Interacción entre COBIT 4.1 AI2 y controles ISO 27002
1. 1
Interacción entre los Objetivos de control AI2 de COBIT 4.1 con los controles
de ISO/IEC 27002:2005
Luis Parra Martínez
Febrero 2017
UNIVERSIDAD CUN
OSCAR ANDRES ERASO ERASO
Informática y Convergencia Tecnológica
2. 2
Interacción entre los Objetivos de control AI2 de COBIT 4.1 con los controles
de ISO/IEC 27002:2005
Hasta hace unos años, una práctica común en las organizaciones era
la de asignar únicamente la función de soporte técnico a sus áreas de TI, además de excluirlas
en la planeación estratégica de la compañía. Este pensamiento está totalmente devaluado. En
una sociedad como la actual, globalizada e interconectada casi en su totalidad, donde la
información viaja a través del “ciberespacio” sin restricciones en la distancia o tiempo,
las aplicaciones son integradas a las redes sociales, ejecutándose en smartphones y
tablets, implementadas como un servicio (SaaS), y otros elementos que hacen parte de las
infraestructura tecnológica de las empresas de hoy día, les permiten a estas, estar en contacto con
sus socios y clientes con mayor frecuencia. Estos recursos generan mayores beneficios a las
empresas (mantienen clientes fidelizados y obtienen nuevos gracias a sus productos y/o
servicios) pero también exponen vulnerabilidades que pueden ser explotadas, con las
consecuencias que esto conlleva (Ejemplo: caso de ataque a los servicios de Play Station
Network de Sony, en el que se comprometió la información de 77 millones de cuentas de
usuarios).
Para reducir los riesgos a los que se ve expuesta la plataforma de
una organización (Software y/o hardware, comunicaciones, etc.); minimizar el impacto de uno o
más incidentes ocurridos y garantizar la continua operación de los servicios, las empresas se
valen de un conjunto de mejores prácticas que les permiten definir la hoja de ruta a las áreas de
TI, ya sea con la implementación de una de o la suma de varias de ellas, lo cual dependerá de las
necesidades de la compañía y que garantizará la gestión eficiente, efectiva y segura de los
3. 3
recursos tecnológicos. Aunque estas mejores prácticas están centradas en aspectos distintos
como el desarrollo de aplicaciones, gestión de problemas, continuidad de la operación y otras
áreas, cuentan también con elementos en común. El siguiente documento es un análisis del
control AI2 “Adquirir y mantener software aplicativo” de COBIT 4.1 frente a los controles de
ISO 27002, dos marcos de trabajo que manejan enfoques diferentes pero que tienen elementos en
común.
Como es de conocimiento la tecnología aporta muchísimo valor
indispensable en los negocios y ¿Qué pasaría si el negocio requiere de una tecnología
adquiriendo o manteniendo Software? Pues el objetivo de control AI2 Adquirir y Mantener
Software Aplicativo con su categoría AI2.1Diseño de Alto Nivel puede ayudar, ya que se tiene
en cuenta la percepción futura de la organización, como también se tiene las directivas
tecnológicas y la arquitectura de la información, siendo estos factores importantes porque resalta
como la organización maneja sus recursos TI y su información.
Por otro lado existe un objetivo de control AI2.4 Seguridad y
Disponibilidad de la Aplicaciones, como su nombre lo indica no es más que definir los aspectos
de seguridad, disponibilidad y cuando se busca satisfacer este objetivo la norma ISO
27002:2005 es la clave perfecta, debido a que está basado en todo los aspectos de seguridad que
concierna a los sistemas de información.
11.6.2 Alistamiento de los Sistemas Sensibles, aquí se tiene un
aislamiento de toda la información que implique riesgos y se obtiene manejando aplicaciones
seguros y confiables.
4. 4
12.1.1 Análisis y Especificaciones de los Requisitos de Seguridad,
en pocas palabras se define en aplicar evaluaciones a los paquetes de software desarrollados o
adquiridos, para la aplicación de negocio.
12.3.1 Política de Uso de Controles Criptográficos, este controlador
se menciona dentro del objetivo de control AI2.4, ya que se debe mantener una política de
protección criptográfica, con el fin de lograr confidencialidad, integridad y autenticidad de la
información, 12.4.3 Control de Acceso al Código Fuente de los Programas, la seguridad que se
debe tener en cuenta en este controlador, es determinar quien tendrá acceso al código fuente, en
pocas palabras restringir acceso a dicho código.
12.5.2 Revisión Técnica de las Aplicaciones luego de Cambios en
los Sistemas Operativos, todo software está expuesto a cambios.
Para la mejoras de dichos cambios tendrán que estar sometidos a
pruebas para asegurar que no hay impacto en la seguridad de la organización
12.5.4 Fuga de Información, implementar una seguridad oportuna
para que no exista fuga en la información y ¿Cómo se obtiene este? Monitoreando las
actividades del personal y del sistema, esta podría ser una opción.