Índice

Contenido
Importancia y por que nacen estas leyes ............................................................................................ 2
JM-102-2011 ................................................................................................................................... 2
JM-42-2020 ..................................................................................................................................... 2
Ventajas para las instituciones supervisadas ...................................................................................... 4
Relación con otros Marcos de referencia sobre ciberseguridad ........................................................ 4
Cobit .................................................................................................................................................... 4
Iso 27001 ......................................................................................................................................... 5
Nist .................................................................................................................................................. 5
Cis .................................................................................................................................................... 6
OSWASP .......................................................................................................................................... 6
Itil..................................................................................................................................................... 7
Retos sobre las nuevas disposiciones o actualizaciones y como las entidades abordan las mismas: 9
Plan y/o gap análisis que permita establecer el cumplimiento de la JM-42-2020 en una institución
supervisada ....................................................................................................................................... 13
Video-entrevista ................................................................................................................................ 23
ENTREVISTA RESOLUCION JM 42 2020 ......................................................................................... 23
Nivel de capacidad 3: Definir ........................................................................................................ 28
Otras ventajas del esquema de certificación ISO 15504 ................................................. 32
Las bases del modelo de madurez ISO 15504 ............................................................................... 32
Niveles de Capacidad ............................................................................................................ 33
Propuesta del procedimiento para el análisis forense digital ........................................................... 34
Sanciones y/o penalizaciones por incumplimiento ........................................................................... 35
CONCLUCIONES ................................................................................................................................. 38
RECOMENDACIONES ......................................................................................................................... 40
REFERENCIAS BIBLIOGRAFICAS ......................................................................................................... 41

Índice de Tabla
Tabla 1Comparativa 1 ......................................................................................................................... 9
Tabla 2Tabla Comparativa 2 .............................................................................................................. 22
 1

INTRODUCCION

Es importante que se tenga conocimiento de los riesgos cibernéticos que

pueda llegar a tener una empresa o institución, se debe de tener un plan de

gestión de riesgo tecnológico basado en la junta monetaria y bajo los artículos que

se crearon para ser supervisadas por la superintendencia de bancos por lo que se

crea el presente documento para el conocimiento de la importancia de aplicarlas

correctamente

Se obtienen la relación de los distintos marcos de referencia para la

ciberseguridad como cobit, iso, nist, cis y establecer el cumplimiento.

Se tiene el cumplimiento a la problemática de los riesgos latentes en la

empresa el cual consiste en analizar la ubicación de copias de respaldo y de la

documentación de los procedimientos de restauración, la solución de lo que se

aconseja realizar para resguardar los pilares de la seguridad y que no se vea

comprometida la data, tanto en hardware como software

 2

Importancia y por qué nacen estas leyes

JM-102-2011
Este reglamento tiene por objeto establecer los lineamientos mínimos que

los bancos, las sociedades financieras, las entidades fuera de plaza o entidades

off shore y las empresas especializadas en servicios financieros que forman parte

de un grupo financiero, deberán cumplir para administrar el riesgo tecnológico.

JM-42-2020

La resolución JM-42-2020 modifica el Reglamento para la Administración

del Riesgo Tecnológico emitido en la Resolución JM-102-2011, el cual establece

los lineamientos mínimos que los bancos, las asociaciones financieras, las

entidades fuera de plaza o entidades off shore y las empresas especializadas en

servicios financieros, deben de observar y cumplir para administrar el riesgo

tecnológico, por lo que esta normativa incorpora la gestión de la ciberseguridad.

Esta norma fue aprobada por la Junta Monetaria del Banco de Guatemala, a raíz

del crecimiento y desarrollo tecnológico que las entidades financieras han tenido

que experimentar para poder competir y sobre todo mantenerse dentro del

mercado en el que se desenvuelven, ya que esto ha hecho que sus transacciones

y comunicaciones, sean más agiles y accesibles para sus colaboradores y clientes

o cuentahabientes.

La resolución JM-42-2020 modifica el Reglamento para la Administración

del Riesgo Tecnológico emitido en la Resolución JM-102-2011, el cual establece
los lineamientos mínimos que los bancos, las asociaciones financieras, las
entidades fuera de plaza o entidades off shore y las empresas especializadas en
 3

servicios financieros, deben de observar y cumplir para administrar el riesgo

tecnológico, por lo que esta normativa incorpora la gestión de la ciberseguridad.
Esta norma fue aprobada por la Junta Monetaria del Banco de Guatemala, a raíz
del crecimiento y desarrollo tecnológico que las entidades financieras han tenido
que experimentar para poder competir y sobre todo mantenerse dentro del
mercado en el que se desenvuelven, ya que esto ha hecho que sus transacciones
y comunicaciones, sean más agiles y accesibles para sus colaboradores y clientes
o cuentahabientes.

El crecimiento tecnológico no solo ha traído ventajas, también se han

desarrollado nuevas amenazas cibernéticas, lo cual pone en riesgo la
disponibilidad, confidencialidad e integridad de su información, así como la
continuidad del negocio. Es por eso por lo que esta Normativa trata sobre la
Ciberseguridad dentro de estas instituciones.

Esta resolución se da para el desarrollo normal de las actividades, las

entidades del sistema financiero supervisado. Esto se debe gestionar la seguridad

de la información con el objeto de garantizar confidencialidad, integridad y

disponibilidad de los datos, así como mitigar los riesgos de perdida, extracción

indebida y corrupción de la información, debiendo considerar, como mínimo, los

aspectos siguientes:

• Identificación y clasificación de la información de acuerdo con

criterios de sensibilidad y criticidad.

• Roles y responsabilidades para la gestión de la seguridad de la

información.

• Monitoreo de la seguridad de la información.

• Seguridad física que incluya controles y medidas de prevención para

resguardar adecuadamente la infraestructura de TI de acuerdo con la

 4

importancia definida por la institución conforme al riesgo a que este

expuesta.

• Seguridad lógica que incluya controles y medidas de prevención para

resguardar la integridad y seguridad de los sistemas de información y

de los datos.

Ventajas para las instituciones supervisadas

Estas resoluciones nacen de los lineamientos mínimos que se deben

cumplir las entidades bancarias o empresas financieras para que puedan

administrar los riesgos tecnológicos.

Con el fin de tener protección a los datos de las personas que las

entidades bancarias o financieras brindan su servicio para mayor control y

seguridad de los riesgos que puedan ocurrir. Es de suma importancia ya que nos

ayuda al fortalecimiento de información de datos tanto monetarios y establecer

políticas de seguridad para la información de nuestra empresa.

Relación con otros Marcos de referencia sobre ciberseguridad

Cobit
COBIT son las siglas de Control Objectives for Information and Related

Technologies. Es un marco creado por ISACA para el gobierno y la gestión de TI.

Está diseñado para ser una herramienta de apoyo para los gerentes, cerrando la

brecha entre los problemas técnicos, los riesgos comerciales y los requisitos de

control. En general, COBIT asegura la calidad, control y confiabilidad de los

sistemas de información en una organización. COBIT implica vincular los objetivos

 5

comerciales con su infraestructura de TI, proporcionando varios modelos de

madurez y métricas para medir el logro e identificando las responsabilidades

comerciales asociadas para los procesos de TI. El enfoque principal de COBIT se

ilustra mediante un modelo basado en procesos dividido en cuatro áreas

específicas, que incluyen:

• Entrega y apoyo

• Monitoreo y evaluación

• Planificación y organización

• Adquisición e implementación

Iso 27001

Es un marco de seguridad cibernética reconocido internacionalmente que

cumple con muchos requisitos comunes (por ejemplo, PCI DSS, HIPAA, etc.). Es

importante señalar que las empresas no pueden tener la certificación ISO 27002,

solo ISO 27001. El Anexo A de ISO 27001 contiene una descripción básica de los

controles de seguridad necesarios para construir un sistema de gestión de

seguridad de la información (SGSI), pero ISO 27002 proporciona los controles

específicos que son necesarios para implementar realmente ISO 27001.

Nist
NIST es un acrónimo del Instituto Nacional de Estándares y Tecnología,

parte del Departamento de Comercio de los Estados Unidos. El marco de

seguridad cibernética del NIST de EE. UU. ayuda a las empresas de todos los

tamaños a comprender mejor sus riesgos de seguridad cibernética, administrar y

 6

mitigar el riesgo y proteger sus redes y datos. El marco es voluntario. Brinda una

descripción general de las mejores prácticas para su negocio y lo ayuda a decidir

dónde concentrar su tiempo y dinero en la protección de la seguridad cibernética.

Puede implementar el marco de ciberseguridad del NIST en su empresa en cinco

áreas: identificar, proteger, detectar, responder y recuperar.

Cis
Los controles CIS son un conjunto de acciones que protegen a una

organización de los ciberataques más extendidos. Hay 20 controles clave

integrales para priorizar las acciones más importantes que su organización puede

tomar para obtener los mejores resultados. Los controles provienen de patrones

de ataque generalizados. Específicamente, el informe de amenazas más

confiables identifica patrones de ataque, que luego se revisan entre industrias

confiables y una amplia comunidad de profesionales gubernamentales que

entienden cómo funcionan los ataques. Estos expertos provienen de una amplia

gama de campos, incluidos el comercio minorista, la fabricación, la atención

médica, la educación, las agencias gubernamentales y la defensa. 20 controles

CIS de esta comunidad de expertos brindan instrucciones sobre cómo detener los

ataques más comunes de la actualidad.

OSWASP
El Proyecto de seguridad de aplicaciones web abiertas (OWASP) es una

organización global sin fines de lucro dedicada a mejorar la seguridad de las

aplicaciones y el software. Su misión es visibilizar la seguridad en las aplicaciones

para que organizaciones e individuos puedan tomar decisiones sobre conceptos

de seguridad basados en información real y contrastada. Vale la pena señalar que

 7

cualquiera puede participar en OWASP, y todos sus proyectos, materiales y

documentación se proporcionan de forma gratuita. También es importante que

todos los productos y servicios recomendados no sean productos comerciales,

sino productos gratuitos y de código abierto. Como organización, tienen un

conjunto de valores:

• transparencia

• Innovación

• Global

• Integridad

Itil
El acrónimo ITIL significa Biblioteca de Infraestructura de Tecnología de la

Información, que literalmente traduciremos como Biblioteca de Infraestructura de

Tecnología de la Información. ITIL es una guía sobre las mejores prácticas para la

gestión de servicios de tecnología de la información (TI).

Los pilares de ITIL son los siguientes principios:

• Los procesos necesarios para gestionar TI se basan en su alineación

dentro de la organización

• Calidad, entendida como proporcionar al cliente el producto o servicio

óptimo, es decir, que incluya las características acordadas.

• Clientes, su satisfacción es el objetivo de la mejora del servicio y, por lo

tanto, es un beneficiario directo de la implementación de las mejores

prácticas de ITIL.
 8

Siempre se deben mantener las mejores prácticas independientes,

independientemente de los métodos establecidos para cada proceso y los

proveedores existentes.

Fuente: complianceforge.com

Tabla comparativa 1
 9

Tabla 1Comparativa 1

Retos sobre las nuevas disposiciones o actualizaciones y como las

entidades abordan las mismas:

Como se han comentado anterior las nuevas disposiciones tienen diversas

mejoras, pero estas también conllevan a nuevos retos por abordar como se

menciona en la actualización
 10

Uno de ellos serían los altos cotos para la contratación de personal

profesional en materia de ciberseguridad, como sería el caso de un CISO dentro

de la corporación.

Infraestructura en general del departamento de TI, es posible necesitar

cambios bastante relevantes para poder robustecer esta área.

Regularmente en las instituciones no cuentan con un nivel de estudios tan

avanzado y que estén capacitados para administrar y gestionar el riesgo.

Resistencia al cambio en el personal al cual se está destinando los cambios

dentro de la institución.

Necesidad de inversión en equipo tecnológico o contratación de

proveedores para involucrar a terceros en las infraestructuras para el

almacenamiento y seguridad de la información.

• Proteger el email de los empleados que tengan acceso al sistema de

información.

• Protección en las redes de telecomunicaciones y wifi abiertos.

• Seguridad en las páginas web.

• Buenas prácticas que se manejen en la institución deben ser

reforzadas con capacitaciones constantes.

Definir el Rol, responsabilidades sobre el cumplimiento y habilidades del:

i. Oficial de seguridad de la información
Oficial de Seguridad de la información, también conocido como Chief

Information Security Officer o también llamado CISO por sus siglas en inglés
 11

Es necesario que se tenga en cuenta la creación e implementación de un

Centro de Operaciones de Seguridad Cibernética con esto se centraliza cualquier

operación por solventar o implementaciones que se deberán llevar a cabo, aunque

no específicamente nos referimos a que estén los equipos físicos en el mismo

centro de operaciones, ya que también daría lugar a nuevos nichos de seguridad

esto es algo que se puede dar en cualquier aspecto tecnológico si se tiene físico el

centro de operaciones o dispersión en un país o en todo el mundo

También es necesario el CISO establezca un equipo capacitado para

respuestas a Incidentes Cibernéticos y aspectos de ciberseguridad para contratar

proveedores y también poder solventar internamente referente al caso que podría

ocurrir.

Ya comentado a grandes rasgos de las responsabilidades también se

detallan otras atribuciones referentes al cargo de CICSO:

• Crear las normativas de seguridad informática y asegurar su

cumplimiento.

• Alinear la estrategia de ciberseguridad con los objetivos estratégicos.

• Dar respuesta ante un ciberataque.

• Dar formación y sensibilizar a los trabajadores de una empresa en

cuestiones de seguridad informática.

• Informar y asesorar a la alta gerencia sobre todas las cuestiones de

ciberseguridad.
 12

ii. Experto en informática forense/Digital

Un experto en informática forense es encargado de aportar evidencias en

procesos judiciales: En casos de manipulación de almacenamientos de datos,

robo de datos, discos duros o ataques de malware, el análisis forense de la

información es fundamental y puede servir como una prueba esencial y

contundente en cualquier proceso judicial informático digital.

Mostrar evidencias en negociaciones: se podría tomar como evidencias en

negociaciones por ejemplo en el caso de una negociación laboral, en el que un

trabajador(empleado) pueda demostrar que está realizando correctamente su

trabajo, esto puede saberse dependiendo la información que sea extraída de su

ordenador, pero también puede ser el caso totalmente contrario en el que se

demuestre que el empleado está cometiendo delitos o practicas no permitidas en

la organización.

Ciberseguros: en Guatemala actualmente no son un punto de énfasis en los

ataques informáticos, pero en otras partes del mundo son cada vez más

frecuentes. En este sentido, cuando se logre identificar alguna brecha que pueda

contener anomalías es necesario que un experto forense digital recopile las

evidencias necesarias para ver de aplicar o no dicho seguro.

En resumen, el rol de Experto en informática forense/Digital con lleva las

siguientes responsabilidades:

• Recuperar información oculta, cifrada o eliminada de computadores y

cualquier otro dispositivo de almacenamiento digital.

 13

• Reunir las pruebas y proteger la integridad de los datos ante

cualquier manipulación y resguardar toda la información que pueda

se comprometida siguiendo una cadena de custodia.

• Investigar violaciones de datos como lo es la integridad de los

mismos también investigar violaciones de seguridad a los sistemas.

• Identificar otros sistemas que puedan estar comprometidos que

puedan tener o en un caso más complejo expandir algún malware o

dañar la información.

• Desarmar y restaurar sistemas y/o dispositivos deteriorados o rotos

para recuperar datos.

Plan y/o gap análisis que permita establecer el cumplimiento de la

JM-42-2020 en una institución supervisada
En la actualidad sabemos que es de suma importancia con el desarrollo

como las propuestas ya que derivado a que es de importancia tener la claridad

para que se cumplan JM-42-2020 con la finalidad de aportar mejoras para el

cumplimiento del desarrollo de esta resolución de una forma efectiva y correcta

En el siguiente cuadro veremos la propuesta de los Artículos e incisos de la

resolución JM-42-2020 para hacer el cumplimiento de esta resolución por el cual

son de suma importancia para el desarrollo de la protección y ciberseguridad y la

mitigación de riesgos para el mejor desarrollo en el área de la tecnología

ACTUAL PROPUESTA
 14

Institución o instituciones: se Institución o instituciones: se

refiere a los bancos, las sociedades refiere a los bancos, las sociedades

financieras, las entidades fuera de financieras, las entidades fuera de

plaza o entidades off shore y las plaza o entidades off shore y las

empresas especializadas en servicios empresas especializadas en servicios

financieros que forman parte de un financieros que forman parte de un

grupo financiero. grupo financiero. Procesamiento y/o

almacenamiento de información:

utilización de servicios de cómputo

para el tratamiento electrónico de

datos. Proveedor de servicios de

procesamiento y/o almacenamiento de

información: entidad que presta de

forma directa servicios de

procesamiento y/o almacenamiento de

información.

Sistemas de información: es el Sistemas de información: es el

conjunto organizado de datos, conjunto organizado de datos,
procesos y personas para obtener, procesos y personas para obtener,
procesar, almacenar, transmitir, procesar, almacenar, transmitir,
comunicar y disponer de la información comunicar y disponer de la información
en la institución para un objetivo en la institución para un objetivo
específico. específico. Subcontratista de
procesamiento y/o almacenamiento de
información: entidad que es contratada
 15

por el proveedor o vendedor de

procesamiento y/o almacenamiento de
información para ofrecer algún servicio
o parte de servicio relacionado a esta.
Tecnología de la información o TI: es Tecnología de la información o TI: es
el uso de la tecnología para obtener, el uso de la tecnología para obtener,
procesar, almacenar, transmitir, procesar, almacenar, transmitir,
comunicar y disponer de la comunicar y disponer de la
información, para dar viabilidad a los información, para dar viabilidad a los
procesos del negocio. procesos del negocio. Vendedor de
servicios de procesamiento y/o
almacenamiento de información:
entidad que realiza la comercialización
de servicios de procesamiento y/o
almacenamiento de información
prestados por un tercero de forma
directa.
d) Ubicación de las copias de respaldo d) Ubicación de las copias de respaldo
y de la documentación de los y de la documentación de los
procedimientos de restauración. procedimientos de restauración. En
caso de la información crítica, se
deberá contar con copias de respaldo,
como mínimo, realizadas de forma
diaria, debiendo considerar los
aspectos señalados en las anteriores
literales de este artículo. Estas copias
deberán encontrarse en infraestructura
dentro del territorio nacional y estar a
disposición de la Superintendencia de
Bancos cuando le sea solicitada.
 16

Artículo 29. Plan de recuperación ante Artículo 29. Plan de recuperación ante
desastres. Las instituciones deberán desastres. Las instituciones deberán
contar con un plan de recuperación contar con un plan de recuperación
ante desastres, que esté alineado con ante desastres, que esté alineado con
el plan de continuidad del negocio de el plan de continuidad del negocio de
la institución, para recuperar los la institución, con el objeto de
procesos críticos de las principales recuperar los servicios tecnológicos
líneas de negocio, sus activos en el críticos que apoyan los procesos
ciberespacio, así como la información críticos de las principales líneas de
asociada en caso de una interrupción. negocio, sus activos en el
ciberespacio, así como la información
asociada en caso de una interrupción.
b) Identificación de los procesos b) Identificación de los servicios
críticos y activos en el ciberespacio de tecnológicos críticos, procesos críticos
las principales líneas de negocio; y activos en el ciberespacio de las
principales líneas de negocio;
i) Identificación de factores de i) Identificación de factores de
dependencia interna y externa de la dependencia interna y externa de la
institución, tales como proveedores, institución, tales como proveedores,
personal de la entidad u otros, y las personal de la entidad u otros, y las
acciones para mitigar el riesgo de acciones para mitigar el riesgo de
dicha dependencia; y, dicha dependencia, que incluya la
contratación con terceros de servicios
de procesamiento de información; y,
j) Identificación de prioridades de j) Identificación de prioridades de
recuperación y restauración. recuperación y restauración
En caso de que la institución contrate
con terceros servicios para procesar
y/o almacenar información considerada
como crítica y/o confidencial, deberá
incluir dentro de su plan de
 17

recuperación ante desastres,

consideraciones específicas para
recuperarse ante eventos que afecten
los servicios contratados con el
proveedor de procesamiento y/o
almacenamiento de información.
Asimismo, la institución deberá incluir
mecanismos de salida del servicio ante
un incumplimiento de los términos y
condiciones de los servicios
contratados, que considere el término
anticipado de la relación contractual y
que permitan retomar la operación, ya
sea por cuenta propia o mediante otro
proveedor de servicios de
procesamiento y/o almacenamiento de
información.
Artículo 32. Centro de cómputo alterno. Artículo 32. Centro de cómputo alterno.
Las instituciones deberán contar con Las instituciones deberán contar con
un centro de cómputo alterno con las un centro de cómputo alterno con las
características físicas y lógicas características físicas y lógicas
necesarias para dar continuidad a las necesarias para dar continuidad a las
operaciones y los procesos críticos de operaciones y los procesos críticos de
negocios, cumpliendo con los negocios, cumpliendo con los
requisitos establecidos en este requisitos establecidos en este
reglamento referentes a seguridad de reglamento referentes a seguridad de
tecnología de la información, tecnología de la información,
infraestructura de TI, sistemas de ciberseguridad, infraestructura de TI,
información y bases de datos. El sistemas de información y bases de
centro de cómputo alterno deberá datos. El centro de cómputo alterno
estar en una ubicación distinta del deberá estar en una ubicación distinta
 18

centro de cómputo principal, de tal del centro de cómputo principal, de tal

forma que no se vean expuestos a un forma que no se vean expuestos a un
mismo nivel de riesgo ante la mismo nivel de riesgo ante la
ocurrencia de un mismo desastre. Se ocurrencia de un mismo evento. Se
entenderá por desastre todo evento entenderá por evento toda situación
que interrumpa las operaciones que interrumpa las operaciones
normales de un negocio. normales de un negocio. Las
instituciones deberán realizar réplica
de toda la información crítica, de
acuerdo con su plan de continuidad de
negocio y de recuperación ante
desastres, al centro de cómputo
alterno. En caso de procesamiento y/o
almacenamiento, fuera del territorio
nacional, de información considerada
como crítica y/o confidencial, el centro
de cómputo principal y centro de
cómputo alterno deberán estar en
países distintos.
Superintendencia de Bancos el libre Superintendencia de Bancos el libre
acceso a su infraestructura de TI, acceso a sus sistemas de información
sistemas de información y bases de y bases de datos, y proporcionar a
datos, y proporcionar a ésta la ésta la información que les requiera.
información que les requiera. En el caso que la institución tenga su
centro de cómputo alterno contratado
con un proveedor de servicios de
procesamiento y/o almacenamiento de
información deberán permitir que la
Superintendencia de Bancos tenga
libre acceso a los sistemas de
información, bases de datos, y
 19

proporcionar a esta la información que

les requiera.
a) Que la Superintendencia de Bancos a) Acuerdo de disponibilidad de al
tendrá libre acceso a las instalaciones menos 99.90% en los servicios
de los contratados, infraestructura de prestados de procesamiento y/o
TI, sistemas de información y bases de almacenamiento de información;
datos, relacionadas con el servicio
contratado por la institución; datos,
relacionadas con el servicio contratado
por la institución;
b) Que el contratado tiene obligación b) Las condiciones referentes a
de proporcionarle a la capacidad, tiempos de recuperación y
Superintendencia de Bancos, cuando horarios de atención del proveedor del
ésta se lo requiera, toda la información servicio, estableciendo niveles de
y/o documentos relacionados con las servicio que permitan cumplir, cuando
operaciones y servicios de menos, con lo establecido en este
tercerización prestados a la institución reglamento;
por el contratado;
c) Que el contratado guardará la c) Las condiciones de seguridad de la
confidencialidad de las operaciones y información y ciberseguridad de los
servicios que realizare y demás servicios contratados, documentación
información a que tenga acceso con y descripción de su infraestructura y
motivo de su relación con la institución las condiciones establecidas para
contratante; proteger la privacidad y
confidencialidad de la información,
considerando cuando menos, con lo
establecido en este reglamento;
d) Que el contratado se compromete a d) Que la institución mantiene la
cumplir con la institución lo establecido propiedad de la información y que esta
en este reglamento, relativo a la conserva todos los derechos sobre la
infraestructura de TI, sistemas de misma;
 20

información, bases de datos, servicios

de TI, seguridad de tecnología de la
información, ciberseguridad y el plan
de recuperación ante desastres; y,
e) Prohibición al proveedor de utilizar
la información para algún propósito
diferente al establecido en el contrato,
durante la vigencia ni posterior a la
e) Acuerdos de niveles de servicio. terminación de este;
f) Confidencialidad y privacidad de la
información procesada y/o almacenada
por el proveedor durante la vigencia y
posterior a la terminación del contrato,
estableciendo que el vendedor,
proveedor o subcontratados en cadena
guardarán la confidencialidad de las
operaciones y servicios que realizaren;
g) El borrado seguro de los datos
existentes en los medios de
almacenamiento cuando finalice el
contrato, o cuando el proveedor de
servicios reemplace dichos medios;
h) Acceso a informes y certificaciones
anuales que demuestren la calidad,
desempeño y efectividad en la gestión
de los servicios contratados;
i) Las condiciones y limitaciones bajo
las cuales el proveedor de servicios de
procesamiento y/o almacenamiento de
información puede subcontratar parte
del servicio;
 21

j) Que únicamente la institución podrá

seleccionar en que países y/o regiones
se podrá procesar y/o almacenar la
información, estableciendo prohibición
al proveedor de transferir la
información a otros países o regiones
sin autorización previa de la institución;
k) Establecer los derechos y
obligaciones de cada una de las partes
del contrato. En caso de existir una
empresa subcontratada en cadena y/o
vendedor del servicio de
procesamiento y/o almacenamiento, se
sujetarán a las mismas condiciones y
obligaciones que el proveedor del
servicio de procesamiento y/o
almacenamiento;
l) La obligación del vendedor y/o
proveedor del servicio de
procesamiento y/o almacenamiento de
comunicar a la institución sobre
cualquier evento o situación que
pudiera afectar la prestación del
servicio y la afectación a los servicios
prestados por la institución, así como
la corrección oportuna y eficaz de las
vulnerabilidades de seguridad de la
información detectadas;
m) Las causales de terminación del
contrato por parte de la institución
incluyendo, el incumplimiento de los
 22

acuerdos o niveles de servicio o el

cambio de las condiciones que
generen impacto negativo al servicio
contratado;
n) Que la Superintendencia de Bancos,
cuando esta lo requiera, tendrá total
acceso a la información, registros,
servicios, sistemas y bases de datos
que se procesen, mantengan y
generen a través del proveedor de
servicios de procesamiento y/o
almacenamiento de la información; y,
ñ) Estipulación que, en caso de
suspensión de operaciones resuelta
por Junta Monetaria, de un banco o
una sociedad financiera, el proveedor
de los servicios de procesamiento y/o
almacenamiento de información
otorgará todos los accesos a los
servicios, recursos, información y
componentes del servicio contratado a
la Junta de Exclusión de Activos y
Pasivos y al Representante Legal de la
institución suspendida, para el
cumplimiento de sus respectivas
atribuciones legales y reglamentarias.
Tabla 2Tabla Comparativa 2
 23

Video-entrevista

Video-entrevista enfocada al cumplimiento sobre la gestión

del riesgo tecnológico y como la JM-42-2020 aporta a fortalecer los
procesos de Seguridad de la Información y Ciberseguridad de la institución.

ENTREVISTA RESOLUCION JM 42 2020

ENTREVISTA RESOLUCION JM 42 2020

https://www.youtube.com/watch?v=_cGmJ62eqeY&t=3s
 24

i. Genere un informe de diagnóstico con niveles de madurez

relacionados (Ref. Cobit, ISO15504, CMMI)
La calidad del software está tomando mayor importancia en las

organizaciones por su influencia en los costes finales y como elemento

diferenciador de la competencia y de la imagen frente a sus clientes. En este

sentido muchas organizaciones están implantando modelos de mejora de

procesos software. Sin embargo, la implantación en Pymes de los modelos

referentes en la actualidad, CMMI e ISO 15504, supone una gran inversión en

dinero, tiempo y recursos. En este artículo se presenta una adaptación de ISO

15504 para la evaluación por niveles de madurez en Pymes y pequeños equipos

de desarrollo.

Con el crecimiento de las fábricas software. Si bien, en la actualidad,

diversos estudios como el realizado por la Asociación de Técnicos en Informática

(ATI) en el ámbito español, continúan mostrando que el mercado está poco

maduro en el control de calidad software. Por este motivo, muchas organizaciones

están implantando modelos de mejora de procesos. Y más concretamente, como

muestra el estudio elaborado por INTECO, de entre todos los modelos de mejora

de procesos dos se han convertido en los de mayor uso en la industria del

software: CMMI –DEV e ISO 15504.

Los niveles de madurez y el modelo de procesos La norma ISO/IEC 15504-

7 describe las bases para llevar a cabo evaluaciones por niveles de madurez, para

lo cual muestra un conjunto de niveles y procesos asociados, tomando como base

la norma ISO 12207:1995 / Amd 1:2002 y Amd. 2: 2004, si bien actualmente está

disponible la versión ISO 12207:2008.

 25

En el modelo que aquí se presenta, los procesos definidos para los

diferentes niveles de madurez están en línea a como lo hace ISO/IEC 15504-7

pero tomando como base la nueva ISO 12207:2008, versión más reciente,

adaptándolo a pequeños grupos de desarrollo y Pymes, de ahí que los procesos

definidos en este modelo para los niveles de madurez difieren de los definidos en

la norma ISO/IEC 15504-7. En concreto, esta primera versión del modelo

establece 6 niveles de madurez para clasificar a las organizaciones, desde el 0

(nivel inferior) hasta el 5 (superior). En la Tabla 1 se muestra el conjunto de

procesos definidos para los niveles de madurez 2 y 3. El modelo de evaluación se

muestra un resumen de los diferentes componentes del modelo de evaluación, la

relación entre ellos y la obligatoriedad de su implementación.

Los elementos de la auditoría elemento principal de las auditorías son las

evidencias de implementación de los procesos. En este sentido, se debe destacar

que, para alcanzar un nivel de madurez, la organización debe presentar evidencia

objetiva de cada uno de los atributos de proceso de todos los procesos dentro del

nivel de madurez, en concreto se presentará “evidencia objetiva” de cada una de

las prácticas atributo de todos los procesos asociados al nivel de madurez10. Una

evidencia objetiva debe estar formada por un documento donde se evidencie que

en los procesos de la organización la práctica atributo o el outcome se encuentra

documentado, y por una serie de indicadores que evidencien la implementación de

 26

dicho componente. Estos indicadores son conocidos como indicadores de

implementación. Los indicadores de implementación pueden ser de 3 tipos11: 1)

Artefactos directos, salidas que resultan de la implementación directa de un

outcome o de una práctica atributo; 2) Artefactos indirectos, artefactos que son

consecuencia de la implementación de un outcome o de una práctica atributo,

pero que no son el propósito para el cual se realizan; 3) Afirmaciones, entrevistas

que confirman la implementación de un outcome o de una práctica atributo. En

este sentido, una evidencia objetiva se compone de un documento que describa el

proceso, más un artefacto directo (una evidencia del resultado de la aplicación del

proceso en proyectos), más un artefacto indirecto (por ejemplo, el acta de una

reunión en que se tratase el proceso, un plan de proyecto en el que se planificase

el proceso, etc.) y/o una afirmación (corroboración oral por parte de miembros del

equipo).

CMMI Niveles de capacidad

Un nivel de capacidad bien definido con una meseta evolutiva describe la

capacidad de la organización con respecto a un área de proceso. Un nivel de

capacidad consta de prácticas específicas y genéricas para un área de proceso

que puede mejorar los procesos de la organización asociada a esa área de

proceso. Cada nivel es una capa de la base para una mejora continua del proceso.

Por lo tanto, los niveles de capacidad son acumulativas, es decir, un mayor

nivel de capacidad incluye los atributos de los niveles inferiores.

En CMMI modelos con una representación continua, hay seis niveles de

capacidades designado kJ sus por los números 0 y 5.

 27

• 0 - Incompleto

• 1 - Se ha realizado

• 2 - Administrado

• 3 - Definido

• 4 - Cuantitativamente gestionado

• 5 - Optimización

Una breve descripción de cada nivel de capacidad es la siguiente:

Nivel de capacidad 0: incompleta

Un "incompleto" es un proceso que no se realiza o parcialmente. Uno o más

de los objetivos específicos del área de proceso no se cumplen y no hay objetivos

genéricos para este nivel puesto que no hay ninguna razón para institucionalizar

un proceso realizado parcialmente.

Esto equivale al nivel de madurez 1 etapas en la representación.

Nivel de capacidad 1: Realizar

UN Nivel de Capacidad 1 proceso es un proceso que se espera para

realizar todo el nivel de capacidad 1 prácticas específicas y genéricas. El

rendimiento no puede ser estable y no puede cumplir con objetivos específicos,

tales como la calidad, el costo y el horario, pero útil se puede realizar el trabajo.

Esto es sólo el comienzo, o baby-paso, mejora en el proceso. Esto significa que

usted está haciendo algo, pero no se puede demostrar que realmente está

funcionando para usted.

 28

Nivel de capacidad 2: Administración

Un proceso administrado es planificados, realizados, controlados y para

controlar los proyectos individuales, grupos o de forma independiente los procesos

para lograr un fin determinado. Gestión del proceso se logra tanto el modelo

objetivo para el proceso, así como otros objetivos, tales como costo, programación

y calidad. Como el título de este nivel indica, se gestionan de forma activa el modo

de hacer las cosas en la organización. Tiene algunas medidas que son

sistemáticamente recogidas y aplicadas a su enfoque de la gestión.

Las métricas son recogidas y utilizadas en todos los niveles de CMMI, tanto

en la escena como en las representaciones continuas. Es una amarga falacia

pensar que una organización puede esperar hasta que nivel de Capacidad 4 para

utilizar la métrica.

Nivel de capacidad 3: Definir

Un nivel de capacidad 3 proceso se caracteriza como un "proceso definido".

un proceso definido es un administrado (nivel de capacidad 2) proceso que se

diseñan a partir del conjunto de procesos estándar de la organización de acuerdo

con la adaptación de la organización y contribuyen productos de trabajo, medidas,

y otras de la mejora de procesos información de los activos de los procesos de la

organización.

Nivel de capacidad 4: administrada cuantitativamente

Un nivel de capacidad 4 proceso está caracterizado como un "proceso

administrado cuantitativamente". Un proceso administrado cuantitativamente es un

definido (nivel de capacidad 3) proceso que se controla mediante técnicas

 29

estadísticas y otras técnicas productivas. Objetivos cuantitativos de calidad y el

rendimiento de los procesos se fundamentan y utilizan como criterios en la gestión

del proceso. Calidad y rendimiento de los procesos se entienden en términos

estadísticos y se administran a lo largo de la vida del proceso.

Nivel de capacidad 5: Optimización

Un proceso en fase de optimización es un proceso gestionado

cuantitativamente que es mejor, basado en el conocimiento de las causas

comunes de variación de procesos heredados al proceso. Se centra en mejora

continua del rendimiento de los procesos mediante mejoras incrementales e

innovadoras. Tanto los procesos definidos como el conjunto de procesos estándar

de la organización son los objetivos de las actividades de mejora.

Nivel de Capacidad 4 se centra en establecer un marco de referencia, los

modelos y las mediciones de rendimiento de los procesos. Nivel de Capacidad 5

se centra en el estudio de resultados en toda la organización o empresa, encontrar

causas comunes de los problemas de cómo se realiza el trabajo (el proceso[es]

utilizado), y cómo arreglar los problemas en el proceso. La corrección se incluyen

la actualización de los procesos de documentación y la formación en los errores

fueron inyectados.

En el primer post de la serie vimos, además de aspectos básicos de COBIT

y 15504, el PAM, un importante modelo, que contiene las bases para aplicar

15504 a COBIT 4.1, la anterior versión de COBIT. En este post vamos a ver cómo

aplica todo a la hora de evaluar COBIT 5 con ISO 15504.

 30

Las claves para evaluar COBIT 5 con ISO 15504

COBIT 5 descontinúa el modelo original de evaluación seguido por COBIT 4.1, Val

IT y Risk IT basado en el modelo CMM (ojo, que es CMM, no CMMI) e introduce

desde su nacimiento la evaluación de sus procesos con ISO/IEC 15504. Para ello

aparece el COBIT Assessment Programme, que incluye:

– “COBIT Process Assessment Model (PAM): Using COBIT 4.1”, aquel modelo

que salió en los tiempos de la 4.1 para cambiar el modelo de evaluación a 15504,

y que es donde están explicadas las claves para evaluar COBIT 5 con ISO 15504.

Y dos documentos más, bastante expresivos en su título: el “COBIT Assessor

Guide: Using COBIT 4.1” y el “COBIT Self Assessment Guide: Using COBIT 4.1”.

Hasta tal punto es la vinculación con 15504 que COBIT 5 no es compatible con

CMM.

De manera muy resumida, el proceso de evaluación mide la capacidad de cada

proceso descrito en COBIT (lo comentaré luego, pero ojo, que es capacidad y no

madurez). Para ello, se evalúan los atributos de proceso (de la norma ISO/IEC

15504).

Niveles de capacidad y atributos

Para realizar la evaluación, se asigna una calificación basada en evidencias

objetivas obtenidas de la utilización del proceso. Es necesario mantener la

trazabilidad entre la calificación de un atributo y la evidencia objetiva usada para

determinarla.

La calificación de cada atributo es la de la ISO 15504 – 2, que ya nos es tan

familiar: Full, Large, Partialy o Not.

 31

Alguna conclusión y consideración interesante sobre evaluar COBIT 5 con ISO

15504.
Un aspecto muy importante para tener en cuenta es que no existe la evaluación

por niveles de madurez… es por niveles de capacidad. Ojo, que no es lo mismo,

con sus pros y sus contras, aunque en mi opinión creo que elegir capacidad en

vez de madurez no ha sido lo más acertado por parte de ISACA.

Y lo que os comentaba al principio de la serie de post, que ha sido para nosotros

una alegría que COBIT utilice ISO 15504, ya que podemos aplicar el trabajo de

años con 15504 ahora a COBIT.

Por último te dejo algunos post y enlaces relacionados:

– Lo que hemos aprendido después de más de 30 proyectos con ISO 15504

– El servicio de evaluación que ofrece Kybele Consulting

– Los fundamentos de la norma, principales esquemas y organizaciones y mitos

sobre la 15504

– ¿CMMI o ISO 15504 SPICE?

– ¿ISO/IEC 9000, 15504, 12207, 27001 o 20000?

– Hoy sin una certificación de la calidad software es muy difícil ganar a proyectos

– Lista de empresas certificadas en ISO 15504 SPICE.

– Se puede implantar ISO 15504 / ISO 12207 con prácticas ágiles.

ISO/IEC 15504 nos ofrece la posibilidad de abordar la mejora de procesos

desde un punto de vista de la madurez organizacional como alternativa a emprender

esta tarea bajo un modelo de mejora de la capacidad de procesos.

 32

La necesidad de plantear un modelo de madurez organizacional según la Norma

ISO 15504 viene determinada básicamente por dos razones

• La necesidad de tener un modelo adaptado para pequeñas y medianas

empresas a un coste razonable

• Las ventajas de un modelo certificable por entidades independientes

Otras ventajas del esquema de certificación ISO 15504

• ISO 15504 Sigue siento un modelo alineado a CMMI por lo que puede ser

reconocido internacionalmente en países que estén más acostumbrados a

este esquema

• Se basa en un modelo de procesos específico para el desarrollo software

como es el que se propone en la norma ISO/IEC 12207

• Al basarse en un modelo ISO tiene más facilidades de adaptarse en

empresas que ya conocen los sistemas ISO dedicados al sector de

tecnologías de la información tales como

• ISO 9001

• ISO 27001

• ISO 20000

Las bases del modelo de madurez ISO 15504

Para realizar una evaluación de la madurez de una organización dedicada el

desarrollo software necesitamos:

Un modelo de referencia de procesos que por medio de una serie de atributos de

cada proceso nos permitan evaluar el grado de capacidad de dicho proceso:

 33

• Proceso realizado

• Proceso definido

• Proceso gestionado

• Proceso desplegado

• Otros …

Como hemos descrito en el punto anterior los procesos se evaluarán en base a

unos atributos genéricos que se deberán cumplir para alcanzar un nivel de

capacidad adecuado para cada nivel de madurez. Esto conforma un perfil de

procesos

Niveles de Capacidad
• La base de los niveles de madurez son los perfiles de procesos

• Un perfil de procesos está constituido por un grupo de procesos que han

alcanzado un nivel de capacidad

• El nivel de capacidad que como hemos visto se determina por el

cumplimiento de los atributos del proceso

 34

Propuesta del procedimiento para el análisis forense digital

Procedimientos para incidentes cibernéticos

Primer paso para el procedimiento de incidentes es la identificación que se divide
en los siguientes procesos:
• Se realiza una evaluación inicial
• Se comunica e identifica el incidente
• Se identifica el tipo y la gravedad del ataque
• Se asegura la preservación de las pruebas
• Se establece un plan de acción
• Se aísla el objetivo para prevenir que sea destruido

Segundo paso para el procedimiento de incidentes es la adquisición que se

divide en los siguientes procesos:
 35

• Se eligen los métodos apropiados

• Se establece el orden de la prioridad de la recolección de las evidencias
• Se recogen las evidencias

Tercer paso para el procedimiento de incidentes es la preservación que se divide

en los siguientes procesos:
• Se realiza las copias de las evidencias.
• Se realiza un seguimiento de la cadena de custodia.
• Se establecen los métodos de traslado, habitualmente las evidencias
encontradas se trasladan a un centro de control para un análisis posterior

Riesgo Tecnológico
Seguridad en tecnología de la información
Particularmente los Data Center On-Premise corren el riesgo de comenzar a
deteriorarse con los años por el uso, factores climáticos, cuestiones eléctricas y
por manipulaciones físicas, lo que puede ocasionar una disminución o pérdida
total de productividad y en el peor de los casos perdida de información.
La manera de mitigar este riesgo seria contratar un servicio cloud para
servidores como por ejemplo amazon.

Sanciones y/o penalizaciones por incumplimiento

Artículo 7: En virtud de lo dispuesto en el literal c) del Artículo 66 de la Ley, las

infracciones se clasifican en cuantitativas, las que involucran un exceso o faltante
con respecto a lo requerido legal o reglamentariamente; y cualitativas, las que
representan un incumplimiento a las disposiciones legales y reglamentarias, las
cuales no involucran límite prudencial alguno y se encuentran tipificadas por la Ley
y el presente Reglamento.

Artículo 8: La calificación de las infracciones y la determinación de las sanciones

aplicables, se realizan de acuerdo con la naturaleza de la obligación infringida,
tomando en cuenta las condiciones en que se da y las características del infractor,
 36

conforme a los criterios previstos en el Artículo 71 de la Ley, que se detallan a

continuación:

a. La naturaleza y la entidad que cometió la infracción;

b. La gravedad del peligro ocasionado o el perjuicio causado;
c. Las ganancias obtenidas;
d. Las consecuencias desfavorables para el sistema financiero;
e. Las circunstancias de haber procedido o no a la subsanación sin necesidad
de previo requerimiento por la Administración Monetaria y Financiera;
f. Las dificultades objetivas que pudieron haber ocurrido; y,
g. La conducta anterior de la entidad.

En adición a los criterios señalados anteriormente, se tomará en cuenta el grado

de encubrimiento de la infracción, la reincidencia en la comisión de infracciones
semejantes a otras que hubieren sido sancionadas con anterioridad y la comisión
en forma frecuente o habitual de distintas infracciones.

Artículo 9: Las personas físicas y jurídicas que posean un tres por ciento (3%) o
más de participación en el capital de las entidades de intermediación financiera,
quienes ostenten cargos de administración o dirección en las personas jurídicas
que participen con un tres por ciento (3%) o más en el capital de dichas entidades,
así como, quienes ostenten cargo de administración o dirección en las entidades
de intermediación que infrinjan la Ley o las Normas Vigentes, siempre que
comprometan su responsabilidad con la comisión de la infracción, serán
sancionados sin perjuicio de las acciones judiciales que correspondan, tomando
en cuenta los criterios siguientes:

a. Los que con conocimiento hayan permitido o ejecutado operaciones que

ocasionen perjuicios a la entidad o a terceros, serán responsables frente a
la entidad y los terceros por el daño ocasionado;
b. El grado de responsabilidad en los hechos que concurran en el interesado;
c. La conducta anterior del mismo, tomando en consideración si es o no la
primera vez que se le sanciona;
 37

d. El grado de control que tuviere dentro de la entidad para tomar las

decisiones; y,
e. Si su conducta fue dolosa o negligente. En adición a los criterios anteriores,
serán tomados en cuenta los criterios descritos en los literales b), c), d), e) y
el párrafo del Artículo anterior.

Los criterios de responsabilidad antes definidos se aplicarán igualmente a

cualquier accionista, siempre que comprometa su responsabilidad con la comisión
de una infracción, sin importar la participación que posea en la entidad de
intermediación de que se trate.

Artículo 10: Limitación de responsabilidad. Quedarán exentos de responsabilidad

las personas físicas y jurídicas señaladas en el Artículo anterior, en los casos
siguientes:

a. Cuando no hubieran asistido por causa justificada a las reuniones

correspondientes o hubiesen votado en contra o salvado su voto, en
relación con las decisiones o acuerdos que hubiesen dado lugar a las
infracciones, lo cual debe constar en las actas correspondientes; o,
b. Cuando dichas infracciones sean exclusivamente imputables a comisiones
ejecutivas, consejeros, delegados, directores generales, órganos asimilados
u otras personas con funciones en la entidad.
 38

CONCLUCIONES

• De momento con estas normas podemos concluir que a las

empresas pequeñas y medianas (PYMES) actualmente son presa

fácil para los ciberdelincuentes por las diversas brechas que estarían

por llenarse para poder estabilizar las instituciones.

• También las PYMES podrían tener complicaciones ya que estas no

cuentan con una infraestructura sólida y con una buena

administración del riesgo tecnológico a causa de uno de los más

grandes obstáculos como lo es un bajo presupuesto como la mayoría

de las empresas guatemaltecas están actualmente

• Sabemos de la importancia que se tiene de la JM-42-2020 por el cual

llegamos a la conclusión de que la resolución de mucha importancia

que se tiene en lo que es la tecnología como el cumplimiento de

cada uno de sus artículos he inicios ya que es importante tanto saber

de la existencia como de la gran ayuda que nos da para evitar riegos

para mitigar riesgos para solventar y apoyar el are de tecnología ya

que es un área muy importante en la empresa que desarrolla una

gran labor pero sabemos que estamos enfrentando los riesgos de

diferente formas como jaqueros , ciberataques con la finalidad de

que esta resolución es importante para el desarrollo de la protección

de información ya que esta resolución nos ayuda en gran magnitud.

 39

• Se realizo un estudio para poder resguardar la información por medio

de la nube de datos para que tenga una redundancia la data, tanto

localmente como por medio de internet.

• Se debe de tomar en cuenta los acontecimientos que podrían

suceder en un lugar físico

 40

RECOMENDACIONES

• Se recomienda la utilización de redundancia en las bases de datos,

tanto físicas como virtuales para no comprometer los datos y lograr

tener confiabilidad.

• Se recomienda tener un ambiente hibrido para el resguardo del data

center

• El data center principal y el redundante tienen que estar en

ubicaciones distintas para mayor seguridad

 41

REFERENCIAS BIBLIOGRAFICAS

• https://uip.mingob.gob.gt/wp-content/uploads/2019/03/Estrategia-Nacional-
de-Seguridad-Cibern%C3%A9tica.pdf

• https://leyes.infile.com/visualizador_demo/index.php?id=81078+

• https://admision.masters-
ealde.com/mgrdc_ciberseguridad_informatica_0721_lead/?utm_source=we
b&utm_medium=blogs&utm_campaign=TDO-Perf-RiesgosDigitales-
&utm_content=Perf&_ga=2.178141989.1074101665.1655244314-
994442355.16552443144

• https://www.universidadesonline.com.gt/carreras/carreras-
universitarias/donde-estudiar-ciberseguridadd

• https://leyes.infile.com/index.php?id=182&id_publicacion=646266

• http://infogtm.com/website/

• https://www.forensedigital.gt/

• https://www.redalyc.org/pdf/922/92217153012.pdf

• https://www.tutorialspoint.com/es/cmmi/cmmi_capability_levels.htm

• https://www.javiergarzas.com/2012/05/claves-para-evaluar-cobit-5-con-iso-
15504-2.html

• https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf-
vs-scf
42