He leído a través de muchos medios simultáneamente noticias relativas a la puesta en escena de la versión 1.0 del modelo ISM3, un modelo de madurez para la Gestión de la Seguridad de la Información.
En síntesis, este modelo pretende la simplificación del esquema actual y dotar a las organizaciones de una herramienta más sencilla y cuya curva de experiencia tiene menos pendiente que otras metodologías más costosas para conformar un esquema de Gestión de la Seguridad. El modelo esta basado en estados o niveles de madurez, de tal modo que cada empresa puede adherirse a un Maturity Level o nivel de madurez determinado, según afronta la conformidad, pudiendo escoger el estadio que más le convenga para sus propósitos de Gestión de la Seguridad.
En la introducción, se habla de que existe un contraste más que evidente entre el número de empresas certificadas en ISO9000 (Calidad: sobre 350,000 en todo el mundo) y la norma inglesa BS7799-2:2002 (Seguridad de la Información: menos de 1000 entidades certificadas en el mundo), y que ISM3 pretende proporcionar un simple pero ampliamente aplicable estándar de calidad para los sistemas de Gestión de la Seguridad, dotando a las organizaciones de un marco que puede ser usado por grandes coporaciones, como parte de su gobierno IT, y por empresas pequeñas, como punto de entrada a la citada Gestión de la Seguridad. Así planteado, la idea es francamente buena.
Los responsables del proyecto, que se encuentra entre los muchos que promueve el Institute for Security and Open Methodologies (responsables igualmente del conocido Open Source Security Testing Methodology Manual) han habilitado los siguientes enlaces para acceder a esta magnífica documentación:
Página del ISM3
Descargar PDF desde mirror español
Descargar PDF desde mirror americano
Saludos.