[HACK] Publicado ISM3 v1.20, un estandar para SGSI avanzados

[vac at zenobia.es]

La publicación de ISM3 v1.20 (Information Security Management Maturity
Model, que se pronuncia ISM cubo) ofrece muchas ventajas para la creación
de sistemas de gestión de la seguridad de la información. ISM3 por si solo
o para mejorar sistemas basados en ITIL, ISO27001 o Cobit.

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido
como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve
como objetivo de la seguridad de la información el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la
seguridad de la información trata de la prevención de ataques es
incompleta. ISM3 relaciona directamente los objetivos de negocio (como
entregar productos a tiempo) de una organización con los objetivos de
seguridad (como dar acceso a las bases de datos sólo a los usuarios
autorizados). Algunas características significativas de ISM3 son:

*Métricas de Seguridad de la Información - “Lo que no se puede medir, no
se puede gestionar, y lo que no se puede gestionar, no se puede mejorar” 
- ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de
gestión de procesos, siendo probablemente el primer estándar que lo hace.
Esto permite la mejora continua del proceso, dado que hay criterios para
medir la eficacia y eficiencia de los sistemas de gestión de seguridad de
la información.

*Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a
emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a
los objetivos de seguridad de la organización y a los recursos que están
disponibles.

*Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace
especialmente atractivo para organizaciones que tienen experiencia con
ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3
fomenta la colaboración entre proveedores y usuarios de seguridad de la
información, dado que la externalización de procesos de seguridad se
simplifica gracias a mecanismos explícitos, como los ANS y la distribución
de responsabilidades.

*Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene
ventajas como las extensas referencias a estándares bien conocidos en cada
proceso, así como la distribución explícita de responsabilidades entre los
líderes, gestores y el personal técnico usando el concepto de gestión
Estratégica, Táctica y Operativa.

*Certificación – Los sistemas de gestión basados en ISM3 pueden
certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede
usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede
ser atractivo para organizaciones que ya están certificadas en ISO9001 y
que tienen experiencia e infraestructura para ISO9001.

*Accesible – Una de las principales ventajas de ISM es que los Accionistas
y Directores pueden ver con mayor facilidad la Seguridad de la Información
como una inversión y no como una molestia, dado que es mucho más sencillo
medir su rentabilidad y comprender su utilidad.

ISM3 v1.20 puede descargarse libremente desde www.ism3.com.