Guía Interactiva: Combinación de Modelos y Marcos de Seguridad

Combinando Modelos y Marcos de Referencia en Seguridad de la Información

Creando un "Estado Deseado" Robusto y Multidimensional

¡Bienvenidos a esta guía interactiva!

Para lograr un "estado deseado" robusto y multidimensional en la seguridad de la información, una organización puede combinar y contrastar diversos modelos y marcos de referencia. Cada uno de estos enfoques ofrece una perspectiva única que, al integrarse, permite una dirección estratégica más completa y eficaz.

A continuación, exploraremos y compararemos los principales modelos y marcos, y evaluaremos cómo su combinación puede fortalecer la seguridad de la información en tu organización.

1. Modelos y Marcos de Referencia Clave

Modelo de Madurez de la Capacidad (CMMI®)

Descripción:

El CMMI es un conjunto de productos integrados de ISACA que ayuda a las empresas a comprender su nivel actual de capacidad y rendimiento, y ofrece una guía para optimizar los resultados comerciales. Va más allá de la ingeniería de software para ser aplicable en cualquier industria.

Enfoque:

Su objetivo es garantizar un enfoque reproducible e integrado para el gobierno y la gestión, asegurando que todos en la empresa trabajen en la misma dirección para optimizar el valor, el riesgo y los recursos.

Rol en el "Estado Deseado":

El CMMI se puede utilizar para definir tanto el estado actual como los objetivos de madurez de las actividades de seguridad, proporcionando una base para el análisis continuo de brechas y el seguimiento del progreso hacia las metas.

COBIT

Descripción:

COBIT (Control Objectives for Information and Related Technologies) es un marco de referencia exhaustivo para el gobierno y la dirección de la TI de la empresa. Aborda ampliamente la seguridad de TI, el gobierno, el riesgo y la seguridad de la información en general.

Enfoque:

Se basa en dos conjuntos de principios: los que describen los requisitos fundamentales de un sistema de gobierno para la información y la tecnología, y los principios para un marco de referencia de gobierno. Promueve la provisión de valor a las partes interesadas, un enfoque holístico, un sistema dinámico, la diferenciación entre gobierno y gestión, la adaptación a las necesidades de la empresa, y una cobertura de principio a fin de la organización.

Rol en el "Estado Deseado":

COBIT sirve como un marco general para determinar el estado deseado para una seguridad de la información efectiva y es fundamental para la alineación estratégica. Puede proporcionar un punto de vista multidimensional cuando se combina con otros marcos.

Modelo de Negocio para la Seguridad de la Información (BMIS)

Descripción:

El BMIS utiliza el pensamiento sistémico para clarificar relaciones complejas dentro de la empresa, buscando una gestión de la seguridad más efectiva. Proporciona el contexto para otros marcos como COBIT. Se visualiza como una estructura tridimensional, flexible, compuesta por cuatro elementos (diseño y estrategia de la organización, personas, procesos, tecnología) y seis interconexiones dinámicas (gobierno, cultura, habilitación y soporte, surgimiento, factores humanos, arquitectura).

Enfoque:

Examina el sistema de seguridad de forma holística, entendiendo que "el todo es más que la suma de sus partes" y cómo las interacciones de sus componentes influyen en la gestión del riesgo.

Rol en el "Estado Deseado":

Contribuye a entender la complejidad y las interdependencias de la seguridad dentro de la organización, asegurando que el diseño de la estrategia de seguridad considere todos los elementos que interactúan para mantener el equilibrio del modelo.

Serie ISO/IEC 27000 (27001:2013 y 27002:2013)

Descripción:

ISO/IEC 27001:2013 proporciona un marco para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI), siendo un estándar para la certificación a nivel mundial. ISO/IEC 27002:2013 es el código de prácticas para la gestión de la seguridad de la información, ofreciendo cientos de medidas de buenas prácticas de control de seguridad.

Enfoque:

No exige controles específicos, sino que permite a los usuarios seleccionar e implementar los controles apropiados mediante un proceso de evaluación de riesgos para cumplir con sus requisitos específicos. Cubre 14 áreas de controles de seguridad, desde políticas hasta cumplimiento.

Rol en el "Estado Deseado":

La implementación de los componentes relevantes de ISO/IEC 27001 y 27002 puede asegurar el cumplimiento de la mayoría de los requisitos de seguridad, aunque debe adaptarse cuidadosamente a las necesidades específicas de la empresa para evitar costos innecesarios.

Marco de Ciberseguridad NIST (NIST Cybersecurity Framework - CSF)

Descripción:

Proporciona una guía de alto nivel para alinear el programa de ciberseguridad con los objetivos de la empresa, destacando la necesidad de una gestión de riesgos eficaz y el apoyo a la gestión de riesgos de la cadena de suministro.

Enfoque:

No prescribe controles, sino que guía a los profesionales a identificar brechas entre el estado actual y un estado objetivo deseado que mejor cumpla con su misión empresarial y necesidades de gestión de riesgos.

Rol en el "Estado Deseado":

Ayuda a definir el objetivo deseado en términos de una postura de ciberseguridad que se alinee con las metas del negocio y los requisitos de gestión de riesgos, y facilita el uso de marcos basados en controles para mejorar la seguridad.

Marco de Gestión de Riesgos NIST (NIST Risk Management Framework - RMF)

Descripción:

Proporciona un proceso que integra las actividades de gestión de riesgos de seguridad, privacidad y cadena de suministro cibernético en el ciclo de vida del desarrollo del sistema. Es de uso libre y aplicable a cualquier empresa.

Enfoque:

Ofrece un enfoque basado en el riesgo para categorizar activos, seleccionar e implementar controles para una protección adecuada, y monitorear la eficacia y eficiencia continuas de las medidas de gestión de riesgos.

Rol en el "Estado Deseado":

Es fundamental para establecer la tolerancia al riesgo organizacional y las metodologías de evaluación y respuesta al riesgo, asegurando una gestión de riesgos consistente a lo largo del tiempo.

2. Comparación y Contraste de Modelos y Marcos

Característica	CMMI	COBIT	BMIS	ISO/IEC 27001/27002	NIST CSF	NIST RMF
Enfoque Principal	Madurez y mejora de procesos	Gobierno y gestión de TI empresarial	Pensamiento sistémico y relaciones holísticas	SGSI (Sistema de Gestión de Seguridad de la Información) y controles	Alineación de ciberseguridad con el negocio	Proceso de gestión de riesgos integrado
Naturaleza	Modelo de capacidad	Marco de gobierno exhaustivo	Modelo conceptual y de interconexiones dinámicas	Estándares certificables y código de prácticas	Guía de alto nivel y brechas	Marco de procesos y controles
Prescriptividad	Guía para optimización de resultados	Principios y componentes personalizables	Conceptual, no prescriptivo de controles específicos	No exige controles específicos, sí objetivos de control	No prescribe controles	Enfoque basado en el riesgo, selección de controles
Valor para el Negocio	Optimización de valor y recursos	Generación de valor del uso de TI	Entendimiento de la seguridad para todas las partes interesadas	Protección de activos y cumplimiento regulatorio	Alineación con objetivos empresariales	Gestión de riesgo para proteger objetivos
Integración	Enfoque integrado y reproducible	Integral con gobierno corporativo y TI	Clarifica relaciones complejas dentro de la empresa	Marco para SGSI, adaptable con evaluación de riesgos	Integración eficaz de la gestión de riesgos	Integra actividades de riesgo en el ciclo de vida
Medición	Niveles de madurez	Medición del rendimiento, KPIs, KGIs	Ayuda a entender comportamientos y resultados	Evalúa cumplimiento de controles, auditorías	Identificación de brechas	Monitoreo continuo de eficacia y eficiencia

Similitudes

Todos buscan mejorar la postura de seguridad de la información y la gestión de riesgos en una organización.
Reconocen la necesidad de alinear la seguridad con los objetivos de negocio y el gobierno corporativo.
Muchos enfatizan la importancia de la gestión de riesgos para lograr un nivel aceptable de protección.
Varios pueden ser combinados para ofrecer una visión más completa y efectiva.

Diferencias

Alcance y granularidad: COBIT y BMIS son más amplios y estratégicos, centrándose en el gobierno y el entendimiento holístico. ISO 27001/27002, NIST CSF y NIST RMF son más específicos en la gestión de la seguridad y el riesgo, ofreciendo marcos para la implementación de controles o procesos de riesgo. CMMI se centra en la mejora de procesos y la madurez.
Enfoque principal: Algunos son marcos de gobierno (COBIT), otros de madurez de procesos (CMMI), otros de gestión de riesgos (NIST RMF), de gestión de la seguridad (ISO 27000), o conceptuales (BMIS).
Aplicabilidad original: Mientras que muchos son ahora aplicables universalmente, algunos tuvieron orígenes específicos (NIST RMF para agencias gubernamentales de EE. UU.).

3. Combinación de Enfoques para un "Estado Deseado" Robusto

El "estado deseado" en seguridad es una visión integral de todas las condiciones relevantes futuras, abarcando principios, políticas, procesos, estructuras, cultura, información, servicios, infraestructura, aplicaciones y personas. Este estado debe definirse tanto cualitativa como cuantitativamente, con atributos y resultados específicos como el cumplimiento regulatorio.

Para lograr un "estado deseado" robusto y multidimensional, la combinación de varios de estos marcos es altamente efectiva, ya que cada uno aporta una perspectiva diferente que, en conjunto, garantiza que no se omita ningún aspecto importante.

Una combinación "altamente efectiva" que el texto sugiere es la de objetivos de control COBIT, CMMI, Cuadro de Mando Integral (Balanced Scorecard) y un modelo arquitectónico apropiado. A esto se pueden añadir los marcos NIST e ISO para una implementación más específica y robusta:

1. Fundamento de Gobierno y Estrategia (COBIT y BMIS)

COBIT puede ser el marco de gobierno principal, estableciendo la dirección estratégica para la TI y la seguridad de la información, asegurando que se logren los objetivos, se gestione el riesgo y se utilicen los recursos de forma responsable. Sus principios de proporcionar valor a las partes interesadas y tener un enfoque holístico son clave.
BMIS complementa a COBIT al proporcionar una comprensión holística de cómo los elementos de organización, personas, procesos y tecnología interactúan dinámicamente en el contexto de la seguridad. Ayuda a la alta dirección y a la CISO a visualizar cómo la seguridad se integra en el negocio, más allá de los componentes técnicos.

2. Manejo de Riesgos y Cumplimiento (NIST RMF, NIST CSF, ISO/IEC 27001/27002)

Una vez definida la estrategia, NIST RMF puede guiar el proceso sistemático de gestión de riesgos: categorizar activos, seleccionar e implementar controles, y monitorear continuamente.
NIST CSF puede utilizarse para identificar las brechas entre la postura de ciberseguridad actual y el estado objetivo deseado basado en la misión del negocio y el apetito de riesgo.
ISO/IEC 27001/27002 proporciona el conjunto detallado de controles y prácticas para construir un SGSI efectivo, permitiendo a la organización seleccionar controles específicos para mitigar los riesgos identificados y cumplir con los requisitos regulatorios y contractuales. La certificación ISO 27001 demuestra un compromiso formal con la seguridad.

3. Madurez de Procesos y Mejora Continua (CMMI)

CMMI se integra para evaluar y mejorar la madurez de los procesos de seguridad definidos e implementados a través de los marcos anteriores. Permite que la organización progrese de una gestión de seguridad reactiva a una proactiva, reproducible y optimizada, asegurando que las actividades de seguridad no sean puntuales sino sistemáticas.

4. Medición del Desempeño y Comunicación del Valor (Cuadro de Mando Integral)

El Cuadro de Mando Integral (Balanced Scorecard) es esencial para traducir la estrategia de seguridad en métricas significativas que resuenen con la alta dirección. Al medir el rendimiento desde perspectivas financieras, de cliente, de proceso de negocio y de aprendizaje y crecimiento, la CISO puede demostrar el valor de la seguridad en términos de negocio, justificando inversiones y alineándose con los objetivos corporativos. Las métricas deben ser SMART y relacionadas con objetivos de negocio.

5. Diseño Arquitectónico (Modelos Arquitectónicos)

Un modelo arquitectónico (como TOGAF o Zachman) es crucial para asegurar que la seguridad se integre desde el diseño. Esto significa que los controles de seguridad no son añadidos posteriores, sino elementos intrínsecos de la arquitectura empresarial, de sistemas y de procesos. La arquitectura objetivo, o arquitectura de referencia, establece los objetivos técnicos, de sistemas y de procesos a largo plazo.

En resumen, al combinar estratégicamente estos enfoques, una organización puede construir una estrategia de seguridad de la información que no solo proteja sus activos, sino que también actúe como un facilitador del negocio y contribuya directamente a sus objetivos estratégicos y a la creación de valor. Esto contrarresta la tendencia a implementar soluciones puntuales y permite una gestión de la seguridad cohesiva y adaptable a los cambios internos y externos.

Derechos de autor: EUD Academy.