Introducción a Estándares

de Ciberseguridad
Gobierno y Gestión de las I&T usando
COBIT
Profesor
David López Carreño
 Profesor del Curso
Introducción a
Estándares de
Ciberseguridad
DAVID LÓPEZ CARREÑO

Ingeniero en Control de Gestión de la Universidad Diego

Portales, Magíster en Control de Gestión (c) y Diplomado en
Dirección de Proyecto de la Universidad de Santiago de Chile.
Especialista la implementación de modelos de gestión y
mecanismos de control de gestión. Posee certificaciones
COBIT, MTA Specialist, MOS Expert, Implementador ISO
9001, Auditor Líder ISO 27001 y Cybersecurity Fundamentals
de ISACA.
Profesor titular diplomados Universidad de Santiago.
Email: david.lopez.c@usach.cl
david.lopez.c@usach.cl

2
 Agenda
Introducción a
Estándares de
Ciberseguridad
▪ ¿Qué es Gobierno de TI?

▪ ¿Qué problemas existen al implementar Gobierno de TI?: Caso de

Aduanas de Dubai

▪ Marco de Gobierno y Gestión COBIT 2019

▪ Fundamentos Teóricos de COBIT 2019

▪ Componentes de COBIT 2019

▪ Implementando COBIT 2019: Caso ENTSO-E

3
Introducción a
Estándares de
Ciberseguridad

¿Qué es Gobierno de TI?

- funcion del gobierno corporativo.

- Gobierno (tomar decisiones )

4
 Gobierno de las TI
Introducción a
Estándares de “El gobierno de las TI es la responsabilidad de los altos ejecutivos y la junta de directores, y consiste
Ciberseguridad
en establecer el liderazgo, las estructuras organizativas y los procesos que aseguren que la
información y tecnologías son sostenibles y apoyan las estrategias y objetivos de la organización”

Alineamiento y Toma de
Respuesta Decisiones

Gestión del
Balance de Gobierno
I&T
Riesgo
Recursos
Organizacional

Ejecutar e
Responsabilidad
Imponer

error personas a cargo de las TI tienen sus propias agendas y quieren agregar + controles de SI. Pero no necesariamente apuntan al objetivo
5 estratégico.
 Caracterización del concepto
Introducción a
Estándares de
Ciberseguridad
Responsabilidades Prácticas
ISO 38500 Aparecen estos conceptos

Que ejerce
La Alta Dirección

Decisiones Principios

Estrategia Responsabilidad
Dirección
Estratégica

Proyectos Estrategia

Estructura Medir el Generar Adquisición

Desempeño Valor

Servicios Desempeño

Riesgos Conformidad
Gestionar Gestionar
los Recursos los Riesgos
Cumplimiento Comportamiento
6
 El problema del Gobierno de I&T
Introducción a
Estándares de
Ciberseguridad
“El gobierno de las TI es el trabajo de la Junta. Es la trabajo del Junta asegurar que sus increíbles
gastos de capital sean gestionados de buena forma, pero la mayoría de los directores aún pide todos
sus correos impresos […] se necesitan ejecutivos y personal conscientes de las tecnologías”

“Es necesario asegurar que los riesgos son identificados y mitigados, que haya transparencia, que
exista certeza de las metodologías, habilidades, y gastos necesarios para el funcionamiento de las TI.
Se necesita alguien que sepa decir “no puedes tener ese presupuesto” y que pueda cortar de raíz si
hace falta”

Alan Calder, IT Governance Institute

7
Introducción a
Estándares de
Ciberseguridad

El caso de DUBAI Customs – Aduanas de Dubái deja

claro cual es el problema de realizar esfuerzos de
Estableciendo gobierno cuando no se tiene una visión general ni
existe una intención de alinear.
un Gobierno de ▪ ¿A que problemas se enfrenta la Aduana de
TI Dubai?
▪ ¿Cómo puede resolver sus problemas de Gobierno
y Gestión?

8
 Estableciendo un Gobierno de TI (1 de 3)
Introducción a
Estándares de
Ciberseguridad
Quiero establecer un gobierno de TI ¿Qué debo hacer?

A mediados de la década anterior, las aduanas de Dubái decidieron que implementar un

Gobierno de TI. A la pregunta ¿cómo lo hacemos? Formularon el siguiente plan:

Para gestionar los proyectos, implementaron la guía PMBOK, para gestionar sus procesos,
implementaron ITIL, para gestionar los servicios implementaron ISO 2000, para gestionar la
seguridad de la información implementaron ISO 27000 y para gestionar la arquitectura
implementaron TOGAF.

9
 Estableciendo un Gobierno de TI (2 de 3)
Introducción a
Estándares de
Ciberseguridad

Cada área fue la responsable de implementar el

marco de mejores prácticas correspondientes.

Al terminar, todas las áreas mostraban un

incremento en su eficiencia individual, el
sponsor del proyecto feliz, presentó el resultado
a la junta de accionistas.

El incremento en los resultados individuales era

innegable, sin embargo, no se habían alcanzado
ninguno de los objetivos de la organización, y
era imposible determinar el grado de madurez de
los proyectos a largo plazo.

Modelo Federal: Cuando cada área toma decisiones independientes de alto nivel.

10
 Estableciendo un Gobierno de TI (3 de 3)
Introducción a
Estándares de
Ciberseguridad Un equipo de trabajo fue creado rápidamente para enfrentarse a este problema. Después de
una discusión con los líderes de la organización y los encargados de los equipos funcionales, se
identificó cuales eran los puntos débiles de la organización y dos objetivos fueron planteados:

1) Encontrar una forma de implementar un marco integrado referencial y articulado con las
necesidades de cada área.
2) Establecer un sistema de gobierno capaz de evaluar, dirigir y monitorear los esfuerzos
estratégicos de la organización.

referencial = mejores practicas

11
 Solución
Introducción a
Estándares de
Ciberseguridad En 2015, Dubai Customs decide implementar COBIT 5 como un marco integrado de
gobierno y gestión de tecnologías. Se implementó la versión 5 de COBIT.

El resultado: el logro de los objetivos estratégicos y una aun mayor eficiencia de las
áreas individuales, producto del efecto sinérgico y la eliminación de ambigüedades.

12
Introducción a
Estándares de
Ciberseguridad

¿Qué es COBIT 2019?

13
 Qué es COBIT y Qué no es COBIT
Introducción a
Estándares de COBIT ES:
Ciberseguridad
Un framework de gobernanza y gestión de la información y tecnología
empresarial.
COBIT define las componentes para construir y soportar un sistema de
gobierno
COBIT define los factores de diseño que debería ser considerados por
las empresas para construir un sistema de gobierno
COBIT es flexible y permite su articulación con otras definiciones
I&T = Información y las tecnologías

COBIT NO ES:
Una descripción detallada de el entorno de TI de una empresa
Un framework para organizar los procesos de negocio.
Un modelo técnico de TI para gestionar todas las tecnologías
COBIT no toma ni prescribe ninguna decisión relacionada con TI

COBIT: Objetivos de Control para la información y tecnologías relacionadas

14
 Optimizando la gobernanza de la información y tecnologías
Introducción a
Estándares de
Valor = cumplir los objs de la empresa, alineando los objs con los objs del negocio
Ciberseguridad

Gobierno Empresarial
Alineamiento de
de Información y Creación de Valor
Negocio/TI
Tecnologías (GETI)

▪ TI: Utilizado para referirse al departamento organizacional con responsabilidad

principal en la tecnología.

▪ I&T: Toda la información que la empresa genera, procesa y utiliza para lograr sus
objetivos, así como la tecnología para respaldarla en toda la empresa.
15
 Línea Histórica de COBIT
Introducción a
Estándares de
Ciberseguridad

Integracion de CMM

16
 Evolución de COBIT de acuerdo a su foco
Introducción a
Estándares de
Ciberseguridad

17
 Conjunto de publicaciones de COBIT (1 de 2)
Introducción a
Estándares de
Ciberseguridad El documento base del marco de COBIT, un resumen de todo.
Incorpora una definición general de gobernanza y actualiza los
principios de COBIT al tiempo que establece la estructura del
marco general.
Desarrolla a un nivel general cada una de las componentes de
COBIT, las cuales son desarrolladas en las otras publicaciones.
Es gratuito para miembros de ISACA.

El documento clave del marco de COBIT.

Esta publicación proporciona una descripción exhaustiva de los 40
objetivos de gobierno y gestión principales definidos en el modelo
Core de COBIT, los procesos incluidos en ella, otros componentes
relacionados, y referencias a guías relacionadas, como otros
estándares y marcos de referencia.
Es gratuito para miembros de ISACA.

18
 Conjunto de publicaciones de COBIT (2 de 2)
Introducción a
Estándares de
Ciberseguridad Esta publicación describe cómo una empresa puede diseñar una
solución de gobierno empresarial para la información y la
tecnología (I&T).
Explora los factores de diseño que pueden influir en el gobierno e
incluye un flujo de trabajo para la planificación de un sistema de
gobierno personalizado para la empresa.
No es gratuita para miembros de ISACA.

Esta publicación proporciona buenas prácticas para implementar

y optimizar un sistema de gobierno de I&T, basado en una
estrategia de ciclo de vida de mejora continua, que debería
personalizarse para adaptarse a las necesidades específicas de la
empresa.
Es una actualización de la versión de COBIT 5.
No es gratuita para miembros de ISACA.

19
 Esquema de Certificación COBIT 2019
Introducción a
Estándares de
Ciberseguridad La personas se certifican en COBIT, no las empresas

Bridge

COBIT Bridge esta dirigido para certificados en Fundamentos

de COBIT 5 que estén interesados en comprender las
diferencias entre COBIT 5 y COBIT 2019.
Para las certificaciones de Diseño e Implementación, así como
la de Implementación del NIST usando COBIT es requisito
tener aprobada la certificación de Fundamentes de COBIT
2019.
20
Introducción a
Estándares de
Ciberseguridad

Marco Teórico de COBIT 2019

1. Principios del Sistema de Gobierno
2. Principios del Marco de Gobierno
3. Componentes el Sistema de Gobierno
4. Modelo de Objetivos y Procesos de Gobierno y Gestión

21
 Principios para un Sistema de Gobierno
Introducción a
Estándares de
Ciberseguridad

22
 Principios de Marco de Gobierno
Introducción a
Estándares de
Ciberseguridad

23
 Principios de Marco de Gobierno
Introducción a
Estándares de
Ciberseguridad

24
 Componentes del Sistema de Gobierno
Introducción a
Estándares de
Ciberseguridad ▪ Con el objetivo de cumplir con los
objetivos de gobierno y gestión,
cada empresa debe establecer,
personalizar y sostener un sistema
de gobierno creado a partir de una
serie de componentes.

▪ Estas componentes son factores

que, de forma individual y colectiva,
contribuyen al funcionamiento del
sistema de gobierno de la empresa
en cuanto a I&T.

▪ Los componentes interactúan entre

sí, lo que da lugar a un sistema
holístico de gobierno de I&T.

25
Introducción a
Estándares de
Ciberseguridad

Elementos - Herramientas COBIT 2019

1. Cascada de Metas
2. Modelo de Objetivos de Gobierno y Gestión
3. Modelo de Evaluación de Madurez
4. Guía de Diseño
5. Guías para Auditoría
6. Componentes del Sistema de Gobierno Aplicados

26
 1. Cascada de Metas
Introducción a
Estándares de
Ciberseguridad ▪ Las necesidades de las partes
interesadas tienen que
transformase en una estrategia
factible para la empresa. La
cascada de metas soporta las
metas empresariales, que es uno
de los factores de diseño clave
para un sistema de gobierno.

▪ Las metas de alineamiento

subrayan el alineamiento de
todos los esfuerzos de TI con los
objetivos del negocio

27
Introducción a
2. Modelo de Objetivos de Gobierno y Gestión
Estándares de
Ciberseguridad

apo = Procesos
de gestión

MEA= medicion,
evaluar y asegurar

BAI = Adquisicion
de Tecnología

DSS= Dar
servicio y
soporte

28
 3. Modelo de Madurez y Capacidades
Introducción a
Estándares de
Ciberseguridad
COBIT 2019 adopta un esquema
de capacidad de proceso basado
en CMMI

El proceso dentro de cada

objetivo de gobernanza y gestión
puede operar a niveles de
capacidad, entre 0 y 5.

29
 4. Factores de Diseño
Introducción a
Estándares de
Ciberseguridad

30
 4. Factores de Diseño
Introducción a
Estándares de Los factores de diseño son factores que pueden influir en el diseño del sistema de
Ciberseguridad
gobierno de una empresa y posicionarla para que tenga éxito al usar la I&T.

31
 5. Guías de Auditoría
Introducción a
Estándares de Los factores de diseño son factores que pueden influir en el diseño del sistema de
Ciberseguridad
gobierno de una empresa y posicionarla para que tenga éxito al usar la I&T.

32
 5. Auditoría – Modelo de tres líneas de defensa
Introducción a
Estándares de
Ciberseguridad

33
 6. Sistema de Gobierno Aplicado – DSS02
Introducción a
Estándares de Puede abrir el documento adjunto “DSS02 – Gestionar los incidentes” desde el material de
Ciberseguridad
esta clase para seguir el ejemplo en su computador.

34
Introducción a
Estándares de
Ciberseguridad

Caso de aplicación de COBIT

¿Cómo se puede gobernar una suprared de energia
ENTSO-E que debe cumplir con lo requisitos de la UE,
normativas de cada país y a la vez, alcanzar la
eficiencia operacional?

35
 ENTSO-E
Introducción a
Estándares de
Ciberseguridad ENTSO-E es la red de operadores de sistemas para la
electricidad de la Unión Europea, que aúna actualmente a
43 TSO en 36 países.

ENTSO-E provee servicio a más de 500 millones de

personas, posee más de 478.000 kilómetros de
infraestructura, y existe desde 2009.

Actualmente ENTSO-E se encuentra en pleno desarrollo

de políticas y mecanismos de ciberseguridad.

ENTSO-E promueve la cooperación de TSO en toda

Europa, implementa y gestiona políticas que están
cambiando la naturaleza de la industria energética

36
 Trasfondo de I&T en ENTSO
Introducción a
Estándares de
Ciberseguridad Para que un plan estratégico de I&T sea exitoso en
ENTSO, este debe considerar los siguientes elementos:

1. El plan estratégico de desarrollo organizacional,

con objetivos a largo plazo (10 años).
2. Mandatos para el área de desarrollo económico
particular de la UE.
3. El marco legal de manejo de energía en la UE.
4. Una plataforma de información que provea datos e
información sobre la generación, transmisión y
consumo de energía, de forma transparente y en
tiempo real a toda la Unión.
5. Cooperación técnica entre los diferentes TSO que
son responsable de las redes principales de energía
y de la transmisión en la red.
6. Coordinar profesionales de 20 países diferentes,
respetando los componentes políticos de sus
organizaciones y más de 100 grupos de trabajo TI

37
 Trazar un Programa de Trabajo
Introducción a
Estándares de Cascada de Metas Guía de Diseño
Ciberseguridad
Comprender el
Comprender los vínculo con el Priorizar
objetivos de TI modelo de objetivos COBIT
objetivos COBIT

Comprender los
objetivos Documentar la
estratégicos estrategia

BSC– COBIT

Incrementar la
Medir las
conciencia de TI y
capacidades
el conocimiento
CMMI – COBIT
Auditoría
38
 Comprender la Estructura de Gobernanza
Introducción a
Estándares de La estructura de Gobernanza de la organización es muy compleja, está compuesta
Ciberseguridad
por:

1) Una asamblea de 41 miembros de las TSO de 34 países diferentes, cada uno con
un nivel de CEO.
2) Una Junta con 12 miembros
3) Un Secretario General, quien es el máximo responsable de la operación diaria

39
 La estrategia basal de TI de ENTSO
Introducción a
Estándares de Las bases para las estrategias de TI parecen ser objetivos simples, pero por el tamaño de
Ciberseguridad
ENTSO son tareas complejas.
1.- Seleccionar e Implementar los mejores estándares y prácticas.
2.- Revisar todos los proveedores de TI.
3.- Unificar el proveedor de DataCenter
4.- Limitar y gestionar el numero de proveedores de operación.
5.- Determinar el tamaño y configuración del departamento de TI.

40
 Selección de Estándares
Introducción a
Estándares de
Ciberseguridad
COBIT 5: Marco para la Gobernanza y el Alineamiento

Marcos de Gestión, alineados por el resultado de la implementación COBIT

Gestión de Servicios de TI (ITSM) ITIL

Gestión de Proyectos PRINCE2
Seguridad de la Información ISO 27002
Gestión de Datos DMBOK

41
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad I. Identificar los impulsores de los procesos de TI
Entidades
reguladoras

Impulsores de los Actores Externos (CEO TSO)

1. Transparencia Financiera Partes

Interesadas
2. Cultura de Servicio Orientada al Cliente Externas

3. Continuidad de la Operación y Disponibilidad Proveedore

s de TI
Socios de
Negocio
4. Productividad Operacional del Staff

Impulsores de Actores Internos (Comité TI ENTSO)

Consejo

1. Valor de las inversiones de los stakeholders.

2. Optimización del costo de entrega de servicios. Gestión
de Riesgo
Dirección
Ejecutiva
3. Optimización de los costos operacionales.
4. Programas de cambio organizacional gestionados. Partes
Interesadas
Internas

Proveedore Gerentes
s de
Aseguramie de
En negrita: Impulsores finales integrados a la cascada de metas nto Negocio

Gerentes
de TI
42
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad II. Priorizar los objetivos de TI de la organización

P= Primario
S= Secundario

43
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad

44
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad III. Priorizar Objetivos de Gobierno – Guía de Diseño

Nuevo en COBIT 2019!

45
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad III. Selección Preliminar de Objetivos de Gobierno / Gestión

46
 Priorización de Objetivos – Cascada de Metas
Introducción a
Estándares de
Ciberseguridad III. Confirmación de la Selección de Objetivos con Stakeholders clave.

47
 Documentación de la Estrategia de TI
Introducción a
Estándares de
Ciberseguridad
En primer lugar se determinó las responsabilidades de la
nueva estrategia de TI, una vez que los objetivos de esta ya
han sido seleccionados.

Luego, para cada objetivo/proceso de gobierno y gestión se

determinó que Prácticas de Gestión y Actividades
quedarían reflejadas en el documento estratégico.

Fuente: ENTSO – E

48
 Documentación de la Estrategia de TI
Introducción a
Estándares de
Ciberseguridad

Nivel Táctico

Nivel Operacional

49
 Medición del Desempeño - CMMI
Introducción a
Estándares de Usando una herramienta de medición en base a los criterios de madurez de COBIT, es posible
Ciberseguridad
determinar el grado de cumplimiento en la implementación de las actividades y estrategias
determinadas.

50
 Medición del Desempeño – CMMI y Audit
Introducción a
Estándares de Los resultados de ENTSO, evaluación inicial
Ciberseguridad

51
 Medición del Desempeño – CMMI y Audit
Introducción a
Estándares de Los resultados de ENTSO, evaluación inicial
Ciberseguridad

52
 Incrementar el Conocimiento
Introducción a
Estándares de Estado de Integración COBIT 2019 y otras herramientas
Ciberseguridad

53
 Referencias
Introducción a
Estándares de
Ciberseguridad 1. Dubai Customs, Case of Study: https://www.isaca.org/resources/news-and-trends/industry-
news/2016/dubai-customs-cobit-5-implementation

2. Dubai Customs, Best PMO 2020: https://www.mediaoffice.ae/en/news/2020/October/31-

10/Dubai-Customs-wins-Best-PMO

3. Guías de Auditoría COBIT 2019: https://www.isaca.org/resources/insights-and-expertise/audit-

programs-and-tools

4. COBIT 2019 Objetivos de Gobierno y Gestión

5. COBIT 2019 Design Toolkit

54
 Introducción a Estándares
de Ciberseguridad
Gobierno y Gestión de las I&T usando
COBIT
Profesor
David López Carreño