4. Modelo Propuesto

El modelo propuesto en la investigación fusionó y adaptó varios modelos de madurez, relacionados con la seguridad de sistemas de información, gestión de proyectos y manejo del conocimiento. Por tal motivo el modelo es matricial, es decir, posee cinco niveles que se combinan con siete dominios, tales como: Planificación, Organización, Dirección y Ejecución, Control y Evaluación, Gestión Humana, Manejo del Conocimiento y Seguridad de Sistemas de Información.

Debido a las características propias de los modelos de madurez, las primeras tres etapas están dedicadas al análisis y la creación de un sistema autosustentable, que mediante los procesos desarrollados en las dos últimas etapas, permiten hacerlo perfectible, de aquí la característica integradora de dichos niveles. El modelo de madurez es de carácter evaluativo, permitiendo ubicar en una escala de cinco niveles el desarrollo de sus procesos, pero esta evaluación no tiene sentido si no se compara con otras organizaciones de similar o igual índole, aquí es donde entra en juego el Nivel 4 de Benchmarking, además esta interacción con otras organizaciones permite enriquecer la madurez de las organizaciones que participan en dicho proceso.

En principio se estableció como patrón, en cuanto a la disposición de niveles, el Modelo de Gestión de Proyectos de Kerzner (2009), debido a que en su concepción permite el cambio cultural necesario para optimizar y perfeccionar los procesos administrativos. De este modelo se heredan los primeros cinco dominios: (1) Planificación; (2) organización; (3) dirección y ejecución; (4) control y evaluación; (5) gestión humana. También se incluyeron las recomendaciones dadas por CobiT, ITIL e ISO/IEC 27002 referidas a la gestión de la seguridad.

El modelo a proponer requería explícitamente un dominio de conocimiento, que permitiera recolectar, almacenar, procesar y distribuir uniformemente la información en toda la organización. Aunque este proceso se realiza en todos los modelos de madurez de seguridad estudiados, ninguno lo hace de forma explícita, así los modelos combinan indistintamente tópicos relativos a la seguridad, gestión y conocimiento. Por esta razón el modelo incluye un dominio exclusivamente para este aspecto. Para este dominio fue importante el aporte del modelo de gestión del conocimiento propuesto por Cameron (2011). Al igual que en los primeros cinco dominios, se añadieron todas las recomendaciones de CobiT, ITIL e ISO/IEC 27002 referidas al manejo del conocimiento.

Finalmente se añadió el dominio de la seguridad de los sistemas de información, dedicado exclusivamente a tratar los aspectos técnicos y de requisitos. Estos lineamientos fueron tomados tanto de los estándares internacionales y mejores prácticas como CobiT, ITIL e ISO/IEC 27002, así como de los modelos de madurez estudiados: SSE-CMM (System Security Engineering Capability Maturity Model) e ISSM (Information Security Maturity Model). Además, en el primer nivel se incluyó el proceso de gestión de riesgos de Cameron (2011).

Las recomendaciones fueron agrupadas por cada dominio y nivel, según la madurez, procesos y recursos de los que se dispone. Para este proceso de diseño se tomó en cuenta los resultados obtenidos en la segunda parte de la investigación de campo para ubicarlos en determinado nivel. En algunos casos, como se verá más adelante, los resultados de la investigación de campo y las recomendaciones de los estándares y modelos de madurez estudiados, no coincidían; por lo que se hicieron algunos ajustes, los cuales fueron puntualmente señalados.

De esta manera se logró obtener un modelo de madurez con cinco niveles, pero entrelazados matricialmente con cinco dominios de gestión, uno de conocimiento y otro de seguridad, con procesos perfectamente claros y definidos. Así se logra que los seis primeros dominios brinden el soporte necesario para el correcto funcionamiento del séptimo dominio dedicado la seguridad de los sistemas de información.

Descripción del Modelo.

El modelo está dividido en cinco etapas, posee características de gestión de proyectos, debido a que la dinámica de los modelos de madurez tiene como objetivo el cambio cultural de la organización a través del ascenso de sus cinco niveles en el mediano plazo, mediante el desarrollo de proyectos en cada etapa que buscan el logro de objetivos específicos, a través del uso de recursos, el cambio se hace continuo al llegar a la cima del modelo, lo que implica el desarrollo de proyectos para llevar a cabo tales cambios. También posee características de modelos de madurez para el manejo del conocimiento, ya que busca la creación de una metodología única que involucra el manejo de la información y el trabajo en equipo, erradicando así individualidades que resultan nocivas en toda organización. Posee características similares al modelo de madurez CobiT 4.1 caracterizado por cinco niveles, en relación a las recomendaciones de seguridad sigue los lineamientos de ISO/IEC 27002 y algunas sugerencias de ITIL V3.

El modelo (en principio diseñado para entes públicos en Venezuela), se explica en detalle en el siguiente vídeo.

Niveles del Modelo de Madurez.

A continuación se describen los cinco niveles que componen el modelo

Lenguaje Común: En este nivel la organización reconoce la importancia de la gestión de proyectos y la necesidad de una buena comprensión de los conocimientos básicos al respecto, de esta manera se establece un lenguaje común que permite comunicar con precisión los alcances deseados. En cuanto a la seguridad de los sistemas, busca eliminar la improvisación, fallos en soporte y mantenimiento de equipos, incrementar la confianza y habilidades para resolver problemas de seguridad, implementar cifrado y controles de acceso, registrar eventos de seguridad así como la solución dada a cada uno de ellos, además de consolidar el equipo de trabajo.
Experiencias Repetibles: En este nivel la organización reconoce que los procesos comunes deben definirse y desarrollarse de tal manera que los éxitos de los actuales proyectos puedan ser repetidos en el futuro. Se reconoce que los principios de gestión de proyectos pueden ser aplicados a otros ámbitos y dar soporte a las metodologías empleadas por la organización. Se realiza una revisión crítica de la organización, roles, funciones, responsabilidades asociadas a la seguridad de la información. Se revisan los procesos y procedimientos de seguridad. La documentación y registro de eventos pasados y presentes es fundamental para la completitud de este nivel, lo que garantiza el cúmulo de experiencias repetibles.
Metodología Única: En este nivel la organización reconoce el efecto sinérgico de la combinación de todas las metodologías corporativas en una sola. Los efectos sinérgicos también hacen más fácil el control de los procesos bajo el esquema de metodología única. Se diseña e implementa un programa de seguridad estratégica así como una arquitectura para la seguridad de los sistemas de información. La seguridad es más coherente, los procesos son más claros y definidos.
Benchmarking: Este nivel utiliza técnicas de Benchmarking como herramienta que permite mejorar los procesos y mantener la ventaja competitiva. La organización debe decidir contra quién y qué comparar. Se cierra la brecha tecnológica, se utiliza la última tecnología y metodología que garantizan la seguridad de los sistemas de información, en este nivel se prepara el programa de seguridad de la información para el proceso de mejora continua. Se establecen objetivos medibles de calidad. Se predice con exactitud las necesidades de recursos.
Mejora Continua: En este nivel la organización evalúa la información obtenida mediante el Benchmarking, decidiendo si será integrada para mejorar su actual metodología única. El Nivel 5 retroalimenta los Niveles 3 y 4, debido a los resultados del Benchmarking y las continuas mejoras que se realizan a la metodología única, los procesos de organización son capaces de cambiar dinámicamente en favor de la optimización. En este nivel el modelo de seguridad logrado es capaz de controlar los efectos de su propio entorno, también conduce al ahorro importante de recursos. La eficacia se puede medir cuantitativamente a través de métricas, las amenazas de seguridad se encuentran altamente estructuradas. Los controles de seguridad están completamente automatizados. La organización es capaz de manejar todos los incidentes de seguridad de la información. Llegado a este nivel la organización se ha movido del tradicional enfoque reactivo a un enfoque proactivo en seguridad de los sistemas de información.

Dominios del Modelo de Madurez.

El modelo propuesto subdivide cada nivel en siete dominios, los cinco primeros están asociados a aspectos administrativos, el sexto dominio al manejo del conocimiento en la organización, el séptimo dominio a la seguridad de los sistemas de información. A continuación se describe cada uno de ellos:

Planificación: Este aspecto busca erradicar definitivamente la práctica de la improvisación, marca los tiempos en los cuales deben ejecutarse los procesos, se proponen los objetivos y metas departamentales y organizacionales, se evalúan continuamente los planes para adaptarlos a la realidad. El plan en cada etapa está orientado al desarrollo exitoso de las actividades específicas de dicho nivel.
Organización: La organización sienta las bases que permiten la administración eficaz de los recursos, crea la estructura, asigna funciones y responsabilidades. Formula principios para la sana gestión, creando el ambiente adecuado para el desarrollo exitoso de la misma. Para el modelo de madurez que busca repetir éxitos anteriores es importante la documentación, de allí el énfasis que se hace al respecto.
Dirección y Ejecución: En este apartado el modelo describe la actitud que debe desarrollar los niveles directivos, está muy relacionada con el aspecto organizacional. La dirección pasa de ser personalista a integrar a todos los miembros de la organización en la toma de decisiones concertadas, motivando a todos al cumplimiento de las metas, es parte del cambio cultural planteado.
Control y Evaluación: Toda gestión necesita implementar medidas para controlar y evaluar su desempeño, en este aspecto, el modelo recomienda el desarrollo de métricas objetivas, preferiblemente de carácter cuantitativo, el objetivo final del control y evaluación es el desarrollo de sistemas automatizados que permitan informar en tiempo real el comportamiento de las actividades realizadas.
Gestión Humana: La Gestión Humana busca mantener motivado al personal que labora en el área de Seguridad de Sistemas de Información, se preocupa por el adiestramiento y desarrollo del personal, las relaciones interpersonales, la creación de una conciencia de seguridad, cultura cooperativa y trabajo en equipo. La Gestión Humana es fundamental para propiciar el cambio cultural del modelo de madurez.
Manejo del Conocimiento: Todo modelo de madurez tiene como producto final el conocimiento de cómo hacer mejor las cosas, perfeccionar los procesos, las actividades que se desarrollan en la organización. La forma como se dispone de tal conocimiento es fundamental para la etapa mejora continua, se preocupa de cómo distribuir este conocimiento, erradicando individualidades y egoísmos, minimizando el soporte físico en papel, impulsando el uso de herramientas sofisticadas de trabajo, integrando todas las áreas de la organización mediante el intercambio de información interinstitucional. Esto permite que el último nivel del modelo cuente con el suficiente conocimiento que permita responder rápida y adecuadamente a los problemas, construir nuevos escenarios, desarrollar nuevas ideas, sirviendo de motor para la mejora continua.
Seguridad de los Sistemas de Información: Los seis dominios anteriores sirven de base para garantizar el éxito de la seguridad de los sistemas, en principio (Nivel 1 del modelo), se aplica la gestión de riesgo de la información, según Wheeler (2011), la cual se encuentra explicada en mayor detalle en el marco teórico. Entre los objetivos de este dominio se encuentran: Erradicar la confianza a ciegas, gracias a la planificación adecuada elimina toda improvisación y falso sentido de seguridad; desarrollar habilidades en el equipo de trabajo; implementar medidas de registro y control de eventos; clasificar los activos de información; repetir experiencias exitosas del pasado; profundizar el estudio de los procesos de seguridad; implementar y automatizar controles rigurosos; promocionar campañas dirigidas a concientizar a los usuarios sobre la seguridad de la información; desarrollar una arquitectura de seguridad con procesos claros y definidos; cerrar la brecha tecnológica, sustituyendo sistemas obsoletos; realizar evaluaciones periódicas que permiten adaptar la metodología existente a las condiciones cambiantes del entorno; entre otros.

El modelo se muestra gráficamente en Figura 12, la cual señala el carácter matricial del mismo, logrado mediante la combinación de los cinco niveles del modelo y los siete dominios que lo componen.

El modelo de madurez propuesto consta de cinco niveles, cada nivel a su vez se subdivide en siete dominios, los cuales poseen indicadores claves de desempeño, es decir, indican los requisitos que se deben cumplir para pasar de un nivel a otro. De esta manera existe una prelación en sus niveles, se debe completar cada nivel para poder evaluar el siguiente.

Figura 12. Modelo de Madurez para la Gestión de la Ingeniería de la Seguridad de la Información

A cada etapa del modelo se le asignó un porcentaje tal como lo indica la Tabla 3. Para alcanzar cada nivel se debe cumplir con el 100% de los indicadores claves correspondiente a cada Nivel.

Tabla 3. Porcentaje Asignado a cada etapa del Modelo Propuesto

Niveles	Porcentaje Asignado
Nivel 1	20%
Nivel 2	20%
Nivel 3	20%
Nivel 4	20%
Nivel 5	20%
Total	100%

Para evaluar el grado de cumplimiento de cada etapa del modelo, se aplicó un análisis gap o de brechas cuyo ejemplo se muestra en el Anexo E, dicho análisis gap fue plasmado en una hoja de cálculo dinámica, dividida en cinco hojas que representan cada nivel, la sexta hoja resume en gráficos y tablas los resultados obtenidos como se puede observar en el Anexo F. En cada nivel se colocaron los respectivos indicadores claves de desempeño, de los siete dominios que componen el modelo, cada indicador proporciona tres opciones: (1) Completo; (2) Parcial; (3) Incompleto.

En caso que el indicador seleccionado esté parcialmente implementado o incompleto, el formulario permite. (1) Describir el estado actual del indicador clave de desempeño; (2) Describir las deficiencias encontradas; (3) Describir los recursos necesarios para su consecución, divididos en recursos: Materiales, Tecnológicos, Financieros, Humanos y de Conocimiento; (4) Describir el plan de acción que permita completar el indicador clave de desempeño.

Cabe destacar que las estrategias que sigan cada institución para el completar los indicadores claves de desempeño incompletos o parcialmente logrados, queda fuera del ámbito de la investigación.

En las tablas de la 4 a la 7 se puede observar los indicadores claves de desempeño del Modelo de Madurez para la Gestión de la Ingeniería de la Seguridad de la Información.

Las tablas corresponden a los dominios del modelo tales como: Planificación, Organización, Dirección y Ejecución, Control y Evaluación, Gestión Humana, Manejo del Conocimiento, Seguridad de la Información.

Cada dominio a su vez muestra indicadores claves de desempeño correspondiente a los cinco niveles del modelo:

Lenguaje Común
Experiencia Repetible
Metodología Única
Benchmarking
Mejora Continua

El modelo está plasmado en una hoja de cálculo Excel que facilita su aplicación, puede ser descargado en la siguiente dirección:

https://es.scribd.com/doc/255976166/Analisis-Gap

Tabla 4. Indicadores Claves del Desempeño del Modelo Propuesto Relativos a la Planificación.

1. Indicadores Claves de Desempeño para la Planificación
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
1.1. Planificar detalladamente todos los procesos a ejecutar en consonancia con los objetivos de negocio, asignando los recursos materiales, técnicos, financieros y humanos necesarios. 1.2. Divulgar los objetivos, metas departamentales y organizacionales para erradicar la improvisación y el caos en el desarrollo de actividades y tareas. 1.3. Elaborar los cronogramas de actividades y procesos que se realizar de manera periódica y no periódica. 1.4. Enunciar los requisitos exigidos relativos a la seguridad y calidad de los procesos, con el objeto que sirvan de base para medir la calidad deseada. 1.5. Incrementar la precisión en el cálculo de costos y presupuestos en los planes elaborados. 1.6. Identificar con precisión todas aquellas áreas que requieren servicio y soporte externo, bien sea: Proveedores, productos o servicios que permitan satisfacer las necesidades de dichas áreas. 1.7. Evaluar continuamente los planes y programas con el objeto de actualizarlos y adaptarlos a la realidad cambiante del entorno. 1.8. Planificar los talleres y cursos de adiestramiento que se dictarán en la organización en base a los procesos de detección de necesidades y desarrollo de RRHH.	1.1. Orientar la planificación a la creación de registros y la documentación de todos los procesos que se desarrollan en la organización, interrelacionándolos, simplificándolos y descubriendo sus procesos comunes. 1.2. Comprometer todos los niveles de la organización con la planificación efectiva. 1.3.Planificar la adquisición de software y herramientas de gestión de proyectos. 1.4. Planificar las campañas de concientización respecto a la seguridad de los sistemas de información. 1.5. Planificar las actividades relacionadas a la reducción de soporte físico en papel.	1.1. Focalizar la planificación en la creación de una metodología unificada, en base a los procesos comunes descritos en el nivel anterior. 1.2. Planificar el desarrollo de sistemas que permitan la integración y faciliten el uso de la información. 1.3. Planificar con el objetivo de impulsar la cultura cooperativa en la organización. 1.4. Planificar la arquitectura de seguridad.	1.1. Planificar los procesos de Benchmarking a ser implementados por la organización. 1.2. Definir los contratos de divulgación de información a terceros. 1.3. Planificar las actualizaciones y migraciones de los sistemas en función del mejoramiento.	1.1. Orientar la planificación hacia actividades relacionadas con la mejora continua. 1.2. Caracterizar el proceso de planificación con técnicas ágiles que permitan la creación rápida de planes dinámicos para realizar cambios y mejoras continuas. 1.3. Incluir en la planificación, la cooperación y la interrelación con otros entes.

Tabla 5. Indicadores Claves del Desempeño del Modelo Propuesto Relativos a la Organización.

2. Indicadores Claves de Desempeño para la Organización
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2.1. Crear manuales de la organización, objetivos, políticas, normas y procedimientos, manteniéndolos permanentemente actualizados. 2.2. Estructurar organizacionalmente las Unidades de: Seguridad de Sistemas de información y Auditoria de Sistemas, así como las responsabilidades y roles inherentes de sus miembros. 2.3. Independizar jerárquica y presupuestariamente la Unidad de Sistemas de Información de cualquier otra unidad administrativa, respondiendo directamente a la máxima autoridad del Ente Ministerial. 2.4. Realizar una adecuada división del trabajo, repartiendo equitativamente las cargas de trabajo. 2.5. Delegar funciones eficientemente, de manera que se delegue la autoridad más no la responsabilidad. 2.6. Implementar el principio de unidad de mando, de manera que un trabajador solo reporte a un jefe. 2.7. Implementar el principio de unidad de dirección, es decir, un único líder al mando de cada unidad administrativa de TI. 2.8. Implementar el principio que nadie en la organización imprescindible. En caso de ausencia siempre habrá un sustituto que realizará cabalmente las funciones. 2.9. Documentar el desarrollo de la gestión, resultados y experiencias para que sirva de base para la creación del repositorio de lecciones aprendidas.	2.1. Definir los procesos comunes que permitan repetir experiencias exitosas. 2.2. Definir y documentar todos los procesos de la organización, estableciéndose la interrelación coherente entre ellos. 2.3. Impulsar la comprensión de los conocimientos, metodologías y técnicas relativas a la gestión.	2.1. Unificar todos los procesos en una metodología única que contribuya a fomentar la cultura cooperativa y el efecto de la sinergia. 2.2. Documentar detalladamente y divulgar la metodología única desarrollada e implementada por la organización. 2.3. Profundizar el apoyo a todos los niveles de gestión de la organización. 2.4. Orientar el comportamiento de la organización a la excelencia.	2.1. Registrar y documentar los resultados comparativos del Benchmarking. 2.2. Revisar periódicamente la estructura organizacional para garantizar su adaptación a las necesidades presentes. 2.3. Mejorar continuamente la metodología única formulada, permitiendo mantener la ventaja competitiva. 2.4. Definir los factores críticos de éxito, deben estar por escrito y ser conocidos por todos los miembros de la organización.	2.1. Adaptar dinámicamente la organización a los cambios, haciéndola flexible. Ante los problemas presentes o de mejoras necesarias se crean de inmediato grupos de proyectos interdisciplinarios. 2.2. Utilizar el repositorio de lecciones aprendidas, así como de estudios de casos de proyectos exitosos de manera rutinaria. 2.3. Transferir los conocimientos aprendidos a otros proyectos y equipos de trabajo. 2.4. Registrar los cambios realizados a la metodología, así como las mejoras obtenidas. 2.5. Implementar planes de cooperación con otras organizaciones, con el objeto de mejorar los procesos.

Tabla 6. Indicadores Claves del Desempeño del Modelo Propuesto Relativos a la Dirección y Ejecución.

3. Indicadores Claves de Desempeño para la Dirección y Ejecución
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2. 3. 3.1. Utilizar metodologías y técnicas de gestión que sigan prácticas y estándares formales relativos a la administración y gestión de proyectos. 3.2. Tomar las decisiones en consonancia con las necesidades y prioridades de la organización. 3.3. Erradicar el trabajo basado en el empirismo, sustituyéndolo por prácticas, metodología y técnicas ampliamente comprobadas y aceptadas. 3.4. Mantener el impulso inicial de una buena gestión, mediante la coherencia y la eficacia de las decisiones tomadas. 3.5. Generar el clima adecuado de soporte y apoyo a los gerentes de manera que facilite el éxito de la gestión. 3.6. Cumplir con los planes y programas en el tiempo establecido en los cronogramas de trabajo.	3.1. Predecir comportamientos futuros en base al registro de experiencias pasadas y el cúmulo de lecciones aprendidas. 3.2. Ejecutar los procedimientos de gestión en beneficio de la administración de costos, tiempo, alcance y calidad. 3.3. Apoyar los principios, técnicas y metodologías de gestión. 3.4. Implementar el uso de herramientas de planificación de proyectos.	3.1. Desarrollar metodologías propias para formalizar una disciplina de gestión. 3.2. Disminuir el carácter burocrático y rígido de la gestión mediante el uso de la metodología única y procesos bien definidos. 3.3. Integrar la metodología de gestión con los procesos organizacionales.	3.1. Utilizar las técnicas de Benchmarking, aunadas a las lecciones aprendidas como herramienta para la mejora continua de procesos. 3.2. Reutilizar los procesos y estándares para la toma de decisiones así como la base de conocimientos y lecciones aprendidas. 3.3. Adoptar los procesos estabilizados y mejorados en toda la organización. 3.4. Establecer amplias alianzas y redes con las cadenas de proveedores, para satisfacer las necesidades de servicio y soporte.	3.1. Evaluar los resultados obtenidos del Benchmarking y decidir si dicha información afectará la metodología de gestión desarrollada. 3.2. Perfeccionar los procedimientos administrativos continuamente en favor de lograr los objetivos organizacionales. 3.3. Priorizar las causas que motivan las dificultades de gestión, eliminándolas sistemáticamente. 3.4. Compartir las experiencias de la organización con otras semejantes, como vía para la generación de nuevas ideas, evolución y perfeccionamiento de las metodologías existentes. 3.5. Retroalimentar la información relativa a: Costos, programas, búsqueda de innovación y nuevas tecnologías. 3.6. Fomentar la transparencia de los procesos de negocios.

Tabla 7. Indicadores Claves del Desempeño del Modelo Propuesto Relativos el Control y Evaluación.

4. Indicadores Claves de Desempeño para el Control y Evaluación
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2. 3. 4. 4.1. Establecer los controles y las evaluaciones apegados a los requisitos de calidad expuestos en la planificación realizada. 4.2. Disminuir el número de defectos o fallas en los productos o servicios entregados mediante controles y evaluaciones oportunas. 4.3. La naturaleza de las evaluaciones debe ser objetivas, predominantemente cuantitativas y de resultados verificables. 4.4. Informar oportunamente a los niveles gerenciales del resultado de las evaluaciones y controles, integrando activamente dicha información al proceso de toma de decisiones.	4.1. Evaluar el desempeño y la aplicación de controles de avance, esto como consecuencia de la planificación de proyectos. 4.2. Implementar medidas para el control de tiempo, costo y ejecución de tareas. 4.3. Establecer las bases comparativas para el mejoramiento futuro de sus procesos. 4.4. Formular controles alineados a las políticas enunciadas, en base a los procedimientos enunciados. 4.5. Evaluar la pertinencia e idoneidad de las lecciones aprendidas. 4.6. Velar por el uso adecuado de los conocimientos y lecciones aprendidas en los procesos de toma de decisión.	4.1. Garantizar la creación de una metodología única mediante procesos de control y evaluación continuos 4.2. Orientar el control y la evaluación hacia procesos interdepartamentales, debido a que se han unificado los procesos, ya no deberían existir procesos aislados.	4.1. Mantener un nivel de mejora constante a través de la evaluación continua y comparativa de Benchmarking. 4.2. Utilizar las métricas a partir de las evaluaciones y controles para la toma de decisiones. 4.3. Implementar tableros de control que indiquen en tiempo real el estado de avance de los procesos. 4.4. Evaluar las limitaciones presentes en los sistemas para realizar migraciones o actualizaciones. 4.5. Controlar la divulgación de información no autorizada a terceros.	4.1. Evaluar continuamente la aplicación de mejores prácticas. 4.2. Revisar y analizar regularmente las lecciones aprendidas para evaluar el desempeño actual y mejorar los procesos. 4.3. Establecer procesos cuantitativos para medir la eficacia. 4.4. Automatizar los controles de seguridad. 4.5. Retroalimentar al Nivel 3 del modelo, para perfeccionar la metodología única. 4.6. Retroalimentar al Nivel 4, para establecer si el proceso de Benchmarking ha sido efectivo.

Tabla 8. Indicadores Claves del Desempeño del Modelo Propuesto para la Gestión Humana.

5. Indicadores Claves de Desempeño para la Gestión Humana
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2. 3. 4. 5. 5.1. Establecer un sistema de salarios justos y equitativos, recompensando al personal por la labor realizada. 5.2. Evaluar el desempeño del Recurso Humano. 5.3. Minimizar los niveles de rotación y ausentismo del personal. 5.4. Fomentar y desarrollar el espíritu de equipo en los miembros de la organización, mediante el adiestramiento y desarrollo de RRHH. 5.5. Detectar periódicamente las necesidades de adiestramiento del Recurso Humano. 5.6. Dirigir el adiestramiento fundamentalmente hacia áreas tales como: Cursos de planificación y gestión de proyectos; seguridad de la información; estándares de seguridad; documentación de procesos, elaboración de manuales operativos y técnicos; integración de equipos de trabajo; relaciones humanas e interpersonales. 5.7. Potenciar continuamente el conocimiento y las habilidades de los gerentes mediante cursos de actualización, formación gerencial, uso de herramientas de planificación y gestión de proyectos. 5.8. Desarrollar talleres y cursos que permitan minimizar los efectos de la resistencia en función del cambio cultural de los procesos de gestión. 5.9. Crear un lenguaje propio y común con la finalidad de facilitar las comunicaciones y desarrollar una cultura propia relativa a la seguridad de los sistemas de información.	5.1. Otorgar incentivos al equipo de trabajo de seguridad, no individualmente sino como grupo, con el objeto de reconocer su desempeño. 5.2. Crear grupos multidisciplinarios para disminuir los posibles problemas relacionados con la coexistencia grupal, fomentando la cultura participativa y cooperativa, evitando la cultura intercompetitiva. 5.3. Promover la capacitación del personal en los temas relacionados con la gestión de proyectos. 5.4. Promover la capacitación del personal de seguridad y auditoría de sistemas de información. 5.5. Desarrollar el sentido de conciencia por la seguridad mediante campañas y charlas.	5.1. Evaluar la efectividad del adiestramiento impartido, mediante análisis comparativo de reducción de gastos. 5.2. Reducir la resistencia al cambio a su mínima expresión, mediante adiestramiento y divulgación de los beneficios de la metodología única. 5.3. Impulsar la cultura cooperativa en base a la comunicación efectiva, colaboración, confianza y trabajo en equipo, se refuerzan estas conductas mediante el adiestramiento y desarrollo organizacional.	5.1. Propiciar el trabajo en equipo. 5.2. Motivar los equipos de trabajo como pieza clave de la adaptación y cambio organizacional. 5.3. Incentivar el desarrollo de relaciones inter institucionales.	5.1. Diseñar planes formales para el desarrollo del personal, optimizando sus habilidades y destrezas para la comunicación, las relaciones interpersonales y toma de decisiones. De carácter continuo en función de las mejoras a realizar. 5.2. Evaluar que las personas trabajan teniendo en cuenta la calidad de producto o servicio entregado, por lo que son coherentes y comprometidas con su trabajo. 5.3. Enfocar el adiestramiento hacia conocimientos y habilidades técnicas, liderazgo y procesos propios de la organización. 5.4. Adaptar los planes de reclutamiento y selección a las necesidades presentes. 5.5. Constatar la proactividad de los trabajadores, deben ser capaces de reaccionar rápidamente a los problemas.

Tabla 9. Indicadores Claves del Desempeño del Modelo Propuesto Para el Manejo del Conocimiento.

6. Indicadores Claves de Desempeño para el Manejo del Conocimiento
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2. 3. 4. 5. 6. 6.1. Erradicar individualidades, trabajar en equipo. Los intereses individuales se subordinan a los intereses grupales y estos a su vez a los organizacionales. 6.2. Concertar el proceso de toma de decisiones entre todos sus miembros, promoviendo el trabajo en equipo. 6.3. Regularizar las fuentes de información utilizada en sus procesos. 6.4. Automatizar los sistemas de información, erradicado plataformas con múltiples aplicaciones, duplicidad de bases de datos, hojas de cálculo e interfaces pobres. 6.5. Compartir la información uniformemente en toda la organización, llegando a todos los involucrados en los procesos inherentes. 6.6. Propiciar el uso de herramientas colaborativas, que facilite la integración de los equipos de trabajo, tales como correo electrónico, mensajes de texto, chat escrito y de voz, etc. 6.7. Divulgar y estimular el uso del lenguaje y terminología común a la gestión de procesos.	6.1. Incrementar la capacidad para consolidar y compartir información. 6.2. Manejar los sistemas y la información a nivel interdepartamental, compartiendo la información entre múltiples departamentos. 6.3. Trabajar con fuentes únicas y comunes de información, compartiendo recursos entre departamentos y grupos de trabajo, haciendo la información más consistente. 6.4. Hacer fluir la información continuamente entre los grupos de trabajo. 6.5. Crear grupos de trabajo multidisciplinarios. 6.6. Implementar el uso de correo electrónico, firma digital, automatización de procesos y mensajes de texto, como parte de la campaña para reducir el soporte físico en papel. 6.7. Impulsar el uso de herramientas sofisticadas de trabajo, erradicando las hojas de cálculo y las bases de datos improvisadas.	6. 6.1. Catalogar la documentación e información para convertirla en un activo útil, lista para ser aprovechada. 6.2. Hacer que la información sea transparente, fidedigna, confiable, predecible, consistentes y disponible en todos los ámbitos de la organización. 6.3. Centralizar los sistemas de información de gestión, se deben encontrar organizados y financiados a nivel organizacional. 6.4. Promover la virtualización de los sistemas, de manera que sean más abstractos y sencillos de administrar. 6.5. Unificar y simplificar del lenguaje común desarrollado, llegando incluso a la creación de un lenguaje simbólico propio de la organización.	6.1. Compartir la información tanto internamente como con otras organizaciones de similar índole. 6.2. Permitir la disponibilidad de los modelos de procesos desarrollados a todos los miembros de la organización. 6.3. Estimular la participación de clientes y usuarios en la mejora de los procesos. 6.4. Implementar estrategias de migración que faciliten la implementación de nuevos sistemas y productos. 6.5. Poseer la capacidad de actualizar los sistemas con las mínimas dificultades y de manera controlada. Se está a día en el uso de la mejor tecnología, ajustada y adecuada a las exigencias de la organización.	6.1. Innovar continuamente. 6.2. Participación activa de los individuos en la enseñanza, transmisión de sus experiencias y conocimientos en cada oportunidad. 6.3. Capturar y analizar las nuevas ideas, se comparan con las desarrolladas por otras organizaciones similares, permitiendo dar saltos innovadores en productos o servicios. 6.4. Incorporar el conocimiento relativo a las fallas ocurridas como mecanismo para enriquecer la gestión de la organización, incrementando sus conocimientos y experiencias. 6.5. Utilizar el mapa universal de procesos para simular y probar nuevos flujos de procesos con objeto de dar cabida a las innovaciones. 6.6. Probar múltiples escenarios en los entornos construidos para ello. 6.7. Fortalecer la conciencia colectiva en relación a la seguridad de los sistemas de información.

Tabla 10. Indicadores Claves del Desempeño del Modelo Propuesto Para la Seguridad de los Sistemas de Información.

7. Indicadores Claves de Desempeño para la Seguridad de los Sistemas de Información
1	2	3	4	5
Lenguaje Común	Experiencias Repetibles	Metodología Única	Benchmarking	Mejora Continua
2. 3. 4. 5. 6. 7. 7.1. Eliminar las medidas de seguridad improvisadas. 7.2. Identificar todos los procesos inherentes a las tecnologías de la información a los que se le brindará soporte de seguridad. 7.3. Establecer los requisitos de seguridad mediante análisis comparativo de la situación existente y de lo establecido en los estándares y normas internacionales de seguridad. 7.4. Elaborar el programa formal de seguridad, haciendo énfasis en la seguridad física y medioambiental. 7.5. Clasificar los activos de información, determinando cuál es pública, confidencial y el tiempo de latencia en la cual permanecerá almacenada. 7.6. Determinar los perfiles de los recursos, equipos e información, así como su sensibilidad ante los riesgos. 7.7. Formular todos los escenarios y probabilidades de ataques, vulnerabilidades, riesgos, amenazas y errores posibles. 7.8. Evaluar el riesgo, tomando la decisión de aceptar, evitar o transferirlo, enunciando las respectivas contramedidas. 7.9. Documentar los planes de mitigación de riesgos, así como las excepciones a las que hubiere lugar. 7.10. Registrar sistemáticamente todos los eventos relativos a la seguridad, riesgos, amenazas, ataques y vulnerabilidades que hayan sido solventadas, así como las técnicas utilizadas y sugerencias para un mejor desempeño futuro. 7.11. Mitigar los riesgos en base a los planes, aplicando los controles específicos para cada situación. 7.12. Validar los controles aplicados para asegurarse que los riesgos reales coincidan con el nivel de riesgos aceptados, se comparan los perfiles definidos con los resultados reales, midiendo la eficiencia de los planes y programas de seguridad. 7.13. Auditar y monitorear periódicamente los cambios que puedan afectar el perfil de los riesgos definidos anteriormente. 7.14. Automatizar los controles de seguridad.	7.1. Hacer una revisión crítica de la organización, de los roles, funciones y responsabilidades, se deben establecer los comportamientos esperados en casos de contingencia. 7.2. Automatizar la base de conocimientos y experiencias para que estén disponibles y sean de fácil accesos a los miembros de la organización. 7.3. Automatizar la documentación de todos los procesos relativos a la seguridad de la información. 7.4. Formular políticas que permitan profundizar las medidas de seguridad. 7.5. Establecer controles físicos, lógicos y administrativos relativos a la seguridad de los sistemas de información. 7.6. Implementar sistemas de encriptación para la información clasificada como sensible, así como seguridad para los sistemas de comunicaciones alámbricos e inalámbricos. 7.7. Implementar sistemas de contingencia y recuperación que garanticen la operatividad de la organización y la continuidad del negocio. 7.8. Hacer énfasis en el apego al cumplimiento de los requisitos del entorno legal de la organización. 7.9. Incrementar los niveles de confianza del equipo encargado de la seguridad de la información, para enfrentar situaciones que afecten los sistemas.	7.1. Estandarizar toda la plataforma de Tecnología de la Información, esto como consecuencia del establecimiento de una arquitectura unificada de seguridad. 7.2. Desarrollar la arquitectura física, técnica y metodológica para la seguridad de los sistemas de información capaz de hacer frente a todos los posibles escenarios y amenazas. 7.3. Establecer metas de seguridad medibles. 7.4. Formular métricas capaces de medir objetivamente el desempeño del plan estratégico de seguridad de la información. 7.5. Formular una metodología única de seguridad de la información que permita afrontar los eventos de seguridad de una manera consistente y uniforme. 7.6. Ajustar los controles a la realidad existente, haciéndose más elevados técnicamente y menos visibles por los usuarios. 7.7. Perfeccionar continuamente las políticas, normas y procedimientos relativos a la seguridad de los sistemas de información, en base a las mejores prácticas y estándares internacionales.	7.1. Comparar el modelo de seguridad logrado con el de otras organizaciones de igual o similar índole (Benchmarking). 7.2. Implementar evaluaciones continuas que permitan adaptarse y actualizarse a los cambios tecnológicos. 7.3. Perfeccionar continuamente los procesos de seguridad de la información para adaptarlos a las innovaciones tecnológicas. 7.4. Controla y brindar soporte en seguridad en forma 24/7 (24 horas al día los siete días de la semana) durante todo el año. 7.5. Realizar pruebas continuas de seguridad. 7.6. Identificar oportunamente y con precisión las amenazas, vulnerabilidades y riesgos asociados a las seguridad de los sistemas de información. 7.7. Crear un inventario de recursos financieros, materiales, humanos y tecnológicos necesarios para apoyar la arquitectura de seguridad de los sistemas de información, en consonancia con las necesidades presentes. Dicho inventario se actualiza periódicamente.	7.1. Promover la integración, no sólo dentro de la organización, sino con otros entes, compartiendo las experiencias y lecciones aprendidas. 7.2. Constituir equipos interdisciplinarios e interministeriales con el objeto de contribuir a la mejora continua de metodologías y modelos de seguridad de los sistemas de información. 7.3. Enfocar la seguridad en actitudes más proactivas que reactivas. 7.4. Implementar sistemas de control totalmente automatizados. 7.5. Realizar evaluaciones periódicas que permiten adaptar el modelo y la metodología de seguridad de sistemas de información a las necesidades presentes.

Referencias Bibliográficas

Cameron, S. (2011). Enterprise Content Management. A Business and Technical Guide. Swindon, United Kingdom. British Informatics Society Limited.
Kerzner, H. (2009). Project Management a Systems Approach to Planning, Scheduling and Controlling. (10ª Ed.). New Jersey. John Wiley & Sons, Inc.
Wheeler, E. (2011). Security Risk Management Building an Information Security Risk Management Program from the Ground Up. EEUU. Elsevier Inc

Seguridad en Sistemas de Información

domingo, 22 de marzo de 2015

Ídolos con Píes de Barro

Ídolos con los Píes de Barro

martes, 17 de febrero de 2015

5. Conclusiones sobre el Modelo.

lunes, 16 de febrero de 2015

4. Modelo Propuesto

Descripción del Modelo.

Niveles del Modelo de Madurez.

Dominios del Modelo de Madurez.

Referencias Bibliográficas

Datos personales