Actualidad Info Actualidad

El CCI comparte su Herramienta de Evaluación de Madurez de la Ciberseguridad con Organizaciones Industriales

15/06/2017

La Asociación Regional de Empresas del Sector Petróleo, Gas y Biocombustibles en Latinoamérica y el Caribe (ARPEL) organizó el 31 de mayo en Buenos Aires (Argentina) un taller sobre la ‘Herramienta de Evaluación de Madurez del Proceso de Ciberseguridad en Organizaciones Industriales’, desarrollada por el Centro de Ciberseguridad Industrial (CCI). Era la primera vez que se compartía esta herramienta en un taller práctico. Asistieron 36 profesionales, mayoritariamente de los sectores Oil&Gas y compañías eléctricas.

El director del CCI, José Valiente; su vicepresidente, Miguel García-Menéndez, y Claudio Caracciolo, coordinador general para Latinoamérica del CCI impartieron el taller, que se inició con un repaso de los principales modelos de evaluación de madurez en ciberseguridad, para concluir que la del CCI destaca por su simplicidad, inclusión de nuevos parámetros y la posibilidad de establecer comparaciones con otras organizaciones.

José Valiente definió la evaluación del nivel de ciberseguridad industrial en una organización como algo importante para “saber en qué nivel estamos, la falta de capacidad a cubrir y qué tipo de acciones debe llevar a cabo la organización para mejorar su ciberseguridad”. Su propuesta a los asistentes fue que al cabo de un año revisasen el análisis realizado en el taller y las mejoras aplicadas.

Miguel García-Menéndez explicó que el CCI presentó en 2015 su ‘Herramienta de Evaluación de Madurez del Proceso de Ciberseguridad en Organizaciones Industriales’, aunque hasta ahora no se había celebrado un taller para ponerla en práctica. La herramienta consta de una pequeña guía-manual y una hoja de cálculo. Se evalúan 122 objetivos englobados en un enfoque tridimensional según Áreas de Proceso, Niveles de Madurez y Actividades.

Cada objetivo entra dentro de un Área de Proceso, divididas en Estrategia, Activos, Riesgos, Accesos, Configuración, Operación, Organización y Continuidad. También cada objetivo tiene un Nivel de Madurez (Inicial, Gestionado, Estandarizado u Optimizado), y forma parte de una Actividad: Definición, Comunicación, Asignación, Desarrollo y Auditoría. El parámetro de Actividades es novedad respecto al resto de modelos de evaluación disponibles. García-Menéndez puso algunos ejemplos de objetivos a evaluar, como podrían ser la ‘Publicación de la política de ciberseguridad de la organización", la "Asignación de responsabilidades en la gestión de cambios’ o la ‘Ejecución de pruebas de planes de contingencia’. Además del nivel de madurez del objetivo, se evalúa su estado (del 0% al 100%), su nivel de criticidad para aquella organización y sector concretos y qué esfuerzo se necesita en tiempo, presupuesto o recursos humanos para llevarlo a cabo.

Una vez introducidas las valoraciones de nivel de madurez de cada objetivo, la herramienta ofrece unos resultados que permiten conocer el grado de ciberseguridad industrial y los criterios para mejorarla. El único riesgo de esta herramienta, y de todos los modelos actuales de madurez según Miguel García-Menéndez, es que se basan en la subjetividad de quien realiza el análisis, que debe ser realista y humilde en sus valoraciones. Asimismo, dijo, hay que esperar que las otras organizaciones hayan sido también realistas cuando se utiliza la herramienta para compararse con la industria.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Seguridad

    19/11/2024

  • Newsletter Seguridad

    12/11/2024

ÚLTIMAS NOTICIAS

OPINIÓN

SERVICIOS