Post on 28-Oct-2018
See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/282329839
Definition of cybersecurity businness framework based on ADM-TOGAF
Conference Paper · June 2015
DOI: 10.1109/CISTI.2015.7170391
CITATION
1READS
992
5 authors, including:
Some of the authors of this publication are also working on these related projects:
Study of Strategic IT Demand Management in Organizations View project
Danilo Rubén Jaramillo
Universidad Técnica Particular de Loja
17 PUBLICATIONS 12 CITATIONS
SEE PROFILE
Armando A. Cabrera-Silva
Universidad Técnica Particular de Loja
11 PUBLICATIONS 11 CITATIONS
SEE PROFILE
Marco Abad
Universidad Técnica Particular de Loja
10 PUBLICATIONS 11 CITATIONS
SEE PROFILE
J. Carrillo Verdún
Universidad Politécnica de Madrid
41 PUBLICATIONS 77 CITATIONS
SEE PROFILE
All content following this page was uploaded by Danilo Rubén Jaramillo on 30 September 2015.
The user has requested enhancement of the downloaded file.
Resumen – En este trabajo se propone un conjunto de
actividades y pasos que son requeridos para la implementación
de un marco de referencia de ciberseguridad empresarial, para lo
cual, se ha tomado como referencia al Método de Descripción
Arquitectónica ADM-TOGAF y su integración con SABSA
metodología de seguridad empresarial, que definen un conjunto
de fases iterativas adaptadas con las normas de ciberseguridad
definidas en los marcos COBIT 5 y NIST, y en los estándares ISO
27001 e ISO 27032. Además se presentan los resultados obtenidos
luego de la aplicación del marco de referencia al contexto
empresarial local.
Palabras Clave – Ciberseguridad, Arquitectura Empresarial,
ADM, TOGAF.
Abstract - In this paper a set of activities and steps that are
required to implement a framework enterprise cybersecurity is
proposed, for which, is taken as a reference to Method of
Architectural Description ADM-TOGAF and its integration with
SABSA methodology enterprise Security, which define a set of
iterative phases adapted cybersecurity standards defined in NIST
COBIT 5 frames, and the ISO 27001 and ISO standard 27032. In
addition the results obtained after the application of the
framework are presented to local business context.
Keywords – Cybersecurity, Enterprise Architecture, ADM,
TOGAF.
I. INTRODUCCIÓN
El ambiente empresarial va cambiando conforme se adoptan nuevas tecnologías, donde se presentan oportunidades que las organizaciones deben aprovechar para mejorar su gestión; actualmente cada organización busca alinear su estrategia de negocio con las tecnologías de la información (TI), utilizando por ejemplo, servicios externos como la nube, en la cual se ha visto un incremento considerable. Según Eset [1], se espera que para el año 2016, un 36% de la información de los usuarios finales esté almacenada en la nube es así que, a partir de todo este cambio, surge la necesidad de implementar
controles y procedimientos a través de normas y marcos de trabajo para minimizar los riesgos de pérdidas de información.
En la actualidad, debido a que todas las funciones de las organizaciones giran en torno a la tecnología y uso intensivo del internet para sus operaciones internas y externas, los altos directivos deben establecer un compromiso colaborativo y así evitar riesgos potenciales que afecten a la seguridad dentro de su organización, y, por consiguiente, pérdidas económicas y de imagen.
Ciberseguridad, “es el conjunto de actividades centradas en mecanismos defensivos y ofensivos empleados tanto para proteger el ciberespacio contra el uso indebido del mismo, defender su infraestructura tecnológica, los servicios que prestan y la información que manejan” [2].
Arquitectura Empresarial (AE) “es un enfoque para la gestión de la complejidad de la estructura de la organización, la tecnología de información (TI) y el entorno empresarial, y facilitar la integración de estrategia, personal, negocio y TI hacia un objetivo común” [3]. La AE se ha tomado como base para la definición del marco de referencia de ciberseguridad, por ello, nos hemos basado en el método de desarrollo de arquitectura ADM-TOGAF, el mismo que estipula un conjunto de fases que se alinearan con las técnicas, métodos, procedimientos y normas de otros marcos de trabajo para ciberseguridad como COBIT 5, ISO 27001, ISO 27032 y NIST para de esta manera proponer una solución que se pueda gestionar, mantener y mejorar de forma continua. En la implementación del modelo de referencia de ciberseguridad fue necesario identificar un marco de trabajo de AE adaptable, que permita su integración con otros marcos, por lo cual, se analizó los marcos de referencia de Zachman y TOGAF por ser los más difundidos a nivel comercial.
II. MARCOS DE TRABAJO DE ARQUITECTURA EMPRESARIAL
Para trabajar con una estructura base que soporte todo el trabajo de ciberseguridad en un entorno empresarial, se han
Definición de un Marco de Referencia de
Ciberseguridad Empresarial basado en ADM-
TOGAF
Definition of Cybersecurity Businness Framework
based on ADM-TOGAF
José Carrillo Verdúm
Universidad Politécnica de Madrid
Madrid, España
jcarrillo@fi.upm.es
Danilo Jaramillo H., Armando Cabrera S., Marco
Abad E., Alfredo Torres V.
Universidad Técnica Particular de Loja
Loja, Ecuador
{djaramillo, aacabrera, mpabad, adtorres}@utpl.edu.ec
seleccionado dos marcos de trabajo, TOGAF y Zachman, que se detallan a continuación.
A. Zachman Framework
Este marco de trabajo se utiliza para realizar “representaciones descriptivas o modelos de una empresa. Sirve fundamentalmente para implementar una AE en las compañías, siendo el mismo marco que toda compañía grande o pequeña necesita aplicar conceptos de arquitectura independientemente de sus características” [4]; Zachman framework clasifica toda la estructura de una empresa de manera inteligente y ordenada a través de seis vistas [5]: Alcance, Modelo empresarial, Modelo de sistema de información, Modelo tecnológico, Especificación detallada y Empresa en funcionamiento.
Como tal Zachman, es un modelo de clasificación que se encuentra en las disciplinas más maduras de arquitectura, utilizado para clasificar y organizar los artefactos de diseño relacionados con los productos físicos y lógicos de una organización.
B. TOGAF
El marco de TOGAF “proporciona los métodos y herramientas para ayudar en la aceptación, producción, uso y mantenimiento de una AE, se basa en un modelo de procesos iterativo, el apoyo de las mejores prácticas y un conjunto reutilizable de activos existentes” [6]. TOGAF dispone de un método central llamado ADM, el cual proporciona un proceso repetible para el desarrollo de arquitecturas, mediante cada una de sus fases: gestión de requerimientos, fase preliminar, visión de arquitectura, arquitectura de negocio, arquitectura de sistemas de información, arquitectura tecnológica, oportunidades y soluciones, planificación de migración, gobierno de la implementación y gestión de cambios de la arquitectura. En resumen TOGAF es un marco de trabajo que a través del ADM y su proceso iterativo de mejora continua, mediante varias iteraciones implementa cada fase para la construcción y mantenimiento de una AE.
C. Comparación entre TOGAF y Zachman Framework
Es necesario identificar el nivel de madurez empresarial y las capacidades arquitectónicas que posee una organización, a través de las cuatro dimensiones de AE (arquitectura de negocio, arquitectura de información, arquitectura de aplicaciones y arquitectura tecnológica), de acuerdo a estas dimensiones, y desde el enfoque de construcción de una AE se han comparado los marcos de trabajo que se detallan en la tabla 1.
TABLA 1. COMPARACIÓN ENTRE TOGAF Y ZACHMAN FRAMEWORK
Marcos de trabajo
Componentes TOGAF
Zachman
Framework
Aporta beneficios de TI x x
Basado en entregables x x
Adaptable a las necesidades de una empresa x x
Gestión de infraestructura x x
Centrado en las actividades del negocio x
Organización y clasificación de artefactos x x
Gestión de requerimientos x
Gestión de alcance x x
Gestión de cambios x x
Gestión de riesgos x
Adaptable a otros marcos de trabajo x
Reducción de costos x x
Identificación de oportunidades x x
Luego de la comparación de los componentes se ha tomado al marco de trabajo de TOGAF, como modelo de referencia a seguir, considerando mayormente aspectos como adaptabilidad con otros marcos de referencia, basado en entregables y el trabajo que realiza sobre los cuatro principios de AE (negocio, datos, aplicaciones y tecnología)
III. NORMAS Y MARCOS DE TRABAJO DE CIBERSEGURIDAD
Se han considerado marcos de trabajo y normas de ciberseguridad que se integren en el ADM de TOGAF, los mismos se resumen a continuación:
A. ISO/IEC 27001
Esta norma contiene los requisitos del sistema de gestión de seguridad de la información; tiene como objetivo proporcionar una metodología para la implementación de un sistema de gestión de seguridad de la información (SGSI) en una organización [7]. En esta norma existen 4 fases (planificación, implementación, revisión, mantenimiento) que se deben implementar de forma constante para reducir al mínimo los riesgos en la confidencialidad, integridad y disponibilidad de la información. ISO 27001 especifica los requisitos necesarios para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) mediante sus cuatro fases que son apoyadas por 130 requisitos, 14 dominios y 114 controles para seguridad de la información.
B. ISO/IEC 27032
Proporciona una guía para mejorar el estado de ciberseguridad, extrayendo los aspectos únicos de esta actividad y de sus dependencias en otros dominios de seguridad. Concretamente: información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP) [8]. ISO 27032, proporciona directrices para mejorar el estado de la ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad [9]. Esta norma ayuda a las organizaciones mediante sus dominios y controles, en la prevención, protección y gestión de los incidentes hacia los sistemas de información que se encuentran dentro del internet.
C. Transformando la ciberseguridad usando Cobit 5 (TCS)
Examina el impacto del cibercrimen, basado en tres factores como: conectividad permanente, una sociedad cada vez más centrada en TI y un nuevo sistema de clasificación que identifica a la gente por habilidades tecnológicas [10]. Esta guía proporciona las directrices necesarias de cómo administrar y transformar la seguridad a través de COBIT 5, en donde los procesos de COBIT se encuentran orientados hacia la ciberseguridad.
D. NIST - marco de trabajo para mejorar la ciberseguridad
de infraestructuras críticas (CS-IC)
Este marco contiene un conjunto de directrices sobre ciberseguridad para ayudar a proteger infraestructuras críticas, y está basado en la gestión de riesgos para la ciberseguridad
[11], este marco de trabajo se compone de tres partes: el núcleo del marco de trabajo, presenta estándares de la industria, directrices y prácticas; niveles de aplicación del marco de trabajo, que proporciona un contexto de cómo una organización entiende y gestión el riesgo de la ciberseguridad; perfil del marco de trabajo, representa los resultados de las necesidades del negocio que se han seleccionado en las categorías y subcategorías del marco de trabajo.
E. Características de los marcos de trabajo y normas de
ciberseguridad
Para la implementación de ciberseguridad es necesario conocer los componentes que se pueden ayudar a fortalecer en una AE, por esta razón se identifican las ventajas (ver tabla 2) que ofrece cada marco de trabajo y norma de ciberseguridad.
TABLA 2. COMPARACION DE MARCOS DE TRABAJO Y NORMAS DE
CIBERSEGURIDAD
Normas, marcos de
trabajo
Parámetros CS
ISO
27001
ISO
27032
COBIT
5 (TCS)
NIST
(CS-IC)
Políticas de seguridad x x x
Preservación de CID x x x
Gestión de incidentes informáticos
x x x x
Gestión de recursos x
Gestión de riesgos x x
Hacking x
Seguridad de internet x x x x
Mejora continua x x x x
Software malicioso x x
Intercambio de información x x x x
Cloud computing x
Dispositivos móviles x x
Gestión de infraestructura x
Cada marco de trabajo de ciberseguridad y seguridad de la información disponen de un conjunto de características que fortalecen y gestionan los diferentes SI de una organización.
F. Integración de ADM-TOGAF y SABSA
SABSA es una metodología enfocada en el desarrollo de arquitecturas de seguridad empresarial. La visión y propósito de la integración de ambos marcos de trabajo es apoyar a los arquitectos empresariales, para tomar en cuenta la gestión del riesgo operacional proporcionando orientación que describe cómo TOGAF y SABSA se pueden combinar; de tal manera que el riesgo de negocio, y, el enfoque de la arquitectura de seguridad de SABSA promovida por las oportunidades, se pueden integrar perfectamente en la estrategia de TOGAF impulsada por el negocio [12]. En la Fig. 1 se observó el mapeo de las fases del ADM de TOGAF, junto a la interacción entre sus fases, con el ciclo de vida de SABSA. Cada iteración realiza un trabajo específico, en iteración de capacidad arquitectónica se evalúa y define el trabajo que realizará la ciberseguridad, y, mediante que herramientas se ejecutará el mismo; en la iteración de desarrollo se analiza el estado actual y el estado objetivo; además, del proceso requerido para alcanzar dicho estado objetivo; en la iteración de planificación de transición se evalúan los procedimientos principales para la implementación de ciberseguridad, y en la iteración de gobernanza se valida que todo lo propuesto desde el inicio se haya cumplido, así mismo, como gestionar los cambios
generados a partir de todo el ciclo de implementación de ciberseguridad.
Figura 1 – Ciclo de vida de SABSA relacionado el ADM de TOGAF
IV. INTEGRACIÓN DEL ADM DE TOGAF Y SABSA ORIENTADA
A CIBERSEGURIDAD
El ADM cuenta con un conjunto de fases que se pueden utilizar en el desarrollo de actividades, para ayudar en la implementación de un esquema de ciberseguridad, de esta forma, se puede aprovechar una AE ya implementada junto a sus elementos desarrollados, para determinar un conjunto de controles y procedimientos que se integren en la arquitectura.
Figura 2 – Proceso de elaboración del modelo de ciberseguridad para AE
Para trabajar a través de cada fase del ADM es importante conocer que se realizará en cada una de ellas de acuerdo a las necesidades y requerimientos de ciberseguridad, además de saber que marcos de trabajo o normas de ciberseguridad se pueden utilizar. Para obtener las características de cada norma
Analizar el propósito que tiene cada fase dentro del ADM,
para obtener una idea clara de las necesidades requeridas en
sus actividades.
Definir actividades para cada fase del ADM, orientadas al trabajo de
ciberseguridad en AE.
Comparar las caracteristicas de cada marco y norma de CS,
para asociarlas a las actividades definidas en el
ADM.
Obtener de cada uno de los marcos de trabajo y normas, los
puntos (controles, categorias, procesos) que se pueden
acoplar a las necesidades de cada actividad.
Integrar los puntos obtenidos de las normas y marcos de
ciberseguridad en las actividades definidas para
ciberseguridad.
Detallar de forma clara un proceso a seguir, para la implementacion de cada
actividad en su respectiva fase.
Elaborar las plantillas de implementacion y
levantamiento de informacion de acuerdo a los procesos de
cada actividad de la guía.
Implementar una herramienta para validación de la guia de
ciberseguridad en un entorno empresarial.
y marco de trabajo en la elaboración del modelo de ciberseguridad para AE. Se siguió un proceso, el cual se muestra en la Fig. 2.
En cada uno de los puntos mostrados en la Fig. 2 se puede ver que es necesario un estudio para relacionar las características de cada norma y marco de trabajo, este estudio, valida que dentro de cada una de las actividades definidas encajen los controles, características y procesos orientados a ciberseguridad.
A. Gestión de requerimientos (RM)
Esta fase trabaja mediante un proceso dinámico la gestión de los atributos del perfil de negocio, y los requerimientos de ciberseguridad obtenidos de las partes interesadas. En la tabla 3 se pueden ver las normas y marcos de trabajo que apoyan cada una de las actividades de esta fase.
TABLA 3. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE DE RM
Actividad Normas y marcos de trabajo considerados
Atributos del perfil
de negocio para ciberseguridad
- TOGAF y SABSA -Atributos de negocio de la
taxonomía de SABSA [12].
Control de
requerimientos
- TOGAF 9.1 -Cap. 17 de Gestión de
requerimientos de arquitectura [13].
B. Fase Preliminar (PP)
Esta fase prepara a la organización para la implementación del trabajo de ciberseguridad, donde se toman dos aspectos principales, como: los principios de ciberseguridad y los marcos de trabajo que se van a utilizar. En la tabla 4 se pueden ver las actividades correspondientes a esta fase, junto a las normas y marcos de trabajo de ciberseguridad.
TABLA 4. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE PP
Actividad Normas y marcos de trabajo considerados
Principios de ciberseguridad
- COBIT 5 (TCS) -Apartado de principios de seguridad
de la información [14].
- TOGAF 9.1 -Cap. 23, principios de arquitectura [13].
Equipo de
ciberseguridad
- TOGAF-SABSA Plan de recursos de seguridad [12].
- Proceso (APO01.02) de COBIT 5 (TCS) [14].
Marcos de referencia para
ciberseguridad
- TOGAF y SABSA - Marcos de control [12] - TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
marcos [13].
Áreas de riesgo - ISACA (RG1.1) - Desarrolla en una empresa el
marco específico de gestión de riesgos TI [15].
C. Visión de arquitectura (AV):
En esta fase se describe de forma inicial, a través de la identificación de requerimientos e interesados, lo que se desea realizar y alcanzar con la ciberseguridad. En la tabla 5 se pueden ver las normas y marcos de trabajo que apoyan a cada una de las actividades.
TABLA 5. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE AV
Actividad Normas y marcos de trabajo considerados
Partes interesadas
de ciberseguridad - TOGAF 9.1 - Cap. 24. Gestión de interesados [13]
Requerimientos
de ciberseguridad
- COBIT 5 (TCS) - Gobernanza de ciberseguridad en el dominio de EDM (EDM05.01, EDM02.01), y el
proceso mapeado DSS (DSS01.02) [14].
- TOGAF 9.1-17.2 Desarrollo de requerimientos [13].
Marcos de
referencia de ciberseguridad
- TOGAF y SABSA - Marcos de control [12]
- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros marcos [13].
D. Arquitectura de negocio (BA)
En esta fase se determinan las leyes y marcos de confianza, independientemente de TI, que se encuentran dentro de la arquitectura, además, se identifican los diferentes documentos que respaldan el trabajo de ciberseguridad. En la tabla 6 se observa cada una de las actividades junto a sus marcos de trabajo y normas de ciberseguridad.
TABLA 6. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE BA
Actividad Normas y marcos de trabajo considerados
Modelo de
riesgo del negocio
- Guía para el especialista - Formulario de evaluación
de riesgos de TI para empresas [16].
Leyes y
regulaciones de
ciberseguridad
- COIP - SECCIÓN TERCERA - Delitos contra la
seguridad de los activos de los sistemas de
información y comunicación. [17]
Marcos de
referencia para
ciberseguridad
- TOGAF y SABSA - Marcos de control [12]
- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
marcos [13].
Modelo del dominio de
ciberseguridad
- TOGAF y SABSA - Modelo del dominio de
seguridad [12].
Protocolos de
confianza
- ISO 27001 - A.13.1.1, A.13.1.2, A.13.2.1 [18]
- NIST (CS-IC) - (ID.AM-3) [11].
Organización
de ciberseguridad
- ISO 27001 - A.12.2.1, A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7 [18]
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
RS.MI-1, RS.MI-2, RS.MI-3 [11]
Arquitectura de las políticas de
ciberseguridad
- ISO 27001:2013 - A.5.1.1, A.5.1.2, A.18.2.2) [18]
- NIST (CS-IC) - PR.IP-9, RS.AN-2, RS.AN-4,
RS.MI-1, RS.MI-2, RS.MI-3 [11]. - COBIT 5 (TCS) - políticas de ciberseguridad [14].
E. Arquitectura de sistemas de información (ISA):
Comprende la arquitectura de datos y de aplicación, en donde se trabaja principalmente con un análisis de brechas para identificar el estado actual, el estado objetivo y el proceso para llegar al estado objetivo. En la tabla 7 se pueden ver las actividades relacionadas con las normas y marcos que apoyan el trabajo de ciberseguridad de esta fase.
TABLA 7. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ISA
Actividad Normas y marcos de trabajo considerados
Catálogo de
servicios de ciberseguridad
- TOGAF 9.1 - 43.4. Taxonomía de aplicaciones de la
plataforma, 43.5. detalle de la taxonomía de la plataforma [13].
Clasificación
de servicios de
ciberseguridad
- ISO 27001 - A.8.2.1, A.8.2.2 [18]
Marcos de
referencia para
ciberseguridad
- TOGAF y SABSA - Marcos de control [12]
- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
marcos [13].
Análisis de brechas
- ISO 27001 - A.10.1.1, A.12.2.1, A.12.6.2 [18] - NIST (CS-IC) - ID.AM-4, PR.AC-3. [11]
- COBIT 5 (TCS) - políticas de ciberseguridad -
APO02.04 “llevar a cabo un análisis de brechas”, APO02.05 “Definir plan estratégico, hoja de ruta” [14]
Reglas y
prácticas de
ciberseguridad
- ISO 27001 [18]
- COBIT 5 (TCS) [14] - NIST (CS-IC) [11]
- TOGAF y SABSA - [12].
F. Arquitectura tecnológica (TA)
Esta fase determina que estándares de seguridad son necesarios para la protección de los componentes tecnológicos que soportan los SI. En la tabla 8 se pueden observar las actividades junto sus normas y marcos de ciberseguridad.
TABLA 8. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE TA
Actividad Normas y marcos de trabajo considerados
Estándares de Ciberseguridad
- TOGAF y SABSA - Estándares de seguridad [12].
Reglas y
prácticas de
ciberseguridad
- ISO 27001 - A.14.1.2 [18] - NIST (CS-IC) - PR.AC-5, PR.DS-2, etc. [11].
Marcos de
referencia para
ciberseguridad
- TOGAF y SABSA - Marcos de control [12]
- TOGAF 9.1 – 2.10. Utilizando TOGAF con otros
marcos [13].
G. Oportunidades y soluciones (OS)
Evalúa y determina la importancia de la implementación de los procesos más relevantes de ciberseguridad para la AE, a través de la actividad de control de procedimientos de oportunidades y soluciones. En la tabla 9 se puede observar el marco de trabajo asociado que apoya a esta actividad.
TABLA 9. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE OS
Actividad Normas y marcos de trabajo
considerados
Control del procedimientos de
oportunidades y soluciones
- TOGAF 9.1 – Fase E: Oportunidades
y soluciones [13].
H. Planificación de la migración (MP)
Esta fase trabaja con los riesgos, beneficios, costos y controles asociados a la transición desde el estado actual al estado objetivo, a través de la actividad de control de migración. En la tabla 10 se puede el marco de trabajo que apoya a esta actividad.
TABLA 10. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE MP
Actividad Normas y marcos de trabajo considerados
Control de migración
- TOGAF 9.1 – Fase F: Planificación de la migración [13].
I. Gobierno de la implementación (IG)
Esta fase asegura que la implementación del proyecto esté de acuerdo a lo planificado, y, que se garantice que los procesos y sistemas se adhieran a la arquitectura de seguridad o seguridad de la información en general. En la tabla 11 se observa las normas y marcos de trabajo que apoyan las actividades de ciberseguridad de esta fase.
TABLA 11. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE IG
Actividad Normas y marcos de trabajo considerados
Gestión de
ciberseguridad
- COBIT 5 (TCS) - Gestión de ciberseguridad,
Controles de seguridad existentes, Procesos de aplicación de ciberseguridad [14].
Auditoría de ciberseguridad
- OWASP, guía de pruebas [19].
- ISO 27001 - A.5.1.2, A.18.2.2. [18]. - COBIT 5 (TCS) - Auditoria y revisión de la
ciberseguridad [14].
Implementar
conciencia en ciberseguridad
- COBIT 5 (TCS) - Conciencia de seguridad [14].
Governanza - TOGAF 9.1 - Fase planificación
J. Gestión de cambios de la arquitectura (ACM)
Esta fase controla continuamente que el trabajo de ciberseguridad responde a las necesidades de la organización, y que los cambios que han surgido se gestionen de manera controlada para que no causen un impacto negativo. En la tabla 12 se encuentran los marcos y normas que soportan el trabajo de ciberseguridad de las actividades de esta fase.
TABLA 12. MARCOS DE REFERENCIA PARA ACTIVIDADES DE LA FASE ACM
Actividad Normas y marcos de trabajo considerados
Gestión de cambios
- TOGAF 9.1 - 16.2.2. Proceso de gestión de cambios de la arquitectura empresarial [13].
Gestión de
riesgos - TOGAF y SABSA: Gestión de riesgos [12].
Gobernanza de
la ciberseguridad
- COBIT 5 (TCS) - Objetivos de gobernanza de ciberseguridad, Gobernanza de ciberseguridad en el
dominio EDM, Gobernanza de ciberseguridad en el
dominio APO [14].
V. RESULTADOS
Para el proceso de validación de las actividades se utilizó una aplicación que permitió evaluar el nivel de ciberseguridad que posee una organización, a través de un conjunto de ítems para cada actividad, donde se consideró el punto de vista de las normas y marcos de referencia citados en cada actividad. De acuerdo a las pruebas de verificación, en la Fig. 3 se puede observar el porcentaje de cumplimiento de ciberseguridad de cada fase, dentro del caso de estudio evaluado en una organización.
Figura 3 – porcentaje de cumplimiento de ciberseguridad de acuerdo a cada
fase de la guía
Como se observa en la Fig. 3 normalmente no se lleva un trabajo de ciberseguridad de acuerdo a las actividades planteadas para el caso evaluado, en donde intervienen las normas y marcos de trabajo de cada actividad; lo se ve reflejado en los porcentajes que representan las actividades de oportunidades y soluciones y planificación de la migración.
En la Fig. 4 se puede ver la fase de gestión de requerimientos que muestra los ítems, que han sido cumplidos y los que aún no se han cumplido; la validación de esta fase muestra que la mayoría de los ítems evaluados no han sido cumplidos, lo que refleja un bajo control en cada una de las fases del ADM.
Figura 4 – Items cumplidos y no cumplidos en la fase de gestión de
requerimientos
En la iteración de evaluación de capacidad arquitectónica, donde están las actividades de la fase preliminar que alcanza un 52% y la fase de visión de arquitectura que alcanza un 55%, son las fase que cuentan con un mayor porcentaje de cumplimiento, las mismas que tienen el objetivo de verificar que estén claros los lineamientos necesarios para iniciar el trabajo de implementación de ciberseguridad. Dentro de la evaluación de la iteración de desarrollo se encuentran las fases de arquitectura de negocio, arquitectura de SI y la arquitectura tecnológica. Hay que prestar mucha atención a esta iteración, puesto que el cumplimiento de la misma determina que existan los controles y procesos necesarios de ciberseguridad en los servicios y SI de la organización, que dentro del caso evaluado solo alcanza un porcentaje que esta alrededor del 25%. En la iteración de transición interviene la fase de oportunidades y soluciones y la fase de planificación de la migración, las mismas que priorizan los procesos a implementar.
VI. CONCLUSIONES
Una organización que cuente con una AE formalmente definida facilita la integración de ciberseguridad, dentro de la misma, debido a que se aprovechan los procesos trabajados dentro de ella. De acuerdo al caso de estudio se observa que si los procesos de AE, no han sido trabajados formalmente afectan a cada una de las fases y se refleja en el nivel de la ciberseguridad.
La flexibilidad proporcionada por el ADM-TOGAF y su capacidad para trabajar con otras normas y marcos de trabajo, permiten adaptar las actividades requeridas de ciberseguridad en cada una de sus fases. Los controles, técnicas y procesos de estas normas y marcos de trabajo de COBIT 5, ISO 27001, ISO 27032 y NIST, permitieron elaborar un marco de referencia de ciberseguridad para trabajar dentro del entorno de una AE; en donde cada actividad que se validó en el caso de estudio, y que no haya sido cumplida de acuerdo a las normas y marcos de trabajo propuestos, representan un punto bajo dentro de la fase a la que pertenecen y por consiguiente en el modelo.
La evaluación que se realiza mediante el análisis de brechas, durante la fase de Arquitectura de SI para identificar el estado actual y así definir un estado objetivo, debe ser una prioridad para mejorar la seguridad en los controles de los SI, más los puntos elaborados dentro de las políticas de ciberseguridad de la fase de Arquitectura de Negocio, que determinan el horizonte a alcanzar con la ciberseguridad.
La importancia que se dé al trabajo y gestión de ciberseguridad es un tema que debe ser considerado, desde el nivel más alto de la cadena de mando hasta el más bajo, donde se lleve una comunicación fluida para actuar ágilmente ante el riesgo de ataques informáticos, y así mismo resolverlos. Esta importancia va ligada desde los principios y requerimientos de ciberseguridad, para así tener claro el trabajo de la ciberseguridad y lo que se tratara de resolver con la misma.
REFERENCIAS
[1] Equipo de Investigación de ESET Latinoamérica, «Pérdida de
privacidad y mecanismos para proteger la información en internet,»
p. 4, 2014.
[2] X. Servitja Roca, «Ciberseguridad, contrainteligencia y operaciones
encubiertas en el programa nuclear de irán,» IEEE, 7 Mayo 2013.
[3] E. Niemi y S. Pekkola, «Enterprise Architecture Quality Attributes: A Case Study,» Computer Society, p. 3878, 2013.
[4] N. León Beltrán, Y. Toapanta Bastidas, R. Delgado Rodríguez y D.
Marcillo Parra, Metodología para la creación de arquitecturas de información empresarial para pequeñas y medianas empresas
(Pyme's) apoyada en las TIC'S y herramientas web 2.0 y 3.0, 2010,
p. 79.
[5] J. Osorio, «Togaf y Zachman Framework,» pp. 19 - 20, 2010.
[6] The Open Group and The SABSA Institute, «TOGAF Architecture
Development Method (ADM),» 2011.
[7] 27001 Academy, «27001 Academy,» 2013. [En línea]. Available:
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001.
[Último acceso: 5 Noviembre 2013].
[8] ISO 27000.ES, «ISO/IEC 27032,» 16 julio 2012. [En línea].
Available: http://www.iso27000.es/iso27000.html. [Último acceso:
16 Noviembre 2014].
[9] ISO, «ISO/IEC 27032:2012,» ISO / IEC 27032:2012, 2012. [En
línea]. Available:
http://www.iso.org/iso/catalogue_detail?csnumber=44375.
[10] ISACA, «New COBIT 5 Guide Identifies Top Three Cybersecurity
Game Changers,» 19 Junio 2013. [En línea]. Available:
http://www.isaca.org/About-ISACA/Press-room/News-Releases/2013/Pages/New-COBIT-5-Guide-Identifies-Top-Three-
Cybersecurity-Game-Changers.aspx. [Último acceso: 11 Octubre
2014].
[11] NIST, «Framework for Improving Critical Infraestructure
Cybersecurity,» 12 Febrero 2014. [En línea]. [Último acceso: 10
Octubre 2014].
[12] The Open Group TOGAF-SABSA Integration Working Group,
«TOGAF and SABSA Integration,» 2011. [En línea]. [Último
acceso: 3 Noviembre 2014].
[13] The open Group, «The open Group,» 2011. [En línea]. Available:
http://pubs.opengroup.org/architecture/togaf9-doc/arch/index.html.
[Último acceso: 11 Febrero 2014].
[14] ISACA, «Transforming Cybersecurity Using COBIT 5,» 2013. [En
línea]. [Último acceso: 18 Julio 2014].
[15] ISACA, «Marco de riesgos de TI,» 2009. [En línea]. [Último acceso: 14 Noviembre 2014].
[16] ISACA, «The Risk IT Practitioner Guide,» 2009. [En línea]. [Último
acceso: 17 Octubre 2014].
[17] Ministerio de Justicia, Derechos Humanos y Cultos, Código
Orgánico Integral Penal (COIP), Quito, Pichincha, 2014, pp. 93 - 95.
[18] ISO, «ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems --
Requirements,» 25 Septiembre 2013. [En línea].
[19] OWASP, «OWASP Testing Guide v4,» 17 Mayo 2014. [En línea]. [Último acceso: 6 Julio 2014].