Como es bien sabido por todos (y en especial por nuestros lectores) la seguridad en la información ha ido cobrando importancia en los últimos años. Las empresas gastan cada vez más en mejorar su seguridad tanto como en mejorar la calidad del servicio. Sin embargo, a menudo falla la implementación de políticas y controles, entre otras cosas, que protejan la información.
La seguridad de la información se consigue estableciendo un conjunto de políticas, procedimientos, infraestructuras y programas, de forma que se pueda no sólo monitorizar la organización y sus procesos, sino revisarlos y mejorarlos. Sin embargo, a menudo las empresas no conocen en qué nivel de seguridad se encuentran.
Para ello, resulta útil establecer un modelo de madurez en cinco niveles, según una serie de métricas adaptables a nuestra organización, independientemente de lo grande que sea:
- Nivel 0: “No existencia”. En este nivel se encuentran las organizaciones que no reconocen la necesidad de la seguridad. Es decir, hay una ausencia total de procesos de seguridad o no se han identificado. Es la situación peor en la que podemos encontrarnos.
- Nivel 1: “Inicial o ad hoc”. Aunque la organización reconoce que es necesario introducir la seguridad, considera los riesgos sin seguir políticas ni procesos definidos. Podemos identificar a una empresa en esta situación cuando siguen unos pasos establecidos informalmente.
- Nivel 2: “Repetible, pero intuitivo”. Podemos clasificar en este grupo a las empresas que confían su seguridad a un coordinador. Comprenden que arriesgar su información es un gran problema a tener en cuenta. Aún así, sus procesos siguen siendo incompletos. Podríamos decir que se han planeado una serie de prácticas base de forma sencilla.
- Nivel 3: “Proceso definido”. En este nivel realmente existe una conciencia sobre la seguridad y se promueve en la propia gestión. Se establecen una serie de políticas sobre cómo y cuándo ocurren y deben solucionarse estos problemas. Resumiendo, existen una serie de buenas prácticas que están bien definidas.
- Nivel 4: “Proceso gestionado y medible”. Cuando la empresa llega a este nivel las responsabilidades con respecto a la seguridad están asignadas, gestionadas y forzadas a seguirse de forma precisa. La persona (o personas) encargada de la seguridad ha evaluado cada uno de los posibles riesgos y ha definido un procedimiento a seguir considerado posibles excepciones. Identificaremos si una empresa se encuentra en este nivel cuando es capaz de mostrar unas prácticas controladas cuantitativamente.
- Nivel 5: “Optimizado”. Por último, la organización aúna la seguridad a su proceso de negocio y gestión, integrando objetivos de seguridad corporativa. La valoración de riesgos se realiza de forma regular y se gestiona bien. En este caso, la empresa mejora continuamente sus prácticas de seguridad.
Una vez que identificamos en qué punto se encuentra nuestra empresa, la pregunta inmediata es: ¿cómo podríamos poner a nuestra empresa en un determinado nivel y hacerlo más fuerte? Y la respuesta inmediata es estableciendo una serie de test o procedimientos para cada uno de los niveles:
- Nivel 1: Establecemos políticas documentadas formalmente que se comunican a todos los empleados, y se asignarán roles y responsabilidades.
- Nivel 2: Se definen procedimientos a seguir. Cómo, cuando, donde y el qué del procedimiento.
- Nivel 3: Se implementan los procedimientos y se comunican a los individuos implicados. Además se debería hacer un test inicial.
- Nivel 4: Test adecuados a políticas, procedimientos e implementaciones. Aquí incluimos acciones correctivas, auto-valoraciones y podemos considerar auditorías independientes.
- Nivel 5: Integramos los cuatro niveles anteriores en un proceso continuo de revisión y mejora.
Se puede ver a simple vista que cada nivel sostiene al siguiente en el sentido de que si se cambia algo del nivel anterior, debe revisarse el siguiente (y en consecuencia los siguientes). Por ejemplo, un cambio en un procedimiento provocará un cambio en la implementación. Al cambiar la implementación, cambiarán los test (o no), etc.
Para terminar, cabe insistir en lo vital que resulta para cualquier empresa considerar estos niveles e intentar introducirlos en la propia organización, independientemente del sector en el que está ubicada. Así que volvamos a preguntarnos en qué nivel nos encontramos y cómo podemos mejorar la seguridad de la información que maneja nuestra empresa.
Buen post, pero demasiado teórico e introductorio.
Me gustaría que se desarrollasen más esta serie de artículos, por ejemplo:
Somos la empresa Y y nos contrata la empresa X. Esta empresa tiene unos niveles de seguridad H y nosotros como consultores/implantadores en seguridad debemos implantar el proceso Z. Se hace un inventario en cuanto a los procesos actuales y hacia donde seguir. Se implantan X procesos con X herramientas y tal software.
Sería un enfoque teórico y práctico de cómo se realizan consultarías/implantaciones/auditorías en el mundo real.
gracias!
Adrián,
Nos apuntamos la propuesta y de cara a septiembre prometo escribir algún post sobre el tema.