La publicación del ISM3 (Información Security Management Maturity
Model) ofrece un nuevo enfoque de los sistemas de gestión de seguridad de la
información (ISM). ISM3 nace de la observación del contraste existente entre el
número de organizaciones certificadas ISO9000 (unas 350,000), y las
certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende
cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas
de gestión de la seguridad de la información. ISM3 proporciona un marco para
ISM que puede utilizarse tanto por pequeñas organizaciones que realizan sus
primeros esfuerzos, como a un nivel alto de sofisticación por grandes
organizaciones como parte de sus procesos de seguridad de la información...
Al igual que otros estándares del ISECOM, ISM3 se proporciona con
una licencia de “código libre”, tiene una curva de aprendizaje suave, y puede
utilizarse para fortalecer sistemas ISM en organizaciones que utilicen
estándares como COBIT, ITIL, CMMI y ISO17799. Está estructurado en niveles de
madurez, de modo que cada organización puede elegir un nivel adecuado para su
negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de métodos caros de análisis
de riesgos, que suponen una barrera a la implantación de sistemas de ISM, ISM3
sigue un punto de vista cualitativo, empezando por analizar los requerimientos
de seguridad del negocio. Permite a la empresa aprovechar la infraestructura
actual, fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de
madurez certificables según el sistema de ISM evoluciona.
Utiliza un modelo de gestión para diferenciar las tareas de
seguridad operativa que previenen y mitigan incidentes de las tareas
estratégicas y tácticas que identifican los activos a proteger, las medidas de
seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe
un proceso de certificación que permite a una organización autoevaluar su
madurez, o bien obtener una certificación de un auditor independiente.
La publicación de
ISM3 v1.20 (Información Security Management Maturity Model, que se pronuncia
ISM cubo) ofrece muchas ventajas para la creación de sistemas de gestión de la
seguridad de la información. ISM3 por sí solo o para mejorar sistemas basados
en ITIL, ISO27001 o Cobit.
ISM3 pretende
alcanzar un nivel de seguridad definido, también conocido como riesgo
aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la
seguridad de la información el garantizar la consecución de objetivos de
negocio. La visión tradicional de que la seguridad de la información trata de
la prevención de ataques es incompleta. ISM3 relaciona directamente los
objetivos de negocio (como entregar productos a tiempo) de una organización con
los objetivos de seguridad (como dar acceso a las bases de datos sólo a los
usuarios autorizados)...
Algunas
características significativas de ISM3 son:
Métricas de
Seguridad de la Información -
"Lo que no se puede medir, no se puede gestionar, y lo que no se puede
gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un
proceso medible mediante métricas de gestión de procesos, siendo probablemente
el primer estándar que lo hace. Esto permite la mejora continua del proceso,
dado que hay criterios para medir la eficacia y eficiencia de los sistemas de
gestión de seguridad de la información.
Niveles de
Madurez – ISM3 se
adapta tanto a organizaciones maduras como a emergentes mediante sus cinco
niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la
organización y a los recursos que están disponibles.
Basado el
Procesos - ISM3 v1.20
está basado en procesos, lo que lo hace especialmente atractivo para
organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como
modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre
proveedores y usuarios de seguridad de la información, dado que la
externalización de procesos de seguridad se simplifica gracias a mecanismos
explícitos, como los ANS y la distribución de responsabilidades.
Adopción de las
Mejores Prácticas –
Una implementación de ISM3 tiene ventajas como las extensas referencias a
estándares bien conocidos en cada proceso, así como la distribución explícita
de responsabilidades entre los líderes, gestores y el personal técnico usando
el concepto de gestión Estratégica, Táctica y Operativa.
Certificación – Los sistemas de gestión basados en
ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se
puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también
puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y
que tienen experiencia e infraestructura para ISO9001.
Accesible – Una de las principales ventajas de
ISM es que los Accionistas y Directores pueden ver con mayor facilidad la
Seguridad de la Información como una inversión y no como una molestia, dado que
es mucho más sencillo medir su rentabilidad y comprender su utilidad.
