ISM3
es un estándar de ISECOM para la gestión de la seguridad de la
información. Está pensado para una mejorar la integración con otras
metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas
para la creación de sistemas de gestión de la seguridad de la
información.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
Es el sistema de gestión de seguridad de la información, es
como que fuera una política acerca del manejo y uso de la información, este está
basada en procesos, es para tener un control de seguridad definido también
llamado riesgo aceptable
ISM3
pretende alcanzar un nivel de seguridad definido, también conocido como riesgo
aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la
seguridad de la información el garantizar la consecución de objetivos de
negocio. La visión tradicional de que la seguridad de la información trata de
la prevención de ataques es incompleta. ISM3 relaciona directamente los
objetivos de negocio (como entregar productos a tiempo) de una organización con
los objetivos de seguridad (como dar acceso a las bases de datos sólo a los
usuarios autorizados)
Algunas características significativas de ISM3 son:
• Métricas de Seguridad de la Información - "Lo que no se
puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede
mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante
métricas de gestión de procesos, siendo probablemente el primer estándar que lo
hace. Esto permite la mejora continua del proceso, dado que hay criterios para
medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la
información.
• Niveles de Madurez – ISM3 se adapta tanto a organizaciones
maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se
adaptan a los objetivos de seguridad de la organización y a los recursos que
están disponibles.
• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que
lo hace especialmente atractivo para organizaciones que tienen experiencia con
ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta
la colaboración entre proveedores y usuarios de seguridad de la información,
dado que la externaliza ión de procesos de seguridad se simplifica gracias a
mecanismos explícitos, como los ANS y la distribución de responsabilidades.
• Adopción de las Mejores Prácticas – Una implementación de ISM3
tiene ventajas como las extensas referencias a estándares bien conocidos en
cada proceso, así como la distribución explícita de responsabilidades entre los
líderes, gestores y el personal técnico usando el concepto de gestión
Estratégica, Táctica y Operativa.
• Certificación – Los sistemas de gestión basados en ISM3 pueden
certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar
ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser
atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen
experiencia e infraestructura para ISO9001.
• Accesible – Una de las principales ventajas de ISM es que los
Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la
Información como una inversión y no como una molestia, dado que es mucho más
sencillo medir su rentabilidad y comprender su utilidad.
PROPÓSITO DE ISM3
El propósito de los
sistemas de gestión de seguridad (ISM, del inglés Information System
Management)
•Prevenir
o mitigar los ataques, errores y accidentes que puedan poner en riesgo la
seguridad de los sistemas de información y los procesos organizativos
soportados por ellos.
Está
diseñado para ser aplicable a cualquier organización independientemente
de su tamaño;
•Puede
usarse para mejorar los sistemas ISM de la organización, resaltando
diferencias entre el nivel actual y el nivel deseado de madurez;
•Emplea
un enfoque cuantitativo para evaluar la madurez del sistema ISM
de una organización y su ambiente de control de seguridad de la información.
•Puede ser útil como una guía para
priorizar inversiones. Comparando los objetivos de seguridad y los
objetivos de madurez, el análisis del nivel de madurez puede ayudar a
determinar si una organización debería estar gastando más o menos en seguridad
de la información.
Es
importante destacar:
Que
muchas amenazas de las organizaciones caen fuera del alcance de la gestión de
sistemas de información. Tales incidentes son de origen interno, y a menudo
incluyen errores, o acciones maliciosas o fraudulentas de los empleados. Tales
incidentes incluyen:
•Error
Humano;
•Incompetencia;
•Fraude;
•Corrupción.
No hay comentarios:
Publicar un comentario