Ism3 es un marco para la gestin de seguridad de la informacin basados en

los objetos de negocios

Analiza el impacto de la seguridad de la informacin en la consecucin de los
objetivos del negocio
Objetivos Fundamentales:
Para objetos fundamentales la tolerancia de la desviacin, de los objetos
relacionados con la seguridad, es probable que sea muy bajo
Para obtener aspiraciones, se puede establecer objetivos con tolerancia ms
amplia

Trade-of
(Necesidades entre la seguridad de la informacin)
Cuando se aplica ism3 se aplica correctamente la gestin trabaja en
colaboracin con los mismos objetivos, con menos friccin entre la funcin de
seguridad y otras unidades de negocio
Ism3 ofrece un marco objetivo y medible para la gestin de seguridad de la
informacin.
Enfoque operacional
Define un incidente como fracaso para lograr uno o ms objetivos
empresariales acordados y de gestin de la seguridad

Definiciones operativas
Mantener la confidencialidad de la informacin
Ism3 establece como se logra la confidencialidad en trminos operacionales,
tales como:
-

El Control de acceso fsico y lgico

La inscripcin del usuario

Un ejemplo seria: el uso de servicios, depsitos de informacin y sistemas est

restringida solo para usuarios autorizados.

Objetivos de negocio, objetivos de seguridad:

Cuando se alinea los objetivos de negocio y objetivos de seguridad, la

seguridad de la informacin se convierte en un elemento clave para alcanzar
los objetivos de negocio.
Toda organizacin existe para fines especficos, que es lo que requiere para
establecer metas y cumplir con ciertas obligaciones.

ISM3 define cinco categoras de objetivos de seguridad:

1) Prioritarios
a. Disponibilidad: lmite de tiempo para ingreso de datos
b. Fiabilidad: el tiempo ms largo y nmero de veces ingresado en el
tiempo limite
c. Volatilidad: la perdida de mensajes antiguos.
2) Durabilidad
a. Retencin periodo
b. Caducidad.
3) Informacin de calidad
a. Integridad
b. Actualizacin
c. Mantenimiento al da de la informacin
4) Control de acceso
a. Servicios e interfaces
b. Usuarios autorizados
c. Proteccin de identidades
d. Firma digital
e. Horarios de conexin
5) Tcnica
a. Arquitectura
b. Proteccin de informacin
c. Objetivos operacionales discretos
d. Centros fsicos protegidos

ISM3 interpretacin de incidentes, El xito o fracaso

Ism3 utiliza objetivos empresariales y de seguridad de criterios para
determinar tanto la ocurrencia de incidentes y el xito general de un sistema
general de sistema de informacin (SGSI)
Un incidente se reconoce cada vez que un objetivo de negocio o la seguridad
nos e cumple. Determinando el impacto del incidente sobre los objetivos de
negocio deben incluir tanto los impactos directos e indirectos.
Impactos Directos:

Un impacto directo es cuando el objetivo es afectado como el impacto en la

venta, costo de manteamiento.
Impacto Indirecto.
Es un impacto que no afecta al sistema pero si refleja cierto obstculo como
por ejemplo manejo de mala imagen, prdida de clientes, calumnias
empresariales.

Sin embargo la ocurrencia de un incidente por si mismos no significa que el

sistema general de sistemas de informacin all fallado. En ISM3 se define un
fracaso como lo contrario al xito, uno o ms objetivos o los objetivos de
seguridad no se cumplieron.

Aunque hay dos modos de fallo correspondientes a la gestin de seguridad de

informacin:
. No alcanzar las metas de un objetivo de seguridad.
. El incumplimiento de un objetivo de seguridad de un objetivo de negocio.