Fase 5: ¿Cómo conseguiremos llegar?

A. Ejecutar el plan

Se deben establecer los detalles de los planes, en coordinación de la alta dirección, con el fin de lograr su ejecución en cortos plazos, estos detalles deben considerar los tiempos de ejecución, fechas de inicio, terminación de cada etapa, entregables de cada iteración o hitos, etc.

Es pertinente dar a conocer informes de los avances de los proyectos o planes definidos, a las partes interesadas, con el fin de monitorear y garantizar el progreso, esto ayuda a mitigar los riesgos que se presenten en cada proyecto, de esta manera, se pueden tomar decisiones o acciones correctivas y en algunos casos re estructurar el proyecto o plan.

Se deben establecer mediciones de los planes mediante la definición de metas y métricas que sugiere COBIT 5, con el fin de asegurar que están alineados a los planes estratégicos, y que todas las partes afectadas a nivel TI y de negocio tengan toda la responsabilidad y propiedad para su realización.

B. Operar y usar

Con el fin de sensibilizar a los colaboradores de la organización, de la implantación del gobierno de TI con enfoque de seguridad de información, se debe generar acciones o planes que permitan mitigar la resistencia al cambio, estos planes se han de diseñar en conjunto con la alta dirección de la empresa.

Así mismo, se debe comunicar las funciones y responsabilidades de los planes de resistencia al cambio, esto debido a que la empresa puede cambiar en su estructura organizacional y se deben redefinir o crear nuevos roles o cargos, que permitan el

97

mantenimiento y continuidad del gobierno de TI bajo el enfoque de seguridad de información.

C. Implementar mejoras

Es indispensable implementar acciones de mejora en cada una de las iniciativas establecidas, integrando las medidas en el Balanced Scorecard de TI o cuadro de mando integral TI, con el fin de monitorear la implementación en la organización, y de esta manera lograr la mejora continua, y realizar la retroalimentación o feedback con los hallazgos del monitoreo y ajustar la iniciativas o proyectos.

Posteriormente, tomar las salidas de la fase anterior, para complementar los documentos de implementación e identificar lo siguiente:

• Métodos de medición o indicadores para los objetivos estratégicos • Métricas para los objetivos desde el cuadro de mando integral

• Identificar los procesos habilitadores que estén alineados con el enfoque de seguridad de la información.

Para dar cumplimiento a la fase 5, en el Anexo F. Propuesta de matriz de análisis de riesgos (pdf)34_{, se realizó el análisis de riesgos inherentes, con base en el}

inventario de activos, este análisis permite tener un panorama de donde se encuentran los problemas actuales y potenciales y así, determinar las acciones a tomar, para dar tratamiento a dichos riesgos con el fin de asegurar el sistema de seguridad de la información y lograr los objetivos marcados por la dirección.

Dar tratamiento a los riesgos, previniéndolos y reduciéndolos, facilita la mejora continua y permite alcanzar el nivel de madurez deseado.

Con el contexto anterior se pueden determinar los objetivos de control a seguir, COBIT 5 permite organizar y minimizar los factores de riesgo, mediante la administración adecuada de la seguridad de la información, facilitando controles para esta gestión, a continuación, se enunciarán los procesos de COBIT 5, que cubren la seguridad de información en el Centro Radiológico Digital Américas CRA. El marco establece dos áreas importantes con procesos que abordan la gestión de la seguridad de la información, estos procesos habilitadores se describen a

34 _{TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos de la Seguridad}

de la Información en Empresas del Sector Asegurador Utilizando la Norma ISO/IEC 27005. Trabajo de Grado Ingeniería en Telemática. Bogotá D.C. Universidad Distrital Francisco José de Caldas. Facultad tecnológica. 2017. Pag 100. [En línea], 2013. Disponible en: http://hdl.handle.net/11349/8322. Este documento se utilizó como fuente para la adaptación de la matriz de riesgos para el CRA.

98

continuación como parte del estudio de seguridad realizado para el CRA, estos habilitadores permiten definir, operar y monitorear un sistema de gestión de seguridad, en la siguiente gráfica se ilustran dichas áreas, sus dominios y procesos.

Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5

Fuente: Elaboración Propia

Dominio: Alinear, Planear y Organizar (APO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI se alinea con los objetivos del negocio, este dominio proporciona la dirección para la entrega de soluciones y la entrega de servicios35_{. Los siguientes}

son los procesos que cubren la seguridad de la información.

35 _{ANONIMO. DOMINIOS Y PROCESOS DE COBIT. [En línea], 2017. Disponible en:}

99 • Gestionar la Seguridad

• Establecer y mantener un SGSI

• Definir y gestionar un plan de tratamiento del riesgo de SI • Supervisar y revisar el SGSI

Dominio: Entrega, Servicio y Soporte (DSS)

Este dominio involucra la ejecución de los planes estratégicos requeridos, estableciendo medios de control de incidentes, su objetivo es lograr que los servicios de TI se entreguen de acuerdo a las necesidades para alcanzar los objetivos de negocio y permitir que se implanten controles de forma correcta para asegurar la confidencialidad, la integridad y la disponibilidad36 _{de la información, los}

siguientes procesos y actividades permiten dar alcance la seguridad de la información.

• DSS04 Gestionar la Continuidad

▪ Definir la política de continuidad de negocio, objetivos y alcance.

▪ Mantener una estrategia de continuidad.

▪ Desarrollar e implementar una respuesta a la continuidad del negocio.

▪ Ejercitar, probar y revisar el BCP.

▪ Revisar, mantener y mejorar el plan de continuidad.

▪ Proporcionar formación en el plan de continuidad.

▪ Gestionar acuerdos de respaldo.

• DSS05 Gestionar Servicios de Seguridad

▪ Protección contra software malicioso

▪ Gestionar la seguridad de la red y las conexiones

▪ Gestionar la seguridad de los puestos de usuario finales

▪ Gestionar la identidad del usuario y el acceso lógico

▪ Gestionar el acceso físico a los activos de TI

▪ Gestionar documentos sensibles y dispositivos de salida

▪ Supervisar la infraestructura para detectar eventos relacionados con la seguridad.

100

5.2.1.6 Fase 6: ¿Hemos conseguido llegar?