Seguridad

Hacia la madurez de los SGSI

🕑 3 minutos de lectura

¿Cómo alcanzar la madurez en un SGSI?

Siempre se ha tendido a comparar los sistemas de gestión, la calidad y adecuación al propósito de la organización de los procedimientos de contratación y auditoría de suministradores, qué organización dispone de un plan de continuidad más completo ante un evento disruptivo, quién realiza de manera más adecuada la gestión de accesos, etc.

Sin embargo, resulta muy difícil medir este tipo de cuestiones sin una escala que permita conformar distintos niveles que determinen el grado de madurez actual en una organización en cuanto a Seguridad de la Información se refiere.

El estándar ISO/IEC 27001 ya propone un conjunto de controles recogidos en su Anexo A. Estos controles, como se ha comentado en ocasiones anteriores, se dividen en dominios que tratan distintos aspectos de seguridad, pudiendo proponer controles que traten desde la segregación de las redes de la organización hasta procedimientos que propongan mecanismos para regular el cumplimiento legal de la organización. No obstante, estos controles, en la mayoría de los casos, son comunes en muchas organizaciones aunque su implementación pueda diferir sensiblemente.

Ciclo de mejora continua SGSI

A pesar de que el estándar propone un ciclo de mejora continua que permite aumentar la madurez de sus políticas, controles y procedimientos conforme se van sucediendo los ciclos, no se dispone de ninguna escala normalizada por la que situar la madurez de la Seguridad de la Información. Un buen método para llevar a cabo esta evaluación es trasladar nuestro Sistema de Gestión a algún modelo de madurez aceptado por la industria, de esta manera podremos ver qué estamos haciendo respecto de la competencia, qué elementos cumplo y cómo los cumplo (Grado de Madurez).

Son varios los modelos de madurez aceptados en la actualidad (aunque por todavía poco utilizados por las organizaciones). Ejemplos de ello pueden ser NIST-CSEAT, CITI-ISEM, COBIT Madurity Model, Sello Leet Security, etc.  Sin embargo, unos se ajustan a las necesidades de una organización mejor que a otras; algunos de ellos están orientados a madurez y otros a capacidades, unos orientados a sistemas y otros a procesos, etc. Aunque en definitiva nos permiten compararnos con la competencia.

Tal y como hemos mencionado, un ejemplo de ello es Leet Security, una certificación que nos propone 5 niveles de madurez, que van desde el A (nivel más alto definido en la escala) hasta el E (nivel más bajo y que la mayoría de las organizaciones poseen en la actualidad). Cada uno de los modelos superiores contiene los que tienen inmediatamente debajo, así el control E posee 7 controles y el C 248 conteniendo a su vez los anteriormente mencionados.

Para ello, nuestra herramienta GlobalSuite – Compliance permite una gestión ágil del cumplimiento legal, contractual y normativo que nos propone este tipo de estándares, en la que podremos saber en cualquier momento el grado de cumplimiento con éstos, establecer una relación con nuestros controles del plan de tratamiento, relación de las distintas cláusulas con la última versión de cada uno de los documentos relacionados desde su gestor documental, generación de informes automáticos a partir de los resultados obtenidos, establecer planes de adecuación para los requisitos de manera automática, además de dar soporte a la realización de análisis de brecha contra cualquier marco normativo.