Español | English
rss facebook linkedin Twitter

Madurez vs. Calidad en la seguridad.

La madurez de un sistema de gestión de seguridad y su nivel de calidad son dos conceptos que, aunque relacionados entre ellos, no siempre son considerados como elementos independientes incluso, en ocasiones, pueden dar pie a confusión (un sistema maduro no necesariamente es un sistema de calidad). A través de estas líneas intentaremos aportar algo de luz a este asunto y establecer las diferencias principales entre ambos conceptos aplicados sobre la seguridad de la información.

La madurez de un sistema de gestión de seguridad acostumbra a dar una medida del progreso del programa a lo largo del tiempo, es decir, el grado de avance o despliegue de las iniciativas de seguridad respecto a un objetivo marcado. Conforme el programa madura:


  • Las políticas están mejor documentadas y las normativas son más detalladas.

  • Los procesos están formalizados (documentados) y estandarizados.

  • Los datos generados por el SGSI (Sistema de Gestión de la Seguridad de la Información).pueden ser almacenados y utilizados para las mediciones.

Un modelo de madurez tradicionalmente empleado para la valoración de los controles es el definido por COBIT (Control Objectives for Information and related Technology) y basado en la metodología CMM (Capability Marurity Model) desarrollado por la Carnegie Mellon School.
El mencionado modelo se basa en cinco niveles de madurez de 0 (no existente) a 5 (Optimizado), según la evaluación de los objetivos de control de los procesos de Sistemas de Información.


Nivel 0 (NO EXISTENTE) : Ausencia total de procesos reconocibles.

Nivel 1 (INICIAL): No existen procesos estándar aunque sí planteamientos “ad hoc” que se utilizan en cada situación.

Nivel 2 (REPETIBLE): Los procesos han evolucionado de forma que se siguen procedimientos similares para realizar la misma tarea. No existe formación ni comunicación de procedimientos estándar y la responsabilidad recae en el individuo.

Nivel 3 (DEFINIDO): La organización asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.

Nivel 4 (GESTIONADO): Los procesos están en mejora continúa y proporcionan mejores prácticas. Se usan herramientas automatizadas de manera aislada o fragmentada.

Nivel 5 (OPTIMIZADO): Los procesos han sido revisados hasta un nivel de “best practice”, sobre la base de una mejora continua.


Este enfoque permite ir midiendo la evolución o involución de los Sistemas de Iinformación, lo cual es un buen cuadro para presentar a la Dirección ya que claramente permite hacer un seguimiento aún a personas no familiarizadas con los conceptos técnicos.


Un nivel de madurez elevado, no obstante, no implica necesariamente que la organización este “segura”: en caso que los elementos de seguridad no se hayan ejecutado con un nivel de calidad elevado, la seguridad de la organización continuará siendo deficiente. Pongamos un ejemplo:

Una política de seguridad documentada y aprobada por la Dirección es un síntoma de un sistema maduro (nivel 3). No obstante el nivel de Calidad será:


  • Bajo, si las políticas no están implantadas, por lo que se podrá concluir que el estado de seguridad es deficiente.

  • Medio, si las políticas están parcialmente implantadas, por lo que se podrá concluir que el estado de seguridad es mejorable.

  • Alto, si las políticas están (en su mayoría) implantadas, por lo que se podrá concluir que el estado de seguridad es adecuado.

Por tanto, es recomendable una medida separada que indique el nivel de Calidad de la implantación.

El nivel de Calidad debe dar información sobre la calidad de implantación de cada elemento. Conforme el nivel de calidad aumenta, los procesos se van implantando y son seguidos por todas las partes implicadas.
La progresión en el tiempo hacia un objetivo marcado en cuanto a la Calidad permitirá establecer las acciones necesarias para la consecución de dicho objetivo.

Por tanto, sería aconsejable disponer de un indicador propio del nivel de Calidad asociado al propio indicador de seguridad, con una gama bien definida de los valores que se consideran aceptable, inaceptable y excelente (Alta, Media y Baja calidad, si se prefiere) que pueda ser identificada fácilmente por el público objetivo a quien se comunica la medida......y poder responder a ¿Cómo estamos?.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login