IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA

CIBERSEGURIDAD NIST CSF DESDE LA PERSPECTIVA DE

COBIT 5

IMPLEMENTATION OF THE FRAMEWORK FOR CYBERSECURITY

NIST CSF FROM PERSPECTIVE OF COBIT 5
Yosvany Castaño Gil1

1 Grupo de Administración Empresarial S.A. (GAE), Cuba, yosvany@nac.gae.com.cu, Avenida del Puerto 4to piso e/ Jústiz
y Obrapía, Habana Vieja, La Habana. CP 10100

RESUMEN: El auge de la sociedad de la información y el aumento de los niveles de conectividad, han llevado
a las organizaciones a mejores mercados económicos para la sostenibilidad. Pero a la par de estos desarrollos,
el cibercrimen está creciendo rápidamente, lo que hace que sea vital adoptar y mantener un sólido perfil de ci-
berseguridad. Debido a esto, las organizaciones necesitan un enfoque pragmático para implementar la efectivi-
dad de las contramedidas de seguridad que les permita ajustar sus estrategias y decidir sobre las inversiones, lo
cual significa que la ciberseguridad se convierte en un desafío moderno para la gobernanza. Para ayudar a las
organizaciones a abordar y evaluar los aspectos relacionados con la ciberseguridad, el Instituto Nacional de
Estándares y Tecnología (NIST, por sus siglas en inglés) ha desarrollado un marco de trabajo para la cibersegu-
ridad (NIST CSF) con un conjunto de buenas prácticas. Aun así, cada empresa es diferente, creando desafíos
únicos para su implementación. En tal sentido, el marco de gobierno de COBIT 5 ha demostrado ser extrema-
damente valioso. Este trabajo describe los pasos para llevar su programa de ciberseguridad NIST CSF bajo una
estructura COBIT 5, estableciendo las similitudes de principios, procesos y niveles de madurez con respecto al
NIST CSF, lo que hace que el acoplamiento de estos marcos en un enfoque de gobernanza coherente sea una
buena decisión.

Palabras Clave: Ciberseguridad, Gobernanza, NIST CSF, COBIT 5.

ABSTRACT: The rise of the information society and the increase in levels of connectivity have led organizations
to better economic markets for sustainability. But along with these developments, cybercrime is growing rapidly,
which makes it vital to adopt and maintain a strong cybersecurity profile. Because of this, organizations need a
pragmatic approach to implement the effectiveness of security countermeasures that allow them to adjust their
strategies and decide on investments, which means that cybersecurity becomes a modern challenge for govern-
ance. To help organizations to address and evaluate aspects related to cybersecurity, the National Institute of
Standards and Technology (NIST) has developed a framework for cybersecurity (NIST CSF) with a set of good
practices. Even so, each company is different, creating unique challenges for its implementation. In this regard,
the COBIT 5 governance framework has proven to be extremely valuable. This paper describes the steps to take
your NIST CSF cybersecurity program under a COBIT 5 structure, establishing the similarities of principles, pro-
cesses and maturity levels with respect to the NIST CSF, which makes the coupling of these frameworks into a
coherent governance is a good decision.

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA PERS-
PECTIVA DE COBIT 5
”

KeyWords: Cybersecurity, Governance, NIST CSF, COBIT 5.

1. INTRODUCCIÓN críticas y el Big Data [4].

No prepararse para estas amenazas podría expo-
La vida moderna depende cada vez más de una ner a las empresas a la pérdida de ingresos, pér-
multitud de infraestructuras interconectadas e dida de reputación, operaciones interrumpidas y
interdependientes. Si bien sectores como el indus- medidas reguladoras [9]. Para mejorar sus postu-
trial, el hidráulico, el de la salud, el del transporte y ras de ciberseguridad, se podrían considerar dife-
otros, siempre se han considerado críticos por la rentes marcos de ciberseguridad, estándares y
infraestructura que los soporta, cada vez más su mejores prácticas. Algunos de estos son el Marco
capacidad de producción y entrega está más de Ciberseguridad del Instituto Nacional de Están-
comprometida con las Tecnologías de la Informa- dares y Tecnología (NIST CSF) [10], [11], la Orga-
ción y las Comunicaciones (TIC) que se han con- nización Internacional de Normalización (ISO) y la
vertido en componentes esenciales de la vida Comisión Electrotécnica Internacional (IEC), ISO /
cotidiana [1]. IEC 27001: 2013 [12] y COBIT 5 [13] entre otros.
La evolución rápida de las TIC ha provocado la El presente trabajo describe los pasos para la
búsqueda de mejores soluciones y productos para adopción del marco de ciberseguridad NIST CSF
el mundo digital. El avance tecnológico y una ma- en una organización bajo una estructura COBIT 5,
yor conectividad han llevado a las organizaciones guiado a través de sus principios y las fases del
a mejores mercados económicos para la sosteni- ciclo de vida para la implementación de un marco
bilidad. Aparejado al desarrollo tecnológico y el de gobierno para las TIC.
aumento de los niveles de conectividad, el ciber-
crimen también está creciendo rápidamente [2].
2. CONTENIDO
En consecuencia, las empresas necesitan un en-
foque pragmático para monitorear la efectividad 2.1 Materiales y Métodos
de las contramedidas de seguridad que le permi-
tan ajustar su estrategia y decidir sobre sus planes En la realización de la investigación se utilizaron
de inversiones [6]. De esta manera adoptarían un los siguientes métodos científicos:
esquema de gobernabilidad basado en informes o
medidas que evalúen la adecuación de la seguri- Histórico lógico y el dialéctico: para el estudio
dad de la información y el retorno de la inversión, crítico de trabajos anteriores. También para com-
de manera tal que se cumplan los objetivos de la probar la evolución del fenómeno investigado y el
organización [6]. comportamiento de este en una secuencia tempo-
ral.
El tema de la gobernanza de la ciberseguridad ha
evolucionado y ha alcanzado un mayor grado de Hipotético-deductivo: permite a través de los
importancia a medida que las organizaciones au- conocimientos generales abarcados, definir
mentan su eficiencia operativa a través de la tec- criterios específicos, conceptos del fenómeno
nología de la información. Como resultado, las investigado y factores de alta influencia en las
organizaciones deben comprender la profundidad etapas de la investigación, además de relacionar
y la amplitud de la investigación sobre el tema de elementos de conceptos relevantes para lograr el
la gobernanza de la seguridad de la información objetivo propuesto en la investigación.
para elegir la mejor metodología para su imple- Analítico-sintético: utilizado al descomponer el
mentación. Con ello las organizaciones pueden problema de investigación en elementos por
planificar mejor y actuar para obtener ventajas separado y profundizar en el estudio de cada uno
competitivas, evitando penalidades o pérdidas de ellos, para luego sintetizarlos en la solución de
legislativas o la confianza de los accionistas [7]. la propuesta.
La ciberseguridad es un desafío moderno para la Inducción-deducción: para definir criterios
gobernanza [8]. En la misma medida que los sec- específicos a partir de los conocimientos
tores público y privado continúen entregando bie- generales, conceptos del fenómeno investigado y
nes a través de medios digitales, el dominio del factores de alta influencia en las etapas de la
ciberespacio continuará expandiéndose y será investigación a partir del análisis de la bibliografía
más relevante para el campo de la gobernanza. que se consulta.
Este nuevo dominio plantea amenazas a la gober- Análisis documental: en la consulta de la
nanza en forma de guerra cibernética, terrorismo literatura especializada, para extraer la
cibernético, ciberespionaje y cibercrimen, y crea información necesaria que responda a las
nuevas vulnerabilidades como las Infraestructuras características distintivas del problema.
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

una función de auditoría y aseguramiento comple-

ta [17].
La gobernanza juega un papel extremadamente
2.2 Gobernanza de la ciberseguridad importante en el logro del objetivo de seguridad de
la organización no solo para las necesidades ac-
La gobernabilidad de TI (GTI) se ha convertido en
tuales, sino también para asegurar planes de miti-
elemento fundamental para responder a los reque-
gación bien elaborados para los desafíos futuros.
rimientos cada vez más exigentes de las TI y con-
Para abordar los problemas actuales, el marco de
tribuir a mejorar la calidad de la toma de decisio-
gobernanza debe contemplar mejoras a las políti-
nes [14].
cas de seguridad; la implementación de controles
El gran problema del gobierno de TI es alinear los técnicos; auditorías y evaluaciones; e impulsar el
objetivos estratégicos de TI con los de la organi- conocimiento entre las personas para moldear su
zación y entregar valor [15]. El valor consiste en actitud hacia comportamientos seguros [18].
lograr beneficios comerciales mientras se optimi-
La ciberseguridad es un ecosistema; sus compo-
zan los riesgos y los recursos. Los elementos en
nentes están interrelacionados y son inseparables.
esta definición de "valor" pueden ser explicados
Requieren intervenciones cualitativas, subjetivas y
de la siguiente manera:
de riesgo. La ciberseguridad, las TIC las amena-
 La realización de beneficios. Significa la zas son demasiado complejas y volátiles para que
generación de nuevos beneficios para la las organizaciones gestionen todos los riesgos y
empresa, el mantenimiento y ampliación vulnerabilidades de manera ágil y oportuna. Las
de las formas existentes de beneficios y la empresas deben desconectarse de redes insegu-
eliminación de aquellas iniciativas y acti- ras, encriptar su información más sensible y frenar
vos que no están creando suficiente valor. su apetito por tecnología nueva y no segura [19].
 La optimización del riesgo. Significa que La ciberseguridad es multidimensional y requiere
el apetito y la tolerancia al riesgo de la de personal especializado. Las organizaciones
empresa son entendidos y gestionados de necesitan escalar la ciberseguridad hacia una de
forma óptima. las prioridades a nivel empresarial y no verla so-
 La optimización de los recursos. Signi- lamente subordinada a las TIC e involucrar a es-
fica que la empresa hace un uso efectivo, pecialistas en todos los niveles y fases del ciclo de
eficiente y responsable de todos los recur- vida del negocio [19].
sos disponibles: humanos, financieros,
equipamiento, inmuebles, etc. [13] 2.2.1 Necesidad de un enfoque único y
A este desafío de proporcionar valor, se agregan simple para la gobernanza de la ci-
términos como ciberseguridad, cibercrimen y ci- berseguridad
berguerra, los cuales han tomado relevancia en el
mundo de la seguridad en general debido, en par- Reconociendo que la ciberseguridad no es un
te, a la evolución tecnológica y, en mayor medida, tema que sólo compete a las TIC, los directivos
al incremento en las violaciones de seguridad [17]. deben asegurarse de que en la empresa se desa-
Aunque la ciberseguridad se ha pensado tradicio- rrolle o implemente un marco de trabajo para la
nalmente como un problema tecnológico, el riesgo gobernanza y gestión de los riesgos y la seguri-
de ciberseguridad no puede ser dirigido sólo por dad. Existe una gran variedad de éstos, incluso,
soluciones técnicas, sino que requiere varios nive- hay una gran disponibilidad de buenas prácticas
les de esfuerzo que involucran: para todo: gobernanza, riesgo, ciclos de desarro-
llo, gestión de servicios y por supuesto para ciber-
 Aplicación de la tecnología.
seguridad.
• Supervisión de la Gestión. Las listas de estas buenas prácticas incluyen mar-
• Conciencia legal y regulatoria. cos de trabajo, cuerpos de conocimiento, estánda-
• Capacitación de los empleados. res, metodologías, entre otras. Pueden ser encon-
tradas tanto en el dominio público como propieta-
• La adopción y aplicación de políticas y rio. Pero el secreto para el éxito en la adopción de
procedimientos que rijan el entorno de éstas buenas prácticas para la organización radica
tecnología de la información [16]. en no creer que un solo marco de trabajo puede
En este sentido, la postura de una empresa debe gestionar todas las necesidades de la entidad,
encajar en una estructura integral más amplia del sino la combinación de todas las buenas prácticas
gobierno y la gestión de las TIC. Debe contener posibles en un marco de trabajo para la gobernan-
una estructura con programas adecuados de go- za que gobierne y gestione el uso de todos estos
bernanza, riesgo y control (GRC) y respaldada por
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

marcos de trabajo de forma integral [17]. diferentes estándares, directrices y mejores prác-
Desde una perspectiva de ciberseguridad, la lista ticas a nivel internacional, su implementación no
de buenas prácticas está creciendo rápidamente y está limitada únicamente a Estados Unidos. De
todas ellas presentan proposiciones significativas hecho, su despliegue fuera de las fronteras de ese
de valor para las organizaciones si son implemen- país agrega una nueva capa de cooperación e
tadas de forma correcta. Una solución viable para integración global en ciberseguridad, tema que no
la ciberseguridad es adoptar un marco de trabajo está restringido a un ámbito geográfico en particu-
que gestione marcos de trabajo. Esto se puede lar.
llevar a cabo con la intersección del marco de El CSF está basado y/o hace referencia a los si-
trabajo para la ciberseguridad del NIST (NIST guientes estándares, directrices y mejores prácti-
CSF) [10; 11] y COBIT 5 [13] como un marco de cas:
trabajo integrador [17].  COBIT 5 [13; 16; 21].
memorias y los diplomas que otorga la Conven-
 Council on CyberSecurity (CCS) Top 20
ción.
Critical Security Controls (CSC).
 ANSI/ISA-62443-2-1 (99.02.01)-2009 [22].
2.2.2 La estructura del NIST CSF
 ANSI/ISA-62443-3-3 (99.03.03)-2013 [23].
El Instituto Nacional de Estándares y Tecnología  ISO/IEC 27001:2013 [12].
(NIST) ha confeccionado marco de trabajo para  NIST SP 800-53 Rev. 4 [24].
proporcionar orientación a las organizaciones den-
tro del sector de las infraestructuras críticas para
reducir el riesgo asociado con la ciberseguridad. El marco de trabajo se encuentra compuesto de
El marco se llama NIST Cyber Security Frame- tres partes principales: El marco bási-
work for Critical Infrastructure (NIST CSF). Ac- co (Framework Core), los niveles de implemen-
tualmente cuenta con dos versiones, una lanzada tación del marco (Framework Implementation
en el 2014 [10] y otra más reciente lanzada en el Tiers) y los perfiles del marco (Framework Profi-
2017 [11]. La implementación del NIST CSF nece- les) [10; 11]. Ver Figura 1.
sita alinearse y complementarse con otros marcos
existentes. El NIST afirma que el CSF no es un
marco de madurez. Por lo tanto, es necesario
adoptar un modelo de madurez existente o crear
uno para tener una forma común de medir el pro-
greso de la implementación del CSF [20].
De acuerdo con el NIST: “El marco de trabajo es
una guía voluntaria, basada en estándares, direc-
trices y prácticas existentes para que las organi-
zaciones de infraestructura crítica gestionen mejor
y reduzcan el riesgo de ciberseguridad. Además,
se diseñó para fomentar las comunicaciones de
gestión del riesgo y la seguridad cibernética entre
los interesados internos y externos de la organiza-
ción" [10].
A pesar que el marco de trabajo fue desarrollado
teniendo en mente la protección de la infraestruc-
tura crítica de Estados Unidos, su implementación
es asumible de forma indistinta en cualquier orga-
nización independientemente de su tamaño, grado
de riesgo o sofisticación de ciberseguridad.
Es importante tener presente que el marco de
trabajo no es un documento estático, sino que Figura. 1: Componentes del NIST CFS. Fuente:
cada organización puede determinar – con base adaptado de [10; 11]
en sus necesidades – las actividades que conside-
ra prioritarias, permitiendo de esa forma un des-
pliegue personalizado y paulatino.
Debido a que la base del marco de trabajo está Marco básico (Framework Core)
fundamentada en la integración de los criterios de Es un conjunto de actividades de ciberseguridad,
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

resultados esperados y referencias aplicables que Referencias

son comunes a los sectores de infraestructuras Funciones Categorías Subcategorías
Informativas
críticas, en términos de estándares de la industria,
directrices y prácticas que permiten la comunica-
ción de actividades de ciberseguridad y sus resul- Identificar
tados a lo largo de la organización, desde el nivel
ejecutivo hasta el nivel de implementa-
ción/operación.
Para ello, emplea cinco funciones fundamentales:
Identificar (Identify): Permite determinar los sis- Proteger
temas, activos, datos y competencias de la orga-
nización, su contexto de negocio, los recursos que
soportan las funciones críticas y los riesgos de
ciberseguridad que afectan este entorno.
Detectar
Proteger (Protect): Permite desarrollar e imple-
mentar las contramedidas y salvaguardas necesa-
rias para limitar o contener el impacto de un even-
to potencial de ciberseguridad.
Detectar (Detect): Permite desarrollar e imple- Responder
mentar las actividades apropiadas para identificar
la ocurrencia de un evento de ciberseguridad a
través de la monitorización continua.
Responder (Respond): Permite la definición y
despliegue de actividades para reaccionar frente a Recuperar
un evento de ciberseguridad identificado y mitigar
su impacto.
Recuperar (Recover): Permite el despliegue de Figura. 2: Estructura del marco básico del NIST
actividades para la gestión de resiliencia y el re- CFS. Fuente: adaptado de [10; 11]
torno a la operación normal después de un inci-
dente. Niveles de implementación del marco (Frame-
A su vez, cada una de estas funciones cuenta con work Implementation Tiers)
categorías y sub-categorías con sus referencias Los niveles de implementación le permiten a la
informativas relacionadas (estándares, directrices organización catalogarse en un umbral predefinido
y prácticas). Ver figura 2. en función de las prácticas actuales de gestión de
riesgo, el entorno de amenazas, los requerimien-
tos legales y regulatorios, los objetivos y misión
del negocio y las restricciones de la propia empre-
sa. Ver figura 3.
Los rangos de los niveles de implementación son
los siguientes:
Nivel 1 – Parcial (Partial): En este nivel las prác-
ticas de gestión de riesgos de ciberseguridad no
están formalizadas (ad-hoc) y actúan por lo gene-
ral de forma reactiva. La priorización de activida-
des no se encuentra alineada con los objetivos de
riesgo organizacionales, el entorno de amenazas
ni con los requerimientos de negocio. Se cuenta
con una mínima participación externa en términos
de colaboración y compartición de información.
Nivel 2 – Riesgos informados (Risk Infor-
med): En este nivel las prácticas de gestión de
riesgo están aprobadas por la Dirección, pero
pueden no estar establecidas como una política
global. Se cuenta con procedimientos y procesos
definidos e implementados y con personal cualifi-

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

cado. La participación externa se realiza de ma- Perfiles del marco (Framework Profiles)
nera informal.
Los perfiles se emplean para describir el estado
Nivel 3 – Repetible (Repeatable): En este nivel actual (Current profile) y el estado objetivo (Target
las prácticas formales de gestión de riesgo son profile) de determinadas actividades de cibersegu-
actualizadas regularmente como parte de la apli- ridad. El análisis diferencial entre perfiles permite
cación de análisis en cambios en requerimientos la identificación de brechas que deberían ser ges-
de negocio, amenazas o tecnologías. Se ha esta- tionadas para cumplir con los objetivos de gestión
blecido un marco de colaboración formal con ter- de riesgos.
ceros.
Para ello, se requiere la definición de un plan de
Nivel 4 - Adaptativo (Adaptive): Las prácticas acción que incluya una priorización de actividades
de ciberseguridad están basadas en lecciones dependiendo de las necesidades de negocio y
aprendidas e indicadores predictivos derivados de procesos de gestión de riesgos de la organización.
actividades previas y actuales de ciberseguridad, Este enfoque basado en el riesgo le permite a la
a través de un proceso de mejora continua de organización estimar los recursos necesarios (por
adaptación a los cambios. Estas tareas hacen ejemplo, personal y financiación) para lograr las
parte de la cultura organizacional. Se colabora de metas de ciberseguridad establecidas de una ma-
forma activa con terceros, compartiendo informa- nera rentable y priorizada.
ción de eventos de ciberseguridad.

Figura. 3: Niveles de implementación del NIST CFS. Fuente: adaptado de [10; 11]

De acuerdo con las descripciones anteriores, la

arquitectura global del marco de trabajo de ciber-
seguridad quedaría como muestra la figura 4:

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

NIST CSF Figura. 5: Pasos para la implementación de un

programa de ciberseguridad basado en el NIST
Marco Básico Niveles Perfiles CFS. Fuente: adaptado de [10; 11]
Funciones
2.2.3 Adoptando un programa de ciber-
Nivel 1: Parcial Perfil Actual seguridad usando COBIT 5
Identificar Categorías
Independientemente del tipo de marco, la adop-
ción puede ser típicamente logrado de una de dos
Nivel 2: Riesgo
Proteger maneras:
Informado
a. Adoptar el marco de trabajo gradualmente
Plan de Acción
Subcategorías comenzando con poco para crear ganan-
Detectar
cias rápidas y aprovechando los éxitos ini-
Nivel 3: Repetible ciales para iterar las implementaciones de
forma regular.
Responder
b. Usando un enfoque de "Big Bang" en toda
Referencias
Informaticas
la empresa [17].
Nivel 4: Adaptativo Perfil Objetivo
Recuperar Aunque el enfoque del Big Bang puede ser una
solución viable, dependiendo de la situación, ge-
neralmente es mejor adoptar la opción 1, el enfo-
Figura. 4: Arquitectura del NIST CFS. Fuente:
adaptado de [10; 11]
que gradual. El enfoque de implementación de
NIST es muy bueno con el marco COBIT 5, por-
Implementación del NISTCSF que COBIT 5:
La implementación de un programa de cibersegu-  Emplea una estructura basada en princi-
ridad basado en CSF consta de los siguientes pios
pasos iterativos:  Proporciona un enfoque holístico
Paso 1 – Priorización y definición de alcance.  Tiene una metodología de implementación
Paso 2 – Orientación. gradual e iterativa
Paso 3 – Crear un perfil actual.  Se usa como referencia informativa en el
Paso 4 – Ejecutar un análisis de riesgos. CSF de NIST
Paso 5 – Crear un perfil objetivo.  Incluye un programa de evaluación basa-
do en estándares de la industria [17]
Paso 6 – Determinar, analizar y priorizar las
brechas detectadas. Por lo tanto, no sorprende que COBIT 5 sea una
opción natural para adoptar no solo prácticas sóli-
Paso 7 – Implementar el plan de acción. das de GRC, sino también prácticas de cibersegu-
Paso 8 – Revisión del plan de acción. ridad basadas en el NIST CSF. La Figura 7 mues-
Paso 9 – Gestión del ciclo de vida. Ver figura 5. tra la alineación entre los pasos y principios de
implementación del NIST CSF y COBIT 5. Usar
una metodología de implementación comprobada
en la industria es primordial. Debido a que NIST
CSF y COBIT 5 se alinean muy bien, es un enfo-
que lógico. Los siguientes son los pasos de una
implementación empresarial típica.

Paso 1 – Priorización y definición de alcance:

El objetivo de este paso es comprender el enfoque
actual de la gobernanza y la ciberseguridad en la
empresa e identificar las partes interesadas clave,
la misión de la organización, los roles y las res-
ponsabilidades. Esto se alinea con la fase de im-
plementación de COBIT 5 ¿Cuáles son los moti-
vos? y el principio Satisfacer las necesidades de
las partes interesadas.
El paso 1 es también el momento adecuado para
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

realizar un ejercicio de cascada de metas (otra dad. Los niveles describen los atributos que se
característica en COBIT 5), que es una herramien- deben tener en cuenta al completar el perfil actual
ta realmente útil y efectiva. La cascada de metas y crear un perfil objetivo más adelante, y describir
es una serie de asignaciones que permiten a una la progresión de la implementación. Estos niveles
empresa vincular las necesidades de las partes también se alinean bien con los niveles de capaci-
interesadas con los objetivos empresariales, los dad de proceso de COBIT 5. La figura 8 muestra
objetivos relacionados con TI y los objetivos de los cuatro niveles.
habilitación. La figura 6 muestra una descripción a Este paso lleva a cabo una evaluación de estado
alto nivel de la cascada de metas. actual utilizando el enfoque ISO 15504 [25] para
procesar la capacidad. La metodología de evalua-
ción COBIT 5 [26] se utiliza para completar el perfil
actual, iterar a través de cada subcategoría y re-
gistrar el estado actual, que va desde no alcanza-
do hasta totalmente alcanzado.
Por lo tanto, un perfil actual también se puede
denominar estado actual. Este es el resultado
clave del paso 3. El NIST CSF proporciona una
plantilla para esto, como se ilustra en la tabla I. En
esta plantilla de muestra, cada una de las subca-
tegorías está vinculada a prácticas específicas de
COBIT 5. Estas subcategorías también se pueden
vincular a las otras referencias de la industria. La
información sobre estas prácticas específicas de
COBIT 5 se puede encontrar en la guía COBIT 5:
Habilitación de procesos [27].
Paso 4 y 5 – Ejecutar un análisis de riesgos y
Crear un perfil objetivo: El propósito de estos
dos pasos es identificar las amenazas generales y
las vulnerabilidades de los sistemas y activos
identificados anteriormente, y determinar la proba-
bilidad y el impacto de un evento de ciberseguri-
dad. Estos pasos dan como resultado final un
catálogo de posibles riesgos de seguridad y una
evaluación del impacto en el negocio, un nivel de
capacidad objetivo y un perfil objetivo.
Estos dos pasos se alinean con el paso de imple-
Figura. 6: Cascada de metas de COBIT 5. Fuen- mentación de COBIT 5, ¿Dónde queremos ir?, y
te: [13] los principios de COBIT 5 Cubrir la empresa de
extremo a extremo y Aplicar un marco de referen-
Paso 2 y 3 – Orientación y Crear un perfil ac- cia único integrado.
tual: Ahora que las metas en cascada están com- Paso 6 – Determinar, analizar y priorizar las
pletas, es hora de identificar amenazas y vulnera- brechas detectadas: En este paso, la organiza-
bilidades de esos sistemas y activos. El propósito ción busca comprender y documentar las acciones
de estos dos pasos es obtener una comprensión necesarias para cerrar las brechas entre los en-
de los sistemas y activos de la organización que tornos de estado actuales y de destino. Este paso
permiten la misión descrita en el Paso 1. Estos está alineado con el paso de implementación de
pasos se alinean con la implementación de COBIT COBIT 5 ¿Qué es preciso hacer? y los principios
5, Paso 2, ¿Dónde estamos ahora? y los princi-
de COBIT 5 Cubrir la empresa de extremo a ex-
pios de COBIT 5 Cubrir la empresa de extremo a
tremo y Aplicar un marco de referencia único inte-
extremo y Aplicar un marco de referencia único
grado.
integrado.
Aquí es donde los niveles de implementación del
marco entran en la ecuación. Estos son niveles de
implementación que pueden ayudar en la evalua-
ción y planificación de actividades de ciberseguri-

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Pasos de implementación Pasos de implementación

Principios de COBIT 5
del NIST CSF de COBIT 5

Priorización y definición ¿Cuales son los Satisfacer las

1 de alcance
1 motivos?
1 Necesidades de las Partes Interesadas

2 Orientación
¿Dónde estamos
2 ahora?
2 Cubrir la Empresa Extremo a Extremo
3 Crear un perfil actual

Ejecutar un análisis de
4 riesgos
3 ¿Dónde queremos ir?
Aplicar un Marco de Referencia Único
5 Crear un perfil objetivo 3 Integrado

Determinar, analizar y
6 priorizar las brechas
4 ¿Qué es preciso hacer?

Implementar el plan de ¿Cómo conseguiremos

7 acción
5 llegar?
4 Hacer posible un Enfoque Holístico

Revisión del plan de ¿Hemos conseguido

8 acción
6 llegar?

¿Cómo mantenemos
9 Gestión del ciclo de vida 7 vivo el impulso?

5 Separar el Gobierno de la Gestión

Figura. 7: Alineación en la implementación del NIST CSF y COBIT 5. Fuente: [17]

La entidad registra las diferencias entre los esta-  Estados

dos actuales y los deseados y utiliza COBIT 5:
 Prerrequisitos / dependencias
procesos catalizadores [27] para determinar las
prácticas y actividades que deben mejorarse para  Asignación de acciones
cerrar las brechas. Además de las lagunas, se  Los roles de los interesados
debe comprender los recursos y capacidades que
se requieren para llevar a cabo estos esfuerzos.
Este plan de acción de actividades incluye hitos, Paso 7 – Implementar el plan de acción: Una
responsabilidades y resultados deseados de vez que se conocen las lagunas y se han determi-
acuerdo con las prioridades establecidas. Un plan nado los planes para cerrar esas brechas, la em-
de acción debe incluir lo siguiente: presa puede ejecutar el plan que aborda las priori-
dades para mejorar la seguridad y cumplir los
 Identificación objetivos de las partes interesadas. Este paso
 Prioridades está alineado con el paso de implementación de
 Asunciones y Restricciones COBIT 5 ¿Cómo conseguiremos llegar? y el prin-
cipio COBIT 5 Hacer posible un enfoque holístico.
 Racionalidad La entidad debe considerar los desafíos, las cau-
 Acciones específicas sas y los factores de éxito mediante el uso de la
 Recursos guía de implementación de COBIT 5 [28], que
incluyen:
 Cronogramas / hitos
 Probar el enfoque haciendo pequeñas

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

mejoras inicialmente y para proporcionar ID.AM-4 APO02.02

algunas victorias rápidas.
APO03.03,
 Involucrar a todos los interesados APO03.04,
 Mejorar los procesos antes de intentar ID.AM-5 BAI09.02
aplicar la automatización. APO01.02,
 Establecer objetivos claros y medibles que ID.AM-6 DSS06.03
tributen a cuadros de mando que mues-
tren cómo marcha el rendimiento.
Paso 8 – Revisión del plan de acción: La enti-
 Comunicar en términos de impacto para el dad revisa la aplicación de las prácticas mejora-
negocio. das de gobernanza y de gestión, y confirma que el
Usar principios sólidos de administración de pro- plan de acción aportó los beneficios esperados.
yectos y programas en este paso es clave. Si este Este paso está alineado con el paso de implemen-
paso es exitoso, los resultados incluirán procedi- tación de COBIT 5 ¿Hemos conseguido llegar?
mientos operativos para elementos de acción im- Además, se evalúan las actividades desde el paso
plementado, informes de rendimiento y métricas. de implementación para garantizar que las mejo-
ras logren los objetivos previstos y los objetivos de
gestión de riesgos. Se debe documentar las lec-
Niveles de Niveles de ciones aprendidas e identificar cualquier necesi-
implementación del capacidad de dad específica de monitoreo continuo.
NIST CSF procesos COBIT 5 Paso 9 – Gestión del ciclo de vida: El objetivo
de este paso es proporcionar una revisión / eva-
0 Incompleto luación continua del éxito general de la iniciativa,
identificar otros requisitos de gobernanza y/o ges-
1 Parcial
tión y respaldar la mejora continua. Este paso está
1 Realizado alineado con el paso de implementación de CO-
BIT 5 ¿Cómo mantenemos vivo el impulso?

2 Rieso Informado 2 Gestionado

2.2.4 Auditoría y aseguramiento
Se permiten tres niveles diferentes de encabeza-
3 Repetible 3 Consolidado
dos a lo largo del artículo:
Tener este marco único e integrado para la gober-
4 Predecible nanza y gestión de las TIC y la ciberseguridad en
las entidades crea claramente valor para las mis-
4 Adaptativo
mas; sin embargo, dar por seguros todos estos
5 Optimizado esfuerzos es igualmente crítico. Desde la perspec-
tiva de la ciberseguridad, una auditoría proporcio-
Figura. 8: Alineación de los niveles de imple- na a la administración una evaluación de la efecti-
mentación del NIST CSF con los niveles de capaci- vidad de las políticas relacionadas con esta activi-
dad de procesos de COBIT 5. Fuente: [10; 11] dad, la implementación de controles y el logro de
los objetivos de los procesos. Estos pueden identi-
Tabla I: Plantilla para el perfil actual del NIST ficar las deficiencias internas y externas que po-
CSF drían afectar la capacidad de la entidad para cum-
plir sus objetivos. Teniendo en cuenta las tres
Práctica de líneas del modelo de defensa en la figura 9, la
Sub simple adopción de los marcos COBIT 5 y NIST
Función Categoría COBIT
Categoría se puede vincular a las dos primeras líneas de
relacionada defensa. Por lo tanto, teniendo la tercera línea de
BAI09.01, defensa, el departamento de auditoría, puede
ID.AM-1 BAI09.02 proporcionar una vista objetiva de cómo
las prácticas y actividades de los marcos son con-
Identificar Gestión BAI09.01, fiables, precisas y seguras.
(ID) de activos BAI09.02,
ID.AM-2 BAI09.05
ID.AM-3 DSS05.02
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

go, adoptando el marco COBIT 5 y el Marco del

Instituto Nacional de Estándares y Tecnología
(NIST) para mejorar la ciberseguridad de las infra-
estructuras críticas, puede ser un factor importan-
te en la creación de valor para las entidades. Es-
tos marcos se complementan bien; Las prácticas
de COBIT 5 se sincronizan con las categorías de
NIST CSF. Las metodologías de adopción para
cada marco tienen un parecido sorprendente, lo
que hace que el acoplamiento de estos marcos en
un enfoque de gobernanza coherente sea una
buena decisión. Estos marcos son modelos flexi-
bles que se pueden modificar para satisfacer las
necesidades de la empresa y permiten que cual-
Figura. 9: Modelo de tres líneas de defensa ba- quier organización tenga un marco central proba-
sado en COBIT 5 para el riesgo. Fuente: [29] do y repetible.
Existen numerosos programas disponibles en la
actualidad que brindan sólidos modelos para el 4. REFERENCIAS BIBLIOGRÁFICAS
aseguramiento. Teniendo en cuenta el tema de
este trabajo, tiene sentido adoptar un programa de [1]. CLEMENTE, D. Cyber Security and
auditoría que se centre en los marcos de COBIT 5 Global Interdependence: What is Critical?
y NIST CSF. El programa de auditoría / asegura- London: Royal Institute for International
miento para la ciberseguridad de ISACA basado Affairs/Chatham House, 2013. 40 p. ISBN
en NIST CSF, proporciona objetivos de control, 978-1-86203-278-1.
controles y pasos de prueba basados en las fun-
ciones, categorías, subcategorías y referencias [2]. PATRICK, H. y FIELDS, Z. A Need for
informativas del NIST CSF. Adoptar el modelo de Cyber Security Creativity. En Collective
las tres líneas de defensa, incorporado con proce- Creativity for Responsible and Sustainable
sos y prácticas sólidas, realmente proporciona un Business Practice. 2017, p. 42-61. ISBN
enfoque holístico que satisface las necesidades 978-1-5225-1823-5.
de las partes interesadas.

[3]. KLIMBURG, A. National Cyber Security

3. CONCLUSIONES Framework Manual. NATO Cooperative
Cyber Defence Centre of Excellence,
Con el presente trabajo se puede concluir que es
2014. 235 p. ISBN 978-9949-9211-2-6.
posible implementar un marco de trabajo de
ciberseguridad del NIST (NIST CSF) usando
COBIT 5 como marco único de referencia para la [4]. SCHJØLBERG, S. y GHERNAOUTI, S. A
gobernanza y la gestión de las TIC en las global treaty on cybersecurity and
entidades. cybercrime. 2da ed. AiTOslo, 2011. 98 p.
La gobernanza y la gestión de las TIC en las or- ISBN 978-82-997274-3-3.
ganizaciones, ha adquirido un nuevo significado
con el rápido crecimiento de la ciberseguridad y la [5]. ARORA, A.; NANDKUMAR, A., et al. Does
multitud de mejores prácticas existentes en el Information Security Attack Frequency
mercado. Dada la complejidad, no es de extrañar Increase with Vulnerability Disclosure? An
por qué algunas instituciones continúan luchando Empirical Analysis. Information Systems
con sus esfuerzos o toman acciones incompletas. Frontiers, December 2006, vol. 8, nº 5, p.
Aunque existen algunos enfoques excelentes para 350–362. [Consultado el: 2017-10-15
un programa de ciberseguridad, un factor crítico 20:29:22]. ISSN 1387-3326.
de éxito es garantizar que existan algunos princi-
pios clave: satisfacer las necesidades de las par-
tes interesadas, utilizar un enfoque holístico, abar- [6]. VOLCHKOV, A. How to Measure Security
car toda la empresa y aprovechar un único marco From a Governance Perspective ISACA
integrado. Todos estos principios conducen al Journal, 2013, vol. 5, nº p. 8. Disponible
objetivo empresarial de proporcionar valor. en:
Desde una perspectiva de ciberseguridad y/o ries- https://www.isaca.org/Journal/archives/20
13/Volume-5/Pages/How-to-Measure-
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Security-From-a-Governance- DE DESARROLLO PARA GOBIERNO TI

Perspective.aspx. ISSN 1526-7407. Scientia et Technica, Mayo 2009, nº 41, p.
6. ISSN 0122-1701
[7]. WILLIAMS, K. L. Management Wake-Up
and Govern: The Era of the Cyber Security [15]. WEILL, P.; SUBRAMANI, M., et al. IT
Governance. En 2014 Annual Global Infrastructure for Strategic Agility. Social
Online Conference on Information and Science Research Network. ID 317307.
Computer Technology. December 3-5 2002
2014. p. 50-52.
[16]. ISACA. Transforming Cybersecurity:
[8]. BRUIN, R. D. y SOLMS, S. H. V. Using COBIT 5. Rolling Meadows, Ill.:
Cybersecurity Governance: How can we Information Systems Audit and Control
measure it? En 2016 IST-Africa Week Association, 2013. ISBN 1604203412,
Conference. May 2016 2016. p. 1-9. 9781604203417.

[9]. TWENEBOAH-KODUAH, S.; TSETSE, A. [17]. ---. Implementing the NIST Cybersecurity
K., et al. Evaluation of Cybersecurity Framework. Isaca, 2014. 108 p. ISBN
Threats on Smart Metering System. En 978-1-60420-357-8.
Information Technology - New
Generations. Springer, Cham, 2018, p.
[18]. SLUSKY, L. y GOODRICH, J. A. Human
199-207. ISBN 978-3-319-54977-4, 978-
Factors of Cybersecurity Awareness. En
3-319-54978-1.
EdMedia: World Conference on
Educational Media and Technology. Junio
[10]. NATIONAL INSTITUTE OF STANDARDS 28 2016. p. 436-444.
AND TECHNOLOGY (NIST). Framework
for Improving Critical Infrastructure
[19]. TISDALE, S. M. ARCHITECTING A
Cybersecurity. Gaithersburg, Maryland
CYBERSECURITY MANAGEMENT
NIST U.S. Department of Comerce,
FRAMEWORK. Issues in Information
Versión: 1.0, publicado: Febrero 12 de
Systems, 2016, vol. 17, nº 4, p. 10.
2014.
[Consultado el: 2017-09-13]. Disponible
en:
[11]. ---. Framework for Improving Critical http://www.iacis.org/iis/2016/4_iis_2016_2
Infrastructure Cybersecurity. Gaithersburg, 27-236.pdf. ISSN 1529-7314.
Maryland NIST U.S. Department of
Comerce, Versión: 1.1, publicado: Enero
[20]. ALMUHAMMADI, S. y ALSALEH, M.
10 de 2017.
Information Security Maturity Model for
Nist Cyber Security Framework. En 11th
[12]. ISO/IEC. ISO/IEC 27001:2013. International Conference on Computer
Information technology — Security Science & Information Technology (CSIT
techniques — Information security 2017). February 25 2017. p. 51-62.
management systems — Requirements.
Ginebra, Zwitzerland: International
[21]. ISACA. COBIT 5 para Seguridad de la
Organization for Standarization.,
Información. Traducido por: The Isaca®
publicado: Octubre de 2013, 23 p.
Madrid Chapter. Rolling Meadows, Ill.:
Information Systems Audit and Control
[13]. ISACA. COBIT 5: A Business Framework Association, 2012. 220 p. ISBN 978-1-
for the Governance and Management of 60420-454-4.
Enterprise IT. Rolling Meadows, Ill.:
Information Systems Audit and Control
[22]. INTERNATIONAL SOCIETY OF
Association, 2012. ISBN 1604202378,
AUTOMATION (ISA). ANSI/ISA–62443-2-
9781604202373.
1 (99.02.01)–2009 Security for Industrial
Automation and Control Systems:
[14]. MARULANDA ECHEVERRY, C. E.; Establishing an Industrial Automation and
LÓPEZ TRUJILLO, M., et al. MODELOS Control Systems Security Program. North
“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”
”
 Yosvany Castaño Gil | “IMPLEMENTACIÓN DEL MARCO DE TRABAJO PARA LA CIBERSEGURIDAD NIST CSF DESDE LA
PERSPECTIVA DE COBIT 5
”

Carolina: ISA, publicado: Agosto de 2009, Model (PAM): Using COBIT 5. Rolling
170 p. Meadows, Ill.: Information Systems Audit
and Control Association, 2013. ISBN
1604202718, 9781604202717.
[23]. ---. ANSI/ISA-62443-3-3 (99.03.03)
Security for industrial automation and
control systems Part 3-3: System security [27]. ---. COBIT 5: Enabling Processes. Rolling
requirements and security levels. North Meadows, Ill.: Information Systems Audit
Carolina: ISA, publicado: Agosto 12 de and Control Association, 2013. 230 p.
2013, 43 p. ISBN 9781604202397.

[24]. NATIONAL INSTITUTE OF STANDARDS [28]. ---. COBIT 5 Implementación. Traducido

AND TECHNOLOGY (NIST). Special por: The Isaca® Madrid Chapter. Rolling
Publication 800-53 Information Security. Meadows, Ill.: Information Systems Audit
Paramount, CA: CreateSpace, 2011. ISBN and Control Association, 2012. 78 p. ISBN
978-1-4611-1235-8. 978-1-60420-289-2.

[25]. ISO/IEC. ISO/IEC 15504-2:2003. [29]. ---. COBIT 5 for Risk. Rolling Meadows,
Information technology -- Process Ill.: Information Systems Audit and Control
assessment -- Part 2: Performing an Association, 2013. ISBN 1604204575,
assessment. Ginebra, Zwitzerland: 9781604204575.
International Organization for
Standarization., 2003, 46 p.

[26]. ISACA. COBIT Process Assessment

5. SÍNTESIS CURRICULARES DE LOS AU-
TORES
Yosvany Castaño Gil, nacido el 27 de julio de 1971 en Santa
Clara, Villa Clara. Graduado en ingeniería en sistemas
automatizados de dirección en 1995 en el Instituto Técnico
Militar (ITM) “José Martí”. Se ha desempeñado por más de 25
años a la especialidad de informática. Dirigió un centro de
cálculo y diseño durante 6 años en la provincia de Matanzas y
luego fue jefe del Centro de Proyección e Integración de
Sistemas de la empresa XETID, siendo más tarde el Director
de la División de Servicios Profesionales de esa propia
entidad. Es graduado de la Maestría en Informática Avanzada
en su primera edición de la Universidad de las Ciencias
Informáticas UCI. Se desempeña en este momento como
Director de Informática del Grupo de Administración
Empresarial S.A. (GAE S.A.). Dirección de correo electrónico:
yosvany@nac.gae.com.cu

“XIII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información”

”