Seguritecnia 375

CONVERGENCIA EN SEGURIDAD SEGURITECNIA Mayo 2011 69 identificación proactiva de los ries- gos para la mejora continua de los procesos. ▪ La información de los KGI y KPI del Sistema de Gestión de la Seguridad es recogida y utilizada. Además, la direc- ción utiliza estos indicadores para ajus- tar el Plan de Seguridad. La utilización de un Modelo de Madurez de Seguridad Corporativa es un factor diferencial para aquellas orga- nizaciones que quieren ser líderes en sus sectores y que tienen asumido que la Seguridad es parte indisoluble de su negocio. Para finalizar, solo queda definir qué entendemos por Seguridad Corpora-tiva. Estamos hablando de la protección de todos los activos de una organización, personas y bienes, tanto tangibles como intangibles, gestionada como un proceso más del negocio, imprescindible para la conti- nuidad de las operaciones, en el que se contemplan de manera conjunta e interrelacionada todos los aspectos de la seguridad. S mación se planifica y se administra de manera que responda a las nece- sidades del negocio y a los perfiles de riesgo. ▪ Los KGI ( Key Goal Indicators ) y KPI ( Key Performance Indicators ) ya están defini- dos y se miden, pero no son utilizados por la dirección. 5. Optimizado ▪ Los requisitos de Seguridad están defi- nidos de forma clara, optimizados e incluidos enunPlande Seguridad apro- bado. Los incidentes son atendidos de manera inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo valoraciones de la seguridad de forma periódica para evaluar la efecti- vidad de la implementación del Plan de Seguridad. ▪ La información sobre amenazas y vulnerabilidades se recoge y analiza de manera sistemática. Se estudian e implementan, en tiempo y forma, los controles necesarios para mitigar los riesgos. Se llevan a cabo pruebas de seguridad, análisis de causa-efecto e ▪ El negocio no ve la seguridad como parte de su propia actividad. 3. Proceso definido ▪ Existe conciencia sobre la seguridad y ésta es promovida por la dirección. Los procedimientos están definidos y alineados con la política de seguri- dad. Las responsabilidades en esta área están asignadas y entendidas, pero no continuamente implementadas. ▪ Existe un Plan de Seguridad y solucio- nes basadas en los resultados de un análisis de riesgos. Se realizan pruebas de seguridad adecuadas. ▪ Los informes no contienen un enfoque claro de negocio. ▪ Existe formación en seguridad pero se programa y se comunica de manera informal. 4. Administrado y medible ▪ Las responsabilidades sobre la Seguridad son asignadas, administra- das e implementadas de forma clara. ▪ Se realizan periódicamente análisis de impacto y de riesgos. Las pruebas se hacen utilizando procesos formales y normalizados que ayudan a mejorar los niveles de seguridad. ▪ Los procesos de seguridad están coor- dinados con la funciones de seguridad de toda la organización. Asimismo, los informes de seguridad están ligados con los objetivos del negocio. ▪ La capacitación sobre Seguridad se imparte a todo el personal y la for- La evolución de los procesos de Seguridad Organizativa tiene que desarrollarse en un proceso de mejora continua basado en el modelo PDCA (planificar, hacer,comprobar y actuar)