Modelo de madurez
El modelo de madurez propuesto para la evaluación consta de cinco niveles, que se describen a continuación.
El modelo de madurez está definido para las subcategorías que tengan prioridad P1 en alguno de los perfiles establecidos. En cada perfil se analiza el modelo de madurez para las subcategorías que tengan prioridad P1.
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|
Mejor esfuerzo. Centrado en el centro de datos. | Extensión al resto de la organización. | Políticas y procedimientos formales. | Mejora continua. Auditoría. |
Los niveles de madurez en cada subcategoría serán descritos según sus requisitos.
- Nivel 0: Es el primer nivel del modelo de madurez donde las acciones vinculadas a seguridad de la información y ciberseguridad son casi o totalmente inexistentes. La organización no ha reconocido aún la necesidad de realizar esfuerzos en ciberseguridad. Este nivel no es incluido en la tabla del modelo de madurez.
- Nivel 1: Es el segundo nivel del modelo. Existen algunas iniciativas sobre ciberseguridad, aunque los esfuerzos se realizan en forma aislada. Se realizan implementaciones con enfoques ad-hoc y existe alta dependencia del personal que lleva a cabo las tareas que habitualmente no se encuentran documentadas. Existe una actitud reactiva ante incidentes de seguridad.
- Nivel 2: Es el tercer nivel del modelo de madurez. Se han establecido ciertos lineamientos o pautas para la ejecución de las tareas, pero aún existe dependencia del conocimiento individual. Se ha avanzado en el desarrollo de los procesos y existe cierta documentación para realizar las tareas.
- Nivel 3: Es el cuarto nivel del modelo de madurez y se caracteriza por la formalización y documentación de políticas y procedimientos, así como implementaciones de alta complejidad y/o automatizaciones que centralizan y permiten iniciativas de gobernanza. Las políticas y procedimientos son difundidos, facilitan la gestión y posibilitan establecer controles y métricas. Los esfuerzos en ciberseguridad se enfocan en los procesos, las personas y la tecnología.
- Nivel 4: Es el último nivel del modelo de madurez. El Responsable de la Seguridad de la Información (RSI) tiene un rol clave en el control y mejora del Sistema de Gestión de Seguridad de la Información (SGSI) realizando o coordinando actividades de control interno para verificar cumplimientos y desvíos. Se desarrollan las lecciones aprendidas que, junto con los controles determinan las acciones para la mejora continua. Las partes interesadas son informadas periódicamente, lo cual permite alinear los esfuerzos, estrategias y tecnologías de ciberseguridad con los objetivos y estrategias de la organización.