Cuando hablamos de la protección de la información en las organizaciones, no importa si nos referimos a empresas públicas o privadas, grandes o pequeñas, lucrativas o no, ya que cada una de ellas tiene un objetivo primordial, que se ve reflejado en su misión, su razón de ser.

Para lograrla, llevan a cabo múltiples tareas que conducen hacia este propósito, al tiempo que se evitan otras acciones que impidan su cumplimiento. En este escenario toma relevancia la información, un recurso clave desde el momento en el que es creada hasta su destrucción, de manera que sea posible evadir las amenazas que pudieran afectarla.

Con la intención de proteger los datos, otros activos y en general el negocio, las organizaciones pueden adoptar prácticas y medidas de seguridad (que generalmente están plasmadas en documentos especializados en seguridad de la información). Por ejemplo COBIT for Information Security, mismo que abordaremos en esta publicación.

Objetivos de control para la protección de la información

Un marco de referencia que puede ser utilizado en las empresas como guía para la integración de las operaciones relacionadas con el área de Tecnologías de Información es COBIT (Control Objectives for Information and related Technology), es decir, un conjunto de propósitos definidos y controles de TI que tiene como principio la implementación de un marco para el gobierno y gestión de TI.

Dentro de la familia de documentos de COBIT, en la última versión existe uno completamente enfocado en la seguridad de la información (COBIT 5 for Information Security), que tiene como base el framework de mejores prácticas, con la característica de que agrega guías prácticas detalladas para la protección de la información para todos los niveles en las organizaciones.

En el documento se plantea la idea de que la seguridad de la información es una disciplina transversal, por lo que considera aspectos de protección de datos en cada actividad y proceso desempeñado. Además, sirve como un complemento de COBIT 5, ya que este último considera algunos procesos que brindan una guía básica para definir, operar y monitorear un sistema para gestión de la seguridad, como son:

  • APO13 Gestión de la seguridad (treceavo proceso del dominio Alineación, Planeación y Organización)
  • DSS04 Gestión de la continuidad (cuarto proceso del dominio Entrega, Soporte y Servicio)
  • DSS05 Gestión de servicios de seguridad (quinto proceso del mismo dominio)

Por lo que además de revisar con más detalle estos procesos, se agregan metas y métricas específicas de seguridad para cada proceso definido en los dominios de COBIT 5. Del mismo modo, se establecen prácticas, actividades, entradas y salidas entre procesos, para cada uno de los que conforman el modelo de referencia descrito en esta versión.

Consideraciones de seguridad en COBIT for Information Security

En general, este documento fue desarrollado para agregar aspectos puntuales de seguridad de la información que no están incluidos en COBIT 5. Por ejemplo, establecer el enfoque holístico de la seguridad en una empresa, para definir las responsabilidades y elementos que permiten el gobierno y la gestión de la seguridad (como las estructuras adecuadas o políticas requeridas). En el mismo, se pretende alinear la seguridad de la información con los objetivos de la empresa, a través de las ya mencionadas prácticas de gobierno y gestión completamente enfocadas en la seguridad.

Por ejemplo, el proceso DSS05 Gestión de servicios de seguridad, tiene como propósito minimizar el impacto al negocio debido a vulnerabilidades e incidentes de seguridad de la información. Entre las prácticas de gestión que involucra, se encuentra la protección contra el malware (DSS05.01), gestión de la seguridad en red y conectividad (DSS05.02), gestión de la seguridad endpoint (DSS05.03) o gestión del acceso físico a activos de TI (DSS05.05).

Como agregado, el documento para la seguridad de la información incluye nuevas actividades para cada práctica descrita en el párrafo anterior. Por ejemplo, la instalación de software antivirus, aplicación de mecanismos de filtrado de contenido, cifrado de información (de acuerdo a su clasificación) almacenada en equipos y en tránsito, aplicación de configuraciones, concientización sobre la seguridad física, entre muchas otras.

Por otro lado, con el notable aumento de la necesidad de la protección de la información, de manera general se consideran otros aspectos puntuales, como son los niveles de riesgo aceptables, la continua disponibilidad de servicios y sistemas, así como cumplimiento con leyes, regulaciones, requisitos contractuales y políticas internas.

Consideraciones y pautas principales para la seguridad de la información

No se puede negar que la aplicación de medidas de protección para la información se ha convertido en una necesidad, ya que se trata de un activo útil para muchos propósitos, por ejemplo, un trasfondo de mayor alcance relacionado con la continuidad de las operaciones y la protección del negocio, la razón de ser de las organizaciones.

Los distintos procesos, actividades o iniciativas se pueden complementar con las propuestas realizadas en este y otros documentos, mismos que son el resultado del consenso de expertos en el tema, así como un continuo desarrollo de mejores prácticas. Esto ocurre precisamente con COBIT, ya que lejos de ofrecer a los usuarios una disyuntiva sobre cuál framework utilizar, se puede aplicar en concordancia con otras opciones como ISO 27001 o NIST.

Prueba de ello es el Anexo H de COBIT 5 for Information Security, donde se mapean los procesos con las cláusulas y controles de los estándares antes mencionados, agregando información que complementa las mejores prácticas, principalmente las metas y métricas, prácticas de gobierno y gestión, así como las actividades específicas de seguridad, en busca de que sean adoptadas y adaptadas a las características y necesidades de cada organización que busca proteger su información y lograr su misión.