Seguritecnia 375

68 SEGURITECNIA Mayo 2011 CONVERGENCIA EN SEGURIDAD S i consideramos que la Seguri- dad Corporativa es un proceso de negocio más y que, por lo tanto, debe estar alineado con los obje- tivos de negocio de la organización, es necesario contar con métricas que nos permitan evaluar el cumplimiento de sus objetivos y con un modelo de ma- durez que haga posible disponer de un benchmarking de la capacidad de nues- tros procesos de Seguridad Corporativa. La inmensa mayoría de los modelos de madurez que existen actualmente, por no decir todos, están basados en el Modelo de Madurez de Capacidades o CMM ( Capability Maturity Model ) desa- rrollado por la Universidad Carnegie- Mellon para el Software Engineering Institute (SEI). El CMM es un modelo de evaluación de los procesos de una orga- nización que permite a las empresas valorar sus capacidades comparándolas con las establecidas en estándares y las buenas prácticas generalmente acepta- das, así como con respecto a empresas de su competencia ( benchmarking ). En el panorama actual, marcado por una mayor necesidad de seguridad, esce- narios dinámicos, amenazas en continua evolución y regulaciones cada vez más exigentes (Proyecto de Ley de Protección de Infraestructuras Críticas), es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa (MMSC). Esto nos va a facilitar la evaluación de nuestros procesos de seguridad por medio del benchmarking y nos va a permitir iden- tificar las mejoras en la capacidad que hay que llevar a cabo en los procesos de seguridad de nuestra organización. Los responsables de Seguridad Corporativa de una organización deben ser capaces de responder a las siguien- tes cuestiones: ▪ ¿Qué está haciendo nuestra compe- tencia y cómo estamos posicionados en relación a ella? ▪ ¿Cuáles son las mejores prácticas de Seguridad Corporativa y cómo esta- mos posicionados con respecto a estas prácticas? ▪ Tomando como base estas compara- ciones, ¿se puede decir que estamos haciendo lo suficiente? ▪ ¿Cómo identificamos las acciones que es necesario emprender para alcanzar un nivel adecuado de protección de nuestros activos? El responsable de Seguridad Corporativa debe disponer de procedi- mientos y herramientas que le ayuden a dar respuesta a estas cuestiones, lo cual se traduce en la necesidad de contar con tres elementos: una medida relativa de dónde se encuentra la orga- nización, una manera de decidir hacia dónde ir de forma eficaz y eficiente y una herramienta para medir el avance de la organización en el cumplimiento del objetivo. El MMSC se basa en un método de evaluación de los procesos de seguri- dad de una organización, inspirado en el CMM del SEI. Por ello, se han mantenido los seis niveles de madurez definidos en dicho modelo: 0. No existente. 1. Inicial/Ad hoc. 2. Repetible pero intuitivo. 3. Proceso definido. 4. Administrado y medible. 5. Optimizado. La evolución de los procesos de Seguridad Corporativa de la organiza- ción, con objeto de incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejora continua basado en el modelo PDCA (planificar, hacer, comprobar y actuar), incrementando su nivel de madurez en cada vuelta del ciclo. Evolución de un MMSC 1. Inicial/Ad hoc ▪ La organización reconoce la necesi- dad de seguridad, pero la conciencia de esta necesidad depende principal- mente del individuo. ▪ La seguridad no se mide y se lleva a cabo de forma reactiva. Los incidentes de seguridad ocasionan respuestas con acusaciones personales debido a que las responsabilidades no son claras. Además, estas respuestas son impredecibles. 2. Repetible pero intuitivo ▪ Las responsabilidades de Seguridad están asignadas a un responsable de Seguridad, pero su capacidad de gestión es limitada. Al mismo tiempo, la conciencia sobre la nece- sidad de Seguridad está fraccionada y limitada. ▪ Aunque los sistemas producen información relevante respecto a la Seguridad, ésta no se analiza. ▪ Los servicios prestados por terceros pueden no cumplir con los requeri- mientos específicos de seguridad de la empresa. ▪ Las políticas de Seguridad se han estado desarrollando, pero las herra- mientas y las habilidades son inade- cuadas. Los informes de seguridad son incompletos, engañosos o no aplicables. ▪ La capacitación sobre Seguridad está disponible, pero depende principal- mente de la iniciativa del individuo. El modelo de madurez de la Seguridad Corporativa Ricardo Cañizares Director de Consultoría de Eulen Seguridad