1. Introducción al Modelo de Madurez para la Gestión de la Ingeniería de la Seguridad de la Información

La información constituye uno de los activos más valiosos que posee una organización, en muchos casos resulta ser la materia prima necesaria para nutrir sus procesos de negocio, proporcionando a usuarios y clientes los servicios y productos de calidad que necesitan. Sin embargo, existen amenazas, riesgos y vulnerabilidades que atentan contra la seguridad de los sistemas de información, en consecuencia con el normal desenvolvimiento de las actividades de la organización, según Vacca (2010).

Para hacer frente a estos riesgos, amenazas y vulnerabilidades, surge la gestión de la ingeniería de la seguridad de la información, la cual se fundamenta en procesos y estándares debidamente comprobados, permitiendo reducir los riesgos a niveles mínimos aceptables. Siendo la gestión de la ingeniería de la seguridad, una actividad basada en procesos, surge la necesidad de optimizarlos, de manera que el resultado exitoso de los mismos se convierta en una experiencia medible y repetible, no sólo en el tiempo; sino en organizaciones con características y condiciones diferentes, según Software Engineering Institute (2010). Éste es precisamente el objetivo de los modelos de madurez.

En muchas ocasiones la seguridad de los sistemas de información es tratada como un problema netamente técnico, que puede ser resuelta con soluciones de tipo tecnológicas (hardware), paquetes o aplicaciones (software). Esta respuesta es conocida también como paradigma de seguridad basada en soluciones técnicas. Así en contraposición surge otro paradigma, se trata de la seguridad basada en el riesgo y que está fundamentada en una eficiente gestión de la seguridad, según Vacca (2010).

Referencias Bibliográficas

• Software Engineering Institute. (2010). CMMI para Desarrollo, Versión 1.3. USA. Carnegie Mellon University.
• Vacca, J. (2010).  Managing Information Security. USA. Elsevier.