"La seguridad de la red es el principal desafío de gobierno corporativo en la actualidad, alrededor del 87% de los altos ejecutivos y miembros de la junta directiva no confían en las capacidades de seguridad de la red de su empresa. Muchos directores de seguridad de la información y oficinas de servicios informáticos se centran en implementar estándares y marcos, pero si el cumplimiento no mejora su resiliencia general a la ciberseguridad, ¿de qué sirve el cumplimiento?" – Instituto CMMI
Muchas organizaciones tienen programas de seguridad de la información, pero muchos ejecutivos y juntas directivas no saben cómo medir el progreso de estos programas. Por lo tanto, se muestran reacios a creer que cualquier inversión en tecnología mitigará los riesgos percibidos o incluso desconocidos. Algunas organizaciones utilizan estándares de cumplimiento regulados. Sin embargo, estos estándares no cubren completamente el entorno de riesgo empresarial, ya que se centran solo en áreas de riesgo específicas o principios de seguridad generales.
Muchas organizaciones confunden la seguridad de la información con la tecnología de la información. Las solicitudes de nuevas soluciones se consideran mejoras o elementos de la lista de deseos. Por ejemplo, las solicitudes para agregar empleados de tiempo completo se consideran costos de gastos operativos, no mejoras del ISP. La diferencia es que el riesgo está asociado con estas solicitudes y, en última instancia, se refleja en el CMMI. Existe un vínculo directo entre las personas, los procesos y la tecnología y el CMMI.
La Asociación de Auditoría y Control de Sistemas de Información (ISACA) creó el CMMI para medir la madurez y el desempeño del negocio en un formato que pueda presentarse a la gerencia ejecutiva. Pero en los últimos años, las infracciones altamente visibles y el impacto de esas infracciones han llevado a las juntas directivas a comenzar a comprender la madurez de los ISP de una organización.
CMMI satisface esta necesidad. Según el Instituto CMMI (una subsidiaria de ISACA), es "un conjunto comprobado de mejores prácticas globales que impulsan el desempeño empresarial mediante la creación y evaluación comparativa de capacidades clave". Fue creado originalmente para que el Departamento de Defensa de EE. UU. evalúe la calidad y la capacidad de sus contratistas de software. Los modelos CMMI ahora pueden ayudar a cualquier industria a construir, mejorar y medir capacidades y desempeño.
El modelo CMMI está ganando popularidad. Ayudan al equipo de seguridad de la información a capacitar al equipo de liderazgo ejecutivo en soporte y mantenimiento de ISP. Además, pueden continuar brindando protección efectiva contra amenazas internas y externas.
En resumen, el modelo CMMI proporciona un puente para que una organización comprenda al equipo de seguridad de la información responsable de identificar, comunicar y anticipar riesgos futuros y desarrollar una justificación integral y probada al solicitar financiación para soluciones futuras.
Hora de publicación: 2022-02-28 00:00:00
