Definición de un Marco de Referencia de Ciberseguridad ... · seleccionado dos marcos de trabajo, TOGAF y Zachman, que se detallan a continuación. A. Zachman Framework Este marco

See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/282329839

Definition of cybersecurity businness framework based on ADM-TOGAF

Conference Paper · June 2015

DOI: 10.1109/CISTI.2015.7170391

CITATION

1READS

992

5 authors, including:

Some of the authors of this publication are also working on these related projects:

Study of Strategic IT Demand Management in Organizations View project

Danilo Rubén Jaramillo

Universidad Técnica Particular de Loja

17 PUBLICATIONS   12 CITATIONS   

SEE PROFILE

Armando A. Cabrera-Silva

Universidad Técnica Particular de Loja

11 PUBLICATIONS   11 CITATIONS   

SEE PROFILE

Marco Abad

Universidad Técnica Particular de Loja

10 PUBLICATIONS   11 CITATIONS   

SEE PROFILE

J. Carrillo Verdún

Universidad Politécnica de Madrid

41 PUBLICATIONS   77 CITATIONS   

SEE PROFILE

All content following this page was uploaded by Danilo Rubén Jaramillo on 30 September 2015.

The user has requested enhancement of the downloaded file.

Resumen – En este trabajo se propone un conjunto de

actividades y pasos que son requeridos para la implementación

de un marco de referencia de ciberseguridad empresarial, para lo

cual, se ha tomado como referencia al Método de Descripción

Arquitectónica ADM-TOGAF y su integración con SABSA

metodología de seguridad empresarial, que definen un conjunto

de fases iterativas adaptadas con las normas de ciberseguridad

definidas en los marcos COBIT 5 y NIST, y en los estándares ISO

27001 e ISO 27032. Además se presentan los resultados obtenidos

luego de la aplicación del marco de referencia al contexto

empresarial local.

Palabras Clave – Ciberseguridad, Arquitectura Empresarial,

ADM, TOGAF.

Abstract - In this paper a set of activities and steps that are

required to implement a framework enterprise cybersecurity is

proposed, for which, is taken as a reference to Method of

Architectural Description ADM-TOGAF and its integration with

SABSA methodology enterprise Security, which define a set of

iterative phases adapted cybersecurity standards defined in NIST

COBIT 5 frames, and the ISO 27001 and ISO standard 27032. In

addition the results obtained after the application of the

framework are presented to local business context.

Keywords – Cybersecurity, Enterprise Architecture, ADM,

TOGAF.

I. INTRODUCCIÓN

El ambiente empresarial va cambiando conforme se adoptan nuevas tecnologías, donde se presentan oportunidades que las organizaciones deben aprovechar para mejorar su gestión; actualmente cada organización busca alinear su estrategia de negocio con las tecnologías de la información (TI), utilizando por ejemplo, servicios externos como la nube, en la cual se ha visto un incremento considerable. Según Eset [1], se espera que para el año 2016, un 36% de la información de los usuarios finales esté almacenada en la nube es así que, a partir de todo este cambio, surge la necesidad de implementar

controles y procedimientos a través de normas y marcos de trabajo para minimizar los riesgos de pérdidas de información.

En la actualidad, debido a que todas las funciones de las organizaciones giran en torno a la tecnología y uso intensivo del internet para sus operaciones internas y externas, los altos directivos deben establecer un compromiso colaborativo y así evitar riesgos potenciales que afecten a la seguridad dentro de su organización, y, por consiguiente, pérdidas económicas y de imagen.

Ciberseguridad, “es el conjunto de actividades centradas en mecanismos defensivos y ofensivos empleados tanto para proteger el ciberespacio contra el uso indebido del mismo, defender su infraestructura tecnológica, los servicios que prestan y la información que manejan” [2].

Arquitectura Empresarial (AE) “es un enfoque para la gestión de la complejidad de la estructura de la organización, la tecnología de información (TI) y el entorno empresarial, y facilitar la integración de estrategia, personal, negocio y TI hacia un objetivo común” [3]. La AE se ha tomado como base para la definición del marco de referencia de ciberseguridad, por ello, nos hemos basado en el método de desarrollo de arquitectura ADM-TOGAF, el mismo que estipula un conjunto de fases que se alinearan con las técnicas, métodos, procedimientos y normas de otros marcos de trabajo para ciberseguridad como COBIT 5, ISO 27001, ISO 27032 y NIST para de esta manera proponer una solución que se pueda gestionar, mantener y mejorar de forma continua. En la implementación del modelo de referencia de ciberseguridad fue necesario identificar un marco de trabajo de AE adaptable, que permita su integración con otros marcos, por lo cual, se analizó los marcos de referencia de Zachman y TOGAF por ser los más difundidos a nivel comercial.

II. MARCOS DE TRABAJO DE ARQUITECTURA EMPRESARIAL

Para trabajar con una estructura base que soporte todo el trabajo de ciberseguridad en un entorno empresarial, se han

Definición de un Marco de Referencia de

Ciberseguridad Empresarial basado en ADM-

TOGAF

Definition of Cybersecurity Businness Framework

based on ADM-TOGAF

José Carrillo Verdúm

Universidad Politécnica de Madrid

Madrid, España

[email protected]

Danilo Jaramillo H., Armando Cabrera S., Marco

Abad E., Alfredo Torres V.

Universidad Técnica Particular de Loja

Loja, Ecuador

{djaramillo, aacabrera, mpabad, adtorres}@utpl.edu.ec

seleccionado dos marcos de trabajo, TOGAF y Zachman, que se detallan a continuación.

A. Zachman Framework

Este marco de trabajo se utiliza para realizar “representaciones descriptivas o modelos de una empresa. Sirve fundamentalmente para implementar una AE en las compañías, siendo el mismo marco que toda compañía grande o pequeña necesita aplicar conceptos de arquitectura independientemente de sus características” [4]; Zachman framework clasifica toda la estructura de una empresa de manera inteligente y ordenada a través de seis vistas [5]: Alcance, Modelo empresarial, Modelo de sistema de información, Modelo tecnológico, Especificación detallada y Empresa en funcionamiento.

Como tal Zachman, es un modelo de clasificación que se encuentra en las disciplinas más maduras de arquitectura, utilizado para clasificar y organizar los artefactos de diseño relacionados con los productos físicos y lógicos de una organización.

B. TOGAF

El marco de TOGAF “proporciona los métodos y herramientas para ayudar en la aceptación, producción, uso y mantenimiento de una AE, se basa en un modelo de procesos iterativo, el apoyo de las mejores prácticas y un conjunto reutilizable de activos existentes” [6]. TOGAF dispone de un método central llamado ADM, el cual proporciona un proceso repetible para el desarrollo de arquitecturas, mediante cada una de sus fases: gestión de requerimientos, fase preliminar, visión de arquitectura, arquitectura de negocio, arquitectura de sistemas de información, arquitectura tecnológica, oportunidades y soluciones, planificación de migración, gobierno de la implementación y gestión de cambios de la arquitectura. En resumen TOGAF es un marco de trabajo que a través del ADM y su proceso iterativo de mejora continua, mediante varias iteraciones implementa cada fase para la construcción y mantenimiento de una AE.

C. Comparación entre TOGAF y Zachman Framework

Es necesario identificar el nivel de madurez empresarial y las capacidades arquitectónicas que posee una organización, a través de las cuatro dimensiones de AE (arquitectura de negocio, arquitectura de información, arquitectura de aplicaciones y arquitectura tecnológica), de acuerdo a estas dimensiones, y desde el enfoque de construcción de una AE se han comparado los marcos de trabajo que se detallan en la tabla 1.

TABLA 1. COMPARACIÓN ENTRE TOGAF Y ZACHMAN FRAMEWORK

Marcos de trabajo

Componentes TOGAF

Zachman

Framework

Aporta beneficios de TI x x

Basado en entregables x x

Adaptable a las necesidades de una empresa x x

Gestión de infraestructura x x

Centrado en las actividades del negocio x

Organización y clasificación de artefactos x x

Gestión de requerimientos x

Gestión de alcance x x

Gestión de cambios x x

Gestión de riesgos x

Adaptable a otros marcos de trabajo x

Reducción de costos x x

Identificación de oportunidades x x

Luego de la comparación de los componentes se ha tomado al marco de trabajo de TOGAF, como modelo de referencia a seguir, considerando mayormente aspectos como adaptabilidad con otros marcos de referencia, basado en entregables y el trabajo que realiza sobre los cuatro principios de AE (negocio, datos, aplicaciones y tecnología)

III. NORMAS Y MARCOS DE TRABAJO DE CIBERSEGURIDAD

Se han considerado marcos de trabajo y normas de ciberseguridad que se integren en el ADM de TOGAF, los mismos se resumen a continuación:

A. ISO/IEC 27001

Esta norma contiene los requisitos del sistema de gestión de seguridad de la información; tiene como objetivo proporcionar una metodología para la implementación de un sistema de gestión de seguridad de la información (SGSI) en una organización [7]. En esta norma existen 4 fases (planificación, implementación, revisión, mantenimiento) que se deben implementar de forma constante para reducir al mínimo los riesgos en la confidencialidad, integridad y disponibilidad de la información. ISO 27001 especifica los requisitos necesarios para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) mediante sus cuatro fases que son apoyadas por 130 requisitos, 14 dominios y 114 controles para seguridad de la información.

B. ISO/IEC 27032

Proporciona una guía para mejorar el estado de ciberseguridad, extrayendo los aspectos únicos de esta actividad y de sus dependencias en otros dominios de seguridad. Concretamente: información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP) [8]. ISO 27032, proporciona directrices para mejorar el estado de la ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad [9]. Esta norma ayuda a las organizaciones mediante sus dominios y controles, en la prevención, protección y gestión de los incidentes hacia los sistemas de información que se encuentran dentro del internet.

C. Transformando la ciberseguridad usando Cobit 5 (TCS)

Examina el impacto del cibercrimen, basado en tres factores como: conectividad permanente, una sociedad cada vez más centrada en TI y un nuevo sistema de clasificación que identifica a la gente por habilidades tecnológicas [10]. Esta guía proporciona las directrices necesarias de cómo administrar y transformar la seguridad a través de COBIT 5, en donde los procesos de COBIT se encuentran orientados hacia la ciberseguridad.

D. NIST - marco de trabajo para mejorar la ciberseguridad

de infraestructuras críticas (CS-IC)

Este marco contiene un conjunto de directrices sobre ciberseguridad para ayudar a proteger infraestructuras críticas, y está basado en la gestión de riesgos para la ciberseguridad

[11], este marco de trabajo se compone de tres partes: el núcleo del marco de trabajo, presenta estándares de la industria, directrices y prácticas; niveles de aplicación del marco de trabajo, que proporciona un contexto de cómo una organización entiende y gestión el riesgo de la ciberseguridad; perfil del marco de trabajo, representa los resultados de las necesidades del negocio que se han seleccionado en las categorías y subcategorías del marco de trabajo.

E. Características de los marcos de trabajo y normas de

ciberseguridad

Para la implementación de ciberseguridad es necesario conocer los componentes que se pueden ayudar a fortalecer en una AE, por esta razón se identifican las ventajas (ver tabla 2) que ofrece cada marco de trabajo y norma de ciberseguridad.

TABLA 2. COMPARACION DE MARCOS DE TRABAJO Y NORMAS DE

CIBERSEGURIDAD

Normas, marcos de

trabajo

Parámetros CS

ISO

27001

ISO

27032

COBIT

5 (TCS)

NIST

(CS-IC)

Políticas de seguridad x x x

Preservación de CID x x x

Gestión de incidentes informáticos

x x x x

Gestión de recursos x

Gestión de riesgos x x

Hacking x

Seguridad de internet x x x x

Mejora continua x x x x

Software malicioso x x

Intercambio de información x x x x

Cloud computing x

Dispositivos móviles x x

Gestión de infraestructura x

Cada marco de trabajo de ciberseguridad y seguridad de la información disponen de un conjunto de características que fortalecen y gestionan los diferentes SI de una organización.

F. Integración de ADM-TOGAF y SABSA

SABSA es una metodología enfocada en el desarrollo de arquitecturas de seguridad empresarial. La visión y propósito de la integración de ambos marcos de trabajo es apoyar a los arquitectos empresariales, para tomar en cuenta la gestión del riesgo operacional proporcionando orientación que describe cómo TOGAF y SABSA se pueden combinar; de tal manera que el riesgo de negocio, y, el enfoque de la arquitectura de seguridad de SABSA promovida por las oportunidades, se pueden integrar perfectamente en la estrategia de TOGAF impulsada por el negocio [12]. En la Fig. 1 se observó el mapeo de las fases del ADM de TOGAF, junto a la interacción entre sus fases, con el ciclo de vida de SABSA. Cada iteración realiza un trabajo específico, en iteración de capacidad arquitectónica se evalúa y define el trabajo que realizará la ciberseguridad, y, mediante que herramientas se ejecutará el mismo; en la iteración de desarrollo se analiza el estado actual y el estado objetivo; además, del proceso requerido para alcanzar dicho estado objetivo; en la iteración de planificación de transición se evalúan los procedimientos principales para la implementación de ciberseguridad, y en la iteración de gobernanza se valida que todo lo propuesto desde el inicio se haya cumplido, así mismo, como gestionar los cambios

generados a partir de todo el ciclo de implementación de ciberseguridad.

Figura 1 – Ciclo de vida de SABSA relacionado el ADM de TOGAF

IV. INTEGRACIÓN DEL ADM DE TOGAF Y SABSA ORIENTADA

A CIBERSEGURIDAD

El ADM cuenta con un conjunto de fases que se pueden utilizar en el desarrollo de actividades, para ayudar en la implementación de un esquema de ciberseguridad, de esta forma, se puede aprovechar una AE ya implementada junto a sus elementos desarrollados, para determinar un conjunto de controles y procedimientos que se integren en la arquitectura.

Figura 2 – Proceso de elaboración del modelo de ciberseguridad para AE

Para trabajar a través de cada fase del ADM es importante conocer que se realizará en cada una de ellas de acuerdo a las necesidades y requerimientos de ciberseguridad, además de saber que marcos de trabajo o normas de ciberseguridad se pueden utilizar. Para obtener las características de cada norma

Analizar el propósito que tiene cada fase dentro del ADM,

para obtener una idea clara de las necesidades requeridas en

sus actividades.

Definir actividades para cada fase del ADM, orientadas al trabajo de

ciberseguridad en AE.

Comparar las caracteristicas de cada marco y norma de CS,

para asociarlas a las actividades definidas en el

ADM.

Obtener de cada uno de los marcos de trabajo y normas, los

puntos (controles, categorias, procesos) que se pueden

acoplar a las necesidades de cada actividad.

Integrar los puntos obtenidos de las normas y marcos de

ciberseguridad en las actividades definidas para

ciberseguridad.

Detallar de forma clara un proceso a seguir, para la implementacion de cada

actividad en su respectiva fase.

Elaborar las plantillas de implementacion y

levantamiento de informacion de acuerdo a los procesos de

cada actividad de la guía.

Implementar una herramienta para validación de la guia de

ciberseguridad en un entorno empresarial.

y marco de trabajo en la elaboración del modelo de ciberseguridad para AE. Se siguió un proceso, el cual se muestra en la Fig. 2.

En cada uno de los puntos mostrados en la Fig. 2 se puede ver que es necesario un estudio para relacionar las características de cada norma y marco de trabajo, este estudio, valida que dentro de cada una de las actividades definidas encajen los controles, características y procesos orientados a ciberseguridad.

A. Gestión de requerimientos (RM)

Esta fase trabaja mediante un proceso dinámico la gestión de los atributos del perfil de negocio, y los requerimientos de ciberseguridad obtenidos de las partes interesadas. En la tabla 3 se pueden ver las normas y marcos de trabajo que apoyan cada una de las actividades de esta fase.

TABLA 3. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE DE RM

Actividad Normas y marcos de trabajo considerados

Atributos del perfil

de negocio para ciberseguridad

- TOGAF y SABSA -Atributos de negocio de la

taxonomía de SABSA [12].

Control de

requerimientos

- TOGAF 9.1 -Cap. 17 de Gestión de

requerimientos de arquitectura [13].

B. Fase Preliminar (PP)

Esta fase prepara a la organización para la implementación del trabajo de ciberseguridad, donde se toman dos aspectos principales, como: los principios de ciberseguridad y los marcos de trabajo que se van a utilizar. En la tabla 4 se pueden ver las actividades correspondientes a esta fase, junto a las normas y marcos de trabajo de ciberseguridad.

TABLA 4. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE PP

Actividad Normas y marcos de trabajo considerados

Principios de ciberseguridad

- COBIT 5 (TCS) -Apartado de principios de seguridad

de la información [14].

- TOGAF 9.1 -Cap. 23, principios de arquitectura [13].

Equipo de

ciberseguridad

- TOGAF-SABSA Plan de recursos de seguridad [12].

- Proceso (APO01.02) de COBIT 5 (TCS) [14].

Marcos de referencia para

ciberseguridad

- TOGAF y SABSA - Marcos de control [12] - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros

marcos [13].

Áreas de riesgo - ISACA (RG1.1) - Desarrolla en una empresa el

marco específico de gestión de riesgos TI [15].

C. Visión de arquitectura (AV):

En esta fase se describe de forma inicial, a través de la identificación de requerimientos e interesados, lo que se desea realizar y alcanzar con la ciberseguridad. En la tabla 5 se pueden ver las normas y marcos de trabajo que apoyan a cada una de las actividades.

TABLA 5. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE AV

Actividad Normas y marcos de trabajo considerados

Partes interesadas

de ciberseguridad - TOGAF 9.1 - Cap. 24. Gestión de interesados [13]

Requerimientos

de ciberseguridad

- COBIT 5 (TCS) - Gobernanza de ciberseguridad en el dominio de EDM (EDM05.01, EDM02.01), y el

proceso mapeado DSS (DSS01.02) [14].

- TOGAF 9.1-17.2 Desarrollo de requerimientos [13].

Marcos de

referencia de ciberseguridad

- TOGAF y SABSA - Marcos de control [12]

- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros marcos [13].

D. Arquitectura de negocio (BA)

En esta fase se determinan las leyes y marcos de confianza, independientemente de TI, que se encuentran dentro de la arquitectura, además, se identifican los diferentes documentos que respaldan el trabajo de ciberseguridad. En la tabla 6 se observa cada una de las actividades junto a sus marcos de trabajo y normas de ciberseguridad.

TABLA 6. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE BA

Actividad Normas y marcos de trabajo considerados

Modelo de

riesgo del negocio

- Guía para el especialista - Formulario de evaluación

de riesgos de TI para empresas [16].

Leyes y

regulaciones de

ciberseguridad

- COIP - SECCIÓN TERCERA - Delitos contra la

seguridad de los activos de los sistemas de

información y comunicación. [17]

Marcos de

referencia para

ciberseguridad

- TOGAF y SABSA - Marcos de control [12]

- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros

marcos [13].

Modelo del dominio de

ciberseguridad

- TOGAF y SABSA - Modelo del dominio de

seguridad [12].

Protocolos de

confianza

- ISO 27001 - A.13.1.1, A.13.1.2, A.13.2.1 [18]

- NIST (CS-IC) - (ID.AM-3) [11].

Organización

de ciberseguridad

- ISO 27001 - A.12.2.1, A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7 [18]

- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,

RS.MI-1, RS.MI-2, RS.MI-3 [11]

Arquitectura de las políticas de

ciberseguridad

- ISO 27001:2013 - A.5.1.1, A.5.1.2, A.18.2.2) [18]

- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,

RS.MI-1, RS.MI-2, RS.MI-3 [11]. - COBIT 5 (TCS) - políticas de ciberseguridad [14].

E. Arquitectura de sistemas de información (ISA):

Comprende la arquitectura de datos y de aplicación, en donde se trabaja principalmente con un análisis de brechas para identificar el estado actual, el estado objetivo y el proceso para llegar al estado objetivo. En la tabla 7 se pueden ver las actividades relacionadas con las normas y marcos que apoyan el trabajo de ciberseguridad de esta fase.

TABLA 7. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ISA

Actividad Normas y marcos de trabajo considerados

Catálogo de

servicios de ciberseguridad

- TOGAF 9.1 - 43.4. Taxonomía de aplicaciones de la

plataforma, 43.5. detalle de la taxonomía de la plataforma [13].

Clasificación

de servicios de

ciberseguridad

- ISO 27001 - A.8.2.1, A.8.2.2 [18]

Marcos de

referencia para

ciberseguridad

- TOGAF y SABSA - Marcos de control [12]

- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros

marcos [13].

Análisis de brechas

- ISO 27001 - A.10.1.1, A.12.2.1, A.12.6.2 [18] - NIST (CS-IC) - ID.AM-4, PR.AC-3. [11]

- COBIT 5 (TCS) - políticas de ciberseguridad -

APO02.04 “llevar a cabo un análisis de brechas”, APO02.05 “Definir plan estratégico, hoja de ruta” [14]

Reglas y

prácticas de

ciberseguridad

- ISO 27001 [18]

- COBIT 5 (TCS) [14] - NIST (CS-IC) [11]

- TOGAF y SABSA - [12].

F. Arquitectura tecnológica (TA)

Esta fase determina que estándares de seguridad son necesarios para la protección de los componentes tecnológicos que soportan los SI. En la tabla 8 se pueden observar las actividades junto sus normas y marcos de ciberseguridad.

TABLA 8. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE TA

Actividad Normas y marcos de trabajo considerados

Estándares de Ciberseguridad

- TOGAF y SABSA - Estándares de seguridad [12].

Reglas y

prácticas de

ciberseguridad

- ISO 27001 - A.14.1.2 [18] - NIST (CS-IC) - PR.AC-5, PR.DS-2, etc. [11].

Marcos de

referencia para

ciberseguridad

- TOGAF y SABSA - Marcos de control [12]

- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros

marcos [13].

G. Oportunidades y soluciones (OS)

Evalúa y determina la importancia de la implementación de los procesos más relevantes de ciberseguridad para la AE, a través de la actividad de control de procedimientos de oportunidades y soluciones. En la tabla 9 se puede observar el marco de trabajo asociado que apoya a esta actividad.

TABLA 9. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE OS

Actividad Normas y marcos de trabajo

considerados

Control del procedimientos de

oportunidades y soluciones

- TOGAF 9.1 – Fase E: Oportunidades

y soluciones [13].

H. Planificación de la migración (MP)

Esta fase trabaja con los riesgos, beneficios, costos y controles asociados a la transición desde el estado actual al estado objetivo, a través de la actividad de control de migración. En la tabla 10 se puede el marco de trabajo que apoya a esta actividad.

TABLA 10. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE MP

Actividad Normas y marcos de trabajo considerados

Control de migración

- TOGAF 9.1 – Fase F: Planificación de la migración [13].

I. Gobierno de la implementación (IG)

Esta fase asegura que la implementación del proyecto esté de acuerdo a lo planificado, y, que se garantice que los procesos y sistemas se adhieran a la arquitectura de seguridad o seguridad de la información en general. En la tabla 11 se observa las normas y marcos de trabajo que apoyan las actividades de ciberseguridad de esta fase.

TABLA 11. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE IG

Actividad Normas y marcos de trabajo considerados

Gestión de

ciberseguridad

- COBIT 5 (TCS) - Gestión de ciberseguridad,

Controles de seguridad existentes, Procesos de aplicación de ciberseguridad [14].

Auditoría de ciberseguridad

- OWASP, guía de pruebas [19].

- ISO 27001 - A.5.1.2, A.18.2.2. [18]. - COBIT 5 (TCS) - Auditoria y revisión de la

ciberseguridad [14].

Implementar

conciencia en ciberseguridad

- COBIT 5 (TCS) - Conciencia de seguridad [14].

Governanza - TOGAF 9.1 - Fase planificación

J. Gestión de cambios de la arquitectura (ACM)

Esta fase controla continuamente que el trabajo de ciberseguridad responde a las necesidades de la organización, y que los cambios que han surgido se gestionen de manera controlada para que no causen un impacto negativo. En la tabla 12 se encuentran los marcos y normas que soportan el trabajo de ciberseguridad de las actividades de esta fase.

TABLA 12. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ACM

Actividad Normas y marcos de trabajo considerados

Gestión de cambios

- TOGAF 9.1 - 16.2.2. Proceso de gestión de cambios de la arquitectura empresarial [13].

Gestión de

riesgos - TOGAF y SABSA: Gestión de riesgos [12].

Gobernanza de

la ciberseguridad

- COBIT 5 (TCS) - Objetivos de gobernanza de ciberseguridad, Gobernanza de ciberseguridad en el

dominio EDM, Gobernanza de ciberseguridad en el

dominio APO [14].

V. RESULTADOS

Para el proceso de validación de las actividades se utilizó una aplicación que permitió evaluar el nivel de ciberseguridad que posee una organización, a través de un conjunto de ítems para cada actividad, donde se consideró el punto de vista de las normas y marcos de referencia citados en cada actividad. De acuerdo a las pruebas de verificación, en la Fig. 3 se puede observar el porcentaje de cumplimiento de ciberseguridad de cada fase, dentro del caso de estudio evaluado en una organización.

Figura 3 – porcentaje de cumplimiento de ciberseguridad de acuerdo a cada

fase de la guía

Como se observa en la Fig. 3 normalmente no se lleva un trabajo de ciberseguridad de acuerdo a las actividades planteadas para el caso evaluado, en donde intervienen las normas y marcos de trabajo de cada actividad; lo se ve reflejado en los porcentajes que representan las actividades de oportunidades y soluciones y planificación de la migración.

En la Fig. 4 se puede ver la fase de gestión de requerimientos que muestra los ítems, que han sido cumplidos y los que aún no se han cumplido; la validación de esta fase muestra que la mayoría de los ítems evaluados no han sido cumplidos, lo que refleja un bajo control en cada una de las fases del ADM.

Figura 4 – Items cumplidos y no cumplidos en la fase de gestión de

requerimientos

En la iteración de evaluación de capacidad arquitectónica, donde están las actividades de la fase preliminar que alcanza un 52% y la fase de visión de arquitectura que alcanza un 55%, son las fase que cuentan con un mayor porcentaje de cumplimiento, las mismas que tienen el objetivo de verificar que estén claros los lineamientos necesarios para iniciar el trabajo de implementación de ciberseguridad. Dentro de la evaluación de la iteración de desarrollo se encuentran las fases de arquitectura de negocio, arquitectura de SI y la arquitectura tecnológica. Hay que prestar mucha atención a esta iteración, puesto que el cumplimiento de la misma determina que existan los controles y procesos necesarios de ciberseguridad en los servicios y SI de la organización, que dentro del caso evaluado solo alcanza un porcentaje que esta alrededor del 25%. En la iteración de transición interviene la fase de oportunidades y soluciones y la fase de planificación de la migración, las mismas que priorizan los procesos a implementar.

VI. CONCLUSIONES

Una organización que cuente con una AE formalmente definida facilita la integración de ciberseguridad, dentro de la misma, debido a que se aprovechan los procesos trabajados dentro de ella. De acuerdo al caso de estudio se observa que si los procesos de AE, no han sido trabajados formalmente afectan a cada una de las fases y se refleja en el nivel de la ciberseguridad.

La flexibilidad proporcionada por el ADM-TOGAF y su capacidad para trabajar con otras normas y marcos de trabajo, permiten adaptar las actividades requeridas de ciberseguridad en cada una de sus fases. Los controles, técnicas y procesos de estas normas y marcos de trabajo de COBIT 5, ISO 27001, ISO 27032 y NIST, permitieron elaborar un marco de referencia de ciberseguridad para trabajar dentro del entorno de una AE; en donde cada actividad que se validó en el caso de estudio, y que no haya sido cumplida de acuerdo a las normas y marcos de trabajo propuestos, representan un punto bajo dentro de la fase a la que pertenecen y por consiguiente en el modelo.

La evaluación que se realiza mediante el análisis de brechas, durante la fase de Arquitectura de SI para identificar el estado actual y así definir un estado objetivo, debe ser una prioridad para mejorar la seguridad en los controles de los SI, más los puntos elaborados dentro de las políticas de ciberseguridad de la fase de Arquitectura de Negocio, que determinan el horizonte a alcanzar con la ciberseguridad.

La importancia que se dé al trabajo y gestión de ciberseguridad es un tema que debe ser considerado, desde el nivel más alto de la cadena de mando hasta el más bajo, donde se lleve una comunicación fluida para actuar ágilmente ante el riesgo de ataques informáticos, y así mismo resolverlos. Esta importancia va ligada desde los principios y requerimientos de ciberseguridad, para así tener claro el trabajo de la ciberseguridad y lo que se tratara de resolver con la misma.

REFERENCIAS

[1] Equipo de Investigación de ESET Latinoamérica, «Pérdida de

privacidad y mecanismos para proteger la información en internet,»

p. 4, 2014.

[2] X. Servitja Roca, «Ciberseguridad, contrainteligencia y operaciones

encubiertas en el programa nuclear de irán,» IEEE, 7 Mayo 2013.

[3] E. Niemi y S. Pekkola, «Enterprise Architecture Quality Attributes: A Case Study,» Computer Society, p. 3878, 2013.

[4] N. León Beltrán, Y. Toapanta Bastidas, R. Delgado Rodríguez y D.

Marcillo Parra, Metodología para la creación de arquitecturas de información empresarial para pequeñas y medianas empresas

(Pyme's) apoyada en las TIC'S y herramientas web 2.0 y 3.0, 2010,

p. 79.

[5] J. Osorio, «Togaf y Zachman Framework,» pp. 19 - 20, 2010.

[6] The Open Group and The SABSA Institute, «TOGAF Architecture

Development Method (ADM),» 2011.

[7] 27001 Academy, «27001 Academy,» 2013. [En línea]. Available:

http://www.iso27001standard.com/es/que-es-la-norma-iso-27001.

[Último acceso: 5 Noviembre 2013].

[8] ISO 27000.ES, «ISO/IEC 27032,» 16 julio 2012. [En línea].

Available: http://www.iso27000.es/iso27000.html. [Último acceso:

16 Noviembre 2014].

[9] ISO, «ISO/IEC 27032:2012,» ISO / IEC 27032:2012, 2012. [En

línea]. Available:

http://www.iso.org/iso/catalogue_detail?csnumber=44375.

[10] ISACA, «New COBIT 5 Guide Identifies Top Three Cybersecurity

Game Changers,» 19 Junio 2013. [En línea]. Available:

http://www.isaca.org/About-ISACA/Press-room/News-Releases/2013/Pages/New-COBIT-5-Guide-Identifies-Top-Three-

Cybersecurity-Game-Changers.aspx. [Último acceso: 11 Octubre

2014].

[11] NIST, «Framework for Improving Critical Infraestructure

Cybersecurity,» 12 Febrero 2014. [En línea]. [Último acceso: 10

Octubre 2014].

[12] The Open Group TOGAF-SABSA Integration Working Group,

«TOGAF and SABSA Integration,» 2011. [En línea]. [Último

acceso: 3 Noviembre 2014].

[13] The open Group, «The open Group,» 2011. [En línea]. Available:

http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html.

[Último acceso: 11 Febrero 2014].

[14] ISACA, «Transforming Cybersecurity Using COBIT 5,» 2013. [En

línea]. [Último acceso: 18 Julio 2014].

[15] ISACA, «Marco de riesgos de TI,» 2009. [En línea]. [Último acceso: 14 Noviembre 2014].

[16] ISACA, «The Risk IT Practitioner Guide,» 2009. [En línea]. [Último

acceso: 17 Octubre 2014].

[17] Ministerio de Justicia, Derechos Humanos y Cultos, Código

Orgánico Integral Penal (COIP), Quito, Pichincha, 2014, pp. 93 - 95.

[18] ISO, «ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems --

Requirements,» 25 Septiembre 2013. [En línea].

[19] OWASP, «OWASP Testing Guide v4,» 17 Mayo 2014. [En línea]. [Último acceso: 6 Julio 2014].

View publication statsView publication stats