Las empresas se mantienen y garantizan la evolución de su modelo de negocio al asegurar los sistemas de TI con los que cuenta. Como ya todos sabemos, los sistemas de TI se ven constantemente expuestos a riesgos y vulnerabilidades de distinta naturaleza que afectan el desenvolvimiento de toda la organización. Igualmente, el mismo mercado demanda seguridad, rapidez y amigabilidad de los recursos informáticos de las empresas.
En este sentido, se hace patente la necesidad de contar con un modelo de madurez de la seguridad informática que nos arroje luces sobre los procedimientos que hacen posible el cumplimiento de todas estas características.
Además, para garantizar, mantener y resguardar los activos de TI; los encargados de la Seguridad Informática de las empresas deben conocer el grado de madurez de seguridad que tienen sus sistemas; y así detectar y visualizar si presentan las dimensiones y características necesarias para poder planificar las metas de seguridad deseadas. Conozcamos entonces cuáles son.
Modelos de Madurez de la Seguridad Informática
Los modelos de madurez de la seguridad informática están diseñados para arrojar medidas estandarizadas. Gracias a ellas, establecemos el grado de desarrollo y fortalezas de las medidas de seguridad de información de cada organización; e igualmente, hacer ajustes para lograr las metas de seguridad digital a las que se aspira.
Ahora bien, esto implica la implantación de un sistema de Gestión de Seguridad que de por sí, resulta complejo porque debido a las migraciones que demanda para la creación de un Sistema de Seguridad (SGSI).
Por otra parte, la mayoría de los modelos de madurez de la seguridad informática establecen objetivos de control muy específicos.
Gracias a ellos se han creado distintos modelos cuyos estándares se basan en recomendaciones para ayudar a las organizaciones a adecuar sus políticas de seguridad de sus activos de TI.
A título meramente informativo, nombramos algunos de ellos:
- ISM3
- IBM-ISF
- NIST CSEAT IT SMM
- Gartner’s Security Model
- SUNY ISI
- SSE-CMM
- CERT/CSO
- CSMM
Para los efectos de este post, nos centraremos en las similitudes que presentan estos estándares. De esta forma, resumimos en 5 niveles que se repiten como medidas estándar para determinar el nivel de madurez de la seguridad informática que presentan las empresas. De esta forma, podrás dar un rápido diagnóstico a tu empresa y establecer tus nuevas metas en seguridad digital:
Nivel 1. Blind trusting
Es la etapa inicial de arranque o inicio que, según el modelo de seguridad de Gartner, ubica a las empresas en un 25% de madurez total o integral. Sugiere la organización de varios documentos que establezcan pautas y dirección para que los empleados aseguren la seguridad de la información. Es una etapa muy general donde se organizan reuniones orientadas a la seguridad física de la infraestructura.
Nivel 2. Repeatable
Las empresas se ubican a un 75% de madurez. Los indicadores de esta etapa son la revisión crítica de su estatus de seguridad y el desarrollo de políticas formales de seguridad. Si no existe un equipo de seguridad asignado, la organización asigna una. Asimismo, la seguridad física adquiere algún nivel de confianza, pero no hay documentación que brinde alguna guía.
Nivel 3. Defined
De nuevo, Gartner lo ubica en 95% de madurez total. Se inicia el programa de seguridad estratégica. También podrán verse los resultados obtenidos en las etapas anteriores. Se promueve la implementación de procedimientos de seguridad de IT de forma más consistente. Se introduce un proceso estándar para asegurar la seguridad de la información de datos reales de la empresa
Nivel 4. Managed
Este nivel indica el 100% de madurez de la seguridad informática, también conocido como el nivel de pruebas de seguridad. Este nivel permite a la administración predecir con precisión los resultados de la mayoría de los procesos. Se vela por que los empleados tomen acciones correctivas dirigidas hacia las debilidades identificadas con el fin de mitigarlas. Asimismo, se establecen objetivos de calidad cuantificables. Las amenazas de seguridad son estructuradas.
Nivel 5. Maintenance
En esta etapa, las organizaciones deberían ser capaces de manejar todos los incidentes relacionados con la seguridad de la información. Este nivel asegura que todas las políticas y procedimientos efectúan los niveles de seguridad de TI apropiados. Las mejoras realizadas en la seguridad de la información representan ahorros significativos de recursos.
De nuevo, estos 5 niveles para determinar la madurez de la seguridad informática no constituyen un modelo único. Se tratan más bien de una guía rápida de diagnóstico en la que te recomendamos ahondar en profundidad con nosotros; de modo que avances sin más tropiezos hacia la excelencia en seguridad digital para hacerla más competitiva en el mercado.