Modelos de Madurez'

1
Modelos de Madurez.

• Enrique Daltabuit
• D.G.S.C.A.
• U.N.A.M.

2

• Actualmente existe un gran número de estándares
  tanto de gestión como de seguridad de la
  información, entre los que se encuentran los bien
  conocidos ISO17799 y BS7799-2.
• Cada uno de estos estándares toma un punto de
  vista principal
• de procesos como ITIL o COBIT,
• de mejores prácticas como ISO17799 e ISF-SGP,
• de controles como BS7799-2, ISO13335 y SP800-53,
• o de riesgo como hacen OCTAVE y MAGERIT.

3

• Las mejores prácticas tienen un ámbito de
  aplicación universal y son fáciles de entender,
  pero la implementación resulta muy compleja.
• La orientación al riesgo es la más satisfactoria
  desde el punto de vista teórico, pero puede ser
  cara y no resulta fácil de manejar a nivel
  técnico.

4

• La orientación a los procesos es sencilla de
  implementar, pero no garantiza los resultados.
• La orientación a controles es fácil de auditar y
  aparentemente garantiza resultados, pero es muy
  compleja de implementar y puede resultar muy poco
  flexible

5

• Veremos los modelos mas recientes

6

• COBIT (Control Objectives for Information and
  related Technology)
• Directrices Gerenciales
• Julio de 2000
• 3ra Edición
• Publicado por El Comité de Dirección de COBIT y
  el IT Governance Institute

7

• La Misión de COBIT
• Investigar, desarrollar, publicar y promover un
  conjunto de objetivos de control en tecnología de
  información con autoridad, actualizados, de
  carácter internacional y aceptados generalmente
  para el uso cotidiano de gerentes de empresas y
  auditores.

8

• A los gerentes generales de las organizaciones
  corporativas y públicas se les pide
  frecuentemente que consideren un caso de negocio
  para los gastos de recursos para controlar la
  infraestructura de información. Mientras pocos
  argumentarían que esto no es bueno, todos se
  deben preguntar

9

• Hasta dónde debemos ir, y está el costo
  justificado por el beneficio?
• Para ayudar a responder esa pregunta, a menudo se
  hacen otras preguntas relacionadas

10

• Qué estándares reconocidos internacionalmente
  existen, y cómo estamos nosotros situados
  respecto a éstos?
• Qué están haciendo los demás, y cómo estamos
  nosotros situados en relación a ellos?
• Qué está considerado como la mejor práctica de
  la industria, y cómo estamos nosotros situados en
  relación con esa mejor práctica?

11

• Basados en estas comparaciones externas, podría
  decirse que nosotros estamos tomando precauciones
  razonables para salvaguardar nuestros activos
  de información?

12

• La administración de TI está constantemente en la
  búsqueda de herramientas de referencia y de auto
  evaluación en respuesta a la necesidad de saber
  qué hacer en una forma eficiente

13

• Comenzando con los procesos de COBIT y con
  objetivos de control de alto nivel, el
  propietario del proceso debe ser capaz de
  precisar

14

• (1) una medida relativa de dónde está la
  organización
• (2) una forma de decidir eficientemente dónde ir
• (3) una herramienta para medir el progreso con
  respecto al objetivo

15

• Los modelos de madurez para el control de los
  procesos de TI consisten en desarrollar un método
  de puntaje de modo que una organización pueda
  calificarse a sí misma desde inexistente hasta
  optimizada (de 0 a 5).

16

• Este método ha sido derivado del Modelo de
  Madurez que el Software Engineering Institute
  definió para la madurez de la capacidad de
  desarrollo de software.
• Contra estos niveles, desarrollados para cada uno
  de los 34 procesos de TI de COBIT, la
  administración puede mapear o cruzar

17

• El estado actual de la organizacióndónde está la
  organización actualmente
• El estado actual de la industria (la mejor de su
  clase en)la comparación
• El estado actual de los estándares
  internacionalescomparación adicional
• La estrategia de la organización para
  mejoramientodónde quiere estar la organización

18

• COBIT es un marco de referencia general dirigido
  a la administración de TI y como tal estas
  escalas necesitan ser prácticas para aplicar y
  razonablemente fáciles de entender

19

• Los Criterios de Información contenidos en el
  Marco Referencial de COBIT ayudan a asegurarse de
  que estamos enfocados en los aspectos correctos
  de la administración cuando describimos la
  práctica real.

20
Planeación y Organización

• PO1 Definir un Plan Estratégico de TI
• PO2 Definir la Arquitectura de la Información
• PO3 Determinar la Dirección Tecnológica
• PO4 Definir la Organización y las Relaciones de
  TI
• PO5 Administrar la Inversión de TI
• PO6 Comunicar los Objetivos y la Dirección de la
  Administración
• PO7 Administrar los Recursos Humanos
• PO8 Asegurar el Cumplimiento de los Requisitos
  Externos
• PO9 Evaluar los Riesgos
• PO10 Administrar Proyectos
• PO11 Administrar la Calidad

21
Adquisición e Implementación

• AI1 Identificar Soluciones Automatizadas
• AI2 Adquirir y Mantener Software de Aplicación
• AI3 Adquirir y Mantener Infraestructura de
  Tecnología
• AI4 Desarrollar y Mantener Procedimientos
• AI5 Instalar y Acreditar Sistemas
• AI6 Administrar Cambios

22
Entrega y Soporte

• DS1 Definir y Administrar Niveles de Servicio
• DS2 Administrar Servicios de Terceros
• DS3 Administrar el Desempeño y la Capacidad
• DS4 Asegurar un Servicio Continuo
• DS5 Asegurar Seguridad de Sistemas
• DS6 Identificar y Asignar Costos
• DS7 Educar y Capacitar a los Usuarios
• DS8 Asistir y Asesorar a los Clientes
• DS9 Administrar la Configuración
• DS10 Administrar Problemas e Incidentes
• DS11 Administrar Datos
• DS12 Administrar Facilidades
• DS13 Administrar Operaciones

23
Monitoreo

• M1 Monitorear los Procesos
• M2 Evaluar lo Adecuado del Control Interno
• M3 Obtener aseguramiento Independiente
• M4 Proveer Auditoría Independiente

24

• Los Modelos de Madurez se construyen a partir del
  modelo genérico cualitativo a los que se agregan
  las prácticas y los principios de los dominios
  siguientes de forma creciente a través de todos
  los niveles

25

• Entendimiento y conocimiento de los riesgos y de
  los problemas de control
• Capacitación y comunicación aplicadas a los
  problemas
• Proceso y prácticas que son implementados
• Técnicas y automatización para hacer los procesos
  más efectivos y eficientes
• Grado de cumplimiento de la política interna, las
  leyes y las reglamentaciones
• Tipo y grado de pericia empleada.

26

• Los Modelos de Madurez se refieren a los
  requerimientos del negocio y a los aspectos
  posibilitadores en los diferentes niveles de
  madurez

27

• Son una escala que se presta para la comparación
  pragmática
• Son una escala en la que la diferencia puede
  hacerse mensurable de manera sencilla
• Son reconocibles como un perfil de la empresa
  relativo al gobierno de TI, la seguridad y el
  control

28

• Ayudan a fijar posiciones de Como está y Como
  debe estar en relación con el gobierno de TI, la
  madurez de la seguridad y el control
• Se prestan para hacer análisis de los vacíos/gap
  para determinar lo que es necesario hacer para
  alcanzar un nivel determinado

29

• Evitan, donde es posible, niveles discretos que
  crean umbrales que son difíciles de cruzar.
• Aplican cada vez más factores críticos de éxito-
• No son específicos de la industria ni son siempre
  aplicables, el tipo de negocio define lo que es
  apropiado.

30
Metrica

• La escala 0-5 se basa en una escala simple de
  madurez que muestra cómo evoluciona un proceso
  desde Inexistente hasta optimizado.
• Debido a que son procesos de administración, la
  madurez y la capacidad aumentada es también
  sinónimo de mayor manejo del riesgo y mayor
  eficiencia.

31
(No Transcript)
32
0 Inexistente.

• Total falta de un proceso reconocible. La
  organización ni siquiera ha reconocido que hay un
  problema que resolver.

33
1 Inicial.

• Hay evidencia de que la organización ha
  reconocido que los problemas existen y que
  necesitan ser resueltos.
• Sin embargo, no hay procesos estandarizados pero
  en cambio hay métodos ad hoc que tienden a ser
  aplicados en forma individual o caso por caso.
• El método general de la administración es
  desorganizado.

34
2 Repetible.

• Los procesos se han desarrollado hasta el punto
  en que diferentes personas siguen procedimientos
• similares emprendiendo la misma tarea.
• No hay capacitación o comunicación formal de
  procedimientos estándar y la responsabilidad se
  deja a la persona.
• Hay un alto grado de confianza en los
  conocimientos de las personas y por lo tanto es
  probable que haya errores

35
3 Definida.

• Los procedimientos han sido estandarizados y
  documentados, y comunicados a través de
  capacitación.
• Sin embargo se ha dejado en manos de la persona
  el seguimiento de estos procesos, y es improbable
  que se detecten desviaciones.
• Los procedimientos mismos no son sofisticados
  sino que son la formalización de las prácticas
  existentes.

36
4 Administrada.

• Es posible monitorear y medir el cumplimiento de
  los procedimientos y emprender acción donde los
  procesos parecen no estar funcionando
  efectivamente.
• Los procesos están bajo constante mejoramiento y
  proveen buena práctica.
• Se usan la automatización y las herramientas en
  una forma limitada o fragmentada.

37
5 Optimizada.

• Los procesos han sido refinados hasta un nivel de
  la mejor práctica, basados en los resultados de
  mejoramiento continuo y diseño de la madurez con
  otras organizaciones.
• TI se usa en una forma integrada para
  automatizar el flujo de trabajo, suministrando
  herramientas para mejorar la calidad y la
  efectividad, haciendo que la empresa se adapte
  con rapidez

38
ISM3 1.0

• Information Security Management Maturity Model
• Vicente Aceituno And The Institute For Security
  And Open Methodologies (ISECOM)
• 2004
• WWW.ISECOM.ORG

39
ISECOM

• El Instituto para la Seguridad y las Metodologías
  Abiertas (ISECOM) es una iniciativa internacional
  sin ánimo de lucro dedicada a definir estándares
  técnicos y éticos en seguridad de la información
  desde Enero de 2001. El equipo está compuesto de
  voluntarios, y soportado por un panel de
  directores, consejero y un administrador
  regional.

40

• ISM3 nace de la observación del contraste
  existente entre el número de organizaciones
  certificadas ISO9000 (unas 350,000), y las
  certificadas BS7799-22002 (unos cientos en todo
  el mundo).

41

• Utiliza un modelo de gestión para diferenciar las
  tareas de seguridad operativa que previenen y
  mitigan incidentes de las tareas estratégicas y
  tácticas que identifican los activos a proteger,
  las medidas de seguridad a emplear, y los
  recursos que han de dedicarse a estas.

42

• El punto de partida de ISM3 son las mejores
  ideas sobre sistemas de gestión y controles de
  seguridad de ISO9000, ITIL, CMMI y los 7799.

43

• ISM3 nace con la vocación de cubrir las
  necesidades de empresas grandes y pequeñas que
  quieren asegurarse de obtener el máximo
  rendimiento de sus recursos, o bien disponen de
  recursos limitados.

44

• ISM3 es un estándar orientado al negocio,
  adaptable, certificable, compatible, escalable,
  abierto y completo

45

• ISM3 no persigue la invulnerabilidad (seguridad
  absoluta), sino garantizar el cumplimiento de la
  misión de la organización (seguridad definida).

46

• ISM3 está pensado para ser utilizable por todo
  tipo de organizaciones, sean grandes o pequeñas,
  privadas, del sector público o bien ONG's

47

• ISM3 alinea la gestión de la seguridad con las
  necesidades del negocio mediante el uso de dos
  conceptos claves,
• los Objetivos de Seguridad Cualitativos
• los Objetivos de Seguridad Cuantitativos,
  evoluciona

48

• Los objetivos de seguridad cualitativos se
  derivan de la misión de la organización

49

• los objetivos de seguridad cuantitativos se
  derivan de los bienes, entornos y ciclos de vida
  a proteger, y los recursos disponibles para
  realizar esta protección.

50

• Los objetivos de seguridad cualitativos se
  documentan en la Política de Seguridad, y por su
  naturaleza se mantienen básicamente constantes
  según la organización

51

• los objetivos cuantitativos permiten medir la
  eficacia del sistema de gestión.
• Si los objetivos se cumplen, el sistema es
  eficaz.
• Si no se cumplen,
• o bien el sistema no opera correctamente,
• o los objetivos no son realistas,
• o bien no hay suficientes recursos para conseguir
  los objetivos.

52
ISM3 Nivel 0

• Este nivel puede producir mejoras a corto plazo
  pero no llevara a una reducción significativa del
  riesgo de amenazas técnicas e internas en el
  mediano y largo plazo
• No es recomendable permanecer en este nivel..

53
ISM3 Nivel 1

• Este nivel conducirá a una reducción notable en
  el riesgo de riegos técnicos logrados con una
  inversión mínima en los procesos.
• Se recomienda este nivel para organizaciones que
  tienen objetivos de seguridad bajos en entornos
  de riesgos bajos.

54
ISM3 Nivel 2

• Este nivel debe resultar en una mayor reducción
  de riesgos de tipo técnico logrados mediante una
  inversión modesta en los procesos..
• Se recomienda para organizaciones cuyos objetivos
  de seguridad sean normales en entornos de riesgo
  normales..

55
ISM3 Nivel 3

• Este nivel debe lograr la mayor reducci0n de
  riesgos de amenazas técnicas logradas mediante
  una inversión considerable en los procesos de
  seguridad..
• Se recomienda este nivel para organizaciones que
  tengan objetivos de seguridad ambiciosos en
  entornos normales o de alto riesgo.

56
ISM3 Nivel 4

• Este nivel lograra la mayor reducción de los
  riesgos técnicos e internos mediante una
  inversión cuantiosa en los procesos de seguridad.
  
• Las organizaciones tales como proveedores de
  servicios públicos, instituciones financieras y
  aquellas que compartan información sensitiva con
  un objetivo de seguridad alto en entornos de
  riesgo normales o altos.

57
Requisitos

• Documentar. La documentación debe describir
  detalladamente los procesos e incluir machotes y
  ejemplos.

58

• Supervisión.
• Se requiere evidencia de que cada proceso tiene
  un dueño.
• Además se requiere evidencia de que se reporta
  la eficiencia o funcionamiento.
• El proceso puede ser interno o subrogado,.

59

• Suficiencia de recursos.
• Se requiere evidencia de que se han asignado
  recursos presupuestales para personal y espacio
  para llevar a cabo los procesos.
• La evidencia de que se llevan a cabo los procesos
  es suficiente para demostrar que se han asignado
  los recursos.

60

• Hay tres niveles de administración de la
  seguridad
• Estratégico
• que se ocupa de los objetivos generales y de la
  provisión de recursos .
• Táctico
• que se ocupa de los objetivos específicos y de la
  administración de recursos
• Operativo
• que se ocupa de lograr los objetivos que se han
  definido.

61

• Los resultados operativos de ISM son
• Mitigación de los incidentes
• Prevención de incidentes
• Reducción de riesgos
• Confianza

62
Selección de los procesos de seguridad

• Se basa en
• Estimación de amenazas
• Estimación de vulnerabilidades
• Análisis del impacto en las actividades
• Análisis de riesgos
• Análisis del resultado de la inversión en
  seguridad

63

• El resultado de la inversión en seguridad se
  defina como el cociente de las perdidas evitadas
  a los costos de la inversión el seguridad.
• Es una forma de mejorar la asignación de recursos
  escasos.

64

• La administración estratégica cumple las
  siguientes funciones
• Liderazgo y coordinación de la seguridad de la
  información Seguridad física
• Seguridad den entorno de trabajo ( ajeno a ISM3)
• Interacción con las unidades operativas

65

• Revisión y mejoría de la administración del
  sistema de seguridad
• Asignación de recursos a la seguridad de la
  información
• Definición de los objetivos de seguridad que sean
  consistentes con los objetivos de la organización
  protegiendo los intereses de los interesados
• Define los esquemas de delegación de
  responsabilidades..

66

• La administración táctica es responsable ante la
  administración estratégica del funcionamiento
  del sistema ISM y del uso de recursos.

67

• Objetivos específicos
• Proporcionar información a la administración
  estratégica
• Definir el entorno de la administración operativa
  
• Definir los objetivos de seguridad
• Definir la métrica de la eficacia y eficiencia

68

• Definir las clases de información, las
  prioridades, la duración y la calidad de los
  grupos.
• Definir los entornos y ciclos de vida
• Seleccionar los procesos apropiados para lograr
  los objetivos de seguridad
• Administrar el presupuesto, los recursos humanos
  y otros recursos asigados a la seguridad de la
  información

69

• La selección de los procesos apropiados para
  lograr los objetivos de seguridad se basan en
  distintas evaluaciones o tipos de análisis

70

• Análisis de amenazas
• Análisis de vulnerabilidades
• Análisis del impacto en las actividades
• Análisis de riesgos
• Análisis del resultado de la inversión en
  seguridad.

71

• Las responsabilidades y los canales de entrega
  de reportes deben estar claramente definidos y
  documentados.
• Los informes estratégicos deben ponerse a
  disposición de los interesados según se estime
  conveniente y sea consistente con la legislación,
  reglamentación y estándares de gobernabilidad de
  la organización

72

• Los informes operativos deben estar disponibles a
  los administradores estratégicos y tácticos
• Los informes tácticos deben estar disponibles a
  los administradores estratégicos,.

73

• INTEGRACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD
  DE LA INFORMACIÓN CON UN SISTEMA DE GESTIÓN DE LA
  CALIDAD
• ANDREA MARCELA BARRIENTOS ARCILA
• KAREN ALEXANDRA AREIZA CÓRDOBA
• UNIVERSIDAD EAFIT
• DEPARTAMENTO DE INFORMÁTICA Y SISTEMAS
• MEDELLÍN 2005

74

• El CMMI es un modelo de procesos (no de mejora)
  que muestra la madurez de una organización
  basándose en la capacidad de sus procesos y surge
  como la integración del CMM (Capability Maturity
  Model) v.2.0 y de la ISO 15504 Draft Standar
  v.1.00.

75
(No Transcript)
76

• Basado en el Modelo CMMI y en la Norma ISO/IEC
  17799 se desarrollo un modelo de madurez para la
  seguridad de la información,

77

• con el propósito de ayudar a los encargados de
  evaluar la seguridad de la información de la
  organización,
• a determinar en que nivel o grado se encuentra
  está y así tomar ecisiones al respecto que
  permitan
• a identificar las fallas que se tienen en un
  determinado nivel.

78
(No Transcript)
79
(No Transcript)
80
(No Transcript)
81
(No Transcript)
82
(No Transcript)
83
(No Transcript)
84
(No Transcript)
85
(No Transcript)