CMM: ciberseguridad más allá del cumplimiento.

Las empresas corren el riesgo de quedar cegadas por las nuevas tecnologías brillantes y el codiciado sello de cumplimiento.

seguridad

En los últimos años, “cumplimiento” se ha convertido en una palabra de moda dentro de la esfera de la seguridad cibernética. Sin embargo, aunque las empresas se han preocupado por marcar casillas reglamentarias, han perdido de vista el resultado. 

Medidas de cumplimiento si existe un control, pero no mide la efectividad del control. Como resultado, las empresas hacen las preguntas equivocadas y toman malas decisiones de inversión, cegadas por las nuevas tecnologías brillantes y el codiciado sello de cumplimiento.

Un enfoque impulsado por los resultados 

En lugar de realizar ejercicios para marcar casillas, las organizaciones deberían impulsar las prioridades e inversiones en seguridad de la información con un enfoque basado en resultados que tenga en cuenta sus capacidades. 

Con demasiada frecuencia, las empresas asumen que pueden adoptar rápidamente nuevos y sofisticados esquemas de seguridad cibernética donde antes no existían tales capacidades. Pero este no es el caso. Los programas de seguridad de la información deben pasar por un proceso de maduración y estas mejoras llevan tiempo. De la misma manera que enseñaría a un niño a caminar antes de enseñarle a correr, los programas de seguridad cibernética de las organizaciones tienen que crecer, madurar, de manera constante, dando un paso cauteloso a la vez. 

Para comprender cuán ‘madura’ es la seguridad de la información de una empresa, los especialistas en seguridad cibernética a menudo usarán un Modelo de madurez de capacidad (CMM) durante los compromisos de consultoría de evaluación. 

Un CMM evalúa la efectividad de una organización para lograr un objetivo particular y ayuda a distinguir si la seguridad cibernética está incorporada o simplemente incorporada. Para los líderes empresariales, esta es una manera excelente de medir el progreso logrado en la integración de la seguridad en las operaciones estratégicas y diarias.

Los diferentes niveles de madurez 

Hay diferentes niveles de madurez que van desde inexistente (Nivel 0) hasta optimizado (Nivel 5). Un CMM generalmente describirá una gama de capacidades que esperaría ver en organizaciones en varias etapas de madurez de seguridad de la información. 

Si una organización está en el Nivel 0, no hay evidencia de que se cumpla el objetivo y las funciones no se aplican en absoluto. En el Nivel 1, las capacidades y la madurez pueden existir como controles rudimentarios con una persona como guardián o como un proceso manual. Las funciones son ad hoc y están poco organizadas en este nivel, y la empresa tiene un enfoque inconsistente o reactivo para alcanzar el objetivo. 

En el clima de seguridad cibernética actual, donde existe un panorama de amenazas cada vez mayor, la puntuación en este nivel inicial es inaceptable para cualquier organización que posea y administre activos de TI, o que tenga obligaciones con los accionistas, inversores, reguladores o contribuyentes. Sin embargo, a pesar de esto, todavía hay muchas grandes corporaciones, agencias gubernamentales y universidades que se ubican en estos niveles.

Desarrollo y madurez definida 

En el Nivel 2, las empresas avanzan en la curva de madurez con un enfoque general consistente para cumplir con el objetivo (aunque esto sigue siendo principalmente reactivo e indocumentado). No miden ni hacen cumplir de manera rutinaria el cumplimiento de las políticas, aunque tienen la tecnología como capacidad básica. Sin embargo, si bien las empresas del Nivel 2 pueden tener algunos procesos de seguridad operando de manera efectiva y múltiples iniciativas en desarrollo, tienden a ser débiles en dominios básicos como la administración de identidad y acceso (IAM) o la zonificación y perímetros de redes. 

La tecnología utilizada en el Nivel 2 se puede mejorar o ampliar aún más en el Nivel 3, donde la organización mide regularmente su cumplimiento y tiene un enfoque detallado y documentado para cumplir con los controles objetivos y técnicos. La implementación de funciones sofisticadas de prevención de pérdida de datos (DLP), gestión de eventos e información de seguridad (SIEM) o gestión de acceso privilegiado (PAM) tiende a ser difícil hasta que las funciones básicas de TI como IAM, gestión de activos y emisión de tickets de servicio son lo suficientemente maduras para respaldarlas. Pero una vez que se cuenta con la infraestructura básica de procesos y tecnología, la gestión de riesgos, la gestión de vulnerabilidades, SIEM, PAM y otros programas pueden ponerse en marcha.

Madurez gestionada y optimizada  

Luego se introducen altos grados de automatización en el Nivel 4. En esta etapa de la curva de madurez, las empresas utilizan un marco de gestión de riesgos establecido para medir y evaluar el riesgo, integrando mejoras más allá de los requisitos de las regulaciones aplicables. Las organizaciones con capacidades de madurez de Nivel 5 se adaptan dinámicamente al riesgo comercial y han refinado significativamente sus estándares y prácticas, enfocándose en formas de mejorar sus capacidades de la manera más eficiente y rentable. 

Por lo general, el 10 por ciento de las organizaciones no tienen un control de seguridad real y están en el Nivel 0, mientras que el 20 por ciento de las empresas están en el Nivel 1 con las capacidades iniciales establecidas. Alrededor del 25 por ciento de las empresas se encuentran en el Nivel 2 con procesos y capacidades repetibles; sin embargo, la mayoría de las organizaciones (30 por ciento) están en el Nivel 3 con un SGSI (sistema de gestión de seguridad de la información) definido y capacidades progresivas. Solo alrededor del 10 por ciento de las empresas llegan al Nivel 4 con una amplia automatización, y aún menos (5 por ciento) llegan al Nivel 5, donde la seguridad es adaptable y dinámica en tiempo real en función del riesgo empresarial.

A medida que una organización avanza en la curva de madurez, la eficiencia del control aumenta y el riesgo residual disminuye, lo que es muy beneficioso. El alcance de las empresas depende de su apetito por el cambio, ya que hay un cambio significativo de un nivel al siguiente.

Comprender el proceso de evaluación 

Anuncio publicitario

Hay dos enfoques para evaluar la madurez de una empresa en el contexto de la seguridad cibernética. Una implica comparar las prácticas pasadas de la organización con las descritas en los niveles de cada capacidad para realizar un seguimiento de las mejoras a lo largo del tiempo. 

El segundo enfoque implica comparar una empresa con sus competidores (también conocido como “evaluación comparativa”). La evaluación comparativa es una indicación importante para que las organizaciones aprecien el nivel al que deberían dirigirse. Si sus compañeros son significativamente mejores, podría darles una ventaja competitiva; si la empresa es mejor que sus pares, podría relajar algunos controles para aprovechar y capturar un porcentaje mayor del mercado disponible.

El proceso de evaluación general generalmente consta de cinco etapas. Durante la etapa de descubrimiento inicial, se deben realizar entrevistas y talleres in situ para comprender el estado actual de la seguridad de TI de la organización. Es muy posible obtener la certificación ISO 27001 en un modelo de madurez de capacidad de nivel 1; sin embargo, esta no es necesariamente la eficacia que una empresa puede desear mostrar a sus clientes, socios y partes interesadas. Por lo tanto, también es crucial definir los resultados deseados. 

A continuación, las organizaciones deben basar el estado actual en los entornos técnicos, de datos y comerciales, midiendo la capacidad y madurez de cada dominio y función. Luego, estos datos se pueden comparar con datos de pares adecuados y puntajes promedio de datos de pares en la siguiente etapa para hacer observaciones sobre el diferencial. A través de estas observaciones, es posible finalizar las brechas e identificar las mejoras necesarias antes de crear una hoja de ruta para lograr el estado de madurez deseado. Luego, se debe consultar a las partes interesadas clave durante la etapa final de ejecución de la evaluación.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *