MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.5.2. Niveles de madurez de los controles de seguridad recom<strong>en</strong>dados<br />
Indep<strong>en</strong>di<strong>en</strong>te del grupo y de los controles que las <strong>en</strong>tidades deban aplicar, cada control ti<strong>en</strong>e un nivel<br />
de madurez <strong>en</strong> seguridad de la información categorizado de 0 a 5, que la <strong>en</strong>tidad deberá implem<strong>en</strong>tar<br />
para evid<strong>en</strong>ciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de <strong>Gobierno</strong> <strong>en</strong><br />
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obt<strong>en</strong>er los registros de seguridad de<br />
la información –RSI que serán otorgados a las <strong>en</strong>tidades que cumplan con estos niveles requeridos. Ver<br />
mayor información relacionada con los registros RSI <strong>en</strong> el numeral 6.5.3. del pres<strong>en</strong>te docum<strong>en</strong>to.<br />
Los niveles de madurez de la seguridad de la información de los controles recom<strong>en</strong>dados por el Modelo<br />
SGSI, son adaptados del Modelo CMM de CobIT versión 4.0 17 , que los clasifican <strong>en</strong> los sigui<strong>en</strong>tes<br />
niveles:<br />
Nivel 0 No Exist<strong>en</strong>te: No hay políticas, procesos, procedimi<strong>en</strong>tos, o controles <strong>en</strong> seguridad<br />
de la información. La <strong>en</strong>tidad no reconoce los riesgos <strong>en</strong> seguridad de la información y por <strong>en</strong>de<br />
la necesidad de su tratami<strong>en</strong>to.<br />
Nivel 1 Inicial: La <strong>en</strong>tidad reconoce que los riesgos <strong>en</strong> seguridad de la información deb<strong>en</strong> ser<br />
tratados/mitigados. No exist<strong>en</strong> políticas ni procesos estandarizados sino procedimi<strong>en</strong>tos o<br />
controles particulares aplicados a casos individuales.<br />
Nivel 2 Repetible: Se desarrollan procesos y procedimi<strong>en</strong>tos <strong>en</strong> seguridad de la información<br />
de forma intuitiva. No hay una comunicación ni <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to formal y la responsabilidad de la<br />
seguridad de la información recae <strong>en</strong> el s<strong>en</strong>tido común de los empleados. Hay una excesiva<br />
confianza <strong>en</strong> el conocimi<strong>en</strong>to de los empleados, por tanto, los errores <strong>en</strong> seguridad de la<br />
información son comunes.<br />
Nivel 3 Definido: Los procesos y las políticas se defin<strong>en</strong>, docum<strong>en</strong>tan y se comunican a través<br />
de un <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to formal. Es obligatorio el cumplimi<strong>en</strong>to de los procesos y las políticas y por<br />
tanto, la posibilidad de detectar desviaciones es alta. Los procedimi<strong>en</strong>tos por si mismos no son<br />
sofisticados pero se formalizan las prácticas exist<strong>en</strong>tes.<br />
Nivel 4 Administrado: Exist<strong>en</strong> mediciones y monitoreo sobre el cumplimi<strong>en</strong>to de los<br />
procedimi<strong>en</strong>tos <strong>en</strong> seguridad de la información. Los procedimi<strong>en</strong>tos están bajo constante<br />
17 Ver mayor información <strong>en</strong> www.isaca.org<br />
http://www.isaca.org/Cont<strong>en</strong>t/Cont<strong>en</strong>tGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm<br />
Página 69 de 207