras

Lista de Figuras
Figura 1: Implementación del MCS: Público Objetivo y Beneficios............................. 12
Figura 2: Agencias específicas del Sector tal y como se describen en PPD-21............. 14
Figura 3: Familia de Productos COBIT 5....................................................................... 16
Figura 4: Áreas Clave de Gestión y Gobierno de COBIT 5........................................... 19
Figura 5: Modelo de Referencia de la Práctica de COBIT 5.......................................... 19
Figura 6: Visión General de la Implementación del Marco de Ciberseguridad
COBIT 5.......................................................................................................................... 21
Figura 7: Consideraciones del Marco Inicial de NIST................................................... 24
Figura 8: Comparación de los Pasos de Implementación del MCS con los Principios de
COBIT 5.......................................................................................................................... 25
Figura 9: Comparación de los Roles del MCS y COBIT............................................... 28
Figura 10: Información del MCS y Flujos de Decisión Dentro de una Organización.. 29
Figura 11: Componentes del Marco Básico.................................................................... 30
Figura 12: Identificadores y Categorías del Marco Básico............................................ 32
Figura 13: Niveles de Implementación del Marco......................................................... 33
Figura 14: Dualidad del Riesgo...................................................................................... 37
Figura 15: Alcance de COBIT 5 para Riesgos................................................................ 38
Figura 16: Visión General de la Cascada de Metas de COBIT 5................................... 42
Figura 17: Escala de Calificación de Logros.................................................................. 48
Figura 18: Escala de Calificación de Logros................................................................. 52
Figura B.1: Plantilla de Metadatos del Perfil.................................................................. 95
Figura B.2: Puntos de Datos del Perfil Actual................................................................ 96
Figura B.3: Puntos de Datos del Perfil Objetivo............................................................ 97
Figura D.1: Puntos de Datos del Plan de Acción.......................................................... 104

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 7

Implementación del Marco de Ciberseguridad de NIST

Página dejada intencionalmente en blanco

8 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Resumen Ejecutivo

Resumen Ejecutivo
La información es un recurso clave para todas las organizaciones. La tecnología operacional
(TO) y la tecnología de la información (TI) que dan soporte a la información son cada vez más
avanzadas, ubicuas y tienen cada vez más conectividad. También sufren un aumento creciente
de ataques. Asaltos destructivos contra las industrias financieras, de bienes y energéticas
indican la necesidad de una dedicación renovada a la gestión de los riesgos relacionados con la
tecnología a un nivel aceptable. Muchas organizaciones reconocen este desafío, pero necesitan
ayuda para trazar un mapa de ruta para proteger los activos valiosos del negocio. Necesitan
un enfoque basado en el éxito de otros a través de procesos gestionables y una mejora
medible. Este documento describe las prácticas probadas para explotar las oportunidades a
través de una mejor comprensión del riesgo de la organización y procesos de gestión activa.
Esta guía permite al lector implementar los métodos de ISACA como una forma efectiva de
usar el Marco de Ciberseguridad (descrito en el siguiente párrafo). La aplicación de estos
componentes permite la comunicación acerca de prioridades y actividades en términos del
negocio, convirtiendo riesgos potenciales de la organización en ventajas competitivas.

En 2013, el presidente Obama emitió la Orden Ejecutiva (OE) 13636, Mejoranado la

Ciberseguridad de las Infraestructuras Críticas. La OE llamaba al desarrollo de un marco
de ciberseguridad voluntario basado en el riesgo (el Marco de Ciberseguridad o MCS) que
fuera “priorizable, flexible, repetible, basado en el rendimiento y rentable”. El MCS fue
desarrollado a través de una conjunto de grandes y pequeñas organizaciones internacionales,
incluyendo a los dueños y operadores de las infraestructuras críticas de la nación, y liderada
por el National Institute of Standards and Technology (NIST). El MCS provee un enfoque
basado en el riesgo que permite el éxito rápido y los pasos necesarios para mejorar la madurez
de la ciberseguridad. Debido a que estos valores reflejan el gobierno y los principios de
gestión que ISACA ha acogido durante muchos años, las prácticas de ISACA representaron
un encaje natural como mapa de ruta de implementación. ISACA participó en el desarrollo del
MCS y ayudó a insertar principios claves del marco COBIT dentro del esfuerzo guiado por la
industria. Debido a esta armonía, la implementación del MCS usando procesos de ISACA es
constante y permite los resultados prometidos por el Marco de Ciberseguridad mientras hace
uso de las lecciones aprendidas a lo largo de cincuenta años de éxito de ISACA.

Esta guía se correponde con cada uno de los pasos y actividades del MCS, extendiendo la
guía del MCS con actividades prácticas y medibles. Alcanzar los objetivos del MCS utilizando
los métodos de ISACA facilita el uso de la comprensión del riesgo de la organización dentro
de un contexto de negocio, permitiendo a la organización ser proactiva y competitiva. Este
enfoque, a su vez, proporciona valor proactivo a las partes interesadas de la organización,
traduciendo las metas de negocio de alto nivel en objetivos gestionables y específicos en lugar
de un modelo de cuestionarios desconectados.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 9

Implementación del Marco de Ciberseguridad de NIST

Mientras que el MCS fue originalmente ideado para apoyar los proveedores de infraestructura
crítica, es aplicable a cualquier organización que desee mejorar la gestión y reducir los
riesgos de ciberseguridad. Prácticamente todas las organizaciones, de una manera u otra,
forman parte de una infraestructura crítica. Cada una está conectada a funciones críticas como
consumidores a través de la economía mundial, a través de los servicios de telecomunicaciones
y de muchas otras maneras. La mejora en la gestión de riesgos por parte de cada miembro de
este ecosistema reducirá, en última instancia, el riesgo global de ciberseguridad.

Como participantes clave en el desarrollo del MCS, incluyendo un rol activo en talleres
nacionales, ISACA aporta un entendimiento único y valioso sobre cómo implementar el
Marco de Ciberseguridad. Este entendimiento es presentado a través de la orientación y las
plantillas proporcionadas en este documento. Por ejemplo, mientras que el MCS provee
referencias a importantes controles de ciberseguridad, los procesos de ISACA ayudan a
aplicarlos a través de conceptos tales como la cascada de metas de COBIT. La cascada
de metas apoya la identificación de las necesidades de las partes interesadas y las metas
empresariales, logradas mediante resultados técnicos, los cuales, a su vez, apoyan el uso
exitoso de procesos facilitadores y estructuras de la organización. A través de la provisión
de procesos prácticos, el lector estará de esta forma guiado hacia la obtención de resultados
del MCS de una forma más medible que, si lo hiciera sin estos procesos subyacentes. Esta
aplicación dará como resultado una organización que, comprende el riesgo potencial (así
como los impactos potenciales asociados) y está preparada para lidiar con circunstancias
imprevistas, ayudando a minimizar pérdidas y obtener una ventaja competitiva.

10 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

Capítulo 1. Introducción
Antecedentes
Las amenazas a los sistemas de seguridad de la información no son nuevas; ISACA se
constituyó hace casi cincuenta años para hacer frente a la necesidad de una fuente centralizada
de información y que a su vez orientara sobre la seguridad de los sistemas informáticos. Los
ataques de ciberseguridad actuales presagian otros todavía más amenazantes, tal y como lo
evidencian los recientes ataques disruptivos de denegación de servicio perjudiciales contra
la industria financiera de Estados Unidos que ralentizó la actividad de 15 de los bancos más
grandes de Estados Unidos durante cientos de horas.1 Los atacantes están organizados y
cuentan con un apoyo adecuado, haciendo uso de métodos sofisticados que dejan muy atrás
las acciones de los hackers de principios del siglo XXI. Al mismo tiempo, la sociedad es
altamente dependiente de la tecnología, y la conectividad y el intercambio de información
son cada vez más vitales. Mientras que los dispositivos móviles continúan proliferando y
el Internet de las Cosas sigue evolucionando, la necesidad de protegerse de los ataques de
ciberseguridad es cada vez más importante.

Para ayudar a atender estas necesidades, ISACA ha desarrollado una nueva plataforma de
conocimiento de seguridad y un programa profesional de ciberseguridad. El Cybersecurity
Nexus (CSX), desarrollado en colaboración con expertos de ciberseguridad de las compañías
líderes en todo el mundo, proporciona programas innovadores de liderazgo de pensamiento,
capacitación y certificación para profesionales que impulsan la ciberseguridad hacia el futuro.
Como parte del conocimiento, de las herramientas y de la orientación que CSX proporciona,
ISACA ha desarrollado esta guía para la implementación del Marco para Mejorar la
Ciberseguridad de la Infraestructura Crítica (el Marco de Ciberseguridad, Cybersecurity
Framework, o MCS) de NIST.

Mientras que el MCS fue creado originalmente en apoyo a los proveedores de infraestructura
crítica, es aplicable a cualquier organización que desee mejorar la gestión y disminuir los
riesgos de ciberseguridad. Casi todas las organizaciones, de alguna manera, soportan una
infraestructura crítica. Cada una está conectada a funciones y servicios críticos como
consumidor, a través de la economía mundial, a través de los servicios de telecomunicaciones
y de muchas otras maneras. La gestión de riesgos mejorada por cada implementador, en última
instancia, reducirá el riesgo global de ciberseguridad.

Esta guía de implementación aborda los requerimientos técnicos y de negocio para aplicar
el MCS, haciendo uso de prácticas, principios y documentos seleccionados, como los
desarrollados por el IT Governance Institute2 (ITGI). El público previsto abarca desde el
consejo y la dirección ejecutiva hasta los operadores técnicos y personal de mantenimiento.
La figura 1 identifica varias de las funciones/roles clave y el beneficio que cada uno recibe
del MCS. Mientras que estos roles claves son aplicables a todos los sectores e industrias, es
posible que para alinearse con las funciones y roles organizacionales específicos sea necesaria
una adaptación específica.

1
 e describen recientes ataques contra la infraestructura de la banca de Estados Unidos, por ejemplo, en [Link]/video/nightly-
S
news/51435096 y [Link]/Advocacy/Testimonies/Documents/Johnson%20Senate%[Link],
2
ITGI fue formado por ISACA en 1998 para promover una reflexión internacional sobre Gobierno de las TI Empresariales. Existe más
información disponible en [Link].

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 11

Implementación del Marco de Ciberseguridad de NIST

Figura 1: Implementación del MCS: Público Objetivo y Beneficios

Beneficio de/Razón para
Rol del Marco Rol/Función Aplicar el Marco
Ejecutivo Consejo y Dirección • Comprensión de sus responsabilidades y roles en
Ejecutiva ciberseguridad dentro de la organización.
• Mejor comprensión de la postura de
ciberseguridad actual.
• Mejor comprensión del riesgo de ciberseguridad para
la organización.
• Mejor comprensión del estado objetivo de
ciberseguridad.
• Comprensión de las acciones requeridas para
cerrar las brechas de seguridad entre la postura de
ciberseguridad actual y el estado objetivo.
Negocio/Proceso Gerencia de TI • Concienciación de los impactos en el negocio.
• Comprensión de la relación de los sistemas de negocio
con el apetito de riesgo asociado.
Negocio/Proceso Gestión de Procesos de TI • Comprensión de los requerimientos del negocio y los
objetivos de la misión y sus prioridades.
Negocio/Proceso Gestión de Riesgos • Visión mejorada del entorno operacional para discernir
la probabilidad de un evento de ciberseguridad.
Negocio/Proceso Expertos Legales • Comprensión de las amenazas cibernéticas a las
unidades de negocio y sus objetivos de la misión.
• Comprensión de todos los requerimientos de
cumplimiento para cada unidad de negocio.
Implementación/Operador Equipo de Implementación • Comprensión de los controles de seguridad y su
importancia en la gestión de riesgos de seguridad
operacional.
• Comprensión detallada de las acciones requeridas
para cerrar las brechas en los requerimientos de
ciberseguridad.
Implementación/Operador Empleados • Comprensión de los requerimientos de ciberseguridad
para los sistemas de negocio asociados.

Gobierno y Gestión de la Tecnología de Información de la Empresa

ISACA se dedica a apoyar los conocimientos y las habilidades para ayudar a los profesionales
a determinar y alcanzar los objetivos estratégicos y obtener los beneficios del negocio
mediante el uso efectivo e innovador de la tecnología. En el contexto de este documento,
usaremos los siguientes términos para describir los planes, procesos y actividades:
• Empresa—Un grupo de personas que trabajan juntas para alcanzar un propósito común,
normalmente en el contexto de una forma de organización como una corporación, agencia
pública, caridad o fideicomiso.
• Organización—La estructura o disposición de componentes relacionados o vinculados de
una empresa definida por un alcance particular.

12 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

• Gobierno—Asegura que las necesidades, condiciones y opciones de las partes interesadas

se evalúan para determinar los objetivos empresariales equilibrados y acordados que
deben lograrse; establecer una dirección a través de la priorización y toma de decisiones; y
monitorear el desempeño y cumplimiento de la dirección y los objetivos acordados.
• Gestión—Planifica, construye, ejecuta y monitorea actividades, alineadas con la dirección
establecida por el órgano de gobierno para alcanzar los objetivos de la empresa.

Los documentos de ISACA que se mencionan en esta guía hacen referencia a la "tecnología
de la información", o TI de una forma regular. En el contexto de esta guía, TI se refiere a
los procesos y soluciones técnicos (hardware y software) que hacen posible a las funciones
del negocio alcanzar los objetivos de la empresa. Es importante tener en cuenta que, en este
contexto, tecnología incluye la tecnología operacional (TO) (por ejemplo, sistemas de control
de maquinaria automatizada) y la tecnología de información tradicional (TI) (por ejemplo,
sistemas de nómina o de correo electrónico). Los sistemas técnicos están convergiendo y los
sistemas que hacen posible el valor de la empresa se están interconectando cada vez más.
Los controladores lógicos programables que dan soporte a un proceso de fabricación, por
ejemplo, utilizan dispositivos informáticos similares a los que dan soporte a las necesidades
de impresión en una oficina, y ambos tienen una necesidad de que el gobierno de la
ciberseguridad y la gestión de procesos se lleven a cabo de forma eficaz.

La planificación y gestión de procesos descritos en esta guía de implementación pueden ser

útiles a las organizaciones en la evaluación y el soporte de la convergencia de TO y TI. A lo
largo de cada uno de los pasos de esta guía, se recomienda al lector adoptar una visión integral
de la tecnología. Por ejemplo, la determinación de los activos críticos de la organización
utiliza la práctica APO07.02 Identificar al personal clave de TI de COBIT 5. A menudo, esta
actividad tiene en cuenta la opinión de un administrador de bases de datos importantes o
de un operador de centro de datos, pero también debe tener en cuenta la opinión de quienes
mantienen los componentes de los sistemas de control industrial (SCI) importantes, cerraduras
y cámaras digitales y las operaciones de la instalación (teléfono, HVAC [calefacción,
ventilación y aire acondicionado], electricidad). Una visión amplia de la tecnología
empresarial ayudará a apoyar la gestión efectiva de la ciberseguridad en todas las actividades
de planificación, construcción, operación y supervisión.

Introducción al Marco para Mejorar la Ciberseguridad de

la Infraestructura Crítica
Reconociendo la necesidad de disponer de amplias medidas de seguridad para proteger a los
Estados Unidos frente a ataques de ciberseguridad que podrían interrumpir los servicios de
electricidad, agua, comunicación así como otros sistemas críticos, el presidente Obama de
los [Link]. emitió la orden ejecutiva (OE) 13636.3 La OE da instrucciones a la rama ejecutiva
del gobierno de los [Link]. para colaborar con los socios industriales de todo el mundo con el
objetivo de trabajar en las siguientes iniciativas:4
• Desarrollar un marco de ciberseguridad voluntario y tecnológicamente neutro.
• Promover e incentivar la adopción de prácticas de ciberseguridad.

3
 a Orden Ejecutiva (OE) 13636 está disponible en la Oficina de Prensa del Gobierno de los EE. UU. en [Link]/fdsys/pkg/FR-2013-
L
02-19/pdf/[Link]
4
Parte de la información presentada por la OE 13636 proviene de datos del Departamento de Seguridad Nacional realizada para la OE 13636
y PPD-21, disponible en [Link]/sites/default/files/publications/EO-PPD%20Fact%20Sheet%[Link].

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 13

Implementación del Marco de Ciberseguridad de NIST

• Aumentar el volumen, puntualidad y calidad del intercambio de información relativa a

ciberamenazas.
• Incorporar medidas de protección robustas para la privacidad y las libertades civiles en todas
las iniciativas para asegurar nuestra infraestructura crítica.
• Explorar el uso de las regulaciones existentes para promover la ciberseguridad.

El presidente Obama también creó la Directiva de Política Presidencial (PPD)-21: Seguridad

y Resiliencia de la Infraestructura Crítica que remplaza la Directiva Presidencial de Seguridad
Nacional 7. Da instrucciones a la rama ejecutiva del gobierno de los EE. UU. para tomar las
siguientes acciones para la infraestructura crítica de los EE. UU. (mencionadas en la figura 2):
• Desarrollar la capacidad de conocimiento de la situación que aborde, tanto los aspectos físicos
como los cibernéticos, relativos al funcionamiento de la infraestructura en tiempo casi real.
• Entender las consecuencias en cascada de los fallos de infraestructura.
• Evaluar y asegurar que madure la colaboración público-privada.
• Actualizar el Plan de Protección de Infraestructura Nacional.
• Desarrollar una investigación integral y un plan de desarrollo.

Figura 2: Agencias específicas Sectoriales tal y como se describen en la PPD-21

Sector Agencia o Agencias Específicas Sectoriales
Productos químicos Departamento de Seguridad Nacional
Instalaciones Comerciales Departamento de Seguridad Nacional
Comunicaciones Departamento de Seguridad Nacional
Fabricación Crítica Departamento de Seguridad Nacional
Presas Departamento de Seguridad Nacional
Base Industrial de Defensa Departamento de Defensa
Servicios de Emergencia Departamento de Seguridad Nacional
Energía Departamento de Energía
Servicios Financieros Departamento de la Tesorería
Alimentos y Agricultura Departamentos de Agricultura y Salud y
Servicios Humanos
Instalaciones de Gobierno Departamento de Seguridad Nacional de Estados Unidos
y Administración de Servicios Generales
Atención Sanitaria y Salud Pública Departamento de Salud y Servicios Humanos
Información y Tecnología Departamento de Seguridad Nacional
Reactores, Materiales y Residuos Nucleares Departamento de Seguridad Nacional
Sistemas de Transporte Departamentos de Seguridad Nacional y Transporte
Sistemas de Agua y de Aguas Residuales Agencia de Protección Ambiental

14 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

La sección 7 de la OE 13636 indicó al Secretario de Comercio que ordenara al NIST liderar

el desarrollo de un marco (el Marco de Ciberseguridad) para reducir el ciberriesgo de la
infraestructura crítica. El MCS incluye un conjunto de normas, metodologías, procedimientos
y procesos que alinea los enfoques político, tecnológico y de negocio para hacer frente al
ciberriesgo. La OE indica al NIST que debe incorporar normas voluntarias y consensuadas
así como mejores prácticas de la industria, y que éstas deben ser consistentes con las normas
voluntarias internacionales cuando estas normas internacionales promuevan los objetivos
de la OE.

Los criterios de éxito para el MCS fueron proporcionados en la sección 7 de la OE 13636.

Estos requieren que el MCS:
• Ofrezca un enfoque priorizado, flexible, repetible, basado en el rendimiento y la eficiencia,
que incluya medidas y controles de seguridad de la información que ayuden a los propietarios
y operadores de la infraestructura crítica a identificar, evaluar y gestionar los ciberriesgos.
• Se centre en la identificación de las normas y directrices de seguridad transversales a todos los
sectores que son aplicables a la infraestructura crítica.
• Identifique las áreas de mejora que deberían abordarse a través de la futura colaboración con
sectores particulares y organizaciones que desarrollan normas.
• Proporcione orientación tecnológicamente neutral que permita a los sectores de
infraestructura crítica beneficiarse de un mercado competitivo de productos y servicios que
cumplan con las normas, metodologías, procedimientos y procesos desarrollados para hacer
frente al ciberriesgo.
• Incluyan orientación para medir el rendimiento de una entidad en la implementación del
Marco de Ciberseguridad.

En respuesta a esta directriz, el NIST emitió una solicitud de información (RFI) en febrero
de 2013, que incuyó una gran variedad de preguntas con el objetivo de obtener información
relevante de la industria, la academia y otras partes interesadas. El NIST solicitó información
sobre cómo las organizaciones evalúan el riesgo; cómo se tiene en cuenta la ciberseguridad en
esa evaluación del riesgo; el uso actual de los marcos, normas y directrices de ciberseguridad; y
otras prácticas de gestión relacionadas con la ciberseguridad. Además, el NIST preguntó sobre
los aspectos legales/regulatorios de marcos, normas, directrices y/o mejores prácticas particulares
y los desafíos que las organizaciones percibían en el cumplimiento de requerimientos.

Posteriormente, el NIST llevó a cabo cinco talleres a lo largo de los Estados Unidos para
ajustar todavía más la retroalimentación de la industria, durante los cuales hubo una asistencia
significativa de ISACA y sus miembros. Basándose en las respuestas al RFI y los resultados
de los talleres, el NIST proporcionó un Marco de Ciberseguridad que identifica las prácticas
existentes para establecer las decisiones de gestión de riesgos de una organización relacionadas
con la prevención, detección, respuesta y recuperación de los problemas de ciberseguridad.

El NIST publicó la versión 1.0 del Marco de Ciberseguridad5 el 12 de febrero de 2014. El

MCS 1.0 identifica tres componentes: Marco Básico, Niveles de Implementación del Marco y
Perfiles del Marco. Estos tres elementos del MCS se describen con más detalle en el Capítulo 2.
5
 l Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica se puede descargar en
E
[Link]/cyberframework/upload/[Link].

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 15

Implementación del Marco de Ciberseguridad de NIST

Introducción a COBIT 5
COBIT 5 proporciona un marco de referencia exhaustivo que asiste a las empresas para
alcanzar sus objetivos de gobierno y gestión de las TI de la empresa (GEIT). Puede ser
implementado de forma gradual, comenzando con un alcance pequeño y creciendo sobre la
base de los éxitos obtenidos, o puede ser gestionado de forma holística en toda la empresa,
incorporando el negocio en su totalidad y la responsabilidad de las áreas funcionales TI.
Cualquiera que sea el enfoque, COBIT ayuda a las empresas a crear un valor óptimo de las TI
manteniendo un equilibrio entre la obtención de beneficios y la optimización de los niveles de
riesgo y el uso de recursos. COBIT 5 es genérico y útil para empresas de todos los tamaños:
empresas comerciales, empresas sin ánimo de lucro o administraciones públicas. La familia de
productos COBIT 5 se muestra en la figura 3.

Figura 3: Familia de Productos COBIT 5

COBIT® 5
Guías del Catalizador de COBIT 5
COBIT® 5: COBIT® 5: Otras guías del
Procesos Catalizadores Información Catalizadora catalizador

Guías profesionales de COBIT 5

COBIT® 5 para COBIT® 5 para COBIT® 5
Implementación de COBIT® 5 Otras guías
Seguridad de la Aseguramiento para Riesgos profesionales
Información

Entorno Colaborativo en Línea de COBIT 5

Fuente: COBIT® 5, ISACA, EE. UU., 2012, figura 1

La familia de productos COBIT 5 incluye los siguientes productos:

• COBIT 5 (el marco).
• Guías de catalizadores de COBIT5, en las que son tratados en detalle los habilitadores
de gobierno y gestión. Éstos incluyen: COBIT® 5: Procesos Catalizadores; COBIT® 5:
Información Catalizadora ; y otras guías de catalizadores relacionadas.
• Guías profesionales de COBIT 5, que incluyen:
– COBIT® 5 Implementación
– COBIT® 5 para Seguridad de la Información
– COBIT® 5 para Aseguramiento
– COBIT® 5 para Riesgos
– Otras guías profesionales

El marco COBIT 5 se basa en cinco principios clave para GEIT:

• Principio 1: Satisfacción de las Necesidades de las Partes Interesadas
• Principio 2: Cobertura de la Empresa en su Totalidad
• Principio 3: Aplicación de un Marco de Referencia Único e Integrado

16 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

• Principio 4: Facilitar un Enfoque Holístico

• Principio 5: Separar el Gobierno de la Gestión

Tomados en su conjunto, estos cinco principios permiten que la empresa construya un marco
efectivo de gobierno y gestión que optimice la inversión en, y el uso de la información y
tecnología en beneficio de las partes interesadas.

Las empresas existen para crear valor a sus partes interesadas. En consecuencia, el objetivo
de gobierno de cualquier empresa será la creación de valor. La creación de valor significa
lograr beneficios con un coste óptimo de los recursos mientras se optimiza el riesgo.
Los beneficios pueden ser variados, por ejemplo, para empresas comerciales pueden ser
beneficios financieros, mientras que para entidades de gobierno pueden ser beneficios para los
contribuyentes y un mejor servicio público .

Gestión y Gobierno de COBIT 5

El marco COBIT 5 hace una distinción clara entre gobierno y gestión. Estas dos disciplinas
abarcan distintos tipos de actividades, requieren distintas estructuras organizacionales y tienen
diferentes propósitos. El punto de vista de COBIT 5 con respecto a esta diferencia clave entre
gobierno y gestión es:
• Gobierno: El gobierno asegura que las necesidades, condiciones y opciones de las
partes interesadas son evaluadas para determinar los objetivos empresariales que deben
lograrse de manera que sean equilibrados y acordados; establecer una dirección a través
de la priorización y toma de decisiones; y supervisar el rendimiento y cumplimiento de la
dirección y los objetivos acordados.
• Gestión: La gestión planifica, construye, ejecuta y supervisa las actividades, alineadas con la
dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa.

Cascada de Metas de COBIT 5

Las necesidades de las partes interesadas tienen que transformarse en una estrategia
factible para la empresa. La cascada de metas de COBIT 5 es el mecanismo mediante el
cual se traducen las necesidades de las partes interesadas en metas específicas, factibles y
personalizadas de la empresa, metas relacionadas con TI y metas para los catalizadores. Esta
traducción permite establecer metas específicas en cada nivel y en cada área de la empresa
para dar soporte a las metas generales y a los requerimientos de las partes interesadas y, de
este modo, dar un soporte efectivo a la alineación entre las necesidades de la empresa y las
soluciones y los servicios de TI.

Catalizadores de COBIT 5
COBIT 5 proporciona una visión holística y sistemática de GEIT, basada en una serie de
catalizadores. Los catalizadores son factores que, de forma individual y colectiva, influyen
para que algo funcione; en este caso, el gobierno y la gestión de las TI de la empresa. Los
catalizadores son impulsados por la cascada de metas; es decir, las metas de más alto nivel
relacionadas con TI definen lo que los diferentes catalizadores deben alcanzar.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 17

Implementación del Marco de Ciberseguridad de NIST

El marco COBIT 5 describe siete categorías de catalizadores:

• Principios, políticas y marcos
• Procesos
• Estructuras organizacionales
• Cultura, ética y comportamiento
• Información
• Servicios, infraestructura y aplicaciones
• Personas, habilidades y competencias

Cualquier empresa debe considerar siempre un conjunto interconectado de catalizadores. Cada

catalizador:
• Necesita la retroalimentación de otros catalizadores para ser totalmente eficaz, por ejemplo,
los procesos necesitan información, las estructuras organizacionales necesitan habilidades
y comportamiento.
• Proporciona resultados que benefician otros catalizadores, por ejemplo, los procesos
proporcionan información, mientras que las habilidades y comportamientos hacen que los
procesos sean eficientes.

Modelo de Referencia de Procesos de COBIT 5

Los procesos son una de las siete categorías de catalizadores para GEIT. COBIT 5 incluye un
modelo de referencia de procesos, que define y describe en detalle una serie de procesos de
gobierno y gestión. Proporciona un modelo de referencia de procesos que representa todos
los procesos que están relacionados con actividades de TI que normalmente se encuentran
en una empresa, ofreciendo un modelo de referencia común comprensible para el personal
operacional de TI y los gerentes de negocio. El modelo de procesos propuesto es un modelo
completo e integral, pero no es el único modelo de procesos posible. Cada empresa debe
definir su propio conjunto de procesos, teniendo en cuenta la situación específica.

La incorporación de un modelo operativo y un lenguaje común para todas las partes de

la empresa que participan en actividades de TI es uno de los pasos más importantes y
críticos hacia el buen gobierno. También proporciona un marco para medir y monitorear
el rendimiento de las TI, comunicarse con los proveedores de servicios e integrar mejores
prácticas de gestión.

COBIT 5 propone que las empresas implementen procesos de gobierno y gestión de tal
manera que las áreas clave estén cubiertas, tal y como se muestra en la figura 4.

La figura 5 muestra el conjunto completo de los 37 procesos de gobierno y gestión de COBIT

5. Los detalles de todos los procesos están incluidos en COBIT 5: Procesos Catalizadores.

18 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

Figura 4: Áreas Clave de Gestión y Gobierno de COBIT 5

Necesidades del negocio

Gobierno
Evaluar

Dirigir Retroalimentación Monitorear

de la gerencia

Gerencia

Planificar Construir Ejecutar Monitorear

(APO) (BAI) (DSS) (MEA)

Fuente: COBIT® 5: Procesos Catalizadores, ISACA, EE. UU., 2012, figura 9

Figura 5: Modelo de Referencia de Procesos de COBIT 5

Procesos para el gobierno de la TI empresarial

Evaluar, dirigir y monitorear

EDM01 Asegurar el
EDM02 Asegurar la
EDM04 Asegurar la EDM05 Asegurar la
establecimiento y el EDM03 Asegurar la
entrega de beneficios
optimización de transparencia de las
mantenimiento del optimización del riesgo
recursos partes interesadas
marco de gobierno

Alinear, planificar y organizar Monitorear,

evaluar
APO01 Gestionar APO02 Gestionar APO03 Gestionar
APO04 Gestionar APO05 Gestionar APO06 Gestionar APO07 Gestionar y valorar
el marco de la estrategia la arquitectura el presupuesto y los recursos
gestión de TI empresarial la innovación la cartera
los costos humanos
MEA01 Monitorear,
evaluar y valorar
APO09 Gestionar el desempeño
APO08 Gestionar APO10 Gestionar APO11 Gestionar APO12 Gestionar APO13 Gestionar y la conformidad
los acuerdos de el riesgo la seguridad
las relaciones servicio los proveedores la calidad

Construir, adquirir e implementar

BAI03 Gestionar BAI04 Gestionar la BAI05 Gestionar BAI07 Gestionar
BAI01 Gestionar BAI02 Gestionar la identificación la habilitación la aceptación de
programas y la definición disponibilidad y BAI06 Gestionar
y creación de capacidad del cambio los cambios cambios y la MEA02 Monitorear,
proyectos de requerimientos soluciones organizacional transición evaluar y valorar
el sistema de
control interno

BAI08 Gestionar BAI09 Gestionar BAI10 Administrar

el conocimiento los activos Configuración

Entregar, dar servicio y soporte

MEA03 Monitorear,
DSS06 Gestionar evaluar y valorar
DSS01 Gestionar DSS02 Gestionar DSS05 Gestionar el cumplimiento con
las solicitudes e DSS03 Gestionar DSS04 Gestionar los servicios los controles
las Operaciones los problemas la continuidad los requerimientos
incidentes de de seguridad de procesos
de negocio externos
servicio

Procesos para la gestión de la TI empresarial

Fuente: COBIT® 5: Procesos Catalizadores, ISACA, EE. UU., 2012, figura 10

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 19

Implementación del Marco de Ciberseguridad de NIST

Guía de Implementación de COBIT 5

El valor óptimo puede realizarse haciendo uso de COBIT solamente si está eficazmente
adoptado y adaptado para satisfacer el entorno particular de cada empresa. Cada enfoque de
implementación también tendrá que abordar desafíos específicos, incluyendo la gestión de los
cambios a la cultura y a los comportamientos.

ISACA ofrece una guía de aplicación práctica y extensa en su publicación COBIT 5:

Implementación, que se basa en un ciclo de vida de mejora continua. No se pretende que
sea un enfoque prescriptivo ni una solución completa, sino más bien una guía para evitar
las dificultades más comunes, hacer uso de las buenas prácticas y ayudar en la creación
de resultados exitosos. La guía también se apoya en un conjunto de herramientas de
implementación que contiene una variedad de recursos que serán mejorados de manera
continua. Su contenido incluye;
• Herramientas de autoevaluación, medición y diagnóstico.
• Presentaciones dirigidas a diversos públicos.
• Artículos relacionados y explicaciones más detalladas.

A continuación se detallan los temas importantes cubiertos en COBIT 5: Implementación

• Creación de un caso de negocio para la implementación y mejora del gobierno y la gestión
de TI.
• Reconocimiento de los puntos débiles y los eventos desencadenantes.
• Creación del ambiente adecuado para la aplicación.
• Uso de COBIT para identificar brechas y guiar el desarrollo de catalizadores como políticas,
procesos, principios, estructuras organizacionales y roles y responsabilidades.

Alcance y Enfoque
La guía en esta publicación pretende ayudar a las organizaciones a través de pasos
comprensibles para la implementación del MCS utilizando el enfoque y los métodos de
ISACA. La guía proporciona procesos, plantillas de ejemplo y orientación para utilizar el
MCS para identificar y alcanzar los objetivos de la empresa y la organización para el gobierno
y la gestión de TI.

La información se organiza de la siguiente manera:

• Capítulo 2: Proporciona una introducción detallada al Marco de Ciberseguridad de NIST 1.0
y a sus tres componentes: Marco Básico, Niveles de Implementación y Perfiles.
• Capítulo 3: Describe el enfoque, con el apoyo de plantillas, para la implementación del
MCS para mejorar holísticamente el GEIT.
• Capítulo 4: Muestra el uso del MCS para comunicar los requerimientos de ciberseguridad
entre las partes interesadas internas y externas.
• Apéndice A: Marco Básico: Proporciona una copia del Marco Básico para referencia rápida.
• Apéndice B: Plantilla de Perfil: Proporciona una visión general de la plantilla del perfil

20 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 1. Introducción

utilizada para obtener información relacionada con el estado actual y el estado objetivo del
programa de ciberseguridad de la organización.
• Apéndice C: Carta de Presentación del Marco: Proporciona una copia del mensaje inicial
publicado para los altos ejecutivos para resumir los objetivos y las intenciones del MCS.
• Apéndice D: Plan de Acción: Proporciona consideraciones para el desarrollo de un plan de
acción para el seguimiento de acciones de cierre de diferencias.
• Apéndice E: Consideraciones para los Sectores de Infraestructura Crítica: Proporciona
consideraciones y prioridades para adaptar la implementación del MCS.

La figura 6 ofrece un resumen de este documento y la ubicación de la información para

responder a preguntas comunes sobre la implementación del MCS.

Figura 6: Visión General de la Implementación del Marco de Ciberseguridad COBIT 5

Preguntas Dónde encontrar asesoría

El Capítulo 1 define el propósito y la intención de la
¿Qué es la Orden
OE, así como las responsabilidades del NIST para
Ejecutiva (OE) 13636?
desarrollar el Marco de Ciberseguridad.

¿Cuáles son los componentes

El Capítulo 2 proporciona una visión general de las tres
básicos del Marco de
partes principales del MCS.
Ciberseguridad (MCS)?

La figura 8 proporciona un resumen de los principios de

¿Cómo los principios de
COBIT 5 alineados con el MCS. El Capítulo 3 proporciona una
COBIT 5 se alinean con
guía de implementación específica para alinear con el MCS
el MCS?
usando los principios de COBIT 5

¿Debo alinearme con El Capítulo 2 proporciona una visión general del MCS y los
el MCS? beneficios de alinearse con el MCS

El Capítulo 3 proporciona una visión general del MCS

¿Cómo puedo crear
respecto a su alineación con el proceso de implementación
un perfil para mi
de COBIT 5. El Apéndice B proporciona una visión general
organización?
del perfil y los vínculos para las plantillas de perfil.

¿Cuáles son las categorías El Capítulo 2 define las funciones y categorías descritas en
del MCS? el MCS, resumidas en la figura 12.

¿Dónde puedo encontrar

El Apéndice E define las consideraciones de
información de
implementación específicas al sector alineadas con los
implementación
Centros de Intercambio y Análisis de Información (ISACs).
específica al sector?

¿Dónde puedo encontrar Un kit de herramientas complementario está disponible en

plantillas para ayudarme línea y contiene perfiles y planes de acción para la aplicación
a implementar el MCS? del MCS.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 21

Implementación del Marco de Ciberseguridad de NIST

Esta página se dejó intencionalmente en blanco

22 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

Capítulo 2. Introducción al Marco

de Ciberseguridad 1.0 de NIST
Antecedentes del Marco
El MCS fue desarrollado en respuesta a la Orden Ejecutiva Presidencial de los EE. UU. 13636,
que declara,

“Las intrusiones cibernéticas repetidas en la infraestructura crítica demuestran

la necesidad de una ciberseguridad mejorada. La amenaza cibernética contra la
infraestructura crítica no para de crecer y representa uno de los más graves retos
de seguridad nacional que debemos afrontar.”

Las metas de la OE se alinean bien con el marco COBIT 5, que reconoce que “la información
es un recurso clave para todas las empresas”, y “la tecnología de la información ha avanzado
y su uso es generalizado en las empresas y en entornos sociales, públicos y de negocios”. La
publicación de ISACA señala que

“COBIT 5 ayuda a las empresas a crear un valor óptimo de las TI asegurando el

equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo
y el uso de recursos. COBIT 5 permite que las TIs sean gobernadas y gestionadas de
manera holística en toda la empresa, tomando plena responsabilidad de las áreas
funcionales del negocio y TI, considerando los intereses relacionados con las TI de
las partes interesadas internas y externas.

Durante un proceso de un año, el personal de NIST se reunió con socios de la industria para
considerar las respuestas al RFI de febrero de 2013, y refinar más la guía para crear un marco
basado en riesgo con el objetivo de reducirlo.

La participación en el taller y el envío de comentarios incluyeron contribuciones

significativas de las pequeñas y medianas empresa (PyME) y de las comunidades de negocios
internacionales. La diversidad de la información mejoró en gran medida la comprensión de
los retos y causas de raíz que cimientan los riesgos modernos de ciberseguridad. El soporte
diverso de la PyME contribuyó a un marco amplio y flexible. Cada respuesta del RFI y cada
comentario subsecuente sobre el taller fueron revisados y analizados por el NIST. A través
del análisis de la cobertura de respuesta en los sectores de infraestructura crítica y en los tipos
de organización, y a través de la consideración de términos y frases que identificaban los
puntos clave de respuesta, el NIST identificó concordancias y temas recurrentes (descritos
en la figura 7). Estos temas fueron utilizados e incorporados a través del MCS durante su
desarrollo.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 23

Implementación del Marco de Ciberseguridad de NIST

Figura 7: Consideraciones Iniciales del Marco de NIST

Categorías Principios del Marco Puntos Comunes Diferencias Iniciales
• Flexibilidad • Compromiso de la alta • Métricas
• Impacto en operaciones gerencia. • Privacidad/libertades civiles
globales. • Comprensión del ambiente • Herramientas
• Enfoques de gestión de de amenazas. • Dependencias
riesgos. • Riesgo del negocio/ • Mejores prácticas de la
• Uso de los enfoques, evaluación del riesgo industria
Temas

normas y mejores prácticas • Separación de sistemas de • Resiliencia

existentes. negocios y operacionales. • Nomenclatura de la
• Modelos/niveles de ciberseguridad de la
madurez. infraestructura crítica.
• Respuesta a incidentes
• Fuerza de trabajo de
ciberseguridad.
Fuente: NIST, 2013 Análisis Inicial de las Respuestas a la RFI del Marco de Ciberseguridad, EE. UU., figura 1,
[Link]

El MCS es un enfoque basado en el riesgo para la gestión de riesgos de ciberseguridad y se

compone de tres partes: Marco Básico, los Niveles de Implementación del Marco y los Perfiles
del Marco. Cada componente del MCS refuerza la conexión entre los impulsores de negocio y
las actividades de ciberseguridad.6

El Marco Básico (detallado más adelante en este documento) es un conjunto de actividades de

ciberseguridad, resultados deseados y referencias aplicables que son comunes a los sectores
de infraestructura crítica. Los Niveles de Implementación del Marco proveen el contexto
de cómo una organización ve los riesgos de ciberseguridad y los procesos establecidos para
gestionar dicho riesgo. Los Niveles describen el grado en el que las prácticas de gestión de
riesgo de la organización exhiben las características definidas en el Marco (por ejemplo,
concienciación de riesgo y amenaza, repetible y adaptativa). Los Niveles caracterizan las
prácticas de la organización dentro de un rango, desde Parcial (nivel 1) hasta Adaptativo (nivel
4). El Perfil del Marco representa los resultados de acuerdo a las necesidades del negocio
que una organización ha seleccionado de las Categorías y Subcategorías del Marco. El Perfil
puede ser caracterizado como la alineación de normas, guías y prácticas con el Marco Básico
en un escenario particular de implementación . Los Perfiles pueden usarse para identificar las
oportunidades de mejora de la postura de ciberseguridad al comparar el Perfil Actual (el estado
“como está”) con el Perfil Objetivo (el estado “a estar”).

Además de proveer un Marco de Ciberseguridad, el Marco para Mejorar la Ciberseguridad

de la Infraestructura Crítica también provee una guía de implementación básica a través de un
proceso de siete pasos.

6
NIST, Marco para Mejorar la Ciberseguridad de las Infraestructuras Críticas, [Link]/cyberframework/upload/cybersecurity-
[Link]

24 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

• Paso 1: Establecer la Prioridad y el Alcance: Requiere que la organización defina y

priorice los objetivos de la misión/negocio y las prioridades organizacionales de alto nivel.
Esta información permite a las organizaciones tomar decisiones estratégicas relacionadas
con el alcance de los sistemas y activos que dan soporte a las líneas de negocio o procesos
dentro de la organización.
• Paso 2: Orientar: Provee a las organizaciones la oportunidad de identificar amenazas y
vulnerabilidades de los sistemas identificados en el paso anterior.
• Paso 3: Crear un Perfil Actual: Identifica los requerimientos para definir el estado actual
del programa de ciberseguridad de la organización, estableciendo un perfil del estado actual.
• Paso 4: Llevar a cabo una Evaluación del Riesgo: Permite a las organizaciones llevar
a cabo un análisis de riesgo usando su actual y aceptada metodología . La información
utilizada por este paso en el proceso es usada en el paso 5.
• Paso 5: Crear un Perfil Objetivo: Permite a las organizaciones desarrollar un perfil
del estado del riesgo objetivo . El perfil del estado objetivo se centra en el análisis de
las Categorías y Subcategorías del Marco, describiendo los resultados deseados de la
ciberseguridad de la organización.
• Paso 6: Determinar, Analizar y Priorizar Diferencias: Las organizaciones llevan a cabo
un análisis de brechas para determinar las oportunidades de mejora del estado actual. Las
diferencias son identificadas al relacionar el estado actual con el estado objetivo.
• Paso 7: Implementar un Plan de Acción: Después de identificar y priorizar las diferencias,
se determinan las acciones necesarias para cerrarlas y trabajar en la obtención del estado
objetivo.

Mientras que cientos de organizaciones proveen información sobre el diseño del Marco
de Ciberseguridad, ISACA se involucró profundamente en el desarrollo del MCS en cada
etapa. Muchos principios de ISACA son visibles en los pasos de implementación del MCS.
La figura 8 ilustra algunos paralelismos entre los pasos de implementación del MCS y los
principios del marco COBIT 5.

Figura 8: Comparación de los Pasos de Implementación del MCS con los Principios de COBIT 5
Pasos de Implementación del MCS Principios de COBIT 5
Paso 1: Establecer la Prioridad y el Alcance: Dirige Principio 1: Satisfacción de las Necesidades de
a los implementadores en la identificación de objetivos las Partes Interesadas: Las empresas existen para
de negocio/misión y prioridades organizacionales de crear valor para sus grupos de interés, mediante el
alto nivel. La comprensión de esta misión es crítica mantenimiento de un equilibrio entre la realización de
para asegurar que las decisiones de riesgo resultantes beneficios, la optimización del riesgo y el uso de los
sean priorizadas y alineadas con las metas de las partes recursos. Una empresa puede personalizar COBIT 5 para
interesadas, asegurando un manejo efectivo del riesgo y que se ajuste a su propio contexto a través de la cascada
optimizando la inversión. de metas, traduciendo los objetivos de empresa de alto
nivel en objetivos específicos y gestionables y mapeando
dichos objetivos en procesos y prácticas específicas.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 25

Implementación del Marco de Ciberseguridad de NIST

Figura 8: Comparación de los Pasos de Implementación del MCS con los Principios de COBIT 5 (cont.)
Pasos de Implementación del MCS Principios de COBIT 5
Paso 2: Orientar: La organización identifica un alcance Principio 2: Cobertura de Toda la Empresa: COBIT
general del riesgo, considerando a las personas, los 5 integra el gobierno de TI de la empresa dentro del
procesos y la tecnología de la empresa junto con gobierno de la empresa:
impulsores externos tales como requerimientos de •C ubre todas las funciones y procesos dentro de la
regulación. Identifica amenazas a y vulnerabilidades de, empresa; COBIT 5 no solamente se focaliza en la
esos activos. "función TI" sino que trata a la información y las
tecnologías relacionadas como activos que deben
Paso 3: Creación de un Perfil Actual: A través del ser tratados como cualquier otro activo por cualquier
uso de una plantilla de Perfil (se provee un ejemplo más persona en la empresa.
adelante en esta publicación) la organización determina •C onsidera que todos los catalizadores del gobierno
el estado actual de los resultados de la Categoría y y gestión relacionados con las TI cubrirán toda la
Subcategoría del Marco Básico (los resultados son empresa, de inicio a fin, es decir, incluyendo a todo
análogos a los catalizadores de gobierno y gestión COBIT y a todas las personas, internas y externas, que
5) y la forma en la que cada uno de los resultados se son relevantes para el gobierno y la gestión de la
está alcanzando en el momento presente. información de la empresa y las TI relacionadas.

Paso 4: Llevar a cabo una Evaluación del Riesgo: Principio 3: Aplicación de un Marco de Referencia
La organización, guiada por sus procesos de gestión de Único e Integrado: Existen muchos estándares y
riesgo, analiza el entorno operacional para discernir la buenas prácticas relacionados con TI, cada uno de los
probabilidad de un evento de ciberseguridad y el impacto cuales brinda orientación con respecto a un subconjunto
que dicho evento podría tener. Incorporar datos de de actividades de TI. COBIT 5 se alinea con otros
riesgos, amenazas y vulnerabilidades emergentes para estándares y marcos de referencia relevantes a un
facilitar una comprensión robusta de la probabilidad y el nivel alto y, por lo tanto, puede servir como el marco de
impacto de los eventos de ciberseguridad. referencia global para la gestión y el gobierno de TI de
la empresa.
Paso 5: Crear un Perfil Objetivo: La organización
crea un Perfil Objetivo que se enfoca en el análisis de
las Categorías y Subcategorías del Marco, describiendo
los resultados de ciberseguridad deseados por la
organización. Las organizaciones pueden desarrollar
Categorías y Subcategorías adicionales para considerar
riesgos organizacionales únicos. Cuando está creando
un Perfil Objetivo, también pueden considerar influencias
y requerimientos de partes interesadas externas, tales
como entidades del sector, clientes y socios de negocio.

Paso 6: Determinar, Analizar y Priorizar las

Diferencias: La organización compara los Perfiles Actual
y Objetivo para determinar las diferencias. Crea un plan
de acción priorizado para atender dichas diferencias,
partiendo de los impulsores de la misión, análisis de
costo/beneficio y la comprensión del riesgo para alcanzar
los resultados objetivo. La organización determina los
recursos necesarios para abordar las diferencias.

26 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

Figura 8: Comparación de los Pasos de Implementación del MCS con los Principios de COBIT 5 (cont.)
Pasos de Implementación del MCS Principios de COBIT 5
Paso 7: Implementar el Plan de Acción: La Principio 4: Habilitación de un Enfoque Holístico:
organización determina qué acciones tomar en relación Una gestión y un gobierno eficiente y eficaz de TI de
con las diferencias, si las hubiera, identificadas en el la empresa requiere un enfoque holístico, que tenga
paso previo. En ese momento, monitorea sus prácticas en cuenta varios componentes que interactúen entre
actuales de ciberseguridad respecto al Perfil Objetivo. sí. COBIT 5 define un conjunto de catalizadores para
Para mayor orientación, el MCS identifica ejemplos de soportar la implementación de un sistema integral
Referencias Informativas relacionadas con las Categorías de gobierno y gestión para la TI de la empresa.
y Subcategorías, pero las organizaciones deben Generalmente, los catalizadores se definen como
determinar qué estándares, guías y prácticas, incluyendo cualquier cosa que pueda ayudar a lograr los objetivos de
aquellos que son específicos del sector, se adaptan mejor la empresa. El marco de referencia COBIT 5 define siete
a sus necesidades. categorías de catalizadores:
1. Principios, Políticas y Marcos
Una organización puede repetir los pasos tanto como 2. Procesos
se necesiten para evaluar y mejorar continuamente 3. Estructuras Organizacionales
su ciberseguridad. Por ejemplo, las organizaciones 4. Cultura, Ética y Comportamiento
pueden considerar que una mayor repetición del paso 5. Información
de Orientación mejora la calidad de la evaluación del 6. Servicios, Infraestructura y Aplicaciones
riesgo. Más aún, las organizaciones pueden monitorear 7. Personas, Habilidades y Competencias
su progreso a través de actualizaciones iterativas del
Perfil Actual, comparando subsecuentemente los Perfiles
Actual y Objetivo. Las organizaciones pueden utilizar este
proceso para alinear su programa de ciberseguridad con
el Nivel de Implementación deseado.
El Principio 5 de COBIT 5 no está directamente integrado Principio 5: Separación de Gobierno y Gestión:
y puede representar una oportunidad para la mejora del El marco de referencia COBIT 5 hace una distinción
CSF. clara entre gobierno y gestión. Estas dos disciplinas
abarcan distintos tipos de actividades, requieren
distintas estructuras organizacionales y sirven diferentes
propósitos.

Coordinación de Implementación del Marco

Otro aspecto importante del MCS es su guía con respecto a las comunicaciones de las partes
interesadas. El análisis de NIST de la retroalimentación de la industria durante el período
de desarrollo indicó que las decisiones de riesgo, en muchas organizaciones, no estuvieron
debidamente alineadas con los impulsores y objetivos de la empresa. Tal y como indica
COBIT 5 para Riesgos, cuando la capacidad y el apetito al riesgo son definidos por la directiva
y la administración ejecutiva a nivel empresarial (ver el proceso EDM03 de COBIT 5
Asegurar la optimización del riesgo), se mejoran la priorización y el proceso de aprobación de
las acciones de respuesta al riesgo.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 27

Implementación del Marco de Ciberseguridad de NIST

El flujo de información común del MCS y las decisiones en los siguientes niveles dentro de
una organización son similares a las descritas en los roles de las partes interesadas de COBIT
5, tal y como se muestra en la figura 9.

Figura 9: Comparación de los Roles del MCS y COBIT

Rol del MCS Rol de COBIT 5
Nivel Ejecutivo Consejo de Dirección y dirección ejecutiva.
Negocio/Proceso Gestión de negocios y dueños del proceso de negocio.
Implementación/Operaciones Responsables de la gestión de TI y dueños de los
procesos de TI (por ejemplo, jefe de operaciones,
arquitecto en jefe, gerente de seguridad de TI,
especialista en gestión de continuidad de negocios) y
otros miembros del equipo de implementación.

El nivel ejecutivo comunica información sobre los objetivos de la empresa y las prioridades
de la misión, usando lenguaje, enfoque y comunicaciones que tengan sentido para la dirección
ejecutiva. Esta actividad es comparable con la fase de implementación de COBIT “Fase 1:
¿Cuáles son los impulsores?”. El diálogo con la gestión de negocios y los dueños del proceso
de negocio incluye la definición de tolerancia de riesgo apropiada y recursos disponibles. El
nivel de negocio/procesos, a su vez, usa la información como entrada al proceso de gestión
de riesgo, y colabora entonces con la gestión de TI y los dueños de procesos de TI para
comunicar las necesidades del negocio.

Estos dos niveles de gestión determinan el estado actual de ciberseguridad, usando una
Plantilla de Perfil del Marco (descrita más adelante en este documento). Los Perfiles Actual y
Objetivo proveen consideraciones comparables a las dos fases siguientes de implementación
de COBIT, “Fase 2: ¿Dónde estamos ahora?” y “Fase 3: ¿Dónde queremos estar?”. A través
de la comparación del objetivo con el estado actual, el equipo de implementación puede
recomendar acciones específicas y priorizadas para alcanzar los objetivos de las partes
interesadas, alineadas con los impulsores de negocios de la fase 1, los requerimientos de
recursos y el apetito de riesgo organizacional. Este plan de acción, comparable a las fases de
implementación 4 y 5 de COBIT “Fase 4: ¿Qué debe hacerse?” y “Fase 5: ¿Cómo llegamos
ahí?” provee un acercamiento rentable y ágil de gobierno de las TI empresariales que es
escalable a organizaciones de cualquier tamaño.

Tal y como ilustra la figura 10, el flujo de la información es cíclico, con un monitoreo continuo
como paso crítico. Las fases de implementación de COBIT “Fase 6: ¿Ya lo logramos?” y
“Fase 7: ¿Cómo mantenemos el impulso?” proveen importantes consideraciones para asegurar
un gobierno y gestión continuos y rentables. Por ejemplo, mientras ocurren cambios técnicos
(es decir, cambios a los activos físicos, técnicos y de procesos; amenazas actualizadas;
vulnerabilidades descubiertas o remediadas), el nivel de implementación/operación comunica el
progreso de la implementación del perfil a los niveles de negocio/procesos.

28 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

El nivel de negocios/procesos utiliza esta información para llevar a cabo una evaluación de
impacto respecto de los impulsores del negocio. El nivel de gestión de negocios/procesos
informa los resultados de dicha evaluación de impacto al nivel ejecutivo, utilizando métodos
y lenguaje apropiados para las comunicaciones entre el consejo de dirección/dirección ejecutiva ,
para informar acerca del proceso de gestión de riesgo global de la organización.

Figura 10: Flujos de Información y Decisión del MCS dentro de una Organización
Gestión de riesgos

Nivel ejecutivo senior

Enfoque: Riesgo organizacional
Acciones: Decisión y prioridades de riesgo

Nivel de
Cambios en Prioridad de la
proceso /
riesgo actual misión y apetito
y futuro negocio y presupuesto de riesgo
Enfoque: Infraestructura crítica
Gestión de riesgos
Acciones: Selecciona el perfil, asigna
el presupuesto

El avance de la
implementación Perfil
depende de los Nivel de del marco
activos, la vulnerabilidad implementación/
y la amenaza operaciones
Enfoque: Asegurar Infraestructura Crítica
Acciones : Implementa el perfil

Implementación

Fuente: Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica, NIST, EE. UU., 2014, figura 2

Marco Básico
El Marco Básico es un conjunto de actividades de ciberseguridad, resultados deseados y
referencias aplicables que son comunes en los sectores de infraestructura crítica. El Marco
Básico presenta los estándares de la industria, directrices y prácticas de una manera que permite
la comunicación de las actividades de ciberseguridad y los resultados a través de la organización
desde el nivel ejecutivo hasta el nivel de implementación/operaciones. El Marco Básico consta
de cinco Funciones concurrentes y continuas: Identificar, Proteger, Detectar, Responder y
Recuperar. Cuando se consideran juntas, estas Funciones proporcionan una visión estratégica
y de alto nivel del ciclo de vida de la gestión de ciberseguridad de la organización. El Marco
Básico identifica entonces las Categorías y Subcategorías claves subyacentes de cada Función
y las relaciona con Referencias Informativas de ejemplo, tales como estándares existentes,
directrices y prácticas de cada Subcategoría, tal y como se muestra en la figura 11.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 29

Implementación del Marco de Ciberseguridad de NIST

Los resultados en el Marco Básico ayudan al lector a responder a las siguientes preguntas:
• ¿Qué personas, procesos y tecnologías son esenciales para proveer los servicios adecuados a
las partes interesadas adecuadas?
• ¿Qué necesitamos hacer para proteger esos activos de los riesgos descubiertos en la función
de identificación?
• ¿Qué capacidad de detección podemos implementar para reconocer el riesgo potencial
o establecido del riesgo identificado a los activos organizacionales?
• ¿Qué actividades de respuesta y recuperación son apropiadas y necesarias para continuar las
operaciones (aunque sean disminuidas) o restaurar los servicios descritos anteriormente?

Figura 11: Componentes del Marco Básico

Funciones Categorías Subcategorías Referencias
informativas

IDENTIFICAR

PROTEGER

DETECTAR

RESPONDER

RECUPERAR

Fuente: Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica, NIST, EE. UU., 2014, figura 1

El MCS describe las cinco funciones básicas de la siguiente manera:

• Identificar: Desarrollar el entendimiento organizacional para gestionar riesgos de
ciberseguridad hacia los sistemas, activos, datos y capacidades.

Las actividades de la Función Identificar son fundamentales para el uso efectivo del Marco.
Comprender el contexto de negocios, los recursos que soportan las funciones críticas y los
riesgos relacionados de ciberseguridad, permite a una organización enfocar y priorizar sus
esfuerzos, consistentes con su estrategia de gestión de riesgos y necesidades del negocio.
Algunos ejemplos de Categorías de resultados dentro de esta función incluyen: Gestión de
Activos; Entorno de Negocios; Gobierno; Evaluación del Riesgo; y Estrategia de Gestión
del Riesgo.

30 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

• Proteger: Desarrollar e implementar las medidas de seguridad apropiadas para garantizar la

entrega de servicios de infraestructura crítica.

La Función Proteger soporta la habilidad de limitar o contener el impacto de un evento

potencial de ciberseguridad. Algunos ejemplos de Categorías de resultados dentro de esta
Función incluyen: Controles de Acceso; Concienciación y Capacitación; Seguridad de
los Datos; Procesos y Procedimientos de Protección de la Información; Mantenimiento; y
Tecnología de Protección.
• Detectar: Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia
de un evento de ciberseguridad.

La Función Detectar permite el descubrimiento oportuno de eventos de ciberseguridad.

Algunos ejemplos de Categorías de resultados dentro de esta Función incluyen: Anomalías
y Eventos; Monitoreo Continuo de Seguridad; y Procesos de Detección.
• Responder: Desarrollar e implementar las actividades apropiadas para tomar acciones con
respecto a un evento de ciberseguridad detectado.

La Función Responder da soporte a la habilidad de contener el impacto de un evento

potencial de ciberseguridad. Algunos ejemplos de Categorías de resultados dentro de esta
Función incluyen: Planificación de la Respuesta; Comunicaciones; Análisis; Mitigación; y
Mejoras.
• Recuperar: Desarrollar e implementar las actividades apropiadas para mantener los planes
de resiliencia y restaurar cualquier capacidad o servicio que haya sido afectado por un evento
de ciberseguridad.

La Función Recuperar da soporte a la recuperación oportuna de las actividades normales

para reducir el impacto de un evento de ciberseguridad. Algunos ejemplos de Categorías de
resultados dentro de esta Función incluyen: Planificación de la Recuperación; Mejoras; y
Comunicaciones.

Cada Función se compone de una o más Categorías, resultados específicos de los procesos
que dan soporte a la gestión de ciberseguridad. Estas Categorías, a su vez, están compuestas
de numerosas Subcategorías específicas que proveen análisis de procesos para determinar el
estado actual y los objetivos meta. La figura 12 provee una visión general de las Categorías del
Marco.

Mientras que muchas organizaciones mantienen procesos y procedimientos internos para

lograr los resultados definidos en el Marco Básico, otras solicitaron orientación específica
sobre cómo alcanzar dicha meta. Como ejemplos ilustrativos de prácticas con las que algunas
organizaciones obtuvieron los resultados, NIST proveyó referencias informativas entre los
sectores, guías reconocidas internacionalmente (incluyendo COBIT 5) que asisten en la

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 31

Implementación del Marco de Ciberseguridad de NIST

consecución de cada Subcategoría.

Figura 12: Identificadores y Categorías del Marco Básico
Categoría Función
Único Funciones Único Categorías
Identificador Identificador
AM Gestión de Activos
BE Entorno de Negocio
ID Identificar GV Gobierno

RA Evaluación del riesgo

RM Estrategia de Gestión de Riesgos
AC Control de Acceso
AT Concienciación y Capacitación
PR Proteger DS Seguridad de los Datos
IP Procesos e Información de Protección de Información
PT Tecnología de Protección
AE Anomalías y Eventos
DE Detectar CM Monitoreo Continuo de Seguridad
DP Procesos de Detección
CO Comunicaciones
AN Análisis
RS Responder
MI Mitigación
IM Mejoras
RP Planificación de Recuperación
RC Recuperar IM Mejoras
CO Comunicaciones

Fuente: Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica, NIST, EE. UU., 2014, tabla 1

Niveles de Implementación del Marco

El MCS incluye varios Niveles de Implementación que asisten en la realización de la
evaluación y planeación de actividades de ciberseguridad. Los Niveles describen atributos a
considerar al crear el Perfil Objetivo o completar el Perfil Actual. Los Niveles se describen en
detalle en la figura13. A pesar de no se considerse un modelo de madurez, las características
de Nivel describen una progresión desde un nivel ad hoc a un nivel adaptativo en tres
categorías:
• Proceso de Gestión de Riesgos: Considera los niveles en los cuales las prácticas de gestión
de riesgos de ciberseguridad de la organización están formalizadas e institucionalizadas. Los
atributos consideran el volumen de la priorización de las actividades de ciberseguridad que
vienen determinadas por los objetivos de riesgo de la organización, el entorno de amenaza y
los requerimientos de las partes interesadas.
• Programa Integrado de Gestión de Riesgos: Revisa la conocimiento de riesgos de
ciberseguridad en el nivel organizacional. Los Niveles se incrementan a medida que los
procesos y procedimientos informados de riesgo y de gestión aprobada son definidos e
implementados, y a medida que son adaptados en base a la información compartida y las

32 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

lecciones aprendidas en actividades previas.

• Participación Externa: Considera el nivel en el cual la organización comparte información
activamente con socios externos para mejorar la seguridad antes de que un evento de seguridad
ocurra e informa a esos socios acerca de indicadores, observaciones o eventos.

Figura 13: Niveles de Implementación del Marco

Proceso de Gestión de Programa Integrado de
Nivel Riesgos Gestión de Riesgos Participación Externa
Nivel 1: Las prácticas de la organización Hay un conocimiento limitado Es posible que la organización
Parcial relativas a la gestión de del riesgo de ciberseguridad a no disponga de procesos
riesgos de ciberseguridad no nivel organizacional y no ha sido establecidos para participar en
están formalizadas y el riesgo establecido el enfoque en toda coordinación o colaboración con
es gestionado ad hoc y a la organización para gestionar otras entidades.
veces de forma reactiva. La el riesgo de ciberseguridad.
priorización de las actividades La organización implementa
de ciberseguridad puede no la gestión de riesgo de
ser directamente derivada de ciberseguridad de una manera
los objetivos de riesgo de la irregular atendiendo a cada
organización, el entorno de caso de forma particular, debido
amenaza o los requerimientos a una experiencia diversa o
del negocio/misión. una información obtenida de
fuentes externas. Es posible
que la organización no disponga
de procesos que permitan
compartir la información de
ciberseguridad en su seno.
Nivel 2: Las prácticas de gestión de Hay un conocimiento del riesgo La organización conoce su
Riesgo riesgo son aprobadas por de ciberseguridad en el nivel rol dentro del ecosistema
Informado la dirección, pero pueden organizacional, pero no ha más amplio, pero no ha
no estar establecidas como sido establecido el enfoque formalizado sus capacidades
política en toda la organización. en toda la organización que para interactuar y compartir
La priorización de las permita gestionar el riesgo información externamente.
actividades de ciberseguridad de ciberseguridad. Se han
está directamente derivada implementado procesos y
de los objetivos de riesgo procedimientos informados
organizacional, el ambiente de del riesgo y aprobados por la
amenaza o los requerimientos administración, y el personal
del negocio/misión. tiene los recursos adecuados
para llevar a cabo sus
funciones de ciberseguridad. La
información de ciberseguridad
se comparte dentro de la
organización de manera
informal.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 33

Implementación del Marco de Ciberseguridad de NIST

Figura 13: Niveles de Implementación del Marco (cont.)

Proceso de Gestión de Programa Integrado de
Nivel Riesgos Gestión de Riesgos Participación Externa
Nivel 3: Las prácticas de gestión de Hay un enfoque común en toda La organización comprende sus
Repetible riesgos de la organización la organización para gestionar dependencias y socios, y recibe
están aprobadas formalmente y los riesgos de ciberseguridad. información de estos socios
expresadas como política. Las Las políticas, procesos y que permite la colaboración
prácticas organizacionales de procedimientos informados del y las decisiones de gestión
ciberseguridad se actualizan riesgo se definen y se aplican basadas en el riesgo dentro de
regularmente basándose en la según lo previsto, y se revisan. la organización en respuesta a
aplicación de los procesos de Hay establecidos métodos eventos.
gestión de riesgos a los cambios consistentes para responder
en los requisitos del negocio/ efectivamente a los cambios
misión, y a un escenario en el riesgo. El personal cuenta
cambiante de amenazas y con el conocimiento y las
tecnologías. habilidades para desempeñar
los roles y las responsabilidades
que tiene asignadas.
Nivel 4: La organización adapta sus Hay un enfoque común en toda La organización gestiona el
Adaptativo prácticas de ciberseguridad la organización para gestionar riesgo y comparte activamente
basándose en lecciones los riesgos de ciberseguridad información con sus socios
aprendidas e indicadores que utiliza políticas, procesos para asegurar que se está
predictivos que se derivan de y procedimientos informados distribuyendo y consumiendo
actividades de ciberseguridad del riesgo para abordar información exacta y
previas y actuales. Mediante un eventos potenciales de actualizada para mejorar
proceso de mejora continua, ciberseguridad. La gestión la ciberseguridad antes de
que incorpora prácticas y del riesgo de ciberseguridad que suceda un evento de
tecnologías avanzadas de es parte de la cultura ciberseguridad.
ciberseguridad, la organización organizacional y evoluciona
se adapta activamente a desde una concienciación
un panorama cambiante de de las actividades previas,
ciberseguridad, y responde la información compartida
a amenazas sofisticadas por otras fuentes y la
y cambiantes de manera concienciación continua de las
oportuna. actividades en sus sistemas
y redes.

Es de destacar que el MCS no provee ni una orientación descriptiva sobre cómo medir estos
atributos, ni un método cuantitativo para determinar el Nivel aplicable. El NIST recibió
numerosos comentarios durante el proceso de desarrollo, muchos de los que apoyaban
un modelo de madurez similar al utilizado en el Modelo de Madurez de la Capacidad de
Ciberseguridad del Subsector de la Electricidad (ES-C2M2). Los criterios estrictos son, sin
embargo, problemáticos cuando se establecen para una amplia diversidad de usuarios, y el
NIST carece de autoridad para decidir los umbrales obligatorios. Por tal razón, los Niveles son
subjetivos, pero ayudan a una organización a considerar las prácticas actuales de gestión de
riesgo, el entorno de amenazas, los requisitos legales y regulatorios, los objetivos de negocio/
misión, y las restricciones organizacionales. La carencia de un estándar concreto de medición
en el MCS versión 1.0 no pretende impedir que se realice dicha medición; las organizaciones
(y los grupos organizados, tales como los sectores de infraestructura crítica) pueden desarrollar
criterios para ayudar en la comparación y comunicación de la selección del Nivel.

34 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

Los Niveles de Implementación del Marco son similares a los niveles de capacidades de
procesos (PCL) de COBIT. Mientras que los PCLs se evalúan para el proceso individual (de
acuerdo con la publicación Modelo de Evaluación de Procesos COBIT [PAM]), los niveles se
aplican a la organización misma, o a un subcomponente de ésta, dependiendo del alcance de la
implementación. La consideración de los PCLs puede ayudar a determinar el nivel del Marco
adecuado.

La calificación de los resultados descritos en la figura 13 requerirá el juicio profesional del

responsable de implementación. Las razones para seleccionar un nivel, y para convenir/discordar
con un enunciado del resultado de los Perfiles, deberían documentarse claramente de forma que
puedan facilitarse recomendaciones sobre las áreas en las que pueden mejorarse los procesos.

Específicamente, los niveles se comparan de los siguientes modos:

• El Nivel 1 del MCS (Parcial) es análogo a los PCL 0 (Incompleto) y 1 (Realizado). En este
nivel, los procesos de gestión de riesgos y de compartición de información o bien no se han
implementado o bien no son aún lo suficientemente formales para proporcionar un beneficio
organizacional consistente.
• El Nivel 2 del MCS (Riesgo Informado) es análogo al PCL 2 (Gestionado). Los
resultados se implementan ahora de forma gestionada, informados por procesos de riesgo
organizacional y proveen una concienciación organizacional significativa de la gestión de
riesgos de ciberseguridad.
• El nivel 3 del MCS (Repetible) es análogo al PCL 3 (Establecido). El proceso gestionado
se implementa ahora utilizando un método definido que es capaz de alcanzar los resultados
deseados.
• El nivel 4 del MCS (Adaptativo) es comparable con el PCL 4 (Predecible) y el PCL 5
(Optimización). Los resultados se consiguen proactivamente, aprendiendo de la experiencia
de las partes interesadas internas y externas, informados quizás a través de fuentes de
información externas. En el PCL 5, las actividades para lograr determinados resultados se
mejoran continuamente para alcanzar metas de negocios actuales y proyectadas de forma
óptima.

El papel de los Niveles en la determinación del enfoque de riesgo está íntimamente

relacionado con el EDM03 de COBIT, Asegurar la optimización del riesgo. Conforme la
organización adapta sus prácticas de ciberseguridad basándose en las lecciones aprendidas y
en indicadores predictivos, y a medida que la organización construye un enfoque empresarial
para la gestión de riesgo, la organización está cada vez mejor preparada para asegurar la
identificación y gestión de riesgos para el valor de la empresa. A su vez, esto facilita los
objetivos de EDM03 de: asegurar que el riesgo empresarial relacionado con la tecnología no
exceda el apetito y la tolerancia al riesgo, el impacto del riesgo tecnológico para el valor de la
empresa se identifica y gestiona, y el potencial para fallos de conformidad se minimiza.

Perfiles del Marco

Un Perfil del Marco (“Perfil”) representa los resultados en base a las necesidades del negocio
que una organización ha seleccionado de entre las Categorías y Subcategorías del Marco. El
Perfil puede caracterizarse como la alineación de normas, guías y prácticas del Marco Base

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 35

Implementación del Marco de Ciberseguridad de NIST

en un escenario particular de implementación. Los Perfiles pueden usarse para identificar las
oportunidades de mejora de la postura de ciberseguridad al comparar el Perfil Actual (el estado
“como está”) con el Perfil Objetivo (el estado “como estar”). Para desarrollar un Perfil, una
organización puede revisar cada una de las Categorías y Subcategorías Base y, basándose en los
impulsores del negocio y en la evaluación del riesgo, determinar cuáles son las más importantes; la
organización añade Categorías y Subcategorías según sea necesario para abordar el riesgo. El Perfil
Actual puede entonces utilizarse para dar soporte a la asignación de prioridades y la medición
del progreso hacia el Perfil Objetivo, teniendo en cuenta las necesidades de negocio, incluyendo
el análisis de coste / efectividad y la innovación. Los Perfiles pueden usarse para llevar a cabo
autoevaluaciones y para la comunicación dentro de una organización o entre organizaciones.

Para ayudar a las organizaciones en la adopción e implementación del Marco, la sección

3.2 del MCS establece un proceso de implementación recomendado de siete pasos: Cada
paso es un precursor del siguiente, aunque algunas organizaciones pueden llevar a cabo
algunos pasos en un orden diferente. Por ejemplo, una organización puede adoptar un Perfil
Objetivo antes de realizar un Perfil Actual o puede realizar una evaluación del riesgo antes de
desarrollar un Perfil Actual. Estos pasos, que se encuentran descritos de modo resumido y con
recomendaciones detalladas de implementación más adelante en esta guía, deberían repetirse
según resulte necesario para mejorar continuadamente la ciberseguridad de la organización.

Consideraciones de Riesgo de COBIT y el MCS

Mantener una comprensión del riesgo de seguridad empresarial es un componente clave del
MCS. El cuarto paso del proceso de implementación del MCS incluye la obligatoriedad de
realizar una evaluación del riesgo. Las evaluaciones del riesgo proveen a las partes interesadas
y a los gestores la oportunidad para sopesar las vulnerabilidades de seguridad, las amenazas
a la empresa y a las tecnologías frente a los requisitos operacionales. La evaluación de
riesgo ayuda en la definición de las subcategorías necesarias para mitigar adecuadamente
el riesgo de la organización e identificar el rigor con el que la mitigación debe aplicarse. El
rigor para implementar controles de ciberseguridad se obtiene por medio de los Niveles de
Implementación descritos en la sección 2.2 del MCS.

El Instituto de Gestión de Riesgo (IRM) define el riesgo como “la combinación de la

probabilidad de un evento y sus consecuencias. Las consecuencias pueden variar de
positivo a negativo”. La Organización Internacional de Normalización define el riesgo en la
internacionalmente reconocida Guía 73 de ISO , como “el efecto de la incertidumbre sobre los
objetivos”, teniendo en cuenta que un efecto puede ser positivo, negativo o una desviación de
lo esperado. En el contexto de aplicación del MCS, entonces, la principal consecuencia que
debe considerarse es la probabilidad de que se alcancen los objetivos de las partes interesadas.
De manera similar, COBIT 5 para Riesgos define el riesgo de TI como un riesgo de negocio,
específicamente, el riesgo de negocio asociado con el uso, la propiedad, la operación, la
involucración, la influencia y la adopción de la TI en una empresa. El riesgo de TI consiste en
eventos relacionados con la TI que podrían potencialmente tener impacto sobre el negocio.
El riesgo de TI puede ocurrir con una frecuencia y un impacto inciertos, y crea retos para la
consecución de las metas y los objetivos estratégicos. El riesgo de TI existe siempre, ya sea o
no reconocido por una empresa.

36 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

Como se describe en COBIT 5 para Riesgos y se ilustra en la figura 14, el riesgo gestionado
habilita los impulsores de negocio, mejora las oportunidades y facilita a los ejecutivos y los
directivos la comprensión de las fortalezas y debilidades de la seguridad en la organización.
Cuando el riesgo está mal gestionado, se reduce el valor del negocio, las TI se utilizan
incorrectamente y los ejecutivos y los directivos no son conscientes de las amenazas y
vulnerabilidades potenciales de seguridad que podrían llevar a la pérdida de ingresos o de
reputación.

Figura 14: Dualidad del Riesgo

La información y la La información y la
Resultados positivos: Creación
o preservación del valor

tecnología bien gobernadas tecnología mal gobernadas

y gestionadas ofrecen y administradas destruirán
beneficios comerciales el valor o fracasarán en la

Resultados negativos: Destrucción

de valor o pérdida de ganancias
y/o preservan el valor provisión de beneficios.
• Nuevas oportunidades de • Valor de negocio no
negocio habilitadas por la TI alcanzado o reducido
• Oportunidades de negocio • Pérdida de oportunidades
mejoradas de negocio habilitadas por TI
• Ventaja competitiva • Eventos adversos relacionados
sostenible con la TI que destruyen valor

Fuente: COBIT® 5 para Riesgos, ISACA, EE. UU., 2013, figura 6

La Perspectiva de la Función de Riesgo

COBIT 5 es un marco extremo a extremo que contempla la optimización del riesgo como un
objetivo de valor clave. COBIT 5 considera el gobierno y la gestión del riesgo como parte
integral del GEIT. Para cada catalizador, la perspectiva de la función de riesgo describe cómo el
catalizador contribuye a la función completa de gobierno y gestión del riesgo. Por ejemplo, qué:
• Procesos se requieren para definir y sustentar la función de gobierno y gestión del riesgo:
EDM01, APO01, etc.
• Flujos de información se precisan para gobernar y gestionar el riesgo: universo de riesgos,
perfil de riesgos, etc.
• Estructuras organizativas se necesitan para gobernar y gestionar el riesgo: Comité CGR,
función de riesgos, etc.

Los capítulos del 2 al 8 de COBIT 5 para Riesgos contienen ejemplos de cada catalizador. Estos
ejemplos se elaboran en mayor profundidad en el apéndice B de COBIT 5 para Riesgos. El
alcance completo de COBIT 5 para Riesgos se encuentra detallado en la figura 15.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 37

Implementación del Marco de Ciberseguridad de NIST

Figura 15: Alcance de COBIT 5 para Riesgos

COBIT 5 para Riesgos

Catalizadores de COBIT 5 para la
función de riesgo Principales
procesos
de riesgos
Procesos Estructuras
organizacionales
Cultura, ética y
comportamiento Marco COBIT 5
Perspectiva Perspectiva de la Mapeo de escenarios
de la función de riesgos gestión de riesgos a los catalizadores
Principios, políticas y marcos riesgos de COBIT 5 COBIT 5: Procesos
Servicios, Personas, Escenarios Catalizadores
Información infraestructura habilidades de riesgo
y aplicaciones y competencias

COSO ISO 31000 ISO/IEC Otros ITIL. ISO/IEC ISO/IEC Otros

ERM 27005 20000 27001/2

Estándares de gestión de Marcos de

riesgos empresariales gestión de TI

COBIT 5 para Riesgos proporciona orientación específica en relación con todos los catalizadores:
1. Principios, políticas y marcos de riesgo.
2. Procesos incluyendo detalles y actividades específicas de la función de riesgo.
3. Estructuras organizacionales específicas para el riesgo.
4. F actores en materia de cultura, ética y comportamiento que determinan el éxito del gobierno del riesgo.
5. Tipos de información específica de riesgo para habilitar el gobierno y la gestión del mismo en la empresa.
6. E n lo relativo a los servicios, infraestructuras y aplicaciones, las capacidades de servicio requeridas para
proveer las funciones de riesgo y afines a una empresa.
7. P ara el catalizador de personas, habilidades y competencias, las habilidades y competencias específicas para
el riesgo.
Fuente: COBIT® 5 para Riesgos, ISACA, EE. UU., 2013, figura 10

La Perspectiva de Gestión de Riesgo

La perspectiva de gestión de riesgo aborda el gobierno y la gestión, por ejemplo, cómo
identificar, analizar y responder al riesgo y cómo usar el marco COBIT 5 para tal propósito. Esta
perspectiva requiere de procesos clave de riesgo (los procesos de COBIT 5 EDM03 Garantizar
la optimización del riesgo y APO12 Gestionar el riesgo).

El MCS aprovecha el proceso de evaluación de riesgo para definir cómo las organizaciones
implementarán cada Subcategoría Base. La realización de una evaluación de riesgo facilita
la comprensión de la posibilidad de que ocurra un evento de riesgo y de cuál será el impacto
resultante. Para cada posible evento registrado anteriormente, determinar la probabilidad de
que dicho evento ocurra y cuál será el impacto si sucede. Las organizaciones pueden optar por
realizar varias evaluaciones de riesgo para cada área de negocio y agregar dicha información
para formar evaluaciones de riesgo empresarial.

Para algunas organizaciones, puede llevarse a cabo una evaluación independiente de riesgos
para cada área del negocio (por ejemplo, recursos humanos, contabilidad, soporte al cliente)
tal y como se define en el paso de Establecer la Prioridad y el Alcance. Las evaluaciones
independiente del riesgo permiten Perfiles Objetivo diferenciados para asegurar que el riesgo del
área de negocio se atienda sin sobrecompensación. La evaluación de riesgo de empresa provee

38 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 2. Introducción al Marco de Ciberseguridad 1.0 de NIST

una línea base para asegurar que se define un umbral mínimo. Esto asegura que las áreas menos
sensibles del negocio no se descuiden proporcionando de esta forma una vía de ataque para
usuarios maliciosos.

Tras concluir la evaluación de riesgo, las organizaciones pueden determinar el nivel de riesgo
aceptable para los activos y sistemas TI, expresados como su tolerancia al riesgo. La tolerancia
al riesgo se utiliza para definir los controles que se requieren para cada Subcategoría y el rigor
preciso para implementar el control mediante la definición del perfil de estado objetivo.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 39

Implementación del Marco de Ciberseguridad de NIST

Esta página se ha dejado intencionalmente en blanco

40 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Capítulo 3. Implementación
del Marco
Esta sección describe el empleo de metodologías de ISACA para acometer la guía de
implementación del capítulo "Cómo Usar" del MCS. Tanto el MCS como COBIT proporcionan
siete pasos o fases de alto nivel. Éstos están alineados por lo general, si bien COBIT facilita
una evaluación posterior a la ejecución (Fase 6: ¿Lo Logramos?) y unas actividades de
mantenimiento sostenidas durante todo el ciclo de vida (Fase 7: ¿Cómo Mantenemos el
Impulso?) que están implícitos, pero no completamente descritos, en el MCS. Es importante
tener en cuenta que la implementación no es una iniciativa de tipo "todo o nada". Los
responsables de la adopción de los procesos descritos pueden seleccionar aquellos que
contribuyan a alcanzar los objetivos de la empresa. En este sentido, los procesos están
disponibles para que puedan seleccionarse, pero no constituyen una relación de obligada
implementación.

El siguiente apartado describe el uso de MCS para llevar a cabo las siete fases de
implementación de COBIT, proporcionando la siguiente información sobre cada fase:
• El propósito de la fase.
• Actividades clave en la fase.
• Práctica(s) y proceso(s) de COBIT 5 que soporta(n) la aplicación de esa fase (por ejemplo,
lograr el resultado de la Categoría Base/Subcategoría aplicable)

Las actividades y los procesos descritos son informativos y pueden ayudar al equipo de
implementación a determinar qué hacer en cada fase, pero no son obligatorios y deben adaptarse
para alcanzar los objetivos y el enfoque organizacional individual.

Relación de la Cascada de Metas de COBIT 5 y el MCS

El MCS reconoce que, como cada organización se enfrenta a oportunidades y retos peculiares,
incluyendo el de tener muchas partes interesadas internas y externas, cada una tiene requisitos
únicos para las actividades de gobierno y gestión. Estas partes interesadas originan requisitos
para la empresa y, por lo tanto, para el riesgo de ciberseguridad. A medida que se van
estableciendo estos requisitos, la organización puede usar la cascada de metas del marco
COBIT 5 para refinarlos más.

El marco COBIT 5 describe la cascada de metas como

“el mecanismo para traducir las necesidades de las partes interesadas en metas de
empresa específicas, aplicables y personalizadas, en metas relacionadas con la TI y
en metas para los catalizadores. Esta traducción permite establecer metas específicas
para cada nivel y cada área de la empresa para dar soporte a las metas generales y
a los requisitos de las partes interesadas y, de este modo, soporta de forma efectiva la
alineación entre las necesidades de la empresa y las soluciones y los servicios de TI”.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 41

Implementación del Marco de Ciberseguridad de NIST

La cascada de metas de COBIT 5 se muestra en la figura 16.

Figura 16: Visión General de la Cascada de Metas de COBIT 5

Impulsores de las partes interesadas

(medio ambiente, evolución de la
tecnología, etc.)

Influencia

Necesidades de las partes interesadas

Logro de Optimización Optimización
beneficios de los riesgos de los recursos

En Cascada a

Metas empresariales

En Cascada a

Metas relacionadas con TI

En Cascada a

Metas del catalizador

Fuente: COBIT® 5, ISACA, EE. UU., 2012, figura 4

La cascada de metas promueve la identificación de las necesidades de las partes interesadas y de

las metas de la empresa, que a su vez contribuyen a comprender los impulsores organizacionales
generales, como “el cumplimiento de las leyes y regulaciones externas” o “la continuidad y
disponibilidad de los servicios de la empresa”. El logro de los objetivos empresariales está
apuntalado por los resultados técnicos, que, a su vez, requieren la aplicación y el uso exitoso
de una serie de catalizadores. El concepto del catalizador se detalla en el marco de COBIT 5.
Los catalizadores incluyen procesos, estructuras organizacionales e información y, para cada
catalizador, hay definido un conjunto de metas relevantes específicas en apoyo de las metas
técnicas. En relación con el MCS, los catalizadores apoyan actividades para obtener resultados
en las categorías y las subcategorías Base.

Una nota importante que se destacó durante los talleres de desarrollo del MCS fue que puede
haber capas de partes interesadas clave con metas empresariales diferentes. Por ejemplo, en la
comunidad de las infraestructuras críticas las metas organizacionales pueden incluir impulsores
procedentes de prioridades nacionales, partes interesadas de agencias específicas de sectores
críticos o funcionarios de consejos de coordinación sectorial. Estos no son diferentes a los

42 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

objetivos empresariales existentes, tales como “Cumplimiento de las leyes y las regulaciones
externas”. El examen de las metas organizacionales en este paso debería incluir la comprensión
de las prioridades balanceadas entre lo que es mejor para la empresa y cualesquiera compromisos
externos, como la provisión de servicios críticos.

Paso 1 del MCS: Establecer la Prioridad y el Alcance.

Fase 1 de COBIT: ¿Cuáles Son los Impulsores?
La guía de gobierno de ITGI7 para los consejos de administración y las direcciones ejecutivas
indica que el gobierno de la seguridad de la información es responsabilidad del consejo de
administración y de los altos ejecutivos. Debe ser una parte integral y transparente del gobierno
de la empresa, y debe estar alineada con el marco gobierno de la TI. Para ejercer un gobierno
efectivo de la seguridad de la información de la empresa, los consejos de administración y los
altos ejecutivos deben tener una comprensión clara de sus expectativas sobre del programa de
seguridad de la información de su empresa. Estas directrices se confirmaron durante los talleres
que condujeron al desarrollo del MCS. Los revisores señalaron que una alineación efectiva de los
impulsores de negocio con el GEIT conduce a una seguridad mejorada y una mejor comprensión
de los requisitos de seguridad de la empresa. La fundamentación del GEIT en la misión fomenta
el uso de un lenguaje y una terminología que resultan familiares en el nivel ejecutivo, en lugar
del uso de jerga técnica y neologismos que no forman parte del vocabulario de negocio habitual.
La comprensión de las dificultades y los beneficios del gobierno, en términos de negocio, facilita
la aceptación y el compromiso de la alta dirección.

A través de estos métodos, el logro de los resultados Base mediante metas y procesos
organizacionales escogidos apoya directamente las metas y los impulsores de las partes
interesadas, haciendo que el GEIT pase de ser un mero ejercicio de cumplimentación a
convertirse en un método para proporcionar valor a la organización.

Consideraciones de la Implementación
Propósito
Obtener una comprensión del enfoque de gobierno organizacional (incluyendo la arquitectura de riesgos,
los impulsores de negocio y los requisitos de conformidad) para informar a las actividades de evaluación
de riesgos y asignar prioridad a la actividad de seguridad.
Entradas
• Políticas, estrategias, gobierno y planes de negocio de la empresa.
• Estrategia de la arquitectura de riesgos.
• Entorno empresarial y procesos de negocio actuales.
• Enunciados de la misión y la visión de la empresa.

7
ITGI, Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, EE. UU., 2006

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 43

Implementación del Marco de Ciberseguridad de NIST

Consideraciones de la Implementación (cont.)

Actividades de Alto Nivel
• Identificar a las partes interesadas clave en el consejo de administración que dispongan de autoridad para
establecer los impulsores de la misión y el apetito de riesgo.
• Determinar el alcance que debe afrontarse mediante la aplicación del MCS. Este nivel puede considerarse
para la empresa completa o para cualquier subsección de la organización.
• Identificar la misión organizacional y/o los servicios que deben abordarse mediante el uso del MCS.
• Identificar la arquitectura de riesgos aplicable para la organización y los métodos disponibles para identificar,
medir, evaluar, informar y monitorizar los riesgos.
• Definir los roles y las responsabilidades para establecer la asignación de prioridades y la disponibilidad de
recursos, y para implementar acciones encaminadas a obtener valor de la TI.
• Determinar los sistemas (personas, procesos y tecnología) necesarios para alcanzar las metas de la misión.
• Usar la cascada de metas de COBIT 5 para traducir las necesidades de las partes interesadas en objetivos
empresariales específicos, alcanzables y personalizados. Esto soporta de forma efectiva la alineación entre
las necesidades de la empresa y los resultados del MCS en las fases subsiguientes y ayuda a informar
acerca de los progresos en la consecución de las metas.
• Documentar las decisiones del establecimiento de prioridades y los recursos disponibles para manejar los
riesgos al nivel apropiado. La documentación debe incluir la asignación de responsabilidades, las fechas
límite y el método de reporte.
Salidas
• Visión de la arquitectura empresarial
• Misión e impulsores organizacionales
• Dirección de la organización con respecto a la financiación y otros recursos
• Sistema de gestión de la calidad (SGC)
• C omprensión de la actitud presente y futura de la empresa respecto del riesgo y su posición respecto del
riesgo de TI

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
EDM01.01 Evaluar el sistema de gobierno. Identificar e involucrar continuamente a las partes interesadas
de la compañía, documentar y comprender los requisitos, y conformar un juicio sobre el diseño
actual y futuro del gobierno de la TI de la empresa.
APO01 Facilitar un enfoque de gestión consistente para permitir que se alcancen los requisitos de la
(todo) gobernanza empresarial, cubriendo los procesos de gestión, las estructuras organizacionales,
los roles y responsabilidades, las actividades fiables y repetibles, las habilidades y las
competencias.
APO02.01 Comprender la dirección de la empresa. Considerar el entorno empresarial y los procesos
de negocio actuales, así como la estrategia empresarial y los objetivos futuros. Considerar
también el entorno externo de la empresa (impulsores de la industria, las regulaciones
relevantes y las bases de la competencia).
APO03.01 Desarrollar la visión de arquitectura empresarial. La visión de la arquitectura ofrece una
primera descripción de alto nivel de la línea base y la arquitectura objetivo, cubriendo los
dominios de negocio, de información, de datos, de aplicación y de tecnología. La visión de
la arquitectura ofrece al promotor una herramienta clave para vender los beneficios de las
capacidades propuestas a las partes interesadas de la empresa. La visión de la arquitectura
describe cómo la nueva capacidad cumplirá con las metas de la empresa y los objetivos
estratégicos, y abordará las preocupaciones de las partes interesadas cuando se implemente.

44 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
APO04.02 Mantener la comprensión del entorno empresarial. Trabajar con las partes interesadas relevantes
para entender sus retos. Mantener una comprensión adecuada de la estrategia empresarial y del
entorno competitivo o de otras restricciones, de forma que se puedan identificar oportunidades
propiciadas por las nuevas tecnologías.
APO05.01 Establecer la combinación de inversiones objetivo. Revisar y asegurar la claridad de las estrategias
y los servicios actuales del negocio y de la TI. Definir una combinación de inversiones apropiada
basada en costes; la alineación con la estrategia; y las métricas financieras como los costes y el
retorno de la inversión (ROI) esperado durante todo el ciclo de vida económico, el grado de riesgo
y el tipo de beneficio de los programas del portafolio. Ajustar las estrategias empresariales y de TI
cuando sea necesario.
APO05.02 Determinar la disponibilidad y las fuentes de fondos. Determinar las fuentes de fondos potenciales,
las diferentes opciones de financiación y las implicaciones de las fuentes de financiación sobre las
expectativas de retorno de inversión.
APO05.03 Evaluar y seleccionar programas para financiar. Basándose en los requisitos de la combinación
general de inversiones del portafolio, evaluar y asignar prioridades a los casos de negocio de los
programas, y adoptar decisiones sobre las propuestas de inversión. Asignar los fondos e iniciar los
programas.
APO06.01 Gestionar las finanzas y la contabilidad. Establecer y mantener un método para contabilizar todos
los costes, las inversiones y las depreciaciones relacionados con la TI como parte integral de los
sistemas financieros de la empresa y del plan de cuentas para gestionar las inversiones y los costes
de la TI. Capturar y asignar los costes reales, analizar las desviaciones entre las previsiones y los
costes reales, e informar usando los sistemas de medición financiera de la empresa.
APO06.02 Establecer prioridades para la asignación de recursos. Implementar un proceso de toma de
decisiones para establecer prioridades para la asignación de recursos e instaurar reglas para las
inversiones discrecionales de las unidades de negocio individuales. Incluir el uso potencial de
proveedores de servicios externos y considerar las opciones de compra, desarrollo y alquiler.
APO06.03 Crear y mantener presupuestos. Preparar un presupuesto que refleje las prioridades de inversión
que soporten los objetivos estratégicos basándose en el portafolio de programas habilitados por la TI
y los servicios de TI.
APO06.04 Elaborar modelos y asignar costes. Establecer y usar un modelo de costes de TI basado en la
definición del servicio, asegurando que esta asignación de costes de servicios sea identificable,
medible y predecible, para fomentar el uso responsable de los recursos, incluyendo los
proporcionados por proveedores de servicios. Revisar y comparar regularmente la idoneidad del
modelo de costes/cargos por uso para mantener su pertinencia y su adecuación a la evolución de
las actividades de negocio y de TI.
APO06.05 Gestionar costes. Implementar un proceso de gestión de costes que compare los costes reales
con los presupuestos. Se debería monitorizar e informar sobre los costes y, en caso de que haya
desviaciones, identificarlas de manera oportuna analizando su impacto sobre los procesos y los
servicios empresariales.
APO07.01 Mantener una dotación de personal adecuada y apropiada. Evaluar los requisitos de personal de
forma regular o ante cambios empresariales importantes, operativos o en el entorno de la TI para
asegurar que la empresa cuenta con suficientes recursos humanos para dar soporte a las metas y
los objetivos de la empresa. La provisión de personal incluye tanto recursos internos como externos.
APO08.01 Entender las expectativas de negocio. Comprender los problemas y los objetivos actuales del
negocio, así como las expectativas que se tienen sobre la TI. Asegurar que los requisitos se
comprendan, gestionen y se comuniquen, y que su estado esté aceptado y aprobado.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 45

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
APO08.03 Gestionar la relación con el negocio. Gestionar la relación con los clientes (representantes de
negocio). Asegurar que los roles y las responsabilidades de relación estén definidos y asignados, así
como que se facilita su comunicación.
APO10.01 Identificar y evaluar las relaciones y los contratos con los proveedores. Identificar los proveedores
y los contratos asociados, para luego clasificarlos de acuerdo con su tipo, importancia y criticidad.
Establecer criterios de evaluación para los proveedores y los contratos, y evaluar el catálogo general
de proveedores y contratos actuales y alternativos.
APO10.02 Seleccionar proveedores. Seleccionar los proveedores de acuerdo con una práctica justa y formal
para garantizar el mejor ajuste viable basado en los requisitos especificados. Los requisitos deberían
optimizarse contando con la participación de los proveedores potenciales.
APO11.01 Establecer un sistema de gestión de la calidad (SGC). Establecer y mantener un SGC que ofrezca un
enfoque estandarizado, formal y continuo para la gestión de la calidad de la información, habilitando
procesos tecnológicos y de negocio que estén alineados con los requisitos de negocio y la gestión
de la calidad en la empresa.
APO11.03 Enfocar la gestión de la calidad en los clientes. Focalizar la gestión de la calidad en los clientes
determinando sus requisitos y asegurando su alineación con las prácticas de gestión de la calidad.
BAI01.01 Mantener un enfoque estándar para la gestión de programas y proyectos. Mantener un enfoque
estándar para la gestión de programas y proyectos que permita evaluar su gobierno y gestión, así
como enfocar las actividades de adopción de decisiones y gestión de entregas en la obtención de
valor y el logro de metas (requisitos, riesgos, costes, calendario, calidad) para el negocio de forma
consistente.
BAI01.02 Iniciar un programa. Iniciar un programa para confirmar los beneficios esperados y obtener la
autorización para proceder. Esto incluye acordar el patrocinio de los programas, la confirmación del
mandato del programa mediante la aprobación del caso de negocio conceptual, la designación de
los miembros de la junta o del comité del programa, la elaboración del resumen del programa, la
revisión y actualización del caso de negocio, el desarrollo de un plan de realización de beneficios y la
obtención de la aprobación de los promotores para proceder.
BAI01.03 Gestionar la involucración de las partes interesadas. Gestionar la participación de las partes
interesadas para asegurar un intercambio activo de información exacta, consistente y oportuna que
llegue a todas las partes interesadas relevantes. Esto incluye planificar, identificar e involucrar a las
partes interesadas y manejar sus expectativas.
BAI01.04 Desarrollar y mantener el plan del programa. Formular un programa para establecer las bases
iniciales y posicionarlo para la ejecución exitosa formalizando el alcance del trabajo que debe
realizarse, e identificando los entregables que satisfarán sus metas y produzcan valor. Mantener y
actualizar el plan del programa y el caso de negocio durante todo el ciclo de vida económica del
programa, asegurando la alineación con los objetivos estratégicos y reflejando el estado actual y la
información actualizada que se obtiene diariamente.

46 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI01.07 Establecer e iniciar proyectos dentro de un programa. Definir y documentar la naturaleza y el alcance
del proyecto para confirmar y desarrollar entre las partes interesadas una comprensión común del
alcance del proyecto y de cómo éste se relaciona con otros proyectos dentro del programa global
de inversiones habilitadas por las TI. La definición debería ser aprobada formalmente por el
programa y los promotores del proyecto.
BAI01.08 Planificar proyectos. Establecer y mantener un plan de proyecto formal, integrado y aprobado (que
cubra los recursos de negocio y de TI) para guiar la ejecución y el control del proyecto durante su
vida útil. El alcance de los proyectos debería estar claramente definido y vinculado a la capacidad de
negocio que estén desarrollando o mejorando.
BAI01.09 Gestionar la calidad de los programas y los proyectos. Preparar y ejecutar un plan de gestión de la
calidad, con procesos y prácticas alineadas con el SGC, que describa el enfoque de la calidad para
el programa y los proyectos, y cómo se va a implementar. El plan debería estar revisado formalmente
y aprobado por todas las partes involucradas, para posteriormente incorporarse al programa
integrado y a los planes de proyecto.

Paso 2 del MCS: Orientar, y Paso 3: Crear un Perfil Actual

Fase 2 de COBIT: ¿Dónde Estamos Ahora?
Tras identificar la misión de la organización y los impulsores que soportan los objetivos de las
partes interesadas, la organización identifica los sistemas y activos relacionados que permiten
alcanzar las necesidades de las partes interesadas. Es importante destacar que el MCS no limita
que estos sistemas y activos sean exclusivamente TI o TO, que son subconjuntos de la relación
general de activos que debe considerarse. Algunos ejemplos de activos que deben considerarse
en el paso de Orientación son: las instalaciones en que se aloja la tecnología, los operadores que
aseguren que los equipos funcionan con seguridad y la infraestructura que entrega productos a
los clientes. Tras haber comprendido la cascada de metas y cómo las funciones de negocio y de
TI deben proporcionar valor desde la TI en apoyo de las metas empresariales, la organización
identifica amenazas y vulnerabilidades a dichos sistemas y activos. Esto debe llevarse a cabo con
una comprensión de la actitud presente y futura de la empresa hacia el riesgo y de su posición
respecto al riesgo de TI.

Antes de crear el Perfil Actual, el encargado de la implementación debería revisar los Niveles
de Implementación del Marco tal como se describe en la figura 13. La selección del Nivel
apropiado que satisfaría las necesidades de las partes interesadas de forma óptima establecerá la
escala para responder a la pregunta “¿Dónde estamos ahora?”. La meta del proceso es establecer
los niveles apropiados de gobierno y gestión para alcanzar los objetivos de riesgos establecidos
en la fase 1. La selección de un Nivel que sea inferior al apropiado puede dar lugar a la falta de
procesos suficientes para abordar el riesgo o para coordinarse con otras entidades. Una selección
inapropiada del Nivel más alto, sin embargo, puede imponer programas y procesos costosos en
toda la organización cuyos beneficios no sean conmensurables con las metas definidas en la fase
1. El diálogo para determinar las metas, los Niveles y las actividades apropiados, considerando el
contexto organizacional específico, es uno de los beneficios clave de aplicar el MCS.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 47

Implementación del Marco de Ciberseguridad de NIST

El MCS Base Versión 1.0 contiene aproximadamente unas 100 subcategorías de resultados,
muchas de las cuales están soportadas por uno o más procesos de COBIT. Para el MCS, el
usuario debería crear el Perfil Actual para todas las subcategorías. Observando a través de
la lente del nivel organizacional, lo que ayuda a informar acerca de cómo debe lograrse un
resultado, el encargado de la implementación itera en cada subcategoría para determinar el
nivel de logro que se ha alcanzado para satisfacer las metas de las partes interesadas. Para cada
fila de la plantilla, determine y registre el nivel actual de logro, tal como indican los principios
en COBIT PAM y en la Guía del Evaluador COBIT®: Utilizando COBIT® 5. La guía para el
asesor proporciona criterios detallados para determinar las actividades apropiadas para lograr los
resultados. Considerando esa guía, seleccione el nivel apropiado de logro para cada subcategoría
de acuerdo con la escala que se detalla en la figura 17.

Figura 17: Escala de Clasificación de Logros

Abreviatura Descripción % Alcanzado
N No alcanzado 0 a 15
P Parcialmente alcanzado >15 a 50
L Alcanzado en gran medida >50 a 85
F Completamente alcanzado >85 a 100
Fuente: Esta figura se ha adaptado de la ISO 15504-2:2003, Sección 5.7.2, páginas 10 a 11, con el permiso de
ANSI en representación de ISO. © ISO 2014 - Todos los derechos reservados.

El apéndice B ofrece la plantilla completa de un Perfil Actual COBIT basada en el MCS Base,
incluyendo una descripción detallada de los elementos del Perfil Actual en la figura B.2.

Consideraciones de Implementación
Propósito
Obtener una comprensión de los sistemas y activos organizacionales que habilitan la misión descrita en la
fase 1, determina las metas específicas de TI para proteger esos sistemas [de acuerdo con los requisitos de
impacto para el negocio].

Comprender las amenazas y las vulnerabilidades globales de los sistemas y activos, y usar la plantilla del Perfil
Actual para registrar los niveles actuales de logro de resultados.
Entradas
• Misión e impulsores organizacionales.
• Comprensión de la cascada de metas.
• Declaración de cómo el negocio y la función de TI ofrecen valor desde TI
• Comprensión de la actitud presente y futura de la empresa hacia el riesgo y su posición hacia el riesgo de TI
• Niveles de Implementación del Marco

48 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Consideraciones de Implementación (cont.)

Actividades de Alto Nivel
• Determinar los sistemas de negocio y operacionales de los que dependen los impulsores de las partes
interesadas (como se describe en la fase 1). La determinación debería incluir cualquier dependencia
subsiguiente para los sistemas y activos identificados.
• Determinar las metas de disponibilidad y/o las metas de recuperación para los sistemas y activos
identificados para ofrecer valor a las partes interesadas y cumplir con las obligaciones organizacionales (por
ejemplo, los requisitos de disponibilidad contractual, los requisitos de servicio de infraestructura crítica y los
acuerdos de nivel de servicio).
• Revisar los Niveles de Implementación del Marco y registrar el Nivel seleccionado para la organización (de
acuerdo con el alcance determinado en la fase 1).
• Considerando las características del Nivel deseado, usando la metodología de evaluación de COBIT 5
(basado en ISO 15504), completar la plantilla del Perfil Actual, iterando en cada subcategoría y registrando la
valoración del estado actual desde No Alcanzado hasta Completamente Alcanzado. Asegurar que se incluyan
las justificaciones/evidencias apropiadas para cada componente.
Salidas
• Amenazas a, y vulnerabilidades de, los sistemas y activos importantes
• Evaluación del riesgo organizacional
• Perfil Actual
• Catálogo de servicios habilitados por TI
• Acuerdos de servicio
• Líneas de base de disponibilidad, desempeño y capacidad para la comparación en el futuro

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
APO02.01 Comprender la dirección de la empresa. Considerar el entorno empresarial actual y los
procesos de negocio, así como la estrategia empresarial y los objetivos futuros. Considerar
también el entorno externo de la empresa (los impulsores de la industria, las regulaciones
relevantes y las bases de la competencia).
APO02.02 Evaluar el entorno, las capacidades y el desempeño actuales. Evaluar el desempeño de las
actuales capacidades internas de negocio y de TI así como los servicios de TI externos, y
desarrollar la comprensión de la arquitectura de la empresa en relación con la TI. Identificar los
problemas que se estén experimentando actualmente y desarrollar recomendaciones en áreas
que podrían beneficiarse de mejoras. Considerar los diferenciadores y las opciones para los
proveedores de servicio así como el impacto financiero, los costes y los beneficios potenciales
del uso de servicios externos.
APO03.02 Definir la arquitectura de referencia. La arquitectura de referencia describe las arquitecturas
actual y objetivo para los dominios de tecnología, aplicaciones, datos, información y negocio.
APO04.01 Crear un entorno propicio para la innovación. Crear un entorno que propicie la innovación,
considerando cuestiones como la cultura, las recompensas, la colaboración, los foros de
tecnología y los mecanismos para promover y capturar las ideas de los empleados.
APO07.02 Identificar al personal clave de TI. Identificar al personal clave de TI mientras se minimiza
la dependencia de un solo individuo que realice una función de trabajo crítica mediante la
captura de conocimiento (documentación), la compartición del conocimiento, la planificación
de la sucesión y el establecimiento de personal de respaldo.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 49

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
APO07.03 Mantener las habilidades y las competencias del personal. Definir y gestionar las habilidades y
las competencias necesarias del personal. Verificar regularmente que el personal cuente con las
competencias necesarias para realizar sus funciones basándose en su educación, capacitación
y/o experiencia, y verificar que estas competencias se estén manteniendo usando programas
de cualificación y certificación cuando sea apropiado. Dar a los empleados oportunidades de
aprendizaje constantes para mantener sus conocimientos, habilidades y competencias al nivel
requerido para alcanzar las metas de la empresa.
APO07.05 Planificar y dar seguimiento al uso de recursos humanos en la TI y en el negocio. Comprender
y dar seguimiento a la demanda actual y futura de recursos humanos para el negocio y para la
TI con responsabilidades en la TI empresarial. Identificar los déficits y hacer propuestas para
los planes de aprovisionamiento, los planes de procesos de provisión de recursos de TI, y los
procesos de reclutamiento de negocio y de TI.
APO09.01 Identificar los servicios de TI. Analizar los requisitos del negocio y la forma en la que los servicios
habilitados por TI y los niveles de servicio soportan los procesos del negocio. Discutir y acordar
los servicios potenciales y los niveles de servicio con el negocio, y compararlos con el portafolio
actual de servicios para identificar los servicios nuevos o modificados o las opciones de nivel de
servicio.
APO09.02 Catalogar los servicios habilitados por TI. Definir y mantener uno o más catálogos de servicios
para grupos objetivo relevantes. Publicar y mantener actualizados los servicios habilitados por TI
en los catálogos de servicios.
APO09.03 Definir y preparar los acuerdos de servicio. Definir y preparar los acuerdos de servicio basándose
en las opciones de los catálogos de servicio. Incluir los operativos internos.
APO11.02 Definir y gestionar los estándares, las prácticas y los procedimientos de calidad. Identificar y
mantener los requisitos, estándares, procedimientos y prácticas para los procesos clave para
guiar a la empresa en cumplimiento del propósito del SGC acordado. Esto debe estar en línea con
los requisitos del marco de control de TI. Considerar la certificación de procesos clave, unidades
organizacionales, productos o servicios.
APO12.01 Recopilar datos. Identificar y recopilar datos relevantes para habilitar una identificación, un análisis
y un reporte efectivos de los riesgos relacionados con la TI.
BAI03.11 Definir servicios de TI y mantener el portafolio de servicios. Definir y acordar los servicios de TI
nuevos o modificados, así como las opciones de nivel de servicio. Documentar las definiciones
y las opciones de nivel de servicio de los servicios nuevos o modificados en el portafolio de
servicios.
BAI04.01 Evaluar la disponibilidad, el desempeño y la capacidad actuales, y crear una línea de base. Evaluar
la disponibilidad, el desempeño y la capacidad de los servicios y los recursos para asegurar que
haya disponible una capacidad y un desempeño para prestar apoyo a las necesidades del
negocio con un coste justificable y se entreguen conforme a los ANS. Crear líneas de base de
disponibilidad, desempeño y capacidad para la comparación en el futuro.
BAI04.03 Planificar los requisitos de los servicios nuevos o modificados. Planificar y asignar prioridades
a las implicaciones sobre la disponibilidad, desempeño y capacidad de las cambiantes de
necesidades de negocio y de requisitos de servicio.
BAI09.01 Identificar y registrar los activos actuales. Mantener un registro actualizado y exacto de todos los
activos de TI necesarios para la entrega de servicios y asegurar la alineación con la gestión de
configuración y la gestión financiera.

50 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI09.02 Gestionar los activos críticos. Identificar los activos que resulten críticos para la provisión de
capacidades de servicio y adoptar medidas para maximizar su fiabilidad y disponibilidad para
soportar las necesidades del negocio.
BAI10.01 Establecer y mantener un modelo de configuración. Establecer y mantener un modelo lógico de
servicios, activos e infraestructuras, y la forma de registrar los elementos de configuración (CI) y
las relaciones entre éstos. Incluir los elementos de configuración que se consideran necesarios
para gestionar los servicios de forma efectiva y facilitar una descripción fiable única de los activos
de un servicio.
BAI10.02 Establecer y mantener un repositorio de configuración y una línea de base. Establecer y mantener
un repositorio de gestión de la configuración y crear las líneas de base de configuración controladas.
BAI10.03 Mantener y controlar los elementos de configuración. Mantener un repositorio actualizado de los
elementos de configuración completándolo con los cambios.
MEA03.01 Identificar los requisitos de cumplimiento externos. Identificar y monitorizar de forma continua los
cambios en las leyes y regulaciones locales e internacionales, así como otros requisitos externos
que se deban satisfacer desde la perspectiva de la TI.
MEA03.02 Optimizar la respuesta a los requisitos externos. Revisar y ajustar las políticas, los principios, los
estándares, los procedimientos y las metodologías para asegurar que se aborden y comuniquen
los requisitos legales, regulatorios y contractuales. Considerar la adopción y adaptación de los
estándares de la industria, los códigos de buenas prácticas y las orientaciones de buenas prácticas.

Paso 4 del MCS: Realizar una Evaluación del Riesgo, y Paso 5: Crear
un Perfil Objetivo
Fase 3 de COBIT: ¿Dónde Queremos Estar?
Basándose en la evaluación de niveles de capacidad de proceso del Perfil Actual, y usando los
resultados del análisis de identificación de metas/procesos que se realizó anteriormente, se debería
determinar un nivel de capacidad objetivo para cada proceso. El nivel seleccionado debería
considerar todas las referencias internas y externas (por ejemplo, las plantillas o las orientaciones
facilitadas por el Gobierno). Contando con la comprensión de las vulnerabilidades y las amenazas
para los activos valiosos, que se determinaron en la fase 2, realizar una evaluación exhaustiva de
riesgos para determinar cómo proteger mejor dichos activos, detectar y responder a ataques a los
mismos, y recuperarse de cualquier degradación o interrupción. En el apéndice C de COBIT 5
para Riesgos, titulado Procesos Clave de Gestión de Riesgos para COBIT 5, se ofrece un enfoque
exhaustivo para identificar, evaluar y reducir los riesgos relacionados con la TI dentro de los
niveles de tolerancia establecidos por la gerencia ejecutiva de la empresa.

Observe que los Pasos 3 y 5 del MCS pueden invertirse,

dependiendo de la preferencia organizacional.

Se espera que el resultado (Paso 6) permanezca constante independientemente de

que el lector:
1) Decida a dónde ir, dónde está ahora, y a continuación cómo llegar a allí desde aquí; o,
2) Decida dónde está ahora, a dónde ir, y a continuación como llegar de aquí a allí.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 51

Implementación del Marco de Ciberseguridad de NIST

Observando a través de la lente del nivel organizacional, lo que ayuda a informar acerca de cómo
debe lograrse un resultado, iterar para cada una de las subcategorías y determinar el nivel al que
debería alcanzarse el resultado de forma que se satisfagan las metas de la empresa. Para cada fila
de la plantilla, determine y registre el nivel objetivo de logro, tal como indican los principios en
el PAM de COBIT y en la Guía del Evaluador COBIT®: Utilizando COBIT® 5. La guía para
el asesor ofrece criterios detallados para determinar las actividades apropiadas para lograr los
resultados. Considerando esa guía, seleccione el nivel apropiado de logro para cada subcategoría
de acuerdo con la escala que que se muestra en la figura 18.

Figura 18: Escala de Clasificación de Logros

Abreviatura Descripción % Alcanzado
N No alcanzado 0 a 15
P Parcialmente alcanzado >15 a 50
L Alcanzado en gran medida >50 a 85
F Completamente alcanzado >85 a 100
Fuente: Esta figura se ha adaptado de ISO 15504-2:2003, Sección 5.7.2, páginas 10 a 11, con el permiso de
ANSI en representación de ISO. © ISO 2014 - Todos los derechos reservados.

El Apéndice B ofrece una plantilla completa de un Perfil Objetivo de COBIT basado en el

MCS básico, incluyendo una descripción detallada de los elementos del Perfil Objetivo de la
figura B.3.

Consideraciones de Implementación
Propósito
Conseguir una comprensión de las metas específicas de seguridad para los sistemas y los activos de la
organización que habilitan la misión descrita en la fase 1, para obtener las metas de gestión de riesgos de las
partes interesadas

Una vez identificadas las amenazas y las vulnerabilidades globales de estos sistemas y activos, discernir la
probabilidad de un evento de ciberseguridad y el impacto potencial para la organización.
Entradas
• Perfil Actual
• Niveles de capacidad de proceso/Niveles de Implementación del Marco
• Resultados del análisis de metas/identificación de procesos
• Metas relacionadas con la seguridad para los sistemas y los activos correspondientes

52 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Consideraciones de Implementación (cont.)

Actividades de Alto Nivel
• Basándose en las metas relacionadas con la seguridad registradas para los sistemas y activos
correspondientes, llevar a cabo actividades de análisis de riesgos para catalogar los posibles eventos de
riesgo para la seguridad para dichos sistemas y activos.
• Para cada posible evento registrado anteriormente, determinar la probabilidad de que tenga lugar y el
impacto potencial para la organización. El MCS destaca que es importante que las organizaciones busquen
incorporar datos de riesgos, amenazas y vulnerabilidades emergentes para facilitar una comprensión robusta
de la probabilidad y el impacto de los eventos de ciberseguridad.
• Determinar si algunas subcategorías del Marco Básico no son aplicables a los sistemas y activos
identificados dentro del alcance como una salida de la fase 1.
• Determinar si deben añadirse categorías/subcategorías adicionales (como metas de seguridad específicas)
al Perfil Objetivo para tener en cuenta riesgos organizacionales peculiares.
• Considerando las características del Nivel deseado (tal como se determinó en la fase 2 y se registró en
el Perfil Actual), usando la metodología de evaluación de COBIT 5 (basada en ISO 15504), cumplimentar
la plantilla del Perfil Objetivo, iterando para cada subcategoría y registrando el estado deseado desde No
Alcanzado hasta Completamente Alcanzado. Tenga en cuenta que Completamente Alcanzado no tiene
porqué ser necesariamente el estado deseable, y que puede que no sea necesario lograr los resultados
de esa subcategoría hasta la descripción más alta del Nivel. Asegurar que se incluyan las justificaciones/
evidencias apropiadas para cada componente.
Salidas
• Catalogación de los eventos de riesgo de seguridad potenciales para los sistemas y activos críticos
• Nivel de capacidad objetivo
• Evaluación de riesgo exhaustiva
• Perfil Objetivo
• Resultados de la evaluación de impacto sobre el negocio
• Arquitectura de referencia

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
APO02.03 Definir las capacidades objetivo de TI. Definir las capacidades objetivo de negocio y de TI, así
como los servicios de TI requeridos. Esto debería basarse en la comprensión del entorno y de
los requisitos de la empresa; la evaluación de los procesos de negocio actuales y el entorno y
los problemas de la TI; y la consideración de los estándares de referencia, las buenas prácticas
y las tecnologías emergentes validadas o las propuestas de innovación.
APO03.02 Definir la arquitectura de referencia. La arquitectura de referencia describe las arquitecturas
actuales y objetivo para los dominios de negocio, información, datos, aplicaciones y tecnología.
APO04.01 Crear un entorno propicio para la innovación. Crear un entorno que propicie la innovación,
considerando cuestiones tales como como la cultura, las recompensas, la colaboración, los
foros tecnológicos y los mecanismos para promover y capturar las ideas de los empleados.
APO07.02 Identificar al personal clave de TI. Identificar al personal clave de TI mientras se minimiza
la dependencia de un solo individuo que realice una función de trabajo crítica mediante la
captura de conocimiento (documentación), la compartición del conocimiento, la planificación
de la sucesión y el establecimiento de personal de respaldo.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 53

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
APO07.03 Mantener las habilidades y las competencias del personal. Definir y gestionar las habilidades
y las competencias necesarias del personal. Verificar regularmente que el personal cuente
con las competencias necesarias para la realización de roles basándose en su educación,
capacitación y/o experiencia, y verificar que estas competencias se estén manteniendo
usando programas de cualificación y certificación cuando sea apropiado. Dar a los empleados
oportunidades de aprendizaje constantes para mantener sus conocimientos, habilidades y
competencias al nivel requerido para alcanzar las metas de la empresa.
APO07.05 Planificar y dar seguimiento al uso de recursos humanos en la TI y en el negocio. Comprender
y dar seguimiento a la demanda actual y futura de recursos humanos para el negocio y para la
TI con responsabilidades en la TI empresarial. Identificar los déficits y hacer propuestas para
los planes de aprovisionamiento, los planes de procesos de provisión de recursos TI, y los
procesos de reclutamiento de negocio y de TI.
APO09.01 Identificar los servicios de TI. Analizar los requisitos del negocio y la forma en la que los
servicios habilitados por TI y los niveles de servicio soportan los procesos del negocio. Discutir
y acordar los servicios potenciales y los niveles de servicio con el negocio, y compararlos
con el portafolio actual de servicios para identificar los servicios nuevos o modificados o las
opciones de nivel de servicio.
APO09.02 Catalogar los servicios habilitados por TI. Definir y mantener uno o más catálogos de servicios
para grupos objetivo relevantes. Publicar y mantener actualizados los servicios habilitados por
TI en los catálogos de servicios.
APO09.03 Definir y preparar los acuerdos de servicio. Definir y preparar los acuerdos de servicio
basándose en las opciones de los catálogos de servicio. Incluir los acuerdos operativos internos.
APO11.02 Definir y gestionar los estándares, las prácticas y los procedimientos de calidad. Identificar y
mantener los requisitos, estándares, procedimientos y prácticas para los procesos clave para
guiar a la empresa en cumplimiento del propósito del SGC acordado. Esto debe estar en línea
con los requisitos del marco de control de TI. Considerar la certificación de procesos clave,
unidades organizacionales, productos o servicios.
APO12.01 Recopilar datos. Identificar y recopilar datos relevantes para habilitar una identificación, un
análisis y un reporte efectivos de los riesgos relacionados con la TI.
BAI03.11 Definir servicios de TI y mantener el portafolio de servicios. Definir y acordar los servicios de TI
nuevos o modificados, así como las opciones de nivel de servicio. Documentar las definiciones
y las opciones de nivel de servicio de los servicios nuevos o modificados en el portafolio de
servicios.
BAI04.01 Evaluar la disponibilidad, el desempeño y la capacidad actuales, y crear una línea de base.
Evaluar la disponibilidad, el desempeño y la capacidad de los servicios y los recursos para
asegurar que haya disponible una capacidad y un desempeño para prestar apoyo a las
necesidades del negocio con un coste justificable y se entreguen conforme a los ANS. Crear
líneas de base de disponibilidad, desempeño y capacidad para la comparación en el futuro.
BAI04.03 Planificar los requisitos de los servicios nuevos o modificados. Planificar y asignar prioridades
a las implicaciones sobre la disponibilidad, desempeño y capacidad de las cambiantes de
necesidades de negocio y de requisitos de servicio.
BAI09.01 Identificar y registrar los activos actuales. Mantener un registro actualizado y exacto de todos
los activos de TI necesarios para la entrega de servicios y asegurar la alineación con la gestión
de configuración y la gestión financiera.

54 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI09.02 Gestionar los activos críticos. Identificar los activos que resulten críticos para la provisión de
capacidades de servicio y adoptar medidas para maximizar su fiabilidad y disponibilidad para
soportar las necesidades del negocio.
BAI10.01 Establecer y mantener un modelo de configuración. Establecer y mantener un modelo lógico
de servicios, activos e infraestructuras, y la forma de registrar los elementos de configuración
(CI) y las relaciones entre éstos. Incluir los elementos de configuración que se consideran
necesarios para gestionar los servicios de forma efectiva y facilitar una descripción fiable única
de los activos de un servicio.
BAI10.02 Establecer y mantener un repositorio de configuración y una línea de base. Establecer
y mantener un repositorio de gestión de la configuración y crear las líneas de base de
configuración controladas.
BAI10.03 Mantener y controlar los elementos de configuración. Mantener un repositorio actualizado de
los elementos de configuración completándolo con los cambios.
DSS06 Definir y mantener los controles apropiados para los procesos de negocio para asegurar que
(todos) la información relacionada y procesada por procesos de negocio internos o externalizados
cumpla con todos los requisitos relevantes de control de la información. Identificar los
requisitos relevantes de control de la información y gestionar y operar los controles adecuados
para asegurar que el procesamiento de la información cumpla con estos requisitos.
MEA03.01 Identificar los requisitos de cumplimentación externa. Identificar y monitorizar de forma
continua los cambios en las leyes y regulaciones locales e internacionales, así como otros
requisitos externos que se deban satisfacer desde una perspectiva de TI.
MEA03.02 Optimizar la respuesta a los requisitos externos. Revisar y ajustar las políticas, los principios,
los estándares, los procedimientos y las metodologías para asegurar que se aborden y
comuniquen los requisitos legales, regulatorios y contractuales. Considerar la adopción y
adaptación de los estándares de la industria, los códigos de buenas prácticas y las guías de
buenas prácticas.

Paso 6 del MCS: Determinar, Analizar y Asignar Prioridades a las

Diferencias.
Fase 4 de COBIT: ¿Qué debe hacerse?
Para cada una de las subcategorías en el Perfil Objetivo, considere la diferencia entre el nivel
de logro objetivo y el nivel actual. El resultado de esta evaluación de diferencias ayudará
a identificar las fortalezas y las debilidades de la organización. COBIT 5: Implementación
destaca varias consideraciones importantes para esta fase:

Esta fase puede identificar algunas mejoras relativamente fáciles de alcanzar, como una
mejor capacitación, compartir buenas prácticas y estandarizar procesos; sin embargo,
es probable que el análisis de discrepancias requiera una experiencia considerable en
las técnicas de gestión de negocios y TI para desarrollar soluciones prácticas. También
se necesitará experiencia en la realización de cambios de comportamientos y en la
organización.

Puede ser necesario comprender las técnicas de proceso, pericia avanzada tanto del
negocio como técnica, y conocimiento de aplicaciones y servicios de software de gestión
de negocio y de sistemas. Para asegurar que esta fase se ejecute de forma efectiva, es
importante que el equipo trabaje con los propietarios de los procesos de negocio y de TI,

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 55

Implementación del Marco de Ciberseguridad de NIST

así como con otras partes interesadas necesarias, aprovechando la pericia interna. Si
es necesario, también debe obtenerse asesoría externa. Deben identificarse los riesgos
que no quedarán mitigados después de reconciliar las discrepancias y, si son aceptables,
deben ser aceptados formalmente por la gerencia.

Deben documentarse las oportunidades de mejora en un plan de acción priorizado para

abordar las discrepancias. El plan debe basarse en los impulsores de la misión, un análisis
de costes y beneficios, y en una comprensión del impacto y la probabilidad del riesgo para
lograr resultados tal como se describen en el Perfil Objetivo. El plan también debe incluir una
consideración de los recursos necesarios para abordar las discrepancias. Esta forma de utilizar
los Perfiles permite que la organización adopte decisiones informadas sobre las actividades
de ciberseguridad; apoya la gestión del riesgo; y permite a la organización realizar mejoras
específicas y rentables.

Consideraciones de Implementación
Propósito
Comprender qué acciones se requieren para alcanzar las metas de las partes interesadas mediante la
identificación de las discrepancias entre el entorno actual y el objetivo, y la alineación con las prioridades y los
recursos de la organización.
Entradas
• Perfil Objetivo
• Pericia en el proceso, en el negocio y en la técnica
• Requisitos de recursos
Actividades de Alto Nivel
• Para cada subcategoría indicada en el Perfil Objetivo, registre la discrepancia entre el nivel de capacidad
deseado y el estado actual (tal como esté registrado en el Perfil Actual), en caso de existir.
• Para cada subcategoría en que se haya registrado una discrepancia entre el estado Actual y el estado
Objetivo usando COBIT 5: Procesos Catalizadores (como se incluye en el Marco Base), determinar las
actividades requeridas y las actividades detalladas. Éstos se describen en COBIT 5: Procesos Catalizadores
como el cómo, el por qué y el qué implementar para cada práctica de gobierno o gestión para mejorar el
desempeño de la TI y/o abordar el riesgo para la entrega de la solución y el servicio de la TI. Las referencias
informativas adicionales del Marco Base pueden ayudar a determinar los controles o las actividades
apropiados.
• Revisando las posibles acciones definidas, determinar la prioridad apropiada de esas actividades para
permitir alcanzar el valor óptimo mientras se ofrece una seguridad razonable de que las prácticas de gestión
de riesgos son apropiadas para asegurar que el riesgo de TI real no sobrepase el apetito de riesgo acordado.
• Determinar los recursos necesarios para realizar las actividades descritas, considerando las orientaciones de
las partes interesadas en la fase 1 sobre los recursos disponibles.
• Crear y registrar un plan de acción de las actividades con hitos, asegurando una responsabilidad y rendición
de cuentas apropiadas, para lograr los resultados deseados de acuerdo con las prioridades determinadas.
Salidas
• Perfil de la evaluación de discrepancias
• Plan de acción priorizado.
• Documentación de aceptación de riesgo
• Objetivos de desempeño y de cumplimiento.

56 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
EDM01.02 Dirigir el sistema de gobierno. Informar a los líderes y obtener su apoyo, implicación y
compromiso. Guiar las estructuras, procesos y prácticas para el gobierno de TI en línea con los
principios de diseño de gobierno acordados, los modelos de toma de decisiones y los niveles
de autoridad. Definir la información precisa para una toma de decisiones informada.
EDM02.02 Dirigir la optimización del valor. Dirigir los principios y las prácticas de gestión de valor para
permitir una obtención óptima de valor con las inversiones habilitadas para la TI durante todo
su ciclo de vida económica.
EDM03.02 Dirigir la gestión de riesgos. Dirigir el establecimiento de prácticas de gestión de riesgos para
proporcionar una seguridad razonable de que las prácticas de gestión de riesgos de TI son
apropiadas para asegurar que el riesgo real de TI no sobrepase el apetito de riesgo del consejo
de administración.
EDM04.02 Dirigir la gestión de los recursos. Asegurar la adopción de principios de gestión de recursos
para permitir el uso óptimo de los recursos de TI durante todo su ciclo de vida económica.
EDM05.02 Dirigir la comunicación y el informe a las partes interesadas. Asegurar el establecimiento de
una comunicación e informe efectivos para las partes interesadas, incluyendo mecanismos
para asegurar la calidad y la completitud de la información, supervisión de los informes
obligatorios, y crear una estrategia de comunicación para las partes interesadas.
APO02.05 Definir el plan estratégico y la hoja de ruta. Crear un plan estratégico que defina, en
cooperación con las partes interesadas relevantes, de qué forma las metas relacionadas con la
TI contribuirán a las metas estratégicas de la empresa. Incluir la manera en que la TI soportará
los programas de inversión habilitados para la TI, los procesos de negocio, los servicios de TI
y los activos de TI. Indicar a la TI que defina las iniciativas que se necesitarán para eliminar las
discrepancias, la estrategia de abastecimiento y las medidas que se usarán para monitorear el
logro de las metas, para luego asignar prioridades a las iniciativas y combinarlas en una hoja
de ruta de alto nivel.
APO02.06 Comunicar la dirección y estrategia de TI. Crear concienciación y comprensión del negocio, y
los objetivos y la dirección de TI, tal como se capturaron en la estrategia de TI, mediante su
comunicación a las partes interesadas y a los usuarios en la empresa.
APO08.04 Coordinar y comunicar. Trabajar con las partes interesadas y coordinar la entrega extremo a
extremo de los servicios y soluciones de TI que se proporcionan al negocio.
APO11.05 Integrar la gestión de la calidad en las soluciones para el desarrollo y la prestación de
servicios. Incorporar las prácticas relevantes de gestión de la calidad en la definición,
monitoreo y gestión continua del desarrollo de soluciones y la oferta de servicios.
BAI02.04 Obtener la aprobación de requisitos y soluciones. Coordinar la retroalimentación de las
partes interesadas afectadas y, en etapas clave predeterminadas, obtener la aprobación
y la autorización del promotor de negocio o del propietario del producto de los requisitos
funcionales y técnicos, los estudios de factibilidad, los análisis de riesgos y las soluciones
recomendadas.
BAI03.01 Diseño de soluciones de alto nivel. Desarrollar y documentar los diseños de alto nivel usando
técnicas de desarrollo acordadas y que tengan las etapas apropiadas que sean rápidas o
ágiles. Asegurar la alineación con la estrategia de TI y la arquitectura de empresa. Volver a
evaluar y actualizar los diseños cuando se presenten problemas significativos durante las fases
de diseño detallado o construcción, o conforme evoluciona la solución. Asegurar que las partes
interesadas participen activamente en el diseño y la aprobación de cada versión.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 57

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI03.02 Diseñar componentes detallados de la solución. Desarrollar, documentar y elaborar diseños
detallados progresivamente usando técnicas de desarrollo acordadas, con las etapas apropiadas
o rápidas y ágiles, abordando todos los componentes (procesos comerciales y los controles
automatizados y manuales relacionados, apoyando las aplicaciones de TI, los servicios de
infraestructura y los productos de tecnología, así como a los socios/proveedores). Asegurar que
el diseño detallado incluya acuerdos de nivel de servicio (ANS) internos y externos, así como
acuerdos de nivel de operación (OLA – operating level agreements).
BAI03.03 Desarrollar los componentes de la solución. Desarrollar progresivamente los componentes
de la solución de acuerdo con los diseños detallados siguiendo los métodos de desarrollo y
los estándares de documentación, los requisitos de control de calidad (QA) y los estándares
de aprobación. Asegurar que se aborden todos los requisitos de control en los procesos de
negocio, que dan soporte a las aplicaciones de TI y a los servicios de infraestructura así como los
servicios y los productos de tecnología y para los socios/proveedores.
BAI03.04 Obtener los componentes de la solución. Adquirir componentes de la solución basados en el
plan de adquisiciones de acuerdo con los requerimientos y los diseños detallados, los principios
y estándares de la arquitectura y los procedimientos generales de compra y contratación de
la empresa, requerimientos de QA y estándares de aprobación. Asegurar que el proveedor
identifique y aborde todos los requisitos legales y contractuales.
BAI03.05 Construir soluciones. Instalar y configurar las soluciones e integrar con las actividades de los
procesos del negocio. Implementar medidas de control, seguridad y auditabilidad durante la
configuración y durante la integración del hardware y el software de infraestructura para proteger
los recursos y asegurar la disponibilidad y la integridad de los datos. Actualizar el catálogo de
servicios para reflejar las nuevas soluciones
BAI03.06 Realizar el control de calidad (QA). Desarrollar, aprovisionar y ejecutar un plan de QA alineado
con el Sistema de Gestión de Calidad (SGC) para obtener la calidad especificada en la definición
de los requisitos y las políticas y procedimientos de calidad de la empresa.
BAI03.07 Preparar las pruebas de la solución. Establecer un plan de pruebas y los entornos requeridos
para probar los componentes de la solución individuales e integrados, incluyendo los procesos
del negocio y los servicios, las aplicaciones y la infraestructura de soporte.
BAI03.08 Realizar las pruebas sobre la solución. Ejecutar pruebas continuamente durante el desarrollo,
incluyendo pruebas sobre los controles, de acuerdo con el plan de pruebas definido y las
prácticas de desarrollo en el entorno apropiado. Incluir a los propietarios de los procesos del
negocio y a los usuarios finales en el equipo de pruebas. Identificar, registrar y priorizar los
errores y los problemas que se identificaron durante las pruebas.
BAI05.01 Establecer el deseo de cambiar. Comprender el alcance y el impacto del cambio concebido y la
preparación/voluntad de las partes interesadas hacia el cambio. Identificar acciones que motiven
a las partes interesadas a aceptar y a querer hacer que el cambio funcione exitosamente.
BAI05.02 Formar un equipo de implementación eficaz. Establecer un equipo de implementación eficaz
reuniendo a los miembros apropiados, generando confianza y estableciendo los objetivos
comunes y las medidas de eficacia.
BAI05.03 Comunicar la visión deseada. Comunicar la visión deseada para el cambio en el lenguaje de
los afectados por el mismo. La alta gerencia debe realizar la comunicación, y debe incluir la
justificación y los beneficios del cambio, así como los impactos de no hacer el cambio; y la
visión, la hoja de ruta y la participación necesaria de las distintas partes interesadas.

58 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
BAI05.04 Empoderar a los participantes e identificar las victorias a corto plazo. Empoderar a aquellos
con funciones de implementación asegurando que se les asignen responsabilidades, que se
les provea formación, y alineando las estructuras organizacionales y los procesos de recursos
humanos (RR. HH.). Identificar y comunicar las ganancias a corto plazo que pueden alcanzarse
y que son importantes desde la perspectiva de habilitar cambios.
BAI05.05 Habilitar las operaciones y el uso. Planificar e implementar todos los aspectos técnicos,
operacionales y de uso, de forma que todas las personas involucradas en el futuro estado del
entorno puedan ejercer sus responsabilidades.
BAI05.06 Incorporar nuevos enfoques. Integrar nuevos enfoques rastreando los cambios implementados,
evaluando la efectividad de la operación y el plan de uso, y mantener una concienciación
constante mediante una comunicación frecuente. Tomar las medidas correctivas apropiadas
que pueden ser de obligado cumplimiento
MEA01.01 Establecer un enfoque de monitoreo. Involucrar a las partes interesadas para establecer y
mantener un enfoque de monitoreo para definir los objetivos, el alcance y el método para
medir la solución de negocio y la provisión de servicios así como a la contribución a los
objetivos de la empresa. Integrar este enfoque con el sistema de gestión de desempeño
corporativo.
MEA01.02 Establecer los objetivos de conformidad y rendimiento. Trabajar con las partes interesadas para
definir, revisar periódicamente, actualizar y aprobar los objetivos de desempeño y cumplimiento
dentro del sistema de medición de desempeño.

Paso 7 del MCS: Implementar el Plan de Acción

Fase 5 de COBIT: ¿Cómo llegamos ahí?
La fase 5 incluye la ejecución real del plan de acción priorizado, tal como se definió en la fase
4. La ejecución del plan de acción ofrece una oportunidad para establecer comunicaciones
frecuentes con las partes interesadas, que deben usar una terminología y lenguaje apropiados
para cada audiencia. Por ejemplo, las discusiones de la gerencia de TI pueden considerar
instalaciones y procesos específicos, mientras que las discusiones con el consejo directivo y los
ejecutivos pueden relacionarse más con la expectativa de pérdidas anuales o las oportunidades
del mercado.

La ejecución del plan de acción puede implementarse gradualmente, aprovechando el impulso

del éxito del proyecto, generando más credibilidad y mejorando el éxito. La ejecución del plan
de acción ofrece la oportunidad de impulsar una cultura efectiva de gestión de riesgos en toda la
organización. Las medidas de desempeño y las métricas incrementales ayudarán a documentar el
éxito y darán soporte para cualquier ajuste necesario. Muchas de estas medidas se describen en
los procesos de COBIT 5, especialmente en los dominios de Crear, adquirir e implementar (BAI)
y Entregar, dar servicio y soporte (DSS).

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 59

Implementación del Marco de Ciberseguridad de NIST

Consideraciones sobre la Implementación

Propósito
Ejecutar el plan, tal como se define en la fase 4, para abordar las carencias y mejorar la seguridad para
alcanzar las metas de las partes interesadas de forma priorizada y rentable.
Entradas
• Plan de acción priorizado.
• Misión y motivaciones de la organización
• Objetivos de cumplimiento y rendimiento.
Actividades de alto nivel
• Ejecutar el plan de acción tal y como se definió en la fase 4. Considerar las causas raíz y los factores de
éxito de los desafíos indicados en la guía de implementación de COBIT 5, incluyendo:
– Hacer pequeñas mejoras para probar el enfoque y asegurarse de que funcione.
– Involucrar a los propietarios del proceso y a otras partes interesadas en el desarrollo de la mejora.
– Aplicar formación adecuada cuando sea necesario.
– Desarrollar los procesos antes de intentar automatizarlos.
– Reorganizar, si es necesario, para permitir la mejor propiedad de los procesos.
– Hacer que las funciones se correspondan con las capacidades y características individuales, sobre todo
en aquellas funciones que son clave para el éxito del factor adoptado
– Establecer metas claras, medibles y realistas (que sean el resultado esperado de la mejora).
– Establecer métricas de desempeño prácticas (para monitorear si la mejora está conduciendo al logro de
de las metas).
– Producir cuadros de mando que muestren cómo se está midiendo el desempeño.
– Comunicar en términos de impacto para el negocio los resultados y los beneficios que se están obteniendo.
– Implementar ganancias rápidas y ofrecer soluciones en plazos cortos.
– Evaluar el desempeño en relación con los objetivos originales y confirmar que se obtengan los resultados
deseados.
• Considerar la necesidad de redirigir las actividades futuras y tomar acciones correctivas.
• Si es necesario, ayudar en la resolución de los problemas significativos.
• Si es necesario, volver a la fase 3 y ajustar el Perfil Objetivo, la Evaluación de Deficiencias y el Plan de Acción.
Salidas
• Procedimientos operativos para los elementos implementados del plan de acción.
• Informes sobre el desempeño de las comunicaciones.
• Resultados de las métricas de desempeño.

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
EDM01.02 Orientar el sistema de gobierno. Informar a los líderes y obtener su apoyo, aprobación y
compromiso. Guiar las estructuras, procesos y prácticas para el gobierno de TI en línea con los
principios de diseño acordados para el gobiern acordados, los modelos de toma de decisiones
y los niveles de autoridad. Definir la información requerida para una toma de decisiones
informada.
EDM02.02 Dirigir la optimización del valor. Dirigir los principios y las prácticas de gestión del valor para
permitir una realización óptima del valor de las inversiones habilitadas por las TI durante todo
su ciclo económico.

60 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
EDM03.02 Dirigir la gestión de riesgos. Dirigir el establecimiento de prácticas de gestión de riesgos
para ofrecer una seguridad razonable de que las prácticas de gestión de riesgos de TI son
apropiadas para asegurar que el riesgo de TI actual no sobrepase el apetito al riesgo de la
junta directiva.
EDM04.02 Dirigir la gestión de recursos. Asegurar la adopción de principios de gestión de recursos para
permitir un uso óptimo de los recursos de TI durante todo su ciclo de vida económica.
EDM05.02 Dirigir la comunicación e informes para las partes interesadas. Asegurar el establecimiento de
una comunicación e informes efectivos para las partes interesadas, incluyendo mecanismos
para asegurar la calidad y la completitud de la información, supervisión de los informes
obligatorios, y creando una estrategia de comunicación para las partes interesadas.
APO02.05 Definir el plan estratégico y el mapa de ruta. Crear un plan estratégico que defina, en
cooperación con las partes interesadas relevantes, cómo las metas relacionadas con la TI
contribuirán a las metas estratégicas de la empresa. Incluir la manera en que la TI acompañará
los programas de inversión posibilitados por la TI, los procesos de negocio, los servicios de TI
y los activos de TI. Dirigir la TI para que defina las iniciativas que se necesitarán para cubrir las
carencias, la estrategia de adquisición y las medidas que se usarán para monitorear el logro
de las metas, y después priorizar las iniciativas y combinarlas en una hoja de ruta de alto nivel.
APO02.06 Comunicar la dirección y estrategia de TI. Crear concienciación y comprensión del negocio y
de la dirección y objetivos de TI tal y como se capturaron en la estrategia de TI mediante la
comunicación con las partes interesadas apropiadas y los usuarios de toda la empresa.
APO08.04 Coordinar y comunicar. Trabajar con las partes interesadas y coordinar la entrega extremo a
extremo de los servicios y soluciones de TI que se ofrecen al negocio.
APO11.05 Integrar la gestión de la calidad en las soluciones para el desarrollo y la prestación de
servicios. Incorporar prácticas relevantes de gestión de la calidad en la definición, monitoreo y
gestión constante del desarrollo de las soluciones y la oferta de servicios.
BAI02.04 Obtener la aprobación de requerimientos y soluciones. Coordinar la retroalimentación de las
partes interesadas afectadas y, en etapas clave predeterminadas, obtener la aprobación y la
autorización del patrocinador del negocio o del propietario del producto de los requerimientos
funcionales y técnicos, estudios de factibilidad, análisis de riesgos y soluciones recomendadas.
BAI03.01 Diseño de soluciones de alto nivel. Desarrollar y documentar diseños de alto nivel usando
técnicas de desarrollo en fases o ágiles acordadas y apropiadas. Asegurar la alineación
con la estrategia de TI y la arquitectura de la empresa. Volver a evaluar y actualizar los
diseños cuando se presenten problemas significativos durante las fases de diseño detallado
o construcción, o conforme evoluciona la solución. Asegurar que las partes interesadas
participen activamente en el diseño y la aprobación de cada versión.
BAI03.02 Diseñar componentes detallados para la solución. Desarrollar, documentar y elaborar diseños
detallados progresivamente usando técnicas de desarrollo en fases o ágiles aprobadas
y acordadas, abordando todos los componentes (procesos de negocio y los controles
automatizados y manuales relacionados, aplicaciones de TI de soporte, los servicios de
infraestructura y los productos de tecnología, así como a los socios/proveedores). Asegurar
que el diseño detallado incluya los ANS y OLA internos y externos.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 61

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
BAI03.03 Desarrollar los componentes de la solución. Desarrollar progresivamente los componentes de
la solución de acuerdo con los diseños detallados siguiendo los métodos de desarrollo y los
estándares de documentación, los requerimientos de calidad y los estándares de aprobación.
Asegurar que se aborden todos los requisitos de control en los procesos de negocio, que dan
soporte a las aplicaciones de TI y a los servicios de infraestructura así como los servicios y los
productos de tecnología y para los socios/proveedores.
BAI03.04 Obtener los componentes de la solución. Adquirir los componentes de la solución basados
en el plan de adquisiciones de acuerdo con los requerimientos y los diseños detallados, los
principios y estándares de la arquitectura y los procedimientos generales de adquisiciones y
contratos de la empresa, requerimientos de calidad y estándares de aprobación. Asegurar que
el proveedor identifique y aborde todos los requisitos legales y contractuales.
BAI03.05 Construir soluciones. Instalar y configurar las soluciones e integrar con las actividades de
los procesos de negocio. Implementar medidas de control, seguridad y auditabilidad durante
la configuración y durante la integración del hardware y el software de infraestructura para
proteger los recursos y asegurar la disponibilidad y la integridad de los datos. Actualizar el
catálogo de servicios para reflejar las nuevas soluciones.
BAI03.06 Realizar el control de calidad (QA). Desarrollar, aprovisionar y ejecutar un plan de QA alineado
con el SGC para obtener la calidad especificada en la definición de los requerimientos y las
políticas y procedimientos de calidad de la empresa.
BAI03.07 Preparar las pruebas de la solución. Establecer un plan de pruebas y los entornos requeridos
para probar los componentes de la solución individuales e integrados, incluyendo los procesos
del negocio y los servicios, las aplicaciones y la infraestructura de soporte.
BAI03.08 Ejecutar las pruebas de la solución. Ejecutar pruebas continuamente durante el desarrollo,
incluyendo pruebas sobre los controles, de acuerdo con el plan de pruebas definido y las
prácticas de desarrollo en el entorno apropiado. Incluir a los propietarios de los procesos del
negocio y a los usuarios finales en el equipo de pruebas. Identificar, monitorear y priorizar los
errores y los problemas que se identificaron durante las pruebas.
BAI05.01 Establecer el deseo de cambiar. Comprender el alcance y el impacto del cambio concebido
y la preparación/voluntad de las partes interesadas hacia el cambio. Identificar acciones
que motiven a las partes interesadas a aceptar y a querer hacer que el cambio funcione
exitosamente.
BAI05.02 Formar un equipo de implementación eficaz. Establecer un equipo de implementación eficaz
reuniendo a los miembros apropiados, generando confianza y estableciendo los objetivos
comunes y las medidas de eficacia.
BAI05.03 Comunicar la visión deseada. Comunicar la visión deseada para el cambio en el lenguaje de
los afectados por el mismo. La alta gerencia debe realizar la comunicación, y debe incluir la
justificación y los beneficios del cambio, así como los impactos de no hacer el cambio; y la
visión, la hoja de ruta y la participación necesaria de las distintas partes interesadas.
BAI05.04 Empoderar a los participantes e identificar las ganancias a corto plazo. Empoderar a aquellos
con funciones de implementación, aegurando que se les asignen responsabilidades, que
se les provea formación, y alineando las estructuras organizacionales y los procesos de RR.
HH. Identificar y comunicar las ganancias a corto plazo que pueden alcanzarse y que son
importantes desde la perspectiva de habilitar cambios.

62 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
BAI05.05 Habilitar las operaciones y el uso. Planificar e implementar todos los aspectos técnicos,
operacionales y de uso, de forma que todas las personas involucradas en el futuro estado del
entorno puedan ejercer sus responsabilidades.
BAI05.06 Incorporar nuevos enfoques. Integrar nuevos enfoques rastreando los cambios implementados,
evaluando la efectividad de la operación y el plan de uso, y mantener una concienciación
constante mediante una comunicación frecuente. Tomar las medidas correctivas que sean
apropiadas, que pueden incluir obligar al cumplimiento.
MEA01.01 Establecer un enfoque de monitoreo. Involucrar a las partes interesadas para establecer y
mantener un enfoque de monitoreo para definir los objetivos, el alcance y el método para medir
la solución de negocio y la provisión de servicios así como a la contribución a los objetivos de la
empresa. Integrar este enfoque con el sistema de gestión de desempeño corporativo.
MEA01.02 Establecer los objetivos de cumplimiento y rendimiento. Trabajar con las partes interesadas para
definir, revisar periódicamente, actualizar y aprobar los objetivos de desempeño y cumplimiento
dentro del sistema de medición de desempeño.
MEA01.03 Recopilar y procesar los datos de cumplimiento y rendimiento. Recopilar y procesar datos
oportunos y precisos alineados con los enfoques de la empresa.
DSS01.01 Ejecutar los procedimientos operativos. Mantener y llevar a cabo los procedimientos operativos
y las tareas operativas de forma confiable y consistente.
DSS01.02 Gestionar los servicios externalizados de TI. Gestionar la operación de los servicios de TI
externalizados para mantener la protección de la información de la empresa y la fiabilidad de la
provisión del servicio.
DSS01.04 Gestionar el entorno. Mantener medidas de protección frente a los factores ambientales.
Instalar equipos y dispositivos especializados para monitorear y controlar el entorno.
DSS01.05 Gestionar las instalaciones. Gestionar las instalaciones, incluyendo el equipamiento
de suministro eléctrico y comunicaciones en línea con las leyes y las regulaciones, los
requerimientos técnicos y del negocio, las especificaciones del vendedor y las pautas de salud
y seguridad.
DSS02.02 Registrar, clasificar y priorizar las solicitudes y los incidentes. Identificar, registrar y clasificar las
solicitudes de servicio y los incidentes y asignar una prioridad según los acuerdos de servicio
críticos para el negocio.
DSS02.03 Verificar, aprobar y resolver las solicitudes de servicio. Seleccionar los procedimientos
apropiados para las solicitudes y verificar que las solicitudes de servicio cumplan con los
criterios de solicitud definidos. Obtener aprobación, si se requiere, y cumplir con las solicitudes.
DSS02.04 Investigar, diagnosticar y asignar incidentes. Identificar y registrar los síntomas de los
incidentes, determinar las causas posibles y asignarlos para su resolución.
DSS02.05 Resolver y recuperarse de los incidentes. Documentar, aplicar y probar las soluciones
o remedios identificados, y realizar acciones de recuperación para restaurar el servicio
relacionado con TI.
DSS02.06 Cerrar las peticiones e incidentes de servicio. Verificar una satisfactoria resolución del incidente
y/o finalización de la solicitud, y cerrar.
DSS02.07 Rastrear el estado y producir informes. Rastrear, analizar e informar regularmente sobre las
tendencias de los incidentes y cumplimiento de las solicitudes para proporcionar información
para una mejora continua.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 63

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
DSS03.01 Identificar y clasificar los problemas. Definir e implementar criterios y procedimientos para
informar sobre los problemas identificados, incluyendo la clasificación del problema, su
categorización y priorización.
DSS03.02 Investigar y diagnosticar problemas. Investigar y diagnosticar problemas usando a expertos en el
manejo de la materia a fin de evaluar y analizar las causas raíz.
DSS03.03 Presentar los errores conocidos. Tan pronto como se identifiquen las causas raíz de los problemas,
crear registros de los problemas conocidos y una solución provisional apropiada, e identificar
soluciones posibles.
DSS03.04 Resolver y cerrar los problemas. Identificar e iniciar soluciones definitivas que aborden la causa
raíz presentando solicitudes de cambio a través del proceso de gestión de cambios establecido
si es necesario para resolver los errores. Asegurar que el personal afectado esté al tanto de las
acciones que se tomaron y de los planes desarrollados para evitar que ocurran incidentes en el
futuro.
DSS03.05 Realizar una gestión proactiva de los problemas. Recopilar y analizar los datos operacionales
(especialmente los registros del incidente y los cambios) para identificar las tendencias
emergentes que puedan indicar problemas. Anotar los registros de los problemas para permitir su
evaluación.
DSS04.02 Mantener una estrategia de continuidad. Evaluar las opciones de gestión de continuidad del
negocio y elegir una estrategia de continuidad viable y rentable para asegurar la recuperación y la
continuidad de la empresa ante un desastre u otro incidente mayor o interrupción.
DSS04.03 Desarrollar e implementar una respuesta de continuidad de negocio. Desarrollar un plan de
continuidad de negocio (PCN) basado en la estrategia que documente los procedimientos y la
información preparados para ser usados en caso de incidente para permitir que la empresa
continúe con sus actividades críticas.
DSS04.04 Ejercitar, probar y revisar el PCN. Probar los preparativos de continuidad de forma regular para
ejercitar los planes de recuperación ante resultados predeterminados y para permitir que se
desarrollen soluciones innovadoras así como para ayudar a verificar con antelación que el plan
funcionará tal como se prevé.
DSS04.05 Revisar, mantener y mejorar el plan de continuidad. Realizar una revisión gerencial de la capacidad
de continuidad a intervalos regulares para asegurar que mantienen su idoneidad, adecuación y
efectividad. Gestionar los cambios al plan de acuerdo con el proceso de control de cambios para
asegurar que el plan de continuidad se mantenga actualizado y que refleje continuamente los
requerimientos actuales del negocio.
DSS04.06 Realizar un entrenamiento en el plan de continuidad. Proporcionar sesiones de entrenamiento
regulares a todas las partes externas e internas involucradas en los procedimientos y sus
funciones y responsabilidades en caso de una interrupción.
DSS04.07 Administrar los acuerdos de respaldo. Mantener la disponibilidad de la información crítica para el
negocio.
DSS04.08 Realizar revisiones después de la reanudación. Evaluar la idoneidad del PCN después de la
reanudación exitosa de los procesos y servicios del negocio después de una interrupción.
DSS05.01 Proteger contra software malicioso (malware). Implementar y mantener medidas de prevención,
detección y corrección (especialmente parches de seguridad y controles de virus actualizados)
en toda la empresa para proteger los sistemas de información y la tecnología del malware (por
ejemplo, virus, gusanos, software espía, correo basura).
DSS05.02 Gestionar la seguridad de la red y las conexiones. Usar medidas de seguridad y procedimientos de
gestión relacionados para proteger la información a través de todos los métodos de conectividad.

64 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
DSS05.03 Gestionar la seguridad del dispositivo final. Asegurar que los dispositivos finales (por ejemplo
portátiles, ordenadores , servidores y otros dispositivos o software móviles o de red) estén
asegurados a un nivel igual o superior al de los requisitos de seguridad definidos para la
información procesada, almacenada o transmitida.
DSS05.04 Gestionar la identidad del usuario y el acceso lógico. Asegurar que todos los usuarios tengan
derechos de acceso a la información de acuerdo con sus requisitos del negocio y que haya
coordinación con las unidades corporativas que gestionan sus propios derechos de acceso en los
procesos de negocio.
DSS05.05 Gestionar el acceso físico a los activos de TI. Definir e implementar procedimientos para otorgar,
limitar y revocar el acceso a las instalaciones, edificios y áreas de acuerdo con las necesidades
del negocio, incluyendo los supuestos de emergencias. El acceso a las instalaciones, edificios y
áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto debe aplicarse a todas las
personas que accedan a las instalaciones, incluyendo empleados, personal temporal, clientes,
vendedores, visitantes y cualquier otro tercero.
DSS05.06 Gestionar documentos sensibles y dispositivos de salida. Establecer protecciones físicas
apropiadas, prácticas de contabilización y gestión de inventario para activos de TI sensibles como
los formularios especiales, títulos negociables, impresoras para fines especiales o tokens de
seguridad.
DSS05.07 Monitorear la infraestructura para detectar eventos relacionados con la seguridad. Usando
herramientas de detección de intrusos, monitorear la infraestructura para detectar accesos no
autorizados y asegurar que cualquier evento se integre en el monitoreo general de eventos y en la
gestión de incidentes.
DSS06.02 Controlar el procesamiento de la información. Operar la ejecución de las actividades de los
procesos de negocio y los controles relacionados (basados en el riesgo para la empresa) a fin de
asegurar que el procesamiento de información sea válido, completo, preciso, oportuno y seguro
(por ejemplo, que refleje el uso según estable el negocio legítimo y autorizado).
DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autorización. Gestionar las
funciones del negocio, las responsabilidades, los niveles de autorización y segregación de tareas
necesarias para soportar los objetivos de los procesos de negocio. Autorizar el acceso a cualquier
activo de información relacionado con los procesos de información del negocio, incluyendo
aquellos bajo custodia del negocio, TI y terceros. De este modo se asegura que el negocio sepa
dónde están los datos y quién está manejando los datos en su nombre.
DSS06.04 Gestionar errores y excepciones. Gestionar las excepciones a los procesos del negocio y los
errores, y facilitar su corrección. Incluir el escalado de los errores en el proceso del negocio,
las excepciones y la ejecución de las acciones correctivas definidas. De este modo se ofrece
garantía de la precisión e integridad de los procesos de información del negocio.
DSS06.05 Asegurar la trazabilidad de los eventos de información. y su rendición de cuentas. Asegurar que la
información del negocio pueda rastrearse hasta el evento del negocio que la originó, así como a
las partes responsables. De esta manera se implementa la trazabilidad de la información durante
su ciclo de vida y los procesos relacionados. Esto ofrece la garantía de que la información que
impulsa al negocio es confiable y que se ha procesado de acuerdo con objetivos definidos.
DSS06.06 Asegurar los activos de información. Securizar los activos de información a los que tiene acceso
el negocio a través de métodos aprobados, incluyendo la información en formato electrónico
(como, por ejemplo, los métodos que crean nuevos activos en cualquier formato, dispositivos de
medios portátiles, aplicaciones de usuario y dispositivos de almacenaje), información en forma
física (como, por ejemplo, documentos originales o informes de salida) e información en tránsito.
Esto beneficia al negocio al ofrecer una protección de extremo a extremo sobre la información.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 65

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
MEA01.05 Asegurar la implementación de acciones correctivas. Ayudar a las partes interesadas a
identificar, iniciar y rastrear las acciones correctivas para abordar las anomalías.
MEA02.02 Revisar la eficacia de los controles sobre los procesos de negocio. Revisar la operación de los
controles, incluyendo una revisión del monitoreo y de la evidencia de las pruebas, para asegurar
que los controles en los procesos del negocio operen de forma efectiva. Incluir actividades
para mantener evidencia de la operación efectiva de los controles mediante mecanismos
como la prueba periódica de los controles, monitoreo continuo de los controles, evaluaciones
independientes, centros de mando y control, y centros de operaciones de la red. Esto le da
al negocio la seguridad sobre la efectividad de los controles para cumplir con los requisitos
relacionados con las responsabilidades de negocio, regulatorias y sociales.
MEA02.03 Realizar autoevaluaciones de los controles. Recomendar a la gerencia y a los propietarios de los
procesos que asuman una responsabilidad proactiva de la mejora del control mediante un
programa continuo de autoevaluación para evaluar la integridad y la efectividad del control
ejecutivo sobre los procesos, políticas y contratos.
MEA02.04 Identificar y comunicar las deficiencias de los controles. Identificar las deficiencias de los
controles y analizar e identificar su causa raíz subyacente. Escalar las deficiencias de los
controles e informar a las partes interesadas.
MEA02.05 Garantizar que los proveedores de aseguramiento sean independientes y estén cualificados.
Garantizar que las entidades que realizan el aseguramiento sean independientes de la
función, grupos u organizaciones en el alcance. Las entidades que realizan el aseguramiento
deben demostrar una actitud y apariencia apropiadas, competencia en las habilidades y el
conocimiento necesario para realizar el aseguramiento, y adherirse a los códigos de ética y a
los estándares profesionales.
MEA02.06 Planificar iniciativas de aseguramiento. Planificar iniciativas de aseguramiento basadas en los
objetivos del negocio y en las prioridades estratégicas, el riesgo inherente, las restricciones de
recursos y un conocimiento suficiente de la empresa.
MEA02.08 Ejecutar las iniciativas de aseguramiento. Ejecutar la iniciativa de aseguramiento que
se planificó. Informar sobre los hallazgos identificados. Ofrecer opiniones positivas del
aseguramiento cuando sea apropiado, así como recomendaciones de mejora relacionadas con
el desempeño operacional identificado, el cumplimiento externo y el riesgo residual del sistema
de control interno.
MEA03.03 Confirmar el cumplimiento externo. Confirmar el cumplimiento de las políticas, principios,
estándares, procedimientos y metodologías con los requerimientos legales, regulatorios y
contractuales.
MEA03.04 Obtener aseguramiento del cumplimiento externo. Obtener e informar sobre la garantía
de cumplimiento y el seguimiento de las políticas, principios, estándares, procedimientos
y metodologías. Confirmar las acciones correctivas para lograr que las diferencias de
cumplimiento se resuelvan de forma oportuna.

Revisión del Plan de Acción del MCS

Fase 6 de COBIT: ¿Lo logramos?
La fase 6 ofrece los mecanismos para revisar la ejecución del plan de acción y considerar el
desempeño en relación al enfoque de monitoreo establecido previamente (por ejemplo, los
procesos de MEA01 de las fases 4 y 5). Los implementadores deben considerar cómo de bien
alcanzó la organización los objetivos de desempeño y cumplimiento, actualizando las actividades

66 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

continuas de mejora y comunicación de acuerdo con los procesos establecidos para la gestión
del cambio. Esta fase de revisión ofrece la oportunidad de compartir los resultados tanto
positivos como negativos con las partes interesadas, fomentando la confianza en las soluciones
planificadas y asegurando el alineamiento con los impulsores y las metas organizacionales.

Los datos de desempeño y cumplimiento pueden compartirse con los equipos internos para
mejorar los procesos posteriores. Los resultados del riesgo, de la actividad y del desempeño
apropiadamente saneados pueden compartirse con socios externos, según la política de
clasificación de documentos de la organización para los documentos públicos, para ayudar a
mejorar la comprensión general de la gestión de riesgos de TI.

Consideraciones de la Implementación
Propósito
Revisar la aplicación del gobierno y las prácticas de gestión mejoradas, y confirmar que el plan de acción
ofrece los beneficios esperados.
Entradas
• Procedimientos de operaciones para los elementos implementados del plan de acción.
• Elementos para la comunicación.
• Métricas de desempeño.
• Informes del estado del plan de acción.
Actividades de alto nivel
• Evaluar las actividades de la etapa 5 para asegurar que las mejoras y las adiciones logren las metas
previstas y que se alcancen los objetivos de gestión de riesgos.
• Documentar las lecciones aprendidas durante las actividades de implementación para mejorar los ciclos
futuros y ayudar a otras organizaciones en ejercicios similares.
• Identificar cualquier necesidad de monitoreo en curso específica para dar soporte a la etapa 7.
Salidas
• Evaluación organizacional.
• Informes sobre acciones correctivas.
• Resultados de desempeño para las partes interesadas.
• Informes sobre las lecciones aprendidas.
• Compartir la información de los resultados.

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
APO02.02 Evaluar el entorno, las capacidades y el desempeño actuales. Evaluar el desempeño de las
capacidades internas actuales de negocio y de TI, así como los servicios de TI externos, y
desarrollar un entendimiento de la arquitectura de la empresa en relación con TI. Identificar
los problemas que se están experimentando actualmente y desarrollar recomendaciones en
áreas que podrían beneficiarse con una mejora. Considerar los aspectos diferenciadores y
las opciones respecto a los proveedores de servicio y el impacto financiero y los costes y
beneficios potenciales de usar servicios externos.
MEA01.05 Asegurar la implementación de acciones correctivas. Ayudar a las partes interesadas a
identificar, iniciar y rastrear las acciones correctivas para abordar las anomalías.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 67

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (continuación)

Práctica de
COBIT 5 Descripción
MEA02.02 Revisar la eficacia de los controles sobre los procesos de negocio. Revisar la operación de
los controles, incluyendo una revisión del monitoreo y de la evidencia de las pruebas, para
asegurar que los controles en los procesos del negocio operen de forma efectiva. Incluir
actividades para mantener evidencia de la operación efectiva de los controles mediante
mecanismos como la prueba periódica de los controles, monitoreo continuo de los controles,
evaluaciones independientes, centros de mando y control, y centros de operaciones de la red.
Esto le da al negocio la seguridad sobre la efectividad de los controles para cumplir con los
requerimientos relacionados con las responsabilidades comerciales, regulatorias y sociales.
MEA02.03 Realizar autoevaluaciones de los controles. Alentar a la gerencia y a los propietarios de los
procesos para que asuman una responsabilidad proactiva la mejora del control mediante un
programa continuo de autoevaluación para evaluar la integridad y la efectividad del control
ejecutivo sobre los procesos, políticas y contratos.
MEA02.04 Identificar y comunicar las deficiencias de los controles. Identificar las deficiencias de los
controles y analizar e identificar sus causas principales subyacentes. Escalar las deficiencias
de los controles e informar a las partes interesadas.
MEA02.05 Garantizar que los proveedores del aseguramiento sean independientes y estén cualificados.
Garantizar que las entidades que realizan el aseguramiento sean independientes de la
función, grupos u organizaciones en el alcance. Las entidades que realizan el aseguramiento
deben demostrar una actitud y apariencia apropiadas, competencia en las habilidades y el
conocimiento necesario para realizar el aseguramiento, y adherirse a los códigos de ética y a
los estándares profesionales.
MEA02.08 Ejecutar las iniciativas de aseguramiento. Ejecutar la iniciativa de aseguramiento planificada.
Informar sobre los hallazgos identificados. Ofrecer opiniones positivas del aseguramiento cuando
sea apropiado, así como recomendaciones de mejora relacionadas con el desempeño operacional
identificado, el cumplimiento externo y el riesgo residual del sistema de control interno.
MEA03.04 Obtener aseguramiento del cumplimiento externo. Obtener e informar sobre la garantía
de cumplimiento y la adhesión a las políticas, principios, estándares, procedimientos
y metodologías. Confirmar las acciones correctivas para lograr que las diferencias de
cumplimiento se resuelven de forma oportuna.

Gestión del Ciclo de Vida del MCS

Fase 7 de COBIT: ¿Cómo mantenemos el impulso?
Un marco efectivo para Gobierno corporativo de las TI aborda todo el ciclo de vida de la
inversión de TI, asegurando que cree valor en línea con los objetivos de la empresa. Combinar
los principios del MCS con las prácticas de COBIT 5 ayuda a garantizar el valor, gestionar los
riesgos y dar soporte a los impulsores de la misión de acuerdo con la dirección y el soporte de la
junta directiva y los gerentes de negocio de la organización.

La fase 7 ofrece la oportunidad de cerrar el ciclo del flujo de trabajo de comunicación tal como
se presentó en el capítulo 2. Cuando se informa sobre una evaluación técnica (por ejemplo,
mediante métricas de desempeño como las establecidas en el proceso MEA01) a los propietarios
de los procesos de negocio, ellos, con estos elementos, informan sobre el progreso respecto
a los objetivos de la empresa y las prioridades de la misión, usando un lenguaje, enfoques y
comunicaciones que sean significativos para la gerencia ejecutiva. El impulso obtenido por los

68 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

progresos y la comunicación efectiva propulsa las iteraciones posteriores del ciclo de vida. Las
oportunidades y los desafíos actualizados conducen a la realización de evaluaciones de riesgo y
a prioridades actualizadas, promoviendo el compromiso organizacional y la asignación de todas
las responsabilidades y rendición de cuentas. De este modo, se institucionalizan en la cultura el
triunfo del gobierno y la gestión de los procesos.

Consideraciones de la Implementación
Propósito
Ofrecer una revisión/evaluación constante del éxito general de la iniciativa, identificar requisitos adicionales de
gobierno o gestión, y dar soporte a la mejora continua.
Entradas
• Procedimientos operativos.
• Plan de monitoreo.
• Métricas de desempeño.
Actividades de Alto Nivel
• Monitorear continuamente las actividades de la etapa 5 para asegurar que las mejoras y los añadidos logren
los objetivos previstos y que se alcancen los objetivos de gestión de riesgos.
• Revisar la efectividad de las prácticas de gobierno y de gestión mejoradas y documentar los beneficios
obtenidos.
• Documentar las lecciones aprendidas durante las actividades de implementación para mejorar los ciclos
futuros y ayudar a otras organizaciones en ejercicios similares.
Salidas
• Aseguramiento del cumplimiento externo
• Informes de las lecciones aprendidas
• Resultados de desempeño para las partes interesadas
• Informes del desempeño del catálogo de inversiones
• Informes del nivel de servicio
• Informes del cumplimiento y el desempeño del proveedor
• Informes de satisfacción del cliente/SGC
• Sistema de gestión de la seguridad de la información
• Informes de desempeño del proyecto en comparación con los criterios clave de desempeño del proyecto
• Planes y resultados del control de cambios
• Informes del estado y la configuración en curso

Prácticas Relevantes de COBIT 5

Práctica de
COBIT 5 Descripción
EDM01.03 Monitorear el sistema de gobierno. Monitorear la efectividad y el desempeño del gobierno de TI
de la empresa. Evaluar si el sistema de gobierno y los mecanismos implementados (incluyendo
las estructuras, los principios y los procesos) están operando de forma efectiva y ofrecen una
supervisión apropiada de TI.
EDM02.01 Evaluar la optimización del valor. Evaluar continuamente el catálogo de inversiones habilitadas
por las TI, los servicios y los activos para determinar la probabilidad de lograr los objetivos de la
empresa y ofrecer valor a un coste razonable. Identificar y hacer una valoración sobre cualquier
cambio en la dirección que deba tomarse para que la gerencia optimice la creación de valor.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 69

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
EDM02.03 Monitorear la optimización del valor. Monitorear las metas y las métricas clave para determinar
hasta qué punto el negocio está generando el valor y los beneficios esperados para la empresa
con las inversiones y los servicios habilitados por las TI. Identificar problemas significativos y
considerar acciones correctivas.
EDM03.03 Monitorear la gestión de riesgos Monitorear las metas y las métricas clave de los procesos
de gestión de riesgos y establecer cómo las desviaciones o los problemas se identificarán,
rastrearán y se informarán para su solución.
EDM04.03 Monitorear la gestión de recursos. Monitorear las metas y las métricas clave de los procesos
de gestión de recursos y establecer cómo las desviaciones o los problemas se identificarán,
rastrearán y se informarán para su solución.
EDM05.03 Monitorear la comunicación con las partes interesadas. Monitorear la efectividad de la
comunicación con las partes interesadas. Evaluar los mecanismos para asegurar la precisión,
confiabilidad y efectividad, y evaluar si se están cumpliendo los requisitos de las diferentes
partes interesadas.
APO04.03 Monitorear y escanear el entorno tecnológico. Monitorear y escanear sistemáticamente el
entorno externo de la empresa para identificar las tecnologías emergentes con el potencial
de crear valor (por ejemplo, ejecutando la estrategia de la empresa, optimizando costes,
evitando la obsolescencia y favoreciendo la habilitación de los procesos de la empresa y de
TI). Monitorear el mercado, el entorno competitivo, los sectores de la industria y las tendencias
legales y regulatorias para poder analizar las tecnologías emergentes o las ideas para la
innovación en el contexto de la empresa.
APO04.04 Evaluar el potencial de las tecnologías emergentes y las ideas para la innovación. Analizar las
tecnologías emergentes identificadas y/u otras sugerencias de innovación en TI. Trabajar con
las partes interesadas para validar las suposiciones sobre el potencial de nuevas tecnologías
e innovación.
APO04.05 Recomendar iniciativas apropiadas adicionales. Evaluar y monitorear los resultados de las
iniciativas que son una prueba de concepto y, si son favorables, generar recomendaciones
para promover iniciativas adicionales y obtener el apoyo de las partes interesadas.
APO04.06 Monitorear la implementación y el uso de la innovación. Monitorear la implementación y el uso
de las tecnologías emergentes y las innovaciones durante la integración, adopción y durante
todo el ciclo de vida económica para asegurar que se obtengan los beneficios prometidos y
para identificar las lecciones aprendidas.
APO05.04 Monitorear, optimizar e informar sobre el desempeño del catálogo de inversiones. Monitorear
y optimizar de forma regular el desempeño del catálogo de inversiones y los programas
individuales durante todo el ciclo de vida de las inversiones.
APO05.05 Mantener los catálogos. Mantener catálogos de programas y proyectos de inversión, servicios
de TI y activos de TI.
APO05.06 Gestionar la obtención de beneficios. Monitorear los beneficios de ofrecer y mantener servicios
y capacidades de TI apropiados basados en el caso de negocio acordado y actual.
APO07.05T Rastrear el uso de los recursos humanos del negocio y de TI. Rastrear la demanda actual y
futura de los recursos humanos del negocio y de TI con responsabilidades sobre las TI de la
empresa. Identificar carencias y hacer comentarios sobre los planes de adquisiciones, de la
empresa y los planes de adquisiciones de los procesos de contratación de personal de TI, así
como los procesos comerciales y de contratación de personal de TI.

70 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
APO07.06 Gestionar al personal contratado. Asegurar que los consultores y el personal contratado que
da soporte a la empresa con habilidades en TI conozcan y cumplan con las políticas de la
organización y con los requerimientos contractuales acordados.
APO08.05 Proporcionar información para la mejora continua de los servicios. Mejorar y evolucionar
continuamente los servicios habilitados por las TI y la entrega de servicios para la empresa
para alinearlo con los requerimientos tecnológicos y de empresa cambiantes.
APO09.04 Monitorear y reportar los niveles de servicio. Monitorear los niveles de servicio, informar sobre
los logros e identificar tendencias. Ofrecer la información ejecutiva apropiada para ayudar
a la gestión del rendimiento.
APO09.05 Revisar los acuerdos y los contratos de servicio. Realizar revisiones periódicas de los acuerdos
de servicio y revisarlos cuando sea necesario.
APO10.03 Gestionar los contratos y las relaciones con los proveedores. Formalizar y gestionar la relación
con el proveedor para cada uno de los proveedores. Gestionar, mantener y supervisar los
contratos y la prestación de servicios. Asegurar que los contratos nuevos o modificados
cumplan con los estándares de la empresa y con los requerimientos legales y regulatorios.
Tratar las disputas contractuales.
APO10.04 Gestionar el riesgo provedor. Identificar y gestionar el riesgo relacionado con la capacidad del
proveedor para ofrecer un servicio seguro, eficiente y efectivo de forma continua.
APO10.05 Monitorear el rendimiento y el cumplimiento del proveedor. Revisar periódicamente el
rendimiento general de los proveedores, el cumplimiento de los requerimientos contractuales,
el valor aportado por el pago realizado, y abordar los problemas identificados.
APO11.04 Realizar un monitoreo, control y revisiones de calidad. Monitorear la calidad de los procesos y
los servicios de forma continua, tal como se define en el SGC. Definir, planificar e implementar
medidas para monitorear la satisfacción del cliente con calidad, así como con el valor que
ofrece el SGC. La información recopilada debe ser utilizada por el propietario del proceso para
mejorar la calidad.
APO11.06 Mantener una mejora continua. Mantener y comunicar regularmente un plan de calidad
general que promueva la mejora continua. Éste debe incluir la necesidad y los beneficios de la
mejora continua. Recolectar y analizar datos sobre el SGC y mejorar su efectividad. Corregir los
incumplimientos para evitar que vuelvan a ocurrir. Promover una cultura de calidad y mejora
continua.
APO13.01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI). Establecer
y mantener un SGSI que provea un enfoque estándar, formal y continuo hacia la gestión de la
seguridad para la información permitiendo que la tecnología segura y los procesos del negocio
estén alineados con los requisitos del negocio y la gestión de la seguridad de la empresa.
APO13.02 Mantener un plan de seguridad de la información que describa cómo se deben manejar
los riesgos de seguridad de la información y cómo se deben alinear con la estrategia y la
arquitectura de la empresa. Asegurar que las recomendaciones para implementar mejoras
sobre la seguridad se basen en casos de negocio aprobados e implementados como una parte
integral del desarrollo de servicios y soluciones, y que después se operen como una parte
integral de la operación del negocio.
APO13.03 Monitorear y revisar el SGSI. Mantener y comunicar regularmente la necesidad y los beneficios
de una mejora continua de la seguridad de la información. Recolectar y analizar datos sobre
el SGSI, y mejorar la efectividad del SGSI. Corregir los incumplimientos para evitar que sean
recurrentes. Promover una cultura de seguridad y de mejora continua.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 71

Implementación del Marco de Ciberseguridad de NIST

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI01.06 Monitorear,controlar e informar sobre los resultados del programa. Monitorear y controlar
el programa (entrega de la solución) y el rendimiento de la empresa (valor/resultado) en
comparación con lo planificado durante todo el ciclo de vida económica de la inversión.
Informar sobre este rendimiento al comité directivo del programa y a los patrocinadores.
BAI01.10 Gestionar el riesgo tanto del programa como del proyecto. Eliminar o minimizar el riesgo
específico asociado con los programas y los proyectos mediante un proceso sistemático
de planificación, identificación, análisis, respuesta y monitoreo, controlando las áreas o los
eventos con el potencial de ocasionar un cambio no deseado. Es necesario establecer
y registrar centralizadamente el riesgo al que se enfrenta el programa y el proyecto.
BAI01.11 Monitorear y controlar los proyectos. Medir el rendimiento del proyecto en comparación con
los criterios clave de rendimiento del proyecto, como el calendario, la calidad, el coste y el
riesgo. Identificar las desviaciones respecto a las expectativas. Evaluar el impacto de las
desviaciones en el proyecto y en el programa general, e informar sobre los resultados a las
partes interesadas clave.
BAI01.12 Gestionar los recursos del proyecto y los paquetes de trabajo. Gestionar los paquetes de
trabajo del proyecto estableciendo requisitos formales para autorizar y aceptar paquetes de
trabajo, asignando y coordinando los recursos de negocio y de TI apropiados.
BAI03.09 Gestionar los cambios en los requisitos. Rastrear el estado de los requisitos individuales
(incluyendo todos los requisitos rechazados) durante el ciclo de vida del proyecto y gestionar la
aprobación de los cambios a los requisitos.
BAI03.10 Mantener las soluciones. Desarrollar y ejecutar un plan para el mantenimiento de los
componentes de la solución y la infraestructura. Incluir revisiones periódicas en relación con
las necesidades de negocio y los requisitos operacionales.
BAI04.04 Monitorear y revisar la disponibilidad y capacidad. Monitorear, medir, analizar, informar y
revisar la disponibilidad, desempeño y capacidad. Identificar las desviaciones de las líneas
bases establecidas. Revisar los informes de los análisis de tendencia e identificar cualquier
problema y variaciones significativas, iniciando acciones cuando sea necesario, y asegurar que
se le dé seguimiento a todos los problemas relevantes.
BAI05.07 Mantener los cambios. Mantener los cambios mediante una formación efectiva del nuevo
personal, campañas constantes de comunicación, compromiso continuo de la alta gerencia,
adoptar el monitoreo y compartir las lecciones aprendidas en toda la empresa.
BAI06 (todo) Gestionar todos los cambios de una manera controlada, incluyendo cambios estándar y
mantenimientos de emergencia en relación con los procesos, aplicaciones e infraestructura
de negocio. Esto incluye estándares y procedimientos de cambio, evaluación del impacto,
priorización y autorización, cambios de emergencia, rastreo, informes, cierre y documentación.
BAI07 (todo) Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación
de la implementación, la conversión de datos y del sistema, pruebas de aceptación,
comunicación, preparación de la publicación, subidas a producción de procesos de negocio
nuevos o modificados y servicios de TI, soporte temprano para la producción y una revisión
posterior a la implementación.
BAI08 (todo) Mantener la disponibilidad de los conocimientos relevantes, actuales, validados y confiables para
dar soporte a todas las actividades del proceso y para facilitar la toma de decisiones. Planificar
la identificación, recolección, organización, mantenimiento, uso y retirada del conocimiento.
BAI10.03 Mantener y controlar los elementos de configuración. Mantener un repositorio actualizado de
los elementos de configuración completándolo con cambios.

72 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 3. Implementación del Marco

Prácticas Relevantes de COBIT 5 (cont.)

Práctica de
COBIT 5 Descripción
BAI10.04 Generar informes del estado y de la configuración. Definir y generar informes de configuración
sobre los cambios de estado de los elementos de configuración.
BAI10.05 Verificar y revisar la integridad del repositorio de configuración. Revisar periódicamente el
repositorio de configuración y verificar su integridad y exactitud en comparación con el objetivo
deseado.
DSS01 Coordinar y ejecutar las actividades y los procedimientos operacionales requeridos para
(todos) ofrecer los servicios internos y externalizados de TI, incluyendo la ejecución de procedimientos
de operación estándar predefinidos y las actividades de monitoreo requeridas.
DSS02 Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y una
(todos) resolución a todos los tipos de incidentes. Restaurar el servicio normal, registrar y completar
las solicitudes del usuario; y registrar, investigar, diagnosticar, escalar y resolver los incidentes.
DSS03 Identificar y clasificar los problemas y su causa raíz, y ofrecer una resolución oportuna para
(todos) evitar los incidentes recurrentes. Ofrecer recomendaciones de mejoras.
DSS04 Establecer y mantener un plan para permitir que el negocio y la TI respondan a los incidentes
(todos) y a las interrupciones para continuar la operación de los procesos críticos del negocio y de los
servicios requeridos de TI, y mantener la disponibilidad de la información en un nivel aceptable
para la empresa.
MEA01.04 Analizar e informar sobre el rendimiento. Revisar periódicamente e informar sobre el
desempeño en relación con los objetivos, usando un método que ofrezca una visión sucinta y
completa del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.
MEA01.05 Asegurar la implementación de las acciones correctivas. Ayudar a las partes interesadas a
identificar, iniciar y rastrear las acciones correctivas para abordar las anomalías.
MEA02 Monitorear y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y
(todos) revisiones de aseguramiento independientes. Habilitar a la gerencia para que identifique
deficiencias e ineficiencias en el control, y para que inicie acciones de mejora. Planificar,
organizar y mantener estándares para la evaluación del control interno y para las actividades
de aseguramiento.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 73

Implementación del Marco de Ciberseguridad de NIST

Esta página se dejó intencionalmente en blanco

74 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Capítulo 4. Comunicar los Requerimientos de Ciberseguridad a las Partes Interesadas

Capítulo 4. Comunicar los

Requerimientos de Ciberseguridad
a las Partes Interesadas
Un componente importante tanto del MCS como del marco de COBIT 5 implica el gobierno
y la gestión de proveedores y socios de negocio. Un único sistema de negocio puede implicar
a decenas de partes interesadas externas y proveedores de servicios/cadena de suministros.
Cada una de estas partes interesadas proporciona oportunidades para cumplir con la empresa
y objetivos relacionados con TI; también añaden vulnerabilidades adicionales y riesgos
potenciales a considerar. La implementación del MCS utilizando procesos y principios de
COBIT proporciona un lenguaje común para comunicar las necesidades y los requisitos de las
partes interesadas.

El proceso resultante permite que la TI sea gobernada y gestionada de manera integral para
toda la empresa, apoyando a la organización principal así como a sus socios de la cadena de
suministro en la aplicación de un marco integrado. Muchas prácticas de COBIT 5 incluyen
componentes para el proveedor, guiados por muchos elementos de APO10 Gestión de
proveedores. Entre los ejemplos específicos del uso del MCS a través de COBIT 5 con socios
de negocios externos se encuentran:
•D ocumentar los aspectos de la gestión de proveedores. Los acuerdos de cooperación
proporcionan una oportunidad para documentar los impulsores, acuerdos y objetivos de
riesgo, utilizando un subconjunto de los procesos en la fase 1 (capítulo 3).
•E l registro del resultado de las evaluaciones del proveedor/socio utilizando la plantilla del
Perfil Actual. El alineamiento respecto de este modelo de MCS/COBIT apoya el principio
de COBIT de un modelo de marco integrado único para registrar y comunicar objetivos y
rendimiento.
•E l registro de las expectativas y necesidades a través del uso de la plantilla del Perfil
Objetivo descrita en el capítulo 3, fase 3. Este modelo es útil para expresar las obligaciones
específicas del GEIT, por ejemplo para un proveedor de la nube al que la organización está
exportando datos.

La armonización de los procesos y las comunicaciones para las partes interesadas internas
y externas mejora la consistencia y simplifica el seguimiento y la presentación de informes.
A través del uso de plantillas comunes y prácticas de comunicación, el éxito de un enfoque
holístico del gobierno y la gestión de la TI asegurará que los objetivos estén alineados y sean
eficaces.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 75

Implementación del Marco de Ciberseguridad de NIST

Esta página se dejó intencionalmente en blanco

76 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice A. Marco Básico

Apéndice A: Marco Básico

Como se describe en el capítulo 2, el Marco Básico proporciona un conjunto de actividades para
lograr los resultados específicos de la ciberseguridad y ejemplos de referencia de orientación para
lograr esos resultados. El Marco Básico no es una lista de tareas de las acciones que se deben
realizar. Presenta los resultados clave de ciberseguridad identificados por la industria como útiles
en la gestión de riesgos de ciberseguridad. El Marco Básico está compuesto de cuatro elementos:
Funciones, Categorías, Subcategorías y Referencias Informativas.

La siguiente tabla representa el Marco Básico tal y como se establece en el apéndice A del NIST
Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 77

 78
Función Categoría Subcategoría Referencias Informativas
Gestión de Activos ([Link]): Los [Link]-1: Se mantiene un inventario de los • CCS CSC 1
datos, personal, dispositivos, sistemas e dispositivos físicos y sistemas dentro de la • COBIT 5 BAI09.01, BAI09.02
instalaciones que permiten a la organización organización. • ISA 62443-2-1:2009 [Link]
alcanzar los objetivos de negocio están • ISA 62443-3-3:2013 SR 7.8
identificados y gestionados de manera • ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
consistente con su importancia relativa para • NIST SP 800-53 Rev. 4 CM-8
los objetivos de negocio y la estrategia de [Link]-2: Se mantiene un inventario de las • CCS CSC 2
riesgo de la organización. plataformas y aplicaciones de software dentro de la • COBIT 5 BAI09.01, BAI09.02, BAI09.05
organización. • ISA 62443-2-1:2009 [Link]
• ISA 62443-3-3:2013 SR 7.8
• ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
• NIST SP 800-53 Rev. 4 CM-8
[Link]-3: Se mapea la comunicación organizacional • CCS CSC 1
Implementación del Marco de Ciberseguridad de NIST

con los flujos de datos. • COBIT 5 DSS05.02

IDENTIFICAR (ID) • ISA 62443-2-1:2009 [Link]
• ISO/IEC 27001:2013 A.13.2.1
• NIST SP 800-53 Rev. 4 AC-4, CA-3,
CA-9, PL-8
[Link]-4: Se catalogan los sistemas de información • COBIT 5 APO02.02
externos . • ISO/IEC 27001:2013 A.11.2.6
• NIST SP 800-53 Rev. 4 AC-20, SA-9
[Link]-5: Los recursos (por ejemplo, hardware, • COBIT 5 APO03.03, APO03.04, BAI09.02
dispositivos, datos, y software) se priorizan en base a • ISA 62443-2-1:2009 [Link]
su clasificación, importancia y valor para el negocio. • ISO/IEC 27001:2013 A.8.2.1

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14
[Link]-6: Se establecen los roles y responsabilidades • COBIT 5 APO01.02, DSS06.03
de ciberseguridad para todo el personal y partes • ISA 62443-2-1:2009 [Link].3
interesadas (por ejemplo: proveedores, clientes o • ISO/IEC 27001:2013 A.6.1.1
socios). • NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11
 Función Categoría Subcategoría Referencias Informativas
Entorno de Negocio ([Link]): [Link]-1: Se identifica y comunica el rol de la • COBIT 5 APO08.04, APO08.05, APO10.03,
Se comprende y prioriza la misión, los organización en la cadena de suministro. APO10.04, APO10.05
objetivos, las partes interesadas y las • ISO/IEC 27001:2013 A.15.1.3, A.15.2.1, A.15.2.2
actividades de la organización; esta • NIST SP 800-53 Rev. 4 CP-2, SA-12
información se utiliza para informar sobre [Link]-2: Se identifica y comunica la ubicación de • COBIT 5 APO02.06, APO03.01
los roles, las responsabilidades y la toma de la organización en la infraestructura crítica y en su • NIST SP 800-53 Rev. 4 PM-8
decisiones de ciberseguridad. sector industrial.
[Link]-3: Se establecen y comunican las prioridades • COBIT 5 APO02.01, APO02.06, APO03.01
para la misión, objetivos y actividades de la • ISA 62443-2-1:2009 [Link], [Link]
organización. • NIST SP 800-53 Rev. 4 PM-11, SA-14
[Link]-4: Se establecen las dependencias y las • ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3
funciones críticas para la entrega de servicios • NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8,
críticos. SA-14
IDENTIFICAR (ID)
[Link]-5: Se establecen requisitos de resilencia para • COBIT 5 DSS04.02
dar soporte a la prestación de servicios críticos. • ISO/IEC 27001:2013 A.11.1.4, A.17.1.1,
A.17.1.2, A.17.2.1
• NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-14
Gobierno ([Link]): Se comprenden las [Link]-1: Se ha establecido una política •C  OBIT 5 APO01.03, EDM01.01, EDM01.02
políticas, procedimientos y procesos para organizacional de seguridad de la información. • ISA 62443-2-1:2009 [Link]
gestionar y monitorear los requisitos • ISO/IEC 27001:2013 A.5.1.1
regulatorios, legales, de riesgos, ambientales •N  IST SP 800-53 Rev. 4 -1 controles de
y operacionales de la organización, y se todas las familias
informa a la gerencia sobre los riesgos de [Link]-2: Las responsabilidades y los roles de •C  OBIT 5 APO13.12

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

ciberseguridad. seguridad de la información se coordinan y alinean • ISA 62443-2-1:2009 [Link].3
con los roles internos y los socios externos. • ISO/IEC 27001:2013 A.6.1.1, A.7.2.1
•N  IST SP 800-53 Rev. 4 PM-1, PS-7

79
Apéndice A. Marco Básico
 80
Función Categoría Subcategoría Referencias Informativas
Gobierno ([Link]): Se comprenden las [Link]-3: Se comprenden y gestionan los • COBIT 5 MEA03.01, MEA03.04
políticas, procedimientos y procesos para requerimientos regulatorios relacionados con la • ISA 62443-2-1:2009 [Link]
gestionar y monitorear los requisitos ciberseguridad, incluyendo las obligaciones de • ISO/IEC 27001:2013 A.18.1
regulatorios, legales, de riesgos, ambientales privacidad y libertades civiles. • NIST SP 800-53 Rev. 4 -1 controles de todas las
y operacionales de la organización, y se familias (excepto PM-1)
informa a la gerencia sobre los riesgos de [Link]-4: El gobierno y los procesos de gestión de • COBIT 5 DSS04.02
ciberseguridad. riesgo abordan los riesgos de ciberseguridad. • ISA 62443-2-1:2009 [Link], [Link], [Link],
[Link], [Link], [Link].3, [Link].3
• NIST SP 800-53 Rev. 4 PM-9, PM-11
Evaluación del riesgo ([Link]): [Link]-1: Se identifican y documentan las •C  CS CSC 4
La organización entiende el riesgo de la vulnerabilidades de los activos. •C  OBIT 5 APO12.01, APO12.02, APO12.03,
ciberseguridad para las operaciones de la APO12.04
organización (incluyendo la misión, funciones, • ISA 62443-2-1:2009 4.2.3, [Link], [Link],
Implementación del Marco de Ciberseguridad de NIST

imagen o reputación), los activos de la [Link]

IDENTIFICAR (ID) organización y los individuos. • ISO/IEC 27001:2013 A.12.6.1, A.18.2.3
•N  IST SP 800-53 Rev. 4 CA-2, CA-7, CA-8,
RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5
[Link]-2: Se recibe información sobre amenazas • ISA 62443-2-1:2009 4.2.3, [Link], [Link]
y vulnerabilidades de los foros y recursos de • ISO/IEC 27001:2013 A.6.1.4
intercambio de información. •N  IST SP 800-53 Rev. 4 PM-15, PM-16, SI-5
[Link]-3: Las amenazas, tanto externas como •C  OBIT 5 APO12.01, APO12.02, APO12.03,
internas, son identificadas y documentadas. APO12.04
• ISA 62443-2-1:2009 4.2.3, [Link], [Link]
•N  IST SP 800-53 Rev. 4 RA-3, SI-5, PM-12,

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

PM-16
[Link]-4: Se identifican los potenciales impactos en •C  OBIT 5 DSS04.02
el negocio y sus probabilidades. • ISA 62443-2-1:2009 4.2.3, [Link], [Link]
•N  IST SP 800-53 Rev. 4 RA-2, RA-3, PM-9, PM-
11, SA-14
 Función Categoría Subcategoría Referencias Informativas
Evaluación de Riesgo ([Link]): [Link]-5: Las amenazas, vulnerabilidades, • COBIT 5 APO12.02
La organización entiende el riesgo de probabilidades e impactos se utilizan para determinar • ISO/IEC 27001:2013 A.12.6.1
ciberseguridad en las operaciones de la el riesgo. • NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16
organización (incluyendo la misión, funciones, [Link]-6: Se identifican y priorizan las respuestas • COBIT 5 APO12.05, APO13.02
imagen o reputación), los activos de la al riesgo. • NIST SP 800-53 Rev. 4 PM-4, PM-9
organización y los individuos.
Estrategia de Gestión de Riesgos (ID. [Link]-1: Las partes interesadas de la organización •C  OBIT 5 APO12.04, APO12.05, APO13.02,
RM): Se establecen las prioridades de la establecen, gestionan y acuerdan los procesos de BAI02.03, BAI04.02
IDENTIFICAR (ID) organización, las restricciones, tolerancias gestión de riesgos. • ISA 62443-2-1:2009 [Link]
al riesgo y supuestos que se utilizan para •N  IST SP 800-53 Rev. 4 PM-9
apoyar las decisiones de riesgo operacional. [Link]-2: Se define y expresa claramente la •C  OBIT 5 APO12.06
tolerancia al riesgo organizacional. • ISA 62443-2-1:2009 [Link].5
•N  IST SP 800-53 Rev. 4 PM-9
[Link]-3: La determinación de tolerancia al •N
 IST SP 800-53 Rev. 4 PM-8, PM-9,
riesgo de la organización es informada por su rol PM-11, SA-14
en la infraestructura crítica y el análisis de riesgos
específicos del sector.
Control de Acceso ([Link]): El acceso a [Link]-1: Las identidades y credenciales son • CCS CSC 16
bienes y servicios asociados está limitado a gestionadas por usuarios y dispositivos autorizados. • COBIT 5 DSS05.04, DSS06.03
usuarios, procesos o dispositivos autorizados • ISA 62443-2-1:2009 [Link].1
y a las transacciones y actividades • ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR
autorizadas. 1.4, SR 1.5, SR 1.7, SR 1.8, SR 1.9
• ISO/IEC 27001:2013 A.9.2.1, A.9.2.2, A.9.2.4,
A.9.3.1, A.9.4.2, A.9.4.3

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

PROTEGER (PR) • NIST SP 800-53 Rev. 4 AC-2, Familia IA
[Link]-2: El acceso físico a los activos es • COBIT 5 DSS01.04, DSS05.05
gestionado y protegido. • ISA 62443-2-1:2009 [Link].2, [Link].8
• ISO/IEC 27001:2013 A.11.1.1, A.11.1.2,
A.11.1.4, A.11.1.6, A.11.2.3
• NIST SP 800-53 Rev. 4 PE-2, PE-3, PE-4, PE-5,

81
Apéndice A. Marco Básico

PE-6, PE-9
 82
Función Categoría Subcategoría Referencias Informativas
Control de Acceso ([Link]): El acceso a [Link]-3: El acceso remoto es gestionado. • COBIT 5 APO13.01, DSS01.04, DSS05.03
bienes y servicios asociados está limitado a • ISA 62443-2-1:2009 [Link].6
usuarios, procesos o dispositivos autorizados • ISA 62443-3-3:2013 SR 1.13, SR 2.6
y a las transacciones y actividades • ISO/IEC 27001:2013 A.6.2.2, A.13.1.1, A.13.2.1
autorizadas. • NIST SP 800-53 Rev. 4 AC 17, AC-19, AC-20
[Link]-4: Se gestionan los permisos de acceso • CCS CSC 12, 15
incorporando los principios de privilegio mínimo y la • ISA 62443-2-1:2009 [Link].3
separación de funciones. • ISA 62443-3-3:2013 SR 2.1
• ISO/IEC 27001:2013 A.6.1.2, A.9.1.2, A.9.2.3,
A.9.4.1, A.9.4.4
• NIST SP 800-53 Rev. 4 AC-2, AC-3, AC-5, AC-6,
AC-16
PROTEGER (PR) [Link]-5: La integridad de la red está protegida, • ISA 62443-2-1:2009 [Link]
Implementación del Marco de Ciberseguridad de NIST

incorporando la segregación de la misma • ISA 62443-3-3:2013 SR 3.1, SR 3.8

cuando sea apropiado. • ISO/IEC 27001:2013 A.13.1.1, A.13.1.3, A.13.2.1
• NIST SP 800-53 Rev. 4 AC-4, SC-7
Concienciación y Capacitación ([Link]): [Link]-1: Todos los usuarios están informados y • CCS CSC 9
El personal y los socios de la organización capacitados. • COBIT 5 APO07.03, BAI05.07
reciben educación en concienciación • ISA 62443-2-1:2009 [Link].2
de ciberseguridad y están capacitados • ISO/IEC 27001:2013 A.7.2.2
adecuadamente para realizar sus funciones • NIST SP 800-53 Rev. 4 AT-2, PM-13
relacionadas con la seguridad de información
y sus responsabilidades consistentes con
los acuerdos, procedimientos y políticas

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

relacionadas.
 Función Categoría Subcategoría Referencias Informativas
Concienciación y Capacitación ([Link]): [Link]-2: Los usuarios privilegiados comprenden los • CCS CSC 9
El personal y los socios de la organización roles y responsabilidades. • COBIT 5 APO07.02, DSS06.03
reciben educación en concienciación • ISA 62443-2-1:2009 [Link].2, [Link].3
de ciberseguridad y están capacitados • ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
adecuadamente para realizar sus funciones • NIST SP 800-53 Rev. 4 AT-3, PM-13
relacionadas con la seguridad de información [Link]-3: Los terceros interesados • CCS CSC 9
y sus responsabilidades consistentes con (por ejemplo, proveedores, clientes, socios) • COBIT 5 APO07.03, APO10.04, APO10.05
los acuerdos, procedimientos y políticas comprenden los roles y responsabilidades. • ISA 62443-2-1:2009 [Link].2
relacionadas. • ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
• NIST SP 800-53 Rev. 4 PS-7, SA-9
[Link]-4: Los altos ejecutivos comprenden los roles • CCS CSC 9
y responsabilidades. • COBIT 5 APO07.03
• ISA 62443-2-1:2009 [Link].2
PROTEGER (PR)
• ISO/IEC 27001:2013 A.6.1.1, A.7.2.2,
• NIST SP 800-53 Rev. 4 AT-3, PM-13
[Link]-5: El personal de seguridad física y de la • CCS CSC 9
información comprende los roles y responsabilidades. • C OBIT 5 APO07.03
• ISA 62443-2-1:2009 [Link].2
• ISO/IEC 27001:2013 A.6.1.1, A.7.2.2,
• NIST SP 800-53 Rev. 4 AT-3, PM-13
Seguridad de los Datos ([Link]): La [Link]-1: Los datos almacenados están protegidos. •C  CS CSC 17
información y los registros (datos) se •C  OBIT 5 APO01.06, BAI02.01, BAI06.01,
gestionan de manera consistente con la DSS06.06
estrategia de riesgo de la organización para • ISA 62443-3-3:2013 SR 3.4, SR 4.1

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

proteger la confidencialidad, integridad y • ISO/IEC 27001:2013 A.8.2.3
disponibilidad de la información. •N  IST SP 800-53 Rev. 4 SC-28

83
Apéndice A. Marco Básico
 84
Función Categoría Subcategoría Referencias Informativas
Seguridad de los Datos ([Link]): La [Link]-2: Los datos en tránsito están protegidos. • CCS CSC 17
información y los registros (datos) se • COBIT 5 APO01.06, DSS06.06
gestionan de manera consistente con la • ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR
estrategia de riesgo de la organización para 4.2
proteger la confidencialidad, integridad y • ISO/IEC 27001:2013 A.8.2.3, A.13.1.1, A.13.2.1,
disponibilidad de la información. A.13.2.3, A.14.1.2, A.14.1.3
• NIST SP 800-53 Rev. 4 SC-8
[Link]-3: Los activos son gestionados formalmente a • COBIT 5 BAI09.03
través de su eliminación, transferencia y disposición. • ISA 62443-2-1:2009 4. [Link].9, [Link].1
• ISA 62443-3-3:2013 SR 4.2
• ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,
A.8.3.3, A.11.2.7
• NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16
Implementación del Marco de Ciberseguridad de NIST

PROTEGER (PR) [Link]-4: Se mantiene una capacidad adecuada • COBIT 5 APO13.01

para asegurar la disponibilidad. • ISA 62443-3-3:2013 SR 7.1, SR 7.2
• ISO/IEC 27001:2013 A.12.3.1
• NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5
[Link]-5: Se implementan medidas de protección • CCS CSC 17
contra las fugas de datos. • COBIT 5 APO01.06
• ISA 62443-3-3:2013 SR 5.2
• ISO/IEC 27001:2013 A.6.1.2, A.7.1.1, A.7.1.2,
A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3,
A.9.4.1, A.9.4.4, A.9.4.5, A.13.1.3, A.13.2.1,
A.13.2.3, A.13.2.4, A.14.1.2, A.14.1.3

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6,
PE-19, PS-3, PS-6, SC-7, SC-8, SC-13,
SC-31, SI-4
 Función Categoría Subcategoría Referencias Informativas
Seguridad de los Datos ([Link]): La [Link]-6: Los mecanismos de comprobación de la • ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR
información y los registros (datos) se integridad se usan para verificar la integridad de la 3.8
gestionan de manera consistente con la información, del software y del firmware. • ISO/IEC 27001:2013 A.12.2.1, A.12.5.1,
estrategia de riesgo de la organización para A.14.1.2, A.14.1.3
proteger la confidencialidad, integridad y • NIST SP 800-53 Rev. 4 SI-7
disponibilidad de la información. [Link]-7: Los entornos de desarrollo y de prueba • COBIT 5 BAI07.04
están separados del entorno de producción. • ISO/IEC 27001:2013 A.12.1.4
• NIST SP 800-53 Rev. 4 CM-2
Procesos y Procedimientos de [Link]-1: Se crea y se mantiene una configuración •C  CS CSC 3, 10
Protección de la Información ([Link]): inicial de los sistemas de control de la tecnología de •C  OBIT 5 BAI10.01, BAI10.02, BAI10.03, BAI10.05
Se mantienen las políticas de seguridad información/industrial. • ISA 62443-2-1:2009 [Link].2, [Link].3
(que abordan el propósito, alcance, • ISA 62443-3-3:2013 SR 7.6
roles, responsabilidades, compromiso • ISO/IEC 27001:2013 A.12.1.2, A.12.5.1,
de la gerencia y coordinación entre las A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4
PROTEGER (PR)
entidades de la organización), los procesos •N  IST SP 800-53 Rev. 4 CM-2, CM-3, CM-4, CM-
y procedimientos y se utiliza para gestionar 5, CM-6, CM-7, CM-9, SA-10
la protección de activos y sistemas de [Link]-2: Se implementa un Ciclo de Vida de •C  OBIT 5 APO13.01
información. Desarrollo de Sistemas para gestionar los sistemas. • ISA 62443-2-1:2009 [Link].3
• ISO/IEC 27001:2013 A.6.1.5, A.14.1.1, A.14.2.1,
A.14.2.5
•N  IST SP 800-53 Rev. 4 SA-3, SA-4, SA-8,
SA-10, SA-11, SA-12, SA-15, SA-17, PL-8
[Link]-3: Se han establecido procesos de control de •C  OBIT 5 BAI06.01, BAI01.06
cambio en la configuración. • ISA 62443-2-1:2009 [Link].2, [Link].3

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• ISA 62443-3-3:2013 SR 7.6
• ISO/IEC 27001:2013 A.12.1.2, A.12.5.1,
A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4
•N  IST SP 800-53 Rev. 4 CM-3, CM-4, SA-10

85
Apéndice A. Marco Básico
 86
Función Categoría Subcategoría Referencias Informativas
Procesos y Procedimientos de [Link]-4: Las copias de seguridad de la información • COBIT 5 APO13.01
Protección de la Información ([Link]): se llevan a cabo, se mantienen y se prueban • ISA 62443-2-1:2009 [Link].9
Se mantienen las políticas de seguridad periódicamente. • ISA 62443-3-3:2013 SR 7.3, SR 7.4
(que abordan el propósito, alcance, • ISO/IEC 27001:2013 A.12.3.1, A.17.1.2A.17.1.3,
roles, responsabilidades, compromiso A.18.1.3
de la gerencia y coordinación entre las • NIST SP 800-53 Rev. 4 CP-4, CP-6, CP-9
entidades de la organización), los procesos [Link]-5: Se cumple con la política y las regulaciones • COBIT 5 DSS01.04, DSS05.05
y procedimientos y se utiliza para gestionar relacionadas con el ambiente operacional físico para • ISA 62443-2-1:2009 [Link].1 [Link].2,
la protección de activos y sistemas de los activos de la organización. [Link].3, [Link].5, [Link].6
información. • ISO/IEC 27001:2013 A.11.1.4, A.11.2.1,
A.11.2.2, A.11.2.3
• NIST SP 800-53 Rev. 4 PE-10, PE-12, PE-13,
PE-14, PE-15, PE-18
PROTEGER (PR)
Implementación del Marco de Ciberseguridad de NIST

[Link]-6: Los datos se destruyen de acuerdo con la • COBIT 5 BAI09.03

política. • ISA 62443-2-1:2009 [Link].4
• ISA 62443-3-3:2013 SR 4.2
• ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2,
A.11.2.7
• NIST SP 800-53 Rev. 4 MP-6
[Link]-7: Los procesos de protección se mejoran • COBIT 5 APO11.06, DSS04.05
continuamente. • ISA 62443-2-1:2009 [Link], [Link], [Link],
[Link], [Link], [Link], [Link], [Link]
• NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-8,
PL-2, PM-6

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

[Link]-8: La eficacia de las tecnologías de protección • ISO/IEC 27001:2013 A.16.1.6
es compartida con las partes adecuadas. •N  IST SP 800-53 Rev. 4 AC-21, CA-7, SI-4
 Función Categoría Subcategoría Referencias Informativas
Procesos y Procedimientos de [Link]-9: Se establecen y gestionan planes de • COBIT 5 DSS04.03
Protección de la Información ([Link]): respuesta (Respuesta a Incidentes y Continuidad del • ISA 62443-2-1:2009 [Link].3, [Link].1
Se mantienen las políticas de seguridad Negocio) y planes de recuperación (Recuperación • ISO/IEC 27001:2013 A.16.1.1, A.17.1.1, A.17.1.2
(que abordan el propósito, alcance, antes Incidentes y Recuperación ante Desastres). • NIST SP 800-53 Rev. 4 CP-2, IR-8
roles, responsabilidades, compromiso [Link]-10: Los planes de respuesta y recuperación • ISA 62443-2-1:2009 [Link].7, [Link].11
de la gerencia y coordinación entre las se prueban. • ISA 62443-3-3:2013 SR 3.3
entidades de la organización), los procesos • ISO/IEC 27001:2013 A.17.1.3
y procedimientos y se utiliza para gestionar • NIST SP 800-53 Rev.4 CP-4, IR-3, PM-14
la protección de activos y sistemas de
[Link]-11: La ciberseguridad se incluye en las • COBIT 5 APO07.01, APO07.02, APO07.03,
información.
prácticas de recursos humanos (por ejemplo, APO07.04, APO07.05
sustituciones, selección de personal). • ISA 62443-2-1:2009 [Link].1, [Link].2,
[Link].3
PROTEGER (PR) • ISO/IEC 27001:2013 A.7.1.1, A.7.3.1, A.8.1.4
• NIST SP 800-53 Rev. 4 Familia PS
[Link]-12: Se desarrolla e implementa un plan de • ISO/IEC 27001:2013 A.12.6.1, A.18.2.2
gestión vulnerabilidades. • NIST SP 800-53 Rev. 4 RA-3, RA-5, SI-2
Mantenimiento ([Link]): El mantenimiento [Link]-1: El mantenimiento y reparación de los •C  OBIT 5 BAI09.03
y la reparación de los componentes de activos de la organización se realiza y registra de • ISA 62443-2-1:2009 [Link].7
los sistemas de información y de los manera oportuna, con herramientas aprobadas y • ISO/IEC 27001:2013 A.11.1.2, A.11.2.4, A.11.2.5
de control industrial se lleva a cabo de controladas. •N  IST SP 800-53 Rev. 4 MA-2, MA-3, MA-5
manera consistente con las políticas y los [Link]-2: El mantenimiento remoto de los activos •C  OBIT 5 DSS05.04
procedimientos. de la organización es aprobado, registrado y realizado • ISA 62443-2-1:2009 [Link].5, [Link].6,
de una manera que previene el acceso no autorizado. [Link].7, [Link].8

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• ISO/IEC 27001:2013 A.11.2.4, A.15.1.1, A.15.2.1
•N  IST SP 800-53 Rev. 4 MA-4

87
Apéndice A. Marco Básico
 88
Función Categoría Subcategoría Referencias Informativas
Tecnología de Protección ([Link]): [Link]-1: Los registros de auditoría se determinan, • CCS CSC 14
Se gestionan las soluciones técnicas de documentan, implementan y revisan de acuerdo con • COBIT 5 APO11.04
seguridad para garantizar la seguridad y la la política. • ISA 62443-2-1:2009 [Link].9, [Link].8,
capacidad de recuperación de los [Link].7, [Link], [Link], [Link]
sistemas y activos, de manera consistente • ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR
con los acuerdos, procedimientos y 2.11, SR 2.12
políticas relacionadas. • ISO/IEC 27001:2013 A.12.4.1, A.12.4.2,
A.12.4.3, A.12.4.4, A.12.7.1
• NIST SP 800-53 Rev. 4 Familia AU
[Link]-2: Los medios extraíbles están protegidos y su • COBIT 5 DSS05.02, APO13.01
uso está restringido según la política. • ISA 62443-3-3:2013 SR 2.3
• ISO/IEC 27001:2013 A.8.2.2, A.8.2.3, A.8.3.1,
A.8.3.3, A.11.2.9
Implementación del Marco de Ciberseguridad de NIST

PROTEGER (PR) • NIST SP 800-53 Rev. 4 MP-2, MP-4, MP-5, MP-7

[Link]-3: El acceso a los sistemas y activos está • COBIT 5 DSS05.02
controlado, incorporando el principio de menor • ISA 62443-2-1:2009 [Link].1, [Link].2,
funcionalidad. [Link].3, [Link].4, [Link].5, [Link].6,
[Link].7, [Link].8, [Link].1, [Link].2,
[Link].3, [Link].4, [Link].5, [Link].6,
[Link].7, [Link].8, [Link].9, [Link].1,
[Link].2, [Link].3, [Link].4
• ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR
1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR
1.10, SR 1.11, SR 1.12, SR 1.13, SR 2.1,

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7
• ISO/IEC 27001:2013 A.9.1.2
• NIST SP 800-53 Rev. 4 AC-3, CM-7
 Función Categoría Subcategoría Referencias Informativas
Tecnología de Protección ([Link]): [Link]-4: Las redes de comunicaciones y control • CCS CSC 7
Se gestionan las soluciones técnicas de están protegidas. • COBIT 5 DSS05.02, APO13.01
seguridad para garantizar la seguridad y la • ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR
capacidad de recuperación de los sistemas 4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR
PROTEGER (PR)
y activos, de manera consistente con 7.6
los acuerdos, procedimientos y políticas • ISO/IEC 27001:2013 A.13.1.1, A.13.2.1
relacionadas. • NIST SP 800-53 Rev. 4 AC-4, AC-17, AC-18,
CP-8, SC-7
Anomalías y Eventos (DE. AE): Se detecta [Link]-1: Se establece y gestiona una base de •C  OBIT 5 DSS03.01
la actividad anómala de manera oportuna operaciones de red y flujos de datos esperados para • ISA 62443-2-1:2009 [Link]
y se entiende el impacto potencial de los los usuarios y sistemas. •N  IST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4
eventos. [Link]-2: Los eventos detectados son analizados • ISA 62443-2-1:2009 [Link].6, [Link].7,
para comprender los métodos y objetivos del ataque. [Link].8
• ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR
2.11, SR 2.12, SR 3.9, SR 6.2
• ISO/IEC 27001:2013 A.16.1.1, A.16.1.4
•N  IST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, SI-4
[Link]-3: Los datos de un evento son agregados • ISA 62443-3-3:2013 SR 6.1
y correlacionados a partir de múltiples fuentes y •N  IST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5,
DETECTAR (DE) sensores. IR-8, SI-4
[Link]-4: Se determina el impacto de los eventos. •C
 OBIT 5 APO12.06
•N
 IST SP 800-53 Rev. 4 CP-2, IR-4, RA-3, SI -4
[Link]-5: Se establecen los umbrales de alerta para •C  OBIT 5 APO12.06

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

incidentes. • ISA 62443-2-1:2009 [Link]
•N  IST SP 800-53 Rev. 4 IR-4, IR-5, IR-8
Monitoreo Continuo de Seguridad (DE. [Link]-1: La red es monitoreada para detectar • CCS CSC 14, 16
CM): El sistema de información y los activos posibles eventos de ciberseguridad. • COBIT 5 DSS05.07
son monitoreados a intervalos discretos • ISA 62443-3-3:2013 SR 6.2
para identificar eventos de ciberseguridad • NIST SP 800-53 Rev. 4 AC-2, AU-12, CA-7, CM-

89
Apéndice A. Marco Básico

y verificar la efectividad de las medidas de 3, SC-5, SC-7, SI-4

protección.
 90
Función Categoría Subcategoría Referencias Informativas
Monitoreo Continuo de Seguridad [Link]-2: El entorno físico es monitoreado para • ISA 62443-2-1:2009 [Link].8
([Link]): El sistema de información y detectar posibles eventos de ciberseguridad. • NIST SP 800-53 Rev. 4 CA-7, PE-3, PE-6, PE-20
los activos son monitoreados a intervalos [Link]-3: La actividad personal es monitoreada para • ISA 62443-3-3:2013 SR 6.2
discretos para identificar eventos de detectar posibles eventos de ciberseguridad. • ISO/IEC 27001:2013 A.12.4.1
ciberseguridad y verificar la efectividad de las • NIST SP 800-53 Rev. 4 AC-2, AU-12, AU-13, CA-
medidas de protección. 7, CM-10, CM-11
[Link]-4: El código malicioso es detectado. • CCS CSC 5
• COBIT 5 DSS05.01
• ISA 62443-2-1:2009 [Link].8
• ISA 62443-3-3:2013 SR 3.2
• ISO/IEC 27001:2013 A.12.2.1
• NIST SP 800-53 Rev. 4 SI-3
[Link]-5: Se detecta el código móvil no autorizado. • ISA 62443-3-3:2013 SR 2.4
Implementación del Marco de Ciberseguridad de NIST

DETECTAR (DE)
• ISO/IEC 27001:2013 A.12.5.1
• NIST SP 800-53 Rev. 4 SC-18, SI-4. SC-44
[Link]-6: La actividad de proveedores de servicios • COBIT 5 APO07.06
externos es monitoreada para detectar posibles • ISO/IEC 27001:2013 A.14.2.7, A.15.2.1
eventos de ciberseguridad. • NIST SP 800-53 Rev. 4 CA-7, PS-7, SA-4, SA-9,
SI-4
[Link]-7: Se lleva a cabo el monitoreo del personal, • NIST SP 800-53 Rev. 4 AU-12, CA-7, CM-3, CM-
las conexiones, los dispositivos y el software no 8, PE-3, PE-6, PE-20, SI-4
autorizado.
[Link]-8: Se llevan a cabo análisis de • COBIT 5 BAI03.10

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

vulnerabilidades. • ISA 62443-2-1:2009 [Link], [Link]
• ISO/IEC 27001:2013 A.12.6.1
• NIST SP 800-53 Rev. 4 RA-5
 Función Categoría Subcategoría Referencias Informativas
Procesos de Detección ([Link]): Se [Link]-1: Las funciones y responsabilidades para • CCS CSC 5
mantienen y prueban los procedimientos la detección están bien definidas para asegurar la • COBIT 5 DSS05.01
y procesos de detección para asegurar la rendición de cuentas. • ISA 62443-2-1:2009 [Link]
oportuna y adecuada concienciación de • ISO/IEC 27001:2013 A.6.1.1
eventos anómalos. • NIST SP 800-53 Rev. 4 CA-2, CA-7, PM-14
[Link]-2: Las actividades de detección cumplen con • ISA 62443-2-1:2009 [Link]
todos los requerimientos aplicables. • ISO/IEC 27001:2013 A.18.1.4
• NIST SP 800-53 Rev. 4 CA-2, CA-7,
PM-14, SI-4
[Link]-3: Los procesos de detección se prueban. • COBIT 5 APO13.02
• ISA 62443-2-1:2009 [Link]
• ISA 62443-3-3:2013 SR 3.3
• ISO/IEC 27001:2013 A.14.2.8
DETECTAR (DE)
• NIST SP 800-53 Rev. 4 CA-2, CA-7, PE-3, PM-
14, SI-3, SI-4
[Link]-4: La información de detección de los eventos • COBIT 5 APO12.06
es comunicada a las partes adecuadas. • ISA 62443-2-1:2009 [Link].9
• ISA 62443-3-3:2013 SR 6.1
• ISO/IEC 27001:2013 A.16.1.2
• NIST SP 800-53 Rev. 4 AU-6, CA-2, CA-7, RA-5,
SI-4
[Link]-5: Los procesos de detección se • COBIT 5 APO11.06, DSS04.05
mejoran continuamente. • ISA 62443-2-1:2009 [Link]
• ISO/IEC 27001:2013 A.16.1.6

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• NIST SP 800-53 Rev. 4, CA-2, CA-7, PL-2, RA-5,
SI-4, PM-14

91
Apéndice A. Marco Básico
 92
Función Categoría Subcategoría Referencias Informativas
Planificación de la Respuesta ([Link]): [Link]-1: El plan de respuesta se ejecuta durante o • COBIT 5 BAI01.10
Los procedimientos y procesos de respuesta después de un evento. • CCS CSC 18
son ejecutados y mantenidos para garantizar • ISA 62443-2-1:2009 [Link].1
una respuesta oportuna a los eventos de • ISO/IEC 27001:2013 A.16.1.5
ciberseguridad detectados. • NIST SP 800-53 Rev. 4 CP-2, CP-10,
IR-4, IR-8
Comunicaciones ([Link]): Las actividades [Link]-1: El personal conoce sus funciones y el • ISA 62443-2-1:2009 [Link].2, [Link].3,
de respuesta se coordinan con las partes orden de las operaciones cuando es necesaria una [Link].4
interesadas internas y externas, según respuesta. • ISO/IEC 27001:2013 A.6.1.1, A.16.1.1
corresponda, para incluir el apoyo externo de •N  IST SP 800-53 Rev. 4 CP-2, CP-3, IR-3, IR-8
las fuerzas del orden público. [Link]-2: Los eventos son reportados de manera • ISA 62443-2-1:2009 [Link].5
consistente con los criterios establecidos. • ISO/IEC 27001:2013 A.6.1.3, A.16.1.2
RESPONDER (RS) •N  IST SP 800-53 Rev. 4 AU-6, IR-6, IR-8
Implementación del Marco de Ciberseguridad de NIST

[Link]-3: La información se comparte de manera • ISA 62443-2-1:2009 [Link].2

consistente con los planes de respuesta. • ISO/IEC 27001:2013 A.16.1.2
•N  IST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-4,
IR-8, PE-6, RA-5, SI-4
[Link]-4: La coordinación con las partes interesadas • ISA 62443-2-1:2009 [Link].5
se lleva a cabo de manera consistente con los planes • N
 IST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
de respuesta.
[Link]-5: Se lleva a cabo el intercambio de •N
 IST SP 800-53 Rev. 4 PM-15, SI-5
información voluntaria con las partes interesadas
externas para lograr la más amplia concienciación en

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

materia de ciberseguridad.
 Función Categoría Subcategoría Referencias Informativas
Análisis ([Link]): Se lleva a cabo un [Link]-1: Las notificaciones del sistemas de • COBIT 5 DSS02.07
análisis para asegurar una respuesta detección son investigadas. • ISA 62443-2-1:2009 [Link].6, [Link].7,
adecuada y soportar [Link].8
las actividades de recuperación. • ISA 62443-3-3:2013 SR 6.1
• ISO/IEC 27001:2013 A.12.4.1, A.12.4.3, A.16.1.5
• NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5,
PE-6, SI-4
[Link]-2: El impacto del incidente es entendido. • ISA 62443-2-1:2009 [Link].6, [Link].7,
[Link].8
• ISO/IEC 27001:2013 A.16.1.6
• NIST SP 800-53 Rev. 4 CP-2, IR-4
[Link]-3: Se realizan análisis forenses • ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR
2.11, SR 2.12, SR 3.9, SR 6.1
• ISO/IEC 27001:2013 A.16.1.7
RESPONDER (RS) • NIST SP 800-53 Rev. 4 AU-7, IR-4
[Link]-4: Los incidentes se categorizan de manera • ISA 62443-2-1:2009 [Link].6
consistente con los planes de respuesta. • ISO/IEC 27001:2013 A.16.1.4
• NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-5, IR-8
Mitigación ([Link]): Las actividades se [Link]-1: Los incidentes son contenidos. • ISA 62443-2-1:2009 [Link].6
realizan para prevenir la expansión de un • ISA 62443-3-3:2013 SR 5.1, SR 5.2, SR 5.4
evento, mitigar sus efectos y erradicar el • ISO/IEC 27001:2013 A.16.1.5
incidente. •N  IST SP 800-53 Rev. 4 IR-4
[Link]-2: Los incidentes son mitigados. • ISA 62443-2-1:2009 [Link].6, [Link].10

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

• ISO/IEC 27001:2013 A.12.2.1, A.16.1.5
•N  IST SP 800-53 Rev. 4 IR-4
[Link]-3: Las vulnerabilidades identificadas • ISO/IEC 27001:2013 A.12.6.1
recientemente son mitigadas o documentadas como •N  IST SP 800-53 Rev. 4 CA-7, RA-3, RA-5
riesgos aceptados.

93
Apéndice A. Marco Básico
 94
Función Categoría Subcategoría Referencias Informativas
Mejoras ([Link]): Se mejoran las [Link]-1: Los planes de respuesta incorporan las • COBIT 5 BAI01.13
actividades de respuesta organizacional lecciones aprendidas. • ISA 62443-2-1:2009 [Link].10, [Link]
RESPONDER incorporando las lecciones aprendidas de • ISO/IEC 27001:2013 A.16.1.6
(RS) las actividades de detección/respuesta • NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
actuales y anteriores. [Link]-2: Las estrategias de respuesta se • NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
actualizan.
Planificación de Recuperación (RC. [Link]-1: El plan de recuperación es ejecutado • CCS CSC 8
RP): Los procedimientos y procesos de durante o después de un evento. • COBIT 5 DSS02.05, DSS03.04
recuperación son ejecutados y mantenidos • ISO/IEC 27001:2013 A.16.1.5
para asegurar la restauración oportuna • NIST SP 800-53 Rev. 4 CP-10, IR-4, IR-8
de los sistemas o activos afectados por
eventos de ciberseguridad.
Mejoras ([Link]): Se mejora la [Link]-1: Los planes de recuperación incorporan • COBIT 5 BAI05.07
Implementación del Marco de Ciberseguridad de NIST

planificación y los procesos de las lecciones aprendidas. • ISA 62443-2-1:2009 [Link]

RECUPERAR recuperación mediante la incorporación de • NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
(RC) las lecciones aprendidas en las actividades [Link]-2: Las estrategias de recuperación se • COBIT 5 BAI07.08
futuras. actualizan. • NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
Comunicaciones ([Link]): Las [Link]-1: Se gestionan las relaciones públicas. •C
 OBIT 5 EDM03.02
actividades de restauración se coordinan
con las partes interesadas internas [Link]-2: Se repara la reputación después de un •C
 OBIT 5 MEA03.02
y externas, tales como centros de evento.
coordinación, proveedores de servicios de [Link]-3: Las actividades de recuperación se •N
 IST SP 800-53 Rev. 4 CP-2, IR-4
Internet, dueños de sistemas de ataques, comunican a las partes interesadas internas y a

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

víctimas, otros CSIRT y proveedores. los equipos ejecutivo y de gestión.
Fuente: NIST, Marco para Mejorar la Ciberseguridad de la Infraestructura Crítica, EE. UU., 2014, Apéndice A
 Apéndice B. Plantilla Detallada del Perfil

Apéndice B: Plantilla de
Perfil Detallado
Como se analizó en el capítulo 2, la plantilla del perfil proporciona un mecanismo para
controlar el estado actual del programa de ciberseguridad de la organización e identificar
las características del estado objetivo. Las subsecciones de este apéndice proporcionan una
plantilla de ejemplo para almacenar la información relacionada con el perfil, la plantilla del
estado actual del perfil y la plantilla del estado objetivo.

Metadatos del Perfil

La tabla de metadatos del perfil, que se muestra en la figura B.1, se utiliza para capturar
información sobre la organización y la unidad de negocio o sistemas que están representados
por el perfil. Esta información se reúne normalmente en las fases 1 y 2 del proceso de
implementación del MCS.

Figura B.1: Plantilla de Metadatos del Perfil

Organización
Sector de la Infraestructura Crítica
Unidad de Negocio/Sector/Filial de la
Organización (si corresponde)
Alcance del Perfil Actual de la Organización
Requerimientos del Negocio 1.
2.
3.
4.
Consideraciones de Riesgo

Decisiones de Apetito al Riesgo

Perfil del Estado Actual

El perfil actual del estado se utiliza para realizar un seguimiento de los objetivos del programa
de ciberseguridad actual. La plantilla incluye una capacidad para identificar cómo se está
obteniendo cada subcategoría dentro del marco y el estado actual de implementación de esa
capacidad. En muchos casos, las organizaciones actualizan su política de seguridad actual e
implementan la nueva política en un enfoque por fases. La plantilla del perfil del estado actual
permite a las organizaciones una representación exacta de su estado en la implementación de
los procedimientos y las políticas actuales. La figura B.2 identifica los puntos de datos o temas
registrados en el perfil del estado actual. La plantilla completa del Perfil Actual está disponible
en formato Microsoft Excel® en un kit de herramientas de ISACA.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 95

Implementación del Marco de Ciberseguridad de NIST

Figura B.2: Puntos de Datos del Perfil Actual

Tema Información Requerida
Función Función del Marco Aplicable
Categoría Categoría del Marco Aplicable
Subcategoría Subcategoría del Marco Aplicable
Procesos Relevantes de COBIT Las referencias informativas de COBIT 5 utilizadas para identificar las
prácticas organizacionales requeridas para alcanzar los objetivos de la
subcategoría del MCS.
Estado de Implementación La escala de clasificación de logros (es decir, No logrado, Parcialmente
logrado, Logrado en gran parte, Alcanzado plenamente) basado en la
implementación actual de políticas y procedimientos existentes.
Prácticas Organizacionales La práctica, política o procedimiento de la organización que se requiere para
cumplir con el objetivo previsto de la subcategoría.
Comentarios/Evidencia La narrativa que describe cómo se determinó la escala de clasificación de logros
y cualquier acción establecida en curso hacia el objetivo de la subcategoría.

Perfil del Estado Objetivo

El perfil del estado de destino proporciona una oportunidad para capturar el estado deseado
del programa de ciberseguridad. El perfil del estado de destino debe completarse de una
manera que identifique las protecciones y capacidades necesarias para mitigar las amenazas
de la organización. Este enfoque basado en el riesgo asegura que se aborden todas las áreas
del MCS, centrándose en aquellas áreas más propensas a ser atacadas. La plantilla completa
del Perfil Objetivo está disponible en formato Microsoft Excel en un kit de herramientas de
ISACA. Los puntos de datos del perfil objetivo se muestran en la figura B.3.

Figura B.3: Puntos de Datos del Perfil Objetivo

Tema Información Requerida
Función Función del Marco Aplicable
Categoría Categoría del Marco Aplicable
Subcategoría Subcategoría del Marco Aplicable
Procesos Relevantes de COBIT Las referencias informativas de COBIT 5 utilizadas para identificar las
prácticas organizacionales requeridas para alcanzar los objetivos de la
subcategoría del MCS.
Estado de Implementación La escala de clasificación de logros (es decir, No logrado, Parcialmente
logrado, logrado en gran parte, alcanzado plenamente) basado en la
implementación de políticas y procedimientos existentes.
Prácticas Organizacionales La práctica, política o procedimiento organizacional identificado a través de
la evaluación basada en riesgos de las necesidades de la organización para
mitigar el riesgo organizacional relacionado con la categoría.
Comentarios/Evidencia La narrativa que describe cómo se determinó la escala de clasificación
de logros y cualquier acción establecida en curso hacia el objetivo de la
subcategoría.
Acciones Recomendadas Las acciones necesarias para alcanzar los objetivos del estado de destino.
Recursos Necesarios Recursos organizacionales necesarios para completar las acciones
recomendadas.

96 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice B. Plantilla Detallada del Perfil

Análisis de Diferencias
Para cada una de las subcategorías en el Perfil Objetivo, considerar la diferencia entre el nivel
de logro objetivo y el nivel actual. Entender las diferencias entre las políticas y prácticas
organizacionales actuales y objetivo resaltará las oportunidades de mejora; entender el impacto
relativo en el riesgo ayudará a establecer prioridad, planificación y asignación de recursos.
Utilizar la información del análisis de diferencia, para llevar a cabo la Planificación de las
Actividades. En el apéndice D se proporciona orientación detallada sobre la planificación de las
actividades y está disponible un ejemplo de la plantilla de planificación de acciones en formato
Microsoft Excel en un kit de herramientas de ISACA.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 97

Implementación del Marco de Ciberseguridad de NIST

Esta página se dejó intencionadamente en blanco

98 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice C. Carta de Presentación del Marco

Apéndice C: Carta de Presentación

del Marco
En agosto de 2013, NIST publicó una carta abierta a los altos ejecutivos del MCS.8 Esta carta
abierta introdujo los conceptos de la visión inicial por el MCS. Muchos de estos puntos fueron
alcanzados en el marco final. La carta se proporciona a continuación como referencia y para
proporcionar perspectivas sobre la intención del MCS.

Borrador para Discusión: Mensaje para Altos Ejecutivos en el

Marco de Ciberseguridad
La seguridad nacional y económica de los Estados Unidos depende del
funcionamiento confiable de la infraestructura crítica. La complejidad de nuestros
sistemas, el incremento de la conectividad y la dependencia de tecnología junto
con una amenaza de seguridad cibernética que avanza, pone en este momento a
nuestra infraestructura crítica, nuestra información y nuestra seguridad en riesgo.
La amenaza de ciberseguridad a la infraestructura crítica continúa en aumento y
representa uno de los más graves retos de seguridad nacional que debemos afrontar.
Este riesgo no afecta solamente a la nación, sino también a sus negocios, sus
empleados y a las comunidades a las que sirven.

El riesgo de ciberseguridad es una realidad que las organizaciones deben comprender

y gestionar al nivel de fidelidad de otros riesgos de negocio que pueden tener impactos
críticos. Las organizaciones deben gestionar los riesgos de seguridad así como lo
hacen con los riesgos reputacionales, financieros, de proveedores y otros, para ganar
y mantener a los clientes, reducir los costes, incrementar los beneficios e innovar. Si su
empresa cotiza en la bolsa, por ejemplo, su Consejo de Dirección debe ser consciente
de los riesgos de ciberseguridad y de los pasos que la organización debe tomar para
gestionar este riesgo.

Las posibles consecuencias de un incidente de ciberseguridad varían, el impacto se

sitúa desde la pérdida de la valiosa propiedad intelectual hasta la interrupción de la
prestación de servicios críticos. Las amenazas activas tratan de robar información,
destruir datos e inutilizar los sistemas críticos. Los errores operacionales o amenazas
naturales pueden también afectar a los sistemas operacionales utilizados para
proporcionar los servicios críticos.

8
NIST, “Mensaje para Altos Ejecutivos en el Marco de la Ciberseguridad,”
[Link]/itl/upload/discussion-draft_executive-[Link]

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 99

Implementación del Marco de Ciberseguridad de NIST

Una Herramienta Clave: El Marco de Ciberseguridad Enfocado

a la Industria
Debido a estas amenazas, impactos y riesgos a la seguridad económica y nacional
de nuestro país, el Presidente emitió la Orden Ejecutiva 13636, "Mejorar la
ciberseguridad de la infraestructura crítica" el 12 de febrero de 2013. La Orden
Ejecutiva llama al desarrollo de un marco de ciberseguridad voluntario basado en el
riesgo que sea “priorizado, flexible, repetible, basado en el desempeño y rentable”
y es desarrollado e implementado en colaboración con dueños y operadores de la
infraestructura crítica del país.

El Marco está siendo desarrollado a través de un proceso abierto, lo que permite

una sólida base técnica que se alinea con los intereses comerciales. Al depender de
las prácticas desarrolladas, gestionadas y actualizadas por la industria, el Marco
evolucionará con los avances tecnológicos y se alineará con las necesidades del
negocio.

El Marco proporciona a una guía uniforme para el desarrollo de programas de

ciberseguridad robustos para las organizaciones. Esto incluye estándares, mejores
prácticas y medidas de implementación impulsados por la industria para gestionar
los riesgos de ciberseguridad en las tecnologías de la información y la tecnología
operacional.

El marco proporciona una estructura común para la gestión de los riesgos de

ciberseguridad y ayudará a identificar y comprender las dependencias de la
organización con sus socios comerciales, vendedores y proveedores. De esta manera,
permitirá coordinar riesgos de ciberseguridad dentro de la industria y sector para la
prestación de servicios de infraestructura crítica.

Las misiones, amenazas, vulnerabilidades y tolerancias particulares del riesgo

pueden requerir diferentes estrategias de gestión de riesgos. Las decisiones de una
organización en la gestión de riesgos de ciberseguridad pueden diferir de las de otra.
El Marco está diseñado para ayudar a cada organización a gestionar los riesgos
de ciberseguridad manteniendo la flexibilidad y la capacidad para satisfacer las
necesidades del negocio. Como resultado, el Marco no está diseñado para reemplazar
los procesos existentes. Si una organización no tiene un proceso existente de gestión
de riesgos de la ciberseguridad, el Marco provee las herramientas para construir uno.
Al implementar el Marco, una organización puede tomar medidas para mejorar la
capacidad de recuperación de sus servicios, al mismo tiempo que protege los datos y
la propiedad intelectual. Esta metodología está diseñada para infundir confianza en el
sector y los socios y proteger la marca y reputación de la organización.

100 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice C. Carta de Presentación del Marco

Utilizando el Marco
El Marco sitúa las actividades de ciberseguridad en cinco funciones: identificar,
proteger, detectar, responder y recuperar. Las organizaciones deberían implementar
capacidades en cada una de estas áreas.

La implementación del Marco ayudará a alinear y comunicar su postura ante el

riesgo de ciberseguridad con sus socios y ayudará a comunicar las expectativas, para
que la gestión de los riesgos de ciberseguridad sea consistente con las necesidades
de su negocio. Según el Marco se va aplicando en toda la infraestructura crítica,
se integrarán las lecciones aprendidas y las mejoras para garantizar que es un
marco dinámico y pertinente. Las repetidas intrusiones de ciberseguridad en las
infraestructuras críticas del país han demostrado la necesidad de un enfoque más
fuerte para gestionar la ciberseguridad. Cada organización involucrada en servicios
de infraestructura crítica está invitada a participar activamente en el desarrollo,
validación e implementación del MCS.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 101

Implementación del Marco de Ciberseguridad de NIST

Esta página se dejó intencionadamente en blanco

102 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice D. Plan de Acción

Apéndice D: Planificación de la
Acción
Para lograr los resultados deseados según se describen en el MCS y para alcanzar los objetivos
de las partes interesadas identificadas en el Paso 1 de la implementación, es necesario un plan
completo de acción. Como parte del proceso de planificación, los implementadores deberían
determinar las autoridades competentes que revisarán, aprobarán y darán seguimiento a las
actividades y acciones descritas. Es importante que los impulsores de negocios/misión informen
y apoyen estas acciones.

Vinculando las acciones enumeradas con los objetivos de negocio y técnicos (como se describe
en la cascada de metas de COBIT 5 y como está documentado como parte del Paso 1 de la
implementación), las acciones serán evaluables y priorizadas para alcanzar el valor necesario
para la organización. Estas prioridades y las acciones asociadas, se puede revisar y ajustar
a través de reuniones periódicas de control tales como sesiones informativas trimestrales,
revisiones del programa de gestión y ejercicios formativos de seguridad. Se muestra una lista de
puntos de datos del plan de acción en la figura D.1.

Las consideraciones específicas para la planificación de la acción pueden incluir las siguientes:
• ¿Existen procesos del plan de acción específicos del sector?
• ¿Quién es responsable de definir acciones dentro del plan?
• ¿Con qué frecuencia son revisados y actualizados los planes de acción? ¿Por quién?
• ¿Qué procesos específicos de gobierno y gestión se aplican a su industria para ayudar a
mantener el rumbo?
• ¿Cuáles son las ventajas de alcanzar un nivel superior/inferior?
• ¿Cuáles son las desventajas de alcanzar un nivel superior/inferior?
• ¿Qué orientación regulatoria está disponible para ayudar a seleccionar el nivel adecuado para
mi organización?
• ¿Qué agencias, grupos o consorcios existen para apoyar los programas de seguridad y
cumplimiento organizacional?
• ¿Cómo es capturada la repuesta y cómo es diseminada a través de toda la organización?

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 103

Implementación del Marco de Ciberseguridad de NIST

Figura D.1: Puntos de Datos del Plan de Acción

Detalle del Plan de Acción Descripción
Identificador de la Acción Identificador único asignado a una acción específica
Prioridad La prioridad definida organizacionalmente para completar la acción
(por ejemplo, Alta, Media, Baja o del 1 al 6).
Supuestos/Limitaciones Los factores definidos organizacionalmente que pueden afectar la capacidad
de completar la acción.
Lógica Identifica la lógica utilizada para definir la acción. Se debe incluir enlaces a
Perfiles o requisitos regulatorios cuando sea posible.
Acción específica La acción discreta, en base a resultados, a ser completada.
Recursos necesarios Los recursos organizacionales necesarios para completar la acción.
Cronograma/Hitos Los hitos clave o cronogramas asignados a la acción específica.
Estado Un indicador luminoso tipo semáforo (por ejemplo, Verde, Ámbar, Rojo) o el
indicador de estado organizacional actual aprobado, para dar significado al
estado de la acción y la identificación de los problemas que puede provocar
un hito programado que no se pueda cumplir.
Requisitos previos/ Identificar otras acciones o factores organizacionales que se deben completar
dependencias antes de finalizar esta acción.
Asignación de la acción Punto de contacto al que se asigna la responsabilidad de dar seguimiento y
asegurar que la acción se ha completado.
Roles de las partes Partes interesadas internas y externas de la acción.
interesadas

104 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice E. Consideraciones para los Sectores de Infraestructura Crítica

Apéndice E: Consideraciones para

los Sectores de Infraestructura
Crítica
El MCS se desarrolló según indicó la OE 13636, como apoyo directo a la comunidad de
infraestructura crítica. Para las empresas que se identifican con uno de los dieciséis sectores de
infraestructura crítica que se mencionan en la figura 2, o las empresas que soportan entidades en
esos sectores, las siguientes consideraciones pueden ser útiles para la implementación del MCS
en ese contexto.

Identificación de Roles
Desde el presidente del consejo de administración hasta el operador del reactor nuclear, los roles
varían ampliamente entre los proveedores de infraestructura crítica. Por lo general, el MCS
clasifica estos roles dentro de tres categorías según se describe en el capítulo 2. Se recomienda al
lector que determine los títulos aplicables de cada rol y se refiera específicamente a esos títulos
en los documentos de planificación/operaciones/monitoreo. Hacer esto ayudará en la educación
e implementación de las actividades de ciberseguridad sin confusión sobre la identificación de
roles diferentes.

Alcance de la Implementación
El alcance aplicable para la implementación del MCS varía en cada empresa. Algunas entidades
pueden adoptar un enfoque exploratorio y aplicar el MCS a una subentidad para ganar
experiencia, mientras que otras pueden aplicarlo a toda la empresa a la vez. Estas decisiones
normalmente se basan en presupuestos y necesidades organizacionales.

El lector debe determinar si los impulsores legales y/o regulatorios afectarán ese alcance. Por
ejemplo, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) describe
objetivos específicos para el “Uso Significativo” de la tecnología de registro electrónico de la
salud certificada. Las consideraciones jurisdiccionales también pueden afectar las decisiones de
alcance; las consideraciones legales en un país pueden ser muy diferentes de las de otra parte del
mundo. Estos motivadores externos pueden influir en los objetivos considerados y las acciones
adoptadas para mejorar la ciberseguridad.

Consideraciones de Riesgo
La determinación de la arquitectura de riesgo de la empresa es un elemento importante del Paso
1 de la implementación, debido a que muchas de las actividades posteriores ayudan a mantener
un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso
de recursos. Muchos sectores críticos de la información están sujetos a motivadores externos
que impactan en las decisiones de riesgo. El sector financiero, por ejemplo, tiene muchos
factores que influyen en las consideraciones de riesgos aceptables. La documentación de estas
consideraciones y factores durante el Paso 1 apoyará los pasos posteriores y asegurará que se
atiendan estos objetivos importantes de las partes interesadas y que se les haga un seguimiento
según la gestión regulatoria y los requerimientos de información.

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 105

Implementación del Marco de Ciberseguridad de NIST

Gestión de Calidad
La gestión de la calidad se superpone de cerca con las prácticas de ciberseguridad efectivas.
El proceso de COBIT 5 APO11 Gestión de la calidad describe el uso y el mantenimiento de
un Sistema de Gestión de la Calidad (SGC). La práctica de gestión APO11.01 manifiesta que
“Establecer y mantener un SGC que provea un enfoque estándar, formal y continuo hacia
la gestión de la calidad de la información, permitiendo que la tecnología y los procesos del
negocio estén alineados con los requerimientos del negocio y la gestión de la calidad de la
empresa”. Aplicar las prácticas de gestión APO11 ayuda a la organización a definir y gestionar
los estándares, prácticas y procedimientos de calidad de acuerdo con la priorización y la decisión
de riesgo acordada en los pasos de implementación del MCS que se describieron anteriormente
en este documento. Centrar la gestión de calidad en los clientes y los objetivos de las partes
interesadas (según lo establecido en las Fases 1 y 2) e integrar esos procesos de gestión de la
calidad como parte del plan de acción ayudará a garantizar la alineación con las necesidades de
la misión. Realizar monitoreo, control y revisiones de calidad ayuda a asegurar que los procesos
y la tecnología de la organización están proporcionando valor al negocio, mejora continua y
transparencia a las partes interesadas.

Los proveedores de infraestructuras críticas pueden tener requerimientos adicionales del SGC
para sistemas empresariales. Se deben considerar los objetivos relevantes para la gestión de
un SGC cuando se desarrollen los Perfiles y se determinen las acciones. Estos lectores pueden
guiarse con las normas de la familia ISO 9000, incluyendo:
• ISO [Link] Establece los requerimientos de un SGC.
• ISO [Link] Cubre los conceptos básicos y el lenguaje.
• ISO [Link] Se centra en cómo hacer un SGC más eficiente y eficaz.
• ISO 1[Link] Establece directrices sobre auditorías internas y externas del SGC.

Información de Amenazas y Vulnerabilidades

Los miembros de la comunidad de la infraestructura crítica son objetivos particulares de
las amenazas de ciberseguridad, a menudo a través de vectores de ataque innovadores. Se
recomienda especialmente a los usuarios de los Estados Unidos trabajar con grupos aplicables
tales como los Centros de Análisis e Intercambio de Información (ISAC) y el Departamento de
Seguridad Nacional, incluyendo al Equipo de Respuesta ante Emergencias Informáticas (CERT).
InfraGard, una asociación entre el Organismo Federal de Investigaciones (FBI) y el sector
privado, también es útil. Es una asociación de personas que representan a empresas, instituciones
académicas, organismos estatales y locales encargados de hacer cumplir la ley y otros
participantes que se dedican a compartir información e inteligencia para prevenir actos hostiles.

El Consejo Nacional de ISAC (NCI) puede ser útil en la identificación de formas de ayudar
en la amenaza de la empresa y la comprensión de la vulnerabilidad. NCI existe para impulsar
la seguridad física y la ciberseguridad de las infraestructuras críticas de América del Norte al
establecer y mantener un marco para la valiosa interacción entre las ISAC y con el gobierno.
El ISAC para Sistemas de Control Industrial (ICS-ISAC) estableció un proyecto conocido como
Arquitectura de Referencia de Concienciación Situacional (SARA). El objetivo de SARA es
compilar y publicar una guía aplicada a los procesos, prácticas, estándares y tecnologías que las
instalaciones y otros pueden utilizar para establecer la concienciación situacional.

106 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez

 Apéndice E. Consideraciones para los Sectores de Infraestructura Crítica

Las empresas deben determinar las condiciones bajo las cuales puede abordarse una
vulnerabilidad. Por ejemplo, algunos sistemas críticos no se pueden apagar para dar soporte
a un parche importante, por lo que los controles de mitigación deben ser identificados para
garantizar los medios apropiados para alcanzar los objetivos de la empresa para la disponibilidad
y seguridad. Estas consideraciones se aplican a todas las personas, procesos y tecnología (como
se describe en el capítulo 1) que permiten las funciones del negocio.

Intercambio Automatizado de Indicadores

La Hoja de Ruta de NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica 9
recomienda el uso del intercambio automático de información de indicadores para proporcionar
información oportuna y procesable que se puede utilizar para detectar y responder a eventos de
ciberseguridad en el momento en el que se producen. Intrusiones recientes han indicado que
los adversarios atacan a varios participantes del sector a la vez, como los recientes ataques de
denegación de servicio contra muchos miembros del sector financiero.

El NIST recomienda que las organizaciones “utilicen una combinación de mecanismos estándar
y propietarios para el intercambio de indicadores que pueden utilizarse para reforzar las defensas
y para apoyar la detección temprana de los futuros intentos de ataque. Estos mecanismos tienen
diferentes fortalezas y debilidades y a menudo requieren que las organizaciones mantengan
procesos, personal y capacidades técnicas específicas”. Se recomienda a los implementadores
del MCS que trabajen con NIST y los líderes del sector para adoptar y mejorar los enfoques
prácticos para lograr el intercambio de indicadores automatizado.

Gestión de Riesgo de la Cadena de suministro

Del mismo modo, NIST promueve un incremento de la adopción de normas para la gestión del
riesgo en la cadena de suministro. NIST indica que la “adopción de estándares de gestión de
riesgo de la cadena de suministro, las prácticas y directrices requiere una mayor concienciación
y comprensión de los riesgos asociados con las interdependencias sensibles al tiempo en toda la
cadena de suministro, incluyendo en y entre los sectores/subsectores de la infraestructura crítica.
Este entendimiento es esencial para permitir a las organizaciones evaluar su riesgo, priorizar y
permitir la mitigación oportuna.”

Se recomienda a los implementadores del MCS incluir el riesgo de la cadena de suministro como
un subconjunto de actividades de gestión y evaluación de riesgos generales. Más información
sobre la gestión del riesgo de la cadena de suministro está disponible en la División de Seguridad
Informática del NIST.

Perfiles Actuales y Objetivo

Durante numerosos talleres de desarrollo del MCS, el NIST señaló la posibilidad de que los
dirigentes de distintos sectores (por ejemplo, sector agencias de apoyo, consejos de sector,
empresas participantes) proporcionarían orientación específica en la creación y mantenimiento
de los Perfiles Objetivo y Actual. Dicha orientación puede incluir: mapeo del Marco Básico del
MCS con los marcos de cumplimiento, criterios para la determinación de los umbrales descritos
en la figura 17 o recomendaciones con respecto a las Subcategorías Principales.

9
 IST, Hoja de Ruta del NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica, EE. UU., 2014, [Link]/cyberframework/
N
upload/[Link]

Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez 107

Implementación del Marco de Ciberseguridad de NIST

Próximos Pasos del Marco

Al anunciar el lanzamiento del MCS, el Asistente Especial del Presidente de los Estados Unidos
y Coordinador de Ciberseguridad de EE. UU., Michael Daniel, hizo tres peticiones que son
especialmente significativas para la comunidad de infraestructura crítica de EE. UU.:
• “Necesitamos que examinen cuidadosamente el Marco. Necesitamos que las organizaciones
comiencen a utilizar el Marco y ver cómo puede funcionar para organizaciones de diferentes
tipos y tamaños”.
• “Necesitamos su retroalimentación para mejorar el Marco. Necesitamos que compartan su
experiencia con nosotros sobre cómo funcionó el Marco, o no, para su organización. La
retroalimentación es esencial para pulir el Marco y mejorarlo en versiones futuras”.
• “En definitiva, necesitamos su compromiso continuo. El Marco pretende ser un documento
vivo. Necesitamos sus conocimientos y experiencia colectiva para mejorarlo con el tiempo.”

ISACA recomienda a todas las personas que implementen esta versión inicial del Marco
de Ciberseguridad para ayudar a mejorar su valor, que proporcionen retroalimentación a la
comunidad del MCS y ayuden a que este marco alcance su objetivo de mejorar la gestión de
riesgos de ciberseguridad. A través del liderazgo de ISACA y el Cybersecurity Nexus (CSX)
nuevo, la membresía de ISACA pueden ser especialmente útil para lograr ese objetivo y
salvaguardar las empresas de todo el mundo.

108 Personal Copy of: Sr. Sergio Ernesto Azahuanche Gutiérrez