A mediados del año 2019 recibo una llamada del gerente comercial de una empresa dedicada a la venta de productos de consumo masivo, la llamada fue motivada por un incidente de seguridad, tuvieron una filtración de datos que activó las alertas en cuanto a su postura de seguridad.  La intención de ese ejecutivo era contratar los servicios de Ethical Hacking que ofrecemos desde Gudix Security Consulting.

 

Manos a la obra, empezamos las conversaciones preliminares, pero luego de conversar con los miembros del equipo directivo identificamos que la empresa mantenía preocupaciones adicionales, entre las cuales estaban:

¿Cómo podemos promover una cultura donde todos en la empresa seamos responsables de la seguridad de la información?, ¿Cómo podemos evidenciar a clientes que protegemos sus datos?. En este momento no contamos con fondos disponibles para realizar grandes inversiones.

Basado en estos antecedentes el realizar un Ethical Hacking no lograría responder a las interrogantes y a su escenario financiero. Por lo cual les sugería adoptar un modelo de madurez, que permitiera mejorar su postura de seguridad de forma gradual y luego pensar en una prueba de seguridad tipo Ethical Hacking.

¿Qué es ISM3?

ISM3 es un modelo de madurez para seguridad con cinco niveles que facilita la mejora y alineación entre las necesidades del negocio y los de la gestión de la seguridad dirigido a organizaciones de cualquier tipo y tamaño.

Fue creado por un consorcio creado en marzo de 2007 y formado por las empresas ESTEC Systems (Canadá), First Legion Consulting y Valiant Technologies (India), Seltika (Colombia), Global 4 Ingeniería (España) y M3 Security (Estados Unidos), con el objetivo de llevar los principios de la gestión de calidad ISO9001 o Six Sigma a los sistemas de gestión de seguridad de la información.

Sabemos que alcanzar un grado de madurez en ciberseguridad toma mucho tiempo para algunas organizaciones. Razón por la cual ISM3 se adapta perfectamente a este escenario brindando la oportunidad a la organización de desarrollar planes a corto, mediano y largo plazo, medible, adaptable y 100% integrado al negocio que permita poco a poco alcanzar ese nivel de seguridad óptimo esperado.

ISM3

Características

Está conformado por 4 tipo de procesos: generales, estratégicos, operativos y tácticos

Bueno el cliente aceptó pasar por el proceso de adopción de ISM3, en las próximas entregas les hablaré más de ISM3 y les contaré como nos fue con el Ethical Hacking que por un tema de ética y conflicto de interés dejé en manos de otro consultor.

Si desea obtener más información acerca de ISM3, puede visitar su sitio web. ISM3

 

¿Tienes algún consejo? Si es así, no dude en hacérnoslo saber a continuación en los comentarios.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.