Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURIDAD CORPORATIVA
Modelo de Madurez
27 de enero de 2.011
Modelo de Madurez
Una mejora en la Gestin de la Seguridad nos va a permitir avanzar en la madurez de los procesos de seguridad
Modelos de Madurez
El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluacin de los procesos de una organizacin. Fue desarrollado por la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute).
Modelos de Madurez
Es necesario disponer de un modelo de madurez de la seguridad corporativa
Modelo de Madurez
0 1 2 3 4 5 No-existente Inicial/Ad Hoc Repetible pero intuitivo Proceso definido Administrado y Medible Optimizado
1 Inicial/Ad Hoc
La organizacin reconoce la necesidad de seguridad La conciencia de la necesidad de seguridad depende principalmente del individuo. La seguridad se lleva a cabo de forma reactiva. No se mide la seguridad.
1 Inicial/Ad Hoc
Los incidentes de seguridad ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a los incidentes de seguridad son impredecibles.
10
3 Proceso Definido
Existe conciencia sobre la seguridad y sta es promovida por la direccin. Los procedimientos de seguridad estn definidos y alineados con la poltica de seguridad. Las responsabilidades de la seguridad estn asignadas y entendidas, pero no continuamente implementadas.
11
3 Proceso Definido
Existe un plan de seguridad y existen soluciones de seguridad basadas en los resultados de un anlisis de riesgo. Los informes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas. Existe formacin en seguridad, pero se programa y se comunica de manera informal
12
4 Administrado y Medible
Las responsabilidades sobre la seguridad son asignadas, administradas e implementadas de forma clara. Se realizan peridicamente anlisis de impacto y de riesgos de seguridad. Las pruebas de seguridad se hacen utilizando procesos formales y normalizados que ayudan a mejorar los niveles de seguridad. Los procesos de seguridad estn coordinados con la funcin de seguridad de toda la organizacin.
13
4 Administrado y Medible
Los informes de seguridad estn ligados con los objetivos del negocio. La capacitacin sobre seguridad se imparte a todo el personal. La formacin sobre seguridad se planifica y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya estn definidos, y se miden pero no son utilizados por la direccin.
14
5 Optimizado
Los requisitos de seguridad estn definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado. Los incidentes de seguridad son atendidos de forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de seguridad de forma peridica para evaluar la efectividad de la implementacin del plan de seguridad. La informacin sobre amenazas y vulnerabilidades se recoge y analiza de manera sistemtica.
15
5 Optimizado
Se estudian e implementan en tiempo y forma los controles necesarios para mitigar los riesgos. Se llevan acabo pruebas de seguridad, anlisis de causa-efecto e identificacin pro-activa de los riesgos para la mejora continua de los procesos. La informacin de los KGIs y KPIs del sistema de gestin de la seguridad es recogida y utilizada. La direccin utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua.
16
Modelo de Madurez