Modelo De Madurez De La Seguridad
Información: cómo debe evolucionar la
seguridad en las organizaciones
Roberto Arbeláez CISSP, CISA
Security Program Manager for Latin America
o
Microsoft Corp.
¿QUÉ ES UN MODELO DE MADUREZ?
Es un conjunto estructurado de elementos que describen el nivel de
madurez de un ente en un aspecto determinado•Establece un orden claro, discreto y absoluto, definiendo niveles o etapas
de madurez
•Establece de manera explícita la evolución de la organización en dicho
aspecto
¿PARA QUÉ SIRVE UN MODELO DE MADUREZ?
•Me permite medirme: ¿Dónde estoy hoy?
•Autoanálisis
Presente
•Madurez
•Capacidad
•Benchmarking sectorial
•Benchmarking nacional / regional / global
•Me permite definir dónde debo estar•Oportunidades de mejora/optimización
•Alineación con estrategias organizacionales
•Alineación con requerimientos presentes y futuros
Futuro
¿PARA QUÉ SIRVE UN MODELO DE MADUREZ?
•Me permite planear lo que debo lograr para llegar a donde quiero estar
•Planes, proyectos, tareas
•Me permite gestionar mi crecimiento y evolución
•Medir si me estoy acercando a donde debo estar•Corregir el rumbo si me estoy desviando
¿QUÉ INFORMACION OBTENGO DE UN
MODELO DE MADUREZ?
• ¿Qué estoy haciendo?
•De un conjunto de elementos, cuáles cumplo, cuáles no
•¿Cómo lo estoy haciendo?
•De los elementos que cumplo, ¿cómo los cumplo?
•Mejor, peor...
•Manual, automatizado…
•En papel, o en digital…
•En diferido o en tiempo real…
Algunos Modelos…
•
•
•
•
•
•
NIST‐CSEAT
CITI‐ISEM
COBIT Maturity Model(ISM3)
SSE‐CMM
CERT‐CSO
(ISM3)
• Information Security Management Maturity
Model
• Este modelo es tratado en profundidad en
otra presentación de la VIII Jornada Nacional
de Seguridad Informática!
Modelo NIST‐CSEAT
• NIST CSEAT: National Institute of Standards
and Technology ‐ Computer Security Expert
Assist Team
• 5 niveles de madurez progresiva
–Política,Procedimiento,Implantación,Prueba,
Integración
Modelo NIST‐CSEAT
Tópicos del Modelo NIST‐CSEAT
• Management and Culture
– Roles y responsabilidades de TI
– Revisión de controles de seguridad
– Reglas de comportamiento y documentación
– Análisis de desempeño y retroalimentación
– Protección de Infraestructura física
– Controles de personal
– Controles específicos de programaTópicos del Modelo NIST‐CSEAT
• Plans
– Plan de seguridad del sistema
– Administración de riesgos
– Procesamiento autorizado
– Documentación
Tópicos del Modelo NIST‐CSEAT
• Training and Education
– Sensibilización y Entrenamiento en seguridad del
usuario final
– Sensibilización y Entrenamiento en seguridad del
profesional de TI
– Sensibilización y Entrenamiento en seguridadde la Gerencia y equipo de liderazgo
– Entrenamiento de seguridad específico de
programas
Tópicos del Modelo NIST‐CSEAT
• Budget and Resources
– Seguridad de la información como parte del
proceso de planeación general
– Se aplican recursos adecuados a la seguridad de la
información
– Presupuesto y recursos de seguridad de TI
basados en un modelo de riesgos
–Soluciones de Seguridad de TI costo‐efectivas
– Controles de adquisición (procurement)
Tópicos del Modelo NIST‐CSEAT
• Lifecycle management
– Ciclo de vida de desarrollo del sistema de
información (SDLC‐ Security Development Life
Cycle)
– Cambios controlados y probados a través del SDLC
Tópicos del Modelo NIST‐CSEAT
• Incident and Emergency Response
– Identificación de activos críticos y sensibles
–Respuesta ante desastres / contingencias
– Identificación, reporte y respuesta ante incidentes
– Continuidad de las operaciones
Tópicos del Modelo NIST‐CSEAT
• Operational Security Controls
– Mantenimiento de hardware y de software
– Integridad de datos
– E/S de producción
– Confidencialidad de datos
– Disponibilidad de datos
– Documentación de operaciones del sistema...
Regístrate para leer el documento completo.