Gobierno y Gestión de la Ciberseguridad

1
 Agenda
 Definiciones bases de Ciberseguridad

 Elementos claves de la Ciberseguridad

 Gobierno y Gestión de la Ciberseguridad

 Otros puntos de referencia

2
 Definiciones bases de Ciberseguridad

3
 ¿Qué es la Ciberseguridad?
 “Cybersecurity is the art of protecting networks, devices, and data
from unauthorized access or criminal use and the practice of
ensuring confidentiality, integrity, and availability of information. “
US-CERT. CISA

 “The ability to protect or defend the use of cyberspace from cyber

attacks.” NIST

 “Cybersecurity is the practice of protecting systems, networks,

and programs from digital attacks.” CISCO

 “Cyber security is the practice of defending computers, servers,

mobile devices, electronic systems, networks, and data from
malicious attacks.” KASPERSKY

4
 Seguridad de la Información v/s Ciberseguridad

5
 Seguridad de la Información v/s Ciberseguridad
 “Los términos "ciberseguridad" y "seguridad de la información" se suelen usar
indistintamente, pero en realidad la ciberseguridad es una parte de la
seguridad de la información. “

 La ciberseguridad se puede definir como la protección de los activos de

información, abordando las amenazas a la información procesada, almacenada
y transportada por sistemas de información interconectados.

 Generalmente, la ciberseguridad hace referencia a las amenazas que afectan a

una entidad debido a la existencia de un ciberespacio global. A diferencia de la
seguridad de la información, la ciberseguridad no incluye los peligros
naturales, los errores personales o la seguridad física.

Fuente: ISACA CSX:2018

6
 Diversos Contextos de Amenazas

Fuente: ISACA CSX:2018

7
 Elementos claves de la Ciberseguridad

8
 Visiones de Ciberseguridad
 Analizaremos algunas visiones para comprender lo que es la
ciberseguridad.
 BMIS
 ISO 27.001
 Controles del CIS
 ISA 62.433
 CMMC – Modelo de Madurez de Ciberseguridad
 COBIT
 Framework de Ciberseguridad del NIST
 Contexto Legal
 Contexto de Riesgos
 Contexto de Herramientas
 Contexto de Aplicación

9
 Visión muy amplia - BMIS
 El BMIS es uno de los primeros modelos de referencia que plantea la
gobernanza como un elemento de la ciberseguridad.

10
 ISO 27.001 – Riesgos + Controles

Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado & Fernandez. 2019.
11
 CIS Controls – Más controles

12
 ISA 62.443 – Más controles (IACS)

13
 CMMC– Evaluando la Madurez

14
 COBIT– Gobierno y Gestión de TI

15
 Contexto Legal

Datos Personales

Teletrabajo
Contratación
Informática

Criminalidad Firma
Informática electrónica

Inteligencia
Artificial
Disputas
Laborales
Propiedad Intelectual
1664
8 de
 Principales preocupaciones en Ciberseguridad

FUENTE: Estudio de Kasperky - IT security economics 2020: executive summary

1117
de
 Principales riesgos de ciberseguridad

FUENTE: Estudio de Kasperky - IT security economics 2020: executive summary

1218
de
 ¿En Chile que a pasado?

19
 Ciberataques con impacto en IACS

20
 Principales herramientas de ciberseguridad

FUENTE: Estudio de Kasperky - IT security economics 2020: executive summary

1321
de
 Roles y Funciones

22
 Otra cosa poca - Incibe

1323
de
 ¿Qué es Ciberseguridad?

24
 Afortunadamente tenemos el NIST CF
• Excelente modelo de referencia para la
ciberseguridad que aborda los elementos
clave de esta.

• Estructura en torno a 5 funciones los

procesos claves de la ciberseguridad.

• Muy articulado a buenas prácticas, con

foco en riesgos y funciones especificas de
la ciberseguridad

• Actualmente es ampliamente aceptado y

cada vez en mayor uso.

25
 Desafortunadamente tenemos el NIST CF
• No es un modelo que defina de manera
exhaustiva el que hacer.

• Define que se debe hacer y referencia a

otros modelos sobre como hacerlo:
• ISO 27.001
• COBIT
• CIS
• ISA 62433
• NIST 800-53

• No establece elementos precisos de riesgos,

herramientas, tecnologías, procesos,
compliance, capacitación, concientización,
controles, …… no define mucho en verdad.

• El problema es que muchas veces esos

modelos tampoco dicen como hacer las
cosas en detalle.

26
 Gobierno y Gestión de la Ciberseguridad

27
 ¿Qué es Gobierno y que es Gestión en la Ciberseguridad?
 A priori no existe un modelo que lo defina de manera especifica.

 COBIT es un buen estándar para entender la separación de estas

funciones.

 Elementos adicionales hay en las tres líneas de defensa que nos

permiten comprender roles y funciones.

 Los elementos específicos que definen las funciones de Gobierno y

Gestión se irán analizando a lo largo del curso.

28
 ¿Gobierno o Gobernabilidad?

El concepto sobre el cual trata el modelo COBIT 2019, así como muchos de los
modelos de referencia en la materia, es el de Gobernabilidad, que es la traducción
literal de Governance.

Para efectos del curso, se hablará de gobierno en la mayoría de los casos, para ser
consistentes con lo planteado por COBIT

29
 Definiciones de Gobierno de TI
“El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI.” [ISO
38.500:2015, 2015]

“Un enfoque de gobierno que garantiza que las tecnologías de información y las
relacionadas soportan y habilitan la estrategia de la empresa y la consecución de las
metas corporativas. También incluye el gobierno funcional de TI, por ejemplo,
garantizando que las capacidades de TI son provistas de forma eficiente y efectiva.”
[COBIT 5, 2012)

“Responsabilidad ejercida por el consejo de administración, que supervisa la

definición e implementación de procesos, estructuras y mecanismos relacionados en
la organización para permitir a la empresa y al personal de TI desempeñar sus
responsabilidades de soporte al negocio/alineamiento de TI y la creación de valor de
negocio derivado de las inversiones empresariales posibles gracias a la Información y
Tecnologías” [COBIT 2019, 2019]

30
 Que decisiones toman los agentes en el Gobierno de CS
Decisiones Alta Responsable
Gerencia de CS
¿Cuál es el presupuesto de Ciberseguridad?

¿Cuáles serán los proyectos de Ciberseguridad que se

financiaran?
¿Cuál será la estructura organizacional de
Ciberseguridad?
¿Cuáles son los elementos de ciberseguridad y cuales
son los riesgos aceptables?
¿Cuáles serán nuestros niveles de servicios
dependientes de la ciberseguridad?
¿A quien debemos culpar frente a la falla de algún
proyecto o servicio de ciberseguridad?
Weill & Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, 2004.
31
 COBIT 5 - Gobernanza y Gestión de TI

32
 COBIT– Gobierno y Gestión de TI

33
 COBIT 2019 – Objetivos de Gobierno

34
 Caracterización del concepto
Responsabilidades Prácticas

Que ejerce
La Alta Dirección

Decisiones Principios

Estrategia Responsabilidad
Dirección
Estratégica

Proyectos Estrategia

Estructura Medir el Generar Adquisición

Desempeño Valor

Servicios Desempeño

Riesgos Conformidad
Gestionar Gestionar
los Recursos los Riesgos
Cumplimiento Comportamiento
35
 ¿Qué es la Gestión de la Ciberseguridad?

36
 El gobierno y la gestión en el NIST CF
• Lo destacado corresponde a la función
de gobierno en la ciberseguridad.

• Todo lo demás es parte de la gestión!!

• En la gestión también se pueden

realizar subdivisiones, hasta llegar a
componentes de carácter más táctico,
operativo o meramente funcionales.

• La gran diferencia es quien es el

responsable y como se articula en la
organización.

• GOBIERNO DIRECCIÓN
• GESTIÓN  AREAS OPERATIVAS

37
38
 Otros modelos de referencia - Gobierno

39
 The IIA – Auditing Cs Governance

40
 OEA – Manual para dirección

41
 NASCIO – Áreas claves

42
 MITRE – Modelo de Madurez de Gobernanza

43
 AMAZON – GRC Model

44
 RAN 20-10: Gestión de la Seguridad de la Información

45
 Conclusiones

46
 Conclusiones
 Es un desafío caracterizar la ciberseguridad, más aún lo es en el contexto del gobierno
y la gestión de esta.

 El NIST CF es un excelente modelo de referencia, ayudará mucho en este propósito,

pero debe ser complementado con los marco que referencia.

 No existen modelos muy completos en relación al Gobierno, el desafío es integrar lo ya

existente, siendo COBIT el modelo de referencia natural.

 En el ámbito de la gestión, ISO 27.001 se posiciona como un marco de referencia clave.

 En términos de operación, riesgos y controles, son muchos los modelos y buenas

prácticas existentes, los controles en los cuales se basan el NIST CF en su
complementos son una excelente forma de trabajarlo

47
  carlos.lobos@usach.cl
 david.lopez.c@usach.cl

Recuerde utilizar los foros de cada módulo

48
 Cuerpo Académico

CARLOS LOBOS MEDINA – PROFESOR TITULAR

Ingeniero Civil en Informática y Magister en Informática (c) de la Universidad de Santiago de Chile,

Diplomado en Auditoría de Sistemas, Postítulo en Seguridad Computacional y Gestión de Procesos de
Negocios de la Universidad de Chile.
Especialista en gobernanza, gestión y control de tecnologías de información empleando modelos como
COBIT, ITIL, ISO 27001 e ISO 22301. Posee certificaciones internacionales CISA, CISM, COBIT, ISO Lead
Auditor 27001, ISO Lead Auditor BS 25599 e ITIL V3, entre otras.
Email: carlos.lobos@usach.cl

DAVID LÓPEZ CARREÑO – PROFESOR AUXILIAR

Ingeniero en Control de Gestión de la Universidad Diego Portales y Diplomado en Dirección de Proyecto

de la Universidad de Santiago de Chile.
Especialista la implementación de modelos de gestión y mecanismos de control de gestión. Posee
certificaciones COBIT, MTA Specialist, MOS Expert, Implementador ISO 9001, Auditor Líder ISO 27001 y
Cybersecurity Fundamentals de ISACA.
Email: david.lopez.c@usach.cl

49
50