Publicada la versión v2.3 del modelo de madurez para la seguridad de la información
El consorcio ISM3 ha lanzado Information Security Management Maturity Model (ISM3) v2.3, con nuevas métricas de seguridad y una nueva definición objetiva de la madurez dependiente de las métricas utilizadas para gestionar los procesos de seguridad de la información.
ISM3 es un consorcio creado en marzo de 2007 y formado por las empresas ESTEC Systems (Canadá), First Legion Consulting y Valiant Technologies (India), Seltika (Colombia), Global 4 Ingeniería (España) y M3 Security (Estados Unidos), con el objetivo de llevar los principios de la gestión de calidad ISO9001 o Six Sigma a los sistemas de gestión de seguridad de la información. Concretamente, ISM3 se centra en la “Seguridad rentable”, más que en la “Seguridad absoluta”, tal y como se define el propio consorcio. “La seguridad rentable es un compromiso entre la seguridad absoluta y los requerimientos de negocio. El enfoque tradicional "se deben prevenir todos los ataques", no es realista para la mayor parte de las organizaciones. ISM3 consigue este compromiso mapeando los objetivos de la organización, como la entrega de productos y la rentabilidad, con objetivos de seguridad, como facilitar el acceso a los datos sólo a los usuarios autorizados”, explican en un comunicado.
ISM3 es un modelo de madurez para seguridad con cinco niveles que facilita la mejora y alineación con las necesidades del negocio de los sistemas de gestión de la seguridad de organizaciones de cualquier tipo y tamaño. La versión 2.3, cuya traducción al castellano está prevista para junio de 2009, permite hacer de la seguridad de la información un proceso medible mediante métricas. Esto permite la mejora continua, gracias a que el estándar define criterios para medir la eficiencia y calidad. Además, enlaza los conceptos de madurez y métricas, mostrando cómo la gestión de seguridad es más madura cuanto más sofisticadas son las prácticas de gestión.
Por otra parte, ISM3 v2.3 está basado en procesos, por lo que no resulta ajeno a aquellas entidades con ISO9001 o ITIL, siendo totalmente compatibles. De hecho, utiliza un marco de distribución de responsabilidades semejante al de Cobit, que describe las mejores prácticas en el campo de provisión de servicios TI. Los usuarios de ITIL pueden utilizar la orientación a procesos de ISM3 para fortalecer la gestión de seguridad de ITIL, explican desde la organización. Además, el uso de las métricas de ISM3, con objetivos y metas, permite crear Acuerdos de Nivel de Servicio (SLA) para la externalización de servicios de seguridad.
ISM3 incluye un gran número de referencias a estándares de seguridad, utilizando las mejores prácticas en la distribución de responsabilidades entre los niveles de gestión estratégicos, táctico y operativos. Por último, señalar que un sistema de gestión de la seguridad de la información basado en ISM3 puede certificarse bajo ISO9001 o ISO27001, y que se puede utilizar ISM3 para implementar ISO27001, según detalla el consorcio.
