A mediados del año 2019 recibo una llamada del gerente comercial de una empresa dedicada a la venta de productos de consumo masivo, la llamada fue motivada por un incidente de seguridad, tuvieron una filtración de datos que activó las alertas en cuanto a su postura de seguridad. La intención de ese ejecutivo era contratar los servicios de Ethical Hacking que ofrecemos desde Gudix Security Consulting.
Manos a la obra, empezamos las conversaciones preliminares, pero luego de conversar con los miembros del equipo directivo identificamos que la empresa mantenía preocupaciones adicionales, entre las cuales estaban:
¿Cómo podemos promover una cultura donde todos en la empresa seamos responsables de la seguridad de la información?, ¿Cómo podemos evidenciar a clientes que protegemos sus datos?. En este momento no contamos con fondos disponibles para realizar grandes inversiones.
Basado en estos antecedentes el realizar un Ethical Hacking no lograría responder a las interrogantes y a su escenario financiero. Por lo cual les sugería adoptar un modelo de madurez, que permitiera mejorar su postura de seguridad de forma gradual y luego pensar en una prueba de seguridad tipo Ethical Hacking.
¿Qué es ISM3?
ISM3 es un modelo de madurez para seguridad con cinco niveles que facilita la mejora y alineación entre las necesidades del negocio y los de la gestión de la seguridad dirigido a organizaciones de cualquier tipo y tamaño.
Fue creado por un consorcio creado en marzo de 2007 y formado por las empresas ESTEC Systems (Canadá), First Legion Consulting y Valiant Technologies (India), Seltika (Colombia), Global 4 Ingeniería (España) y M3 Security (Estados Unidos), con el objetivo de llevar los principios de la gestión de calidad ISO9001 o Six Sigma a los sistemas de gestión de seguridad de la información.
Sabemos que alcanzar un grado de madurez en ciberseguridad toma mucho tiempo para algunas organizaciones. Razón por la cual ISM3 se adapta perfectamente a este escenario brindando la oportunidad a la organización de desarrollar planes a corto, mediano y largo plazo, medible, adaptable y 100% integrado al negocio que permita poco a poco alcanzar ese nivel de seguridad óptimo esperado.
Características
- Enlazar la seguridad los objetivos del negocio. Hay un profundo conocimiento de las metas del negocio y su dependencia a los elementos tecnológicos.
- Incluir métricas, adopción evolutiva y Mejora continua. Partiendo de la premisa de que lo que no se mide no se puede mejorar.
- Flexibilidad, al adaptarse a distintas capacidades de inversión. (OpenSource queda perfecto). La idea es poder hacer inversiones programadas. Existen muchísimas soluciones de Seguridad OpenSource que requieren muy poca inversión (OSSIM, Graylog, Wazuh, PfSense, Cortex, entre otros), las cuales en Gudix Security Consulting estamos dispuestos a apoyarlos en todo el proceso.
- Crear un ecosistema alrededor de ISM3 (COBIT, ISO2700 etc.). Permite establecer la base para posteriormente aspirar a una certificación ISO2700 o alinearnos con COBIT
Está conformado por 4 tipo de procesos: generales, estratégicos, operativos y tácticos
- Generales: Suministra la infraestructura para la implementación, evaluación y mejora de los procesos de gestión de la seguridad de la información.
- Estratégicos: Direcciona y provee
- Define los objetivos generales, la coordinación y la provisión de recursos.
- Tácticos: Implementa y Optimiza
- Establece el diseño e implementación de los objetivos específicos, y la gestión de los recursos.
- Operacionales: Ejecuta y Reporta
- Establece el cumplimiento de los objetivos definidos, por medio de procesos técnicos.
Bueno el cliente aceptó pasar por el proceso de adopción de ISM3, en las próximas entregas les hablaré más de ISM3 y les contaré como nos fue con el Ethical Hacking que por un tema de ética y conflicto de interés dejé en manos de otro consultor.
Si desea obtener más información acerca de ISM3, puede visitar su sitio web. ISM3
¿Tienes algún consejo? Si es así, no dude en hacérnoslo saber a continuación en los comentarios.