1

ETAPA 2

CARLOS ALBERTO BENAVIDES ABRIL

CARLOS JAVIER PEREZ MARIN

JOHANN SEBASTIAN CARDOSO ALFONSO

LAURENTH RAMIREZ VELANDIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

2023
 2

ETAPA 2

CARLOS ALBERTO BENAVIDES ABRIL

CARLOS JAVIER PEREZ MARIN

JOHANN SEBASTIAN CARDOSO ALFONSO

LAURENTH RAMIREZ VELANDIA

Nombre

EDUAR ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

BOGOTÁ

2023
 3

Tabla de Contenido

Lista de Tablas......................................................................................................................4
Introducción..........................................................................................................................5
Justificación..........................................................................................................................6
Objetivos............................................................................................................................... 7
Desarrollo del Trabajo......................................................................................................... 8
Conclusiones.......................................................................................................................14
Referencias Bibliográficas..................................................................................................15
Anexo.................................................................................................................................. 17
 4

Lista de Tablas

Tabla 1 Comparación aspectos NIST Versión 1.1 vs COBIT 2019....................................7

 5

Introducción

Hoy en día, las empresas, organizaciones gubernamentales y entidades reconocen la

importancia de establecer Sistemas de Gestión de Seguridad de la Información (SGSI). Esto

requiere la implementación de un marco que facilite la gestión de riesgos de manera

integral en toda la organización, considerando las tecnologías de la información y

adaptándose a las características específicas de cada empresa, independientemente de su

tamaño o sector. En este contexto, se destacan dos marcos ampliamente reconocidos y

valiosos: COBIT y NIST.

COBIT ofrece a las empresas un marco que les permite optimizar el valor de sus

operaciones de tecnología de la información (TI) al equilibrar eficazmente los riesgos y los

beneficios. Por otro lado, NIST se enfoca en la gestión y reducción de riesgos,

especialmente en lo que respecta a la infraestructura crítica, brindando a las organizaciones

herramientas y orientación para mejorar o establecer planes de ciberseguridad.

El presente tiene como fin realizar la revisión de los framework de seguridad

informática, NIST y COBIT, con el fin de determinar sus componentes, características,

estructura y sobre todo la forma en que impacta su aplicación dentro de las organizaciones

de acuerdo con la finalidad dada a cada uno de ellos. Así mismo, el presente expone un

análisis del caso de estudio planteado en la primera actividad mediante la escogencia de

uno de los marcos a fin de cumplir con el objetivo planteado por Banksecure de

implementar su Sistema de Gestión de Seguridad de la Información (SGSI)

 6

Justificación

La presente nace como apoyo para el reconocimiento de las buenas prácticas de

Seguridad de la Información y Ciberseguridad establecidas por la industria y los entes en

los framework NIST y COBIT, así como permite una identificación clara de cómo estas

pueden servir para el cumplimiento del objetivo establecido por Banksecure en el caso de

estudio, presente en las fases subsiguientes de la asignatura.

 7

Objetivos

Objetivos Generales

Fortalecer las destrezas necesarias para diseñar sistemas de gestión de seguridad de la

información, a partir de estándares, normativas y regulaciones vigentes, permitiéndo

proponer soluciones ajustadas a las necesidades de la organización.

Objetivos Específicos

Evaluar la normativa de seguridad informática, a partir de los estándares, marcos y

regulaciones vigentes.

Asociar y comprender los aspectos significativos entre el Marco NIST V1.1 y COBIT

2019.

Diseñar y planear la construcción del SGSI sobre la problemática propuesto,

asociando el marco NIST V1.1 junto con las normativas técnicas y legales para el

desarrollo del ejercicio.

 8

Desarrollo del Trabajo

1. Cuadro comparativo que consolide la indagación realizada por los integrantes

del grupo, sobre los diferentes marcos de trabajo para la seguridad

informática.

Tabla 1
Comparación aspectos NIST Versión 1.1 vs COBIT 2019

Aspecto NIST COBIT 2019

NIST es una agencia federal de los
E.E.U.U. que desarrolla las normas,
las pautas, y los marcos para la COBIT 2019 es un marco integral y amplio
seguridad de la información y la que ha evolucionado para apoyar el
seguridad cibernética. Uno de sus entendimiento, el diseño y la ejecución del
marcos más populares es el NIST gobierno y la gestión de la información y la
Definición tecnología (I&T) corporativa. COBIT 2019
Cybersecurity Framework (CSF),
que ofrece un modelo basado en define los mecanismos y los componentes de
cinco funciones: IDENTIFICAR, diseño para construir y mantener un sistema
PROTEGER, DETECTAR, de gobierno
RESPONDER y RECUPERAR adecuadohttps://www.globalsuitesolutions
(Stine & Barrett, 2022). .com/es/que-es-cobit/ (Villamizar, 2022).

El objetivo del NIST CSF es ayudar

a las organizaciones a gestionar y
reducir los riesgos de El objetivo de COBIT 2019 es ayudar a las
ciberseguridad, alineando las organizaciones a lograr los objetivos de los
actividades de seguridad con las interesados relacionados con el uso de I+T,
Objetivo prioridades del negocio, el entorno equilibrando el logro del valor con la
de amenazas y los recursos optimización de los riesgos y los recursos
disponibles (Stine & Barrett, 2022). (Villamizar, 2022).

Es un framework enfocado a toda la Es un framework enfocado a la

organización y al adecuado uso de ciberseguridad y a las actividades a
los recursos de IT para alcanzar los desarrollar en la organización.
objetivos del negocio.
Es un marco que abarca la creación de
NIST CSF es un marco más simple procesos, la configuración de estructuras y la
 9

y conciso que COBIT 2019, ya que formulación de principios que se aplican a la

tiene menos componentes y niveles. gobernanza y administración de tecnología
- NIST CSF es un marco más de la información en toda la organización de
prescriptivo que COBIT 2019, ya manera integral.
que define las actividades y
resultados esperados (Stine &
Barrett, 2022) Enfoque que se centra en la gobernanza de
Diferencias
tecnología de la información, la gestión de
riesgos que abarca toda la organización y la
alineación de la tecnología de la información
con los objetivos empresariales.

Existe un alineamiento entre las categorías /

COBIT a estar más orientado a la subcategorías de NIST con los objetivos
auditoria, es más importante para las establecidos por COBIT, lo cual permite que
Similitudes organizaciones más grandes, la cual sean un complemento entre sí.
tienen mayores requisitos de
cumplimiento. Nist tiene y se ajusta con Cobit ya que
comparten muchas de las características que
al analizar los objetivos en la búsqueda de la
administración de los recursos de la TI

Estructura El NIST CSF se estructura en tres COBIT 2019 se estructura en cuatro partes
partes principales: principales:

- El Marco Core: es el conjunto de - El Marco Introducción y Metodología

actividades, resultados y referencias - La Guía de Diseño
comunes que proporcionan una - La Guía de Implementación
visión estratégica de la gestión de - El Marco Objetivos de Gobierno y Gestión.
riesgos de ciberseguridad.
Este último se compone de 40 procesos u
El Marco Core se organiza en: objetivos principales agrupados en cinco
* 5 Funciones dominios:
* 23 Categorías
* 108 Subcategorías. - APO (Align, Plan and Organize): alinear,
planificar y organizar.
El Marco Core se basa en sus 5
funciones principales como eje -BAI (Build, Acquire and Implement):
fundamental: construir, adquirir e implementar.

Identificar, proteger, detectar, -DSS (Deliver, Service and Support):

responder y recuperar. entregar, prestar servicio y soporte.

-MEA (Monitor, Evaluate and Assess):

El marco es especialmente útil para monitorear, evaluar y valorar.
las organizaciones que manejan
 10

información sensible o crítica, que

están expuestas a amenazas
cibernéticas o que deben cumplir -EDM (Evaluate, Direct and Monitor):
con regulaciones o estándares de evaluar, dirigir y monitorear. (Villamizar,
seguridad. (Stine & Barrett, 2022) 2022)

COBIT 2019 se aplica a cualquier

organización que utilice información y
El NIST CSF se aplica a cualquier tecnología para lograr sus objetivos
organización que utilice sistemas de empresariales, independientemente de su
información y comunicación, tamaño, sector o tipo. El marco es
independientemente de su tamaño, especialmente útil para las organizaciones
Aplicación sector o tipo. El marco es que quieren mejorar el gobierno y la gestión
especialmente útil para las de I&T, que buscan crear valor a partir de
organizaciones que manejan I&T, que necesitan equilibrar los riesgos y
información sensible o crítica, que los recursos o que deben cumplir con
están expuestas a amenazas regulaciones o estándares de gobierno
cibernéticas o que deben cumplir (Connecting COBIT 2019 to the NIST
con regulaciones o estándares de Cybersecurity Framework, s. f.)
seguridad (Stine & Barrett, 2022)

-Proporciona las directrices para -Los principios y habilitadores son genéricos,

tomas las decisiones en la por lo que se puede utilizar en cualquier
realización de los servicios. empresa.
-Incluye guia para la evaluación y la -Se alinea a otros framework
Ventajas gestión de riesgos de la información. -COBIT se centra en alinear la TI con los
-Resume elementos importantes en objetivos estratégicos de la organización.
las pruebas de seguridad. - Incluye gestión de riesgos de TI, ayudando
- Ayuda a mejorar la postura de a las organizaciones a identificar, evaluar y
ciberseguridad de la organización mitigar los riesgos asociados con las
operaciones de TI de manera transversal en
todas las áreas de la organización.

-Su aplicabilidad se limita a áreas

-Ofrece pautas generales, pero puede específicas.
carecer de detalles específicos para -Requiere un período de tiempo considerable
ciertos contextos o industrias. para su implementación.
-Puede requerir complementar el -Puede ser complejo de instaurar y
marco con otras regulaciones o administrar, especialmente en organizaciones
Desventajas estándares sectoriales. de menor tamaño.
-En organizaciones grandes, podría -La implementación exitosa demanda una
ser necesario contar con personal inversión sustancial en términos de tiempo y
especializado en ciberseguridad y recursos.
gestión de riesgos para una -Originalmente concebido para
implementación efectiva, lo que organizaciones grandes y complejas, lo que
puede aumentar los costos. puede resultar excesivo para PYMES.
-La implementación del marco NIST -Puede generar resistencia al cambio en
puede enfrentar resistencia interna si organizaciones no familiarizadas con un
 11

no se comunica adecuadamente su enfoque más estructurado de la gestión de TI.

importancia y beneficios. -La rigidez de COBIT puede dificultar su
adaptación a situaciones cambiantes o
contextos ágiles.
-Puede conllevar costos, incluyendo
inversiones en herramientas, tecnología y
consultoría, lo que puede ser prohibitivo para
algunas organizaciones. (ISACA, s.f.)

Fuente: Autores
 12

2. Análisis de la pertinencia de incluir uno de los marcos de trabajo en la solución a un

problema propuesto.

Al evaluar los marcos de referencia NIST y COBIT, se puede concluir que ambos

desempeñan un papel fundamental en el desarrollo de un Sistema de Gestión de Seguridad

de la Información (SGSI). Aunque presentan algunas diferencias en sus enfoques, ambos

son valiosos. COBIT ofrece una guía detallada que abarca toda la organización, incluyendo

la seguridad de la información y su alineación con los objetivos estratégicos y las partes

interesadas. Además, se puede implementar junto con otros marcos y facilita la auditoría al

incluir objetivos de control.

Por otro lado, NIST, si bien proporciona mejores prácticas sectoriales y se ha

ampliado para abordar áreas transversales de TI en la organización, tiene un enfoque más

específico en la gestión de riesgos relacionados con infraestructuras críticas.

Es importante destacar que la empresa "BankSecure" enfrenta un aumento en las

amenazas y busca garantizar la seguridad de la información para lograr una mejora

continua, lo que motiva su interés en implementar un SGSI. Para fines del requerimiento de

Banksecure, cerca de la implementación del SGSI dentro de la organización, el equipo ha

estimado que el marco NIST puede ser un apoyo fundamental para lograr el objetivo

deseado, no solo porque existe una relación directa entre las subcategorías de NIST y los

controles de las normas ISO 27001 e ISO 27002 si no porque simultáneamente también se
 13

puede realizar aplicación de algunas de las practicas referenciadas por COBIT. Esto

igualmente permite que se puedan cumplir las exigencias normativas que se exigen tanto en

la norma PCI como en la circular 007 de 2018 emitida por la Superfinanciera.

Para esto se sugiere como actividad inicial realizar el mapeado de las subcategorías

indicadas por NIST contra las áreas que deberían ser responsables de estas dentro de

Banksecure así como contra los respectivos controles o referencias de ISO 27001,

igualmente es importante determinar también el estado actual de las actividades en cada

subcategoría para saber la hoja de ruta que nos llevaría al estado ideal deseado en la

organización. Acorde a NIST (s.f), dentro de las etapas a validar para la implementación

están:

- Contexto Inicial: Entender NIST Cybersecurity Framework y sus componentes

clave

- Compromiso de la Alta Dirección: Asegurar que los líderes de la organización

comprendan la importancia de la ciberseguridad.

- Evaluación Inicial: Evaluación de la situación actual de la ciberseguridad en

organización para identificar brechas.

- Definición de Objetivos: Establecer metas y objetivos claros para la

implementación de NIST.

- Identificación de Activos Críticos: Identificar y clasifica los activos de

información críticos.
 14

- Evaluación de Riesgos: Realizar una evaluación de riesgos para identificar las

amenazas y vulnerabilidades.

- Desarrollo de Políticas y Procedimientos: Crear políticas y procedimientos

específicos de ciberseguridad basados en las directrices de NIST.

- Implementación y Formación: Implementar las políticas y procedimientos en

toda la organización.

- Monitoreo y Medición de Resultados: Establecer un sistema de monitoreo

para supervisar la efectividad de las medidas de ciberseguridad y realizar

mediciones periódicas.

- Mejora Continua: Utilizar los resultados de la supervisión y las métricas para

realizar mejoras constantes.

- Auditoría y Cumplimiento: Realizar auditorías periódicas

- Cultura de Ciberseguridad: Fomentar una cultura de ciberseguridad en toda la

organización.
 15

Conclusiones

Se presenta de manera precisa los resultados que se obtuvieron con el desarrollo de

los objetivos propuestos.

Se fortalecieron las destrezas necesarias para diseñar sistemas de gestión de

seguridad de la información, a partir de estándares, normativas y regulaciones vigentes,
permitiendo proponer soluciones ajustadas a las necesidades de la organización.

Se evaluó la normativa de seguridad informática, a partir de los estándares, marcos

y regulaciones vigentes.

Se asociaron y comprendieron los aspectos significativos entre el Marco NIST V1.1

y COBIT 2019.

Se planeo la construcción del SGSI sobre la problemática propuesta, asociando el

marco NIST V1.1 junto con las normativas técnicas y legales para el desarrollo del
ejercicio.
 16

Referencias Bibliográficas

Almagro, L. (2019, 13 de agosto). Ciberseguridad marco nist. OEA.

https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf

Comisión Federal de Comercio. (s.f.). Marco de ciberseguridad del NIST.

https://www.ftc.gov/es/guia-para-negocios/protegiendo-pequenos-negocios/ciberseguridad/marco-

ciberseguridad-nist

Connecting COBIT 2019 to the NIST Cybersecurity Framework. (s. f.). ISACA.

Recuperado 10 de septiembre de 2023, de https://www.isaca.org/resources/news-and-trends/isaca-

now-blog/2019/connecting-cobit-2019-to-the-nist-cybersecurity-framework

GB Advisors. (2023, 9 de marzo). ISO, COBIT e ITIL: Conoce estas normas y estándares

internacionales. https://www.gb-advisors.com/es/normas-y-estandares-internaciones/

ISACA. (s.f.). COBIT 5 framework publications | ISACA.

https://www.isaca.org/resources/cobit/cobit-5

NIST. (s.f.). Quick start guide. https://www.nist.gov/cyberframework/getting-started/quick-

start-guide

Presidencia Uruguay. (2021). Estudio comparado de metodologías de análisis de riesgos

para TI y Seguridad de la Información. Sitio oficial de la República Oriental del Uruguay -

 17

GUB.UY. https://www.gub.uy/agencia-gobierno-electronico-sociedad-informacion-conocimiento/

book/6611/download

Stine, K., & Barrett, M. (2022). Framework for Improving Critical Infrastructure

Cybersecurity, Version 1.1 (Spanish translation). National Institute of Standards and Technology.

https://doi.org/10.6028/NIST.CSWP.04162018es

Villamizar, C. (2022, enero 25). ¿Qué es COBIT y para qué sirve? GlobalSuite Solutions.

https://www.globalsuitesolutions.com/es/que-es-cobit/
 18

Anexos

1. Creación Grupo de Trabajo por WhatsApp

19
20