Machine Translated by Google

CIBERSEGURIDAD Y PRIVACIDAD DE DATOS

MODELO DE CAPACIDAD DE MADUREZ

(C|P­CMM) DESCRIPCIÓN GENERAL

versión 2023.4

Un control es el poder de influir o dirigir conductas y el curso de los acontecimientos. Precisamente

por eso se desarrolló Secure Controls Framework™ (SCF): queremos influir en las prácticas seguras
dentro de las organizaciones para que tanto los principios de ciberseguridad como de privacidad se
diseñen, implementen y gestionen de manera eficiente y sostenible.

NOTA: esta guía tiene fines educativos únicamente. Le recomendamos encarecidamente que trabaje con un profesional de ciberseguridad, privacidad o auditoría
para validar cualquier suposición relacionada con el cumplimiento. Para obtener más información, visite www.SecureControlsFramework.com
Machine Translated by Google

Tabla de contenido

Resumen ejecutivo ................................................ ................................................. ................................................. .. 3 Objetivos del C|P­

CMM...................................... ................................................. ................................................. ................... 3 No es simplemente otra
CMM.................... ................................................. ................................................. ......................................... 3 Enfoque anidado de
madurez.... ................................................. ................................................. ................................................ 3

Descripción general del modelo de madurez de la capacidad de ciberseguridad y privacidad de datos (C|P­CMM) ................. .......................... 4 Mantener la integridad de los criterios
basados en la madurez ................. ................................................. ................................................. .... 4 Cómo adivinar una decisión sobre el nivel de madurez a partir de los criterios
de madurez del nivel de control................... ................................................. ..... 4 Madurez (Gobernanza) ≠ Garantía
(Seguridad) .................... ................................................. ........................................ 5 Definición de C|P­ Niveles de
CMM................................................. ................................................. ................................................. ............. 5 C|P­CMM Nivel 0 (L0) ­ No
realizado ......................... ................................................. ................................................. ........................5 C|P­CMM Nivel 1 (L1) ­ Realizado de manera
informal ................ ................................................. ................................................. ....................5 C|P­CMM Nivel 2 (L2) ­ Planificado y
rastreado................. ................................................. ................................................. .........................6 C|P­CMM Nivel 3 (L3) ­ Bien
definido.......... ................................................. ................................................. ........................................6 C|P­CMM Nivel 4 (L4) ­ Controlado
cuantitativamente................................................ ................................................. .................................7 C|P­CMM Nivel 5 (L5) ­ Mejorando
continuamente ..... ................................................. ................................................. ........................7

Definición de un “punto óptimo” de madurez de capacidad... ................................................. .................... 9 Consideraciones sobre

negligencia ................... ................................................. ................................................. ................................. 9 Consideraciones de
riesgo................ ................................................. ................................................. ................................................. ...... 9 Consideraciones sobre el retraso en la revisión del
proceso.................... ................................................. ................................................. ....... 9 Consideraciones sobre el valor de las partes
interesadas.................... ................................................. ................................................. ......... 9 Ejemplo analógico: sentarse / gatear / caminar / correr / correr / correr
con vallas ........................ ................................................. ................................10

Casos de uso esperados de C|P­CMM ................................. ................................................. ........................................ 11

Caso de uso n.º 1: Criterios objetivos para crear un programa de ciberseguridad y privacidad.................... ........................................11 Identificación del
problema. ................................................. ................................................. ................................................. ................11
Consideraciones ................................ ................................................. ................................................. ................................................11

Identificar una solución................................................. ................................................. ................................................. ........................12 Caso de uso n.° 2: ayudar a los equipos de
proyecto a planificar y presupuestar adecuadamente prácticas seguras ......... ................................................. ........13 Identificando el
problema................................................ ................................................. ................................................. .................................13
Consideraciones ................... ................................................. ................................................. ................................................. ............13

Identificar una solución................................................. ................................................. ................................................. ........................13 Caso de uso n.º 3: proporcionar criterios
objetivos para evaluar la seguridad del proveedor de servicios externo... ................................................. .14 Identificar el
problema................................................ ................................................. ................................................. ........................14
Consideraciones ........................ ................................................. ................................................. ................................................. ....14 Identificando una

solución................................................ ................................................. ................................................. .................................14 Caso de uso n.° 4: Debida diligencia en fusiones y
adquisiciones (M&A) ..... ................................................. ................................................15 Identificación El
problema................................................ ................................................. ................................................. ...................15
Consideraciones ................................. ................................................. ................................................. ................................................. ..15 Identificar una

solución................................................ ................................................. ................................................. ...........................15

2 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

RESUMEN EJECUTIVO

¡Gracias por su interés en el modelo de madurez de capacidad de privacidad de datos y ciberseguridad de Secure Controls Framework™ (SCF) (C|P­CMM)! El C|P­CMM está integrado
directamente en el SCF y se puede descargar de forma gratuita desde https://www.securecontrolsframework.com.

Esta fue una tarea enorme por parte de los contribuyentes del SCF para definir los niveles de madurez para el catálogo de controles del SCF. El resultado de ese trabajo es que cada uno
de los controles del SCF tiene definidos los criterios L0­5 correspondientes. Nota: la versión 2023.2 de SCF contiene contenido C|P­CMM actualizado.

Este documento está diseñado para que los profesionales de la ciberseguridad y la privacidad comprendan qué es el C|P­CMM y cómo se puede utilizar en su organización.

Al igual que el propio SCF, el C|P­CMM es de uso gratuito para las organizaciones a través de Creative Commons Attribution­NoDerivatives 4.0 International (CC BY­ND 4.0). licencia.

OBJETIVOS DEL C|P­CMM

El C|P­CMM está destinado a resolver el problema de la objetividad al establecer y evaluar los controles de ciberseguridad y privacidad de datos.
Hay cuatro (4) objetivos principales para el C|P­CMM:
1. Proporcionar a los CISO/CPO/CIO criterios objetivos que puedan utilizarse para establecer expectativas para un programa de ciberseguridad y privacidad;
2. Proporcionar criterios objetivos para los equipos de proyecto para que las prácticas seguras se planifiquen y presupuestan adecuadamente; 3. Proporcionar
criterios mínimos que puedan utilizarse para evaluar los controles de los proveedores de servicios externos; y
4. Proporcionar un medio para realizar la debida diligencia de las prácticas de ciberseguridad y privacidad de datos como parte de Fusiones y Adquisiciones (M&A).

Es probable que existan muchos otros casos de uso en los que se pueda utilizar la C|P­CMM, pero los objetivos enumerados anteriormente impulsaron el desarrollo de este proyecto. La
razón de esto simplemente se reduce a la necesidad de las empresas, independientemente de su tamaño o industria, de una solución que pueda ayudar a solucionar esas frustraciones
comunes que existen en la mayoría de los programas de ciberseguridad y privacidad de datos. Queremos ayudar a eliminar, o al menos minimizar, el Miedo, Incertidumbre y Duda (FUD)
que se utiliza para justificar compras y/o evaluar controles inyectando objetividad en el proceso.

NO SÓLO OTRA CMM

Hay muchos modelos competitivos que existen para demostrar madurez. Dadas las opciones disponibles, el SCF decidió aprovechar un marco existente, en lugar de reinventar la rueda.
En términos simples, proporcionamos criterios de nivel de control a un modelo CMM existente.

El C|P­CMM se basa en la estructura de alto nivel del Modelo de Madurez de Capacidad de Ingeniería de Seguridad de Sistemas v2.0 (SSE­CMM), ya que sentimos que era el mejor
modelo para demostrar distintos niveles de madurez para personas, procesos y tecnología. a nivel de control. Si no está familiarizado con el SSE­CMM, vale la pena leer el Documento de
descripción del modelo SSE­CMM alojado en el Centro de información técnica de defensa de EE. UU. (DTIC).1

El SSE­CMM existe desde hace más de dos décadas y es un modelo de madurez de propiedad comunitaria, por lo que su uso es gratuito. También se hace referencia al SSE­CMM como
ISO/IEC 21827:2008 Tecnología de la información ­ Técnicas de seguridad ­ Ingeniería de seguridad de sistemas ­ Modelo de madurez de capacidad (SSE­CMM).
2

ENFOQUE ANIDADO DE MADUREZ

Al utilizar el término “anidado” con respecto a la madurez, nos referimos a cómo se redactaron los criterios de control del C|P­CMM para reconocer que cada nivel sucesivo de madurez
se basa en su predecesor. Básicamente, no se puede correr sin antes aprender a caminar. Asimismo, no se puede caminar sin antes aprender a gatear. Este enfoque para definir la
madurez del control de la ciberseguridad y la privacidad es la forma en que C|P­CMM
está estructurado.

1
Centro de Información Técnica de Defensa (DTIC) ­ https://apps.dtic.mil/dtic/tr/fulltext/u2/a393329.pdf 2 ISO/IEC
21827:2008 ­ https://www.iso.org/standard/44716.html
3 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

MODELO DE MADUREZ DE CAPACIDAD DE CIBERSEGURIDAD Y PRIVACIDAD DE DATOS (C|P­CMM) DESCRIPCIÓN GENERAL

El C|P­CMM se basa en la estructura de alto nivel del Modelo de Madurez de Capacidad de Ingeniería de Seguridad de Sistemas v2.0 (SSE­CMM), ya que sentimos
que era el mejor modelo para demostrar distintos niveles de madurez para personas, procesos y tecnología. a nivel de control. Si no está familiarizado con el SSE­
CMM, vale la pena leer el Documento de descripción del modelo SSE­CMM alojado en el Centro de información técnica de defensa de EE. UU. (DTIC).3

MANTENER LA INTEGRIDAD DE LOS CRITERIOS BASADOS EN LA MADUREZ

Es desafortunado que deba declararse explícitamente, pero un “modelo de madurez” depende enteramente de la ética y la integridad de las personas involucradas
en el proceso de evaluación. Este problema a menudo tiene sus raíces en la presión percibida por el evaluador de que un control debería ser designado como más
maduro de lo que es (por ejemplo, influencia de gestión disfuncional). Independientemente del motivo, se debe enfatizar que designar conscientemente un mayor
nivel de madurez (basado en criterios objetivos) para hacer que una organización parezca más madura debe considerarse fraude. Fraude es un término amplio que
incluye “declaraciones falsas, deshonestidad y engaño”.4

Esta postura sobre las tergiversaciones fraudulentas puede parecer dura, pero describe con precisión la situación. No hay lugar en las operaciones de ciberseguridad y protección de
datos para partes poco éticas, por lo que el Consejo del SCF publicó esta guía sobre lo que debería ser una “perspectiva razonable de parte”. Esto proporciona objetividad para
minimizar la capacidad de partes poco éticas de abusar del uso previsto del C|P­CMM.

DIVIDIR UNA DECISIÓN DEL NIVEL DE MADUREZ A PARTIR DE LOS CRITERIOS DE MADUREZ DEL NIVEL DE CONTROL

Las siguientes dos (2) preguntas deben tenerse en cuenta al evaluar la madurez de un control (u Objetivo de Evaluación (AO)).
1. ¿Tengo pruebas razonables para defender mi análisis/decisión?
2. Si hubo un incidente y fui depuesto en un escenario legal, ¿puedo justificar mi análisis/decisión sin cometer perjurio?

¿Necesita responder “sí” a todos los criterios señalados bajo un nivel de madurez en el C|P­CMM? No. Reconocemos que cada
La organización es diferente. Por lo tanto, los elementos de los criterios de madurez asociados con los controles del SCF tienen como objetivo ayudar a establecer
lo que existiría razonablemente para cada nivel de madurez. Fundamentalmente, la decisión se reduce a la experiencia del evaluador, la competencia profesional y las
sentido.

3 Centro de Información Técnica de Defensa (DTIC) ­ https://apps.dtic.mil/dtic/tr/fulltext/u2/a393329.pdf 4 Departamento

de Justicia de EE. UU.: https://www.justice.gov/archives/jm/criminal­resource­manual­1007­fraud
4 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

MADUREZ (GOBERNANZA) ≠ GARANTÍA (SEGURIDAD)

Si bien una implementación más madura de los controles puede equivaler a un mayor nivel de seguridad, una mayor madurez y una mayor garantía no son mutuamente
inclusivos. Desde una perspectiva práctica, la madurez es simplemente una medida de las actividades de gobierno pertenecientes a un control o conjunto de controles
específicos. La madurez no equivale a un análisis profundo de la fortaleza y profundidad del control que se está evaluando (por ejemplo, rigor).

Según el NIST, la seguridad es “motivo para confiar en que el conjunto de controles de seguridad previstos en un sistema de información son efectivos en su aplicación”.
5 Un mayor rigor en las pruebas de control es lo que conduce a una mayor seguridad. Por lo tanto, un mayor rigor y una mayor seguridad son mutuamente inclusivos.

El Programa de Evaluación de la Conformidad del SCF (SCF CAP) aprovecha (3) tres niveles de rigor. Los niveles de rigor del SCF CAP utilizan criterios basados en la
madurez para evaluar un control, ya que un objetivo de madurez puede proporcionar un contexto de "cómo se ve lo correcto" en una organización en particular:
Nivel 1 (Básico) : las evaluaciones básicas proporcionan un nivel de comprensión de las medidas de seguridad necesarias para determinar si las salvaguardas
están implementadas y libres de errores obvios.
Nivel 2 (Enfocado) : las evaluaciones enfocadas brindan un nivel de comprensión de las medidas de seguridad necesarias para determinar si las salvaguardas
se implementan y están libres de errores obvios/aparentes y si existen mayores motivos para confiar en que las salvaguardas se implementan correctamente
y funcionan como corresponde. destinado.
Nivel 3 (Completo) : las evaluaciones integrales proporcionan un nivel de comprensión de las medidas de seguridad necesarias para determinar si las
salvaguardas se implementan y no contienen errores obvios y si existen motivos adicionales para confiar en que las salvaguardas se implementan
correctamente y funcionan según lo previsto. de manera continua y consistente y que exista apoyo para la mejora continua en la efectividad de las
salvaguardas.

DEFINICIÓN DE NIVELES DE C|P­CMM

A continuación se describe un resumen de los seis (6) niveles de C|P­CMM:

C|P­CMM NIVEL 0 (L0) ­ NO REALIZADO

Este nivel de madurez se define como “prácticas de inexistencia”, donde no se está realizando el control:
No existen prácticas en las que una persona razonable concluiría que no se está realizando el control.
No existe evidencia de debido cuidado6 y debida diligencia7 para demostrar el cumplimiento de las normas legales, reglamentarias y/o aplicables.
obligaciones contractuales.

Las prácticas L0, o la falta de ellas, generalmente se consideran negligentes. La razón de esto es que si se espera razonablemente que exista un control, al no realizar
el control se considera un comportamiento negligente. La necesidad del control podría deberse a una ley, regulación u obligación contractual (por ejemplo, contrato con
el cliente o requisito de una asociación industrial).
Nota – La realidad con un nivel de madurez L0 suele ser:
Para organizaciones más pequeñas, la función de soporte de TI solo se centra en el trabajo de “reparación/reparación” o el proveedor de TI subcontratado tiene un alcance en su
contrato de soporte que excluye el control por descuido o desconocimiento de los requerimientos del cliente.
Para organizaciones medianas/grandes, hay personal de TI y/o ciberseguridad, pero la gobernanza es funcionalmente inexistente y la
El control no se realiza por descuido, ignorancia o incompetencia.

C|P­CMM NIVEL 1 (L1) ­ REALIZADO DE FORMA INFORMAL

Este nivel de madurez se define como “prácticas ad hoc”, donde el control se realiza, pero carece de integridad y coherencia:
Las prácticas son “ad hoc” donde la intención de un control no se cumple por falta de coherencia y formalidad.
Cuando se cumple el control, éste carece de consistencia y formalidad (p. ej., prácticas rudimentarias se realizan de manera informal).
Una persona razonable concluiría que el control no se realiza consistentemente de manera estructurada.
El desempeño depende del conocimiento y esfuerzo específicos del individuo que realiza la(s) tarea(s), donde el desempeño de estas prácticas no se rige de
manera proactiva. Existe evidencia limitada
de debido cuidado y debida diligencia, donde sería difícil refutar legítimamente un reclamo de negligencia.
sobre cómo se implementan y mantienen los controles de ciberseguridad/privacidad.

Las prácticas de L1 generalmente se consideran negligentes. La razón de esto es que si se espera razonablemente que exista un control, sólo

5 Departamento de Justicia de EE. UU.: https://www.justice.gov/archives/jm/criminal­resource­manual­1007­fraud 6 El debido

cuidado es el estándar de cuidado que una persona razonable ejercería en la misma situación o en circunstancias similares. Este estándar de cuidado se utiliza para determinar si las
acciones (o inacciones) de una parte fueron negligentes.
7 La debida diligencia es el cuidado que una persona razonable ejerce para evitar daños a otras personas o a sus bienes.
5 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

implementar prácticas ad­hoc en la realización del control que podrían considerarse conductas negligentes. La necesidad del control podría deberse a una ley, regulación u obligación
contractual (por ejemplo, contrato con el cliente o requisito de una asociación industrial).
Nota – La realidad con un nivel de madurez L1 suele ser:
Para organizaciones más pequeñas, la función de soporte de TI solo se centra en el trabajo de “reparación/reparación” o el proveedor de TI subcontratado tiene un alcance limitado
en su contrato de soporte.
Para organizaciones medianas/grandes, hay personal de TI y/o ciberseguridad pero no hay un enfoque de gestión para dedicar tiempo o
recursos en el control.

C|P­CMM NIVEL 2 (L2) ­ PLANIFICACIÓN Y SEGUIMIENTO

Las prácticas están "impulsadas por requisitos" donde la intención de control se cumple en algunas circunstancias, pero no está estandarizada en toda la organización:

Las prácticas están “impulsadas por requisitos” (por ejemplo, especificadas por una ley, reglamento u obligación contractual) y están diseñadas para cumplir con esos requisitos.
obligaciones de cumplimiento específicas (por ejemplo, pruebas de diligencia debida).
La ejecución de un control se planifica y se rastrea de acuerdo con procedimientos específicos y los productos del trabajo se ajustan a estándares específicos (por ejemplo,
evidencia de debido cuidado).
Los controles se implementan en algunas, pero no en todas, circunstancias/entornos aplicables (p. ej., enclaves, instalaciones o
ubicaciones).
Una persona razonable concluiría que los controles están “centrados en el cumplimiento” para cumplir con una obligación específica, ya que las prácticas son
se aplican a nivel local/regional y no son prácticas estandarizadas en toda la empresa.
Existe evidencia suficiente de debido cuidado y debida diligencia para demostrar el cumplimiento de normas legales, reglamentarias y/o específicas.
obligaciones contractuales.

Las prácticas L2 generalmente se consideran “listas para auditoría” con un nivel aceptable de evidencia para demostrar la debida diligencia y el debido cuidado en la ejecución del control.
Las prácticas L2 generalmente están dirigidas a sistemas, redes, aplicaciones o procesos específicos que requieren que se realice el control para una necesidad de cumplimiento (por
ejemplo, PCI DSS, HIPAA, CMMC, NIST 800­171, etc.).

Se puede argumentar que las prácticas de L2 se centran más en el cumplimiento que en la seguridad. La razón de esto es que el alcance de las prácticas de L2 tiene un enfoque
limitado y no abarca a toda la empresa.

Nota – La realidad con un nivel de madurez L2 suele ser:

Para organizaciones más pequeñas:
o El personal de TI tiene requisitos claros para cumplir con las obligaciones de cumplimiento aplicables o el proveedor de TI subcontratado tiene el alcance adecuado
en su contrato de soporte para abordar las obligaciones de cumplimiento aplicables.
o Es poco probable que exista una función dedicada a la ciberseguridad y, en el mejor de los casos, es una tarea adicional para el personal existente.
Para organizaciones medianas/grandes:
o El personal de TI tiene requisitos claros para cumplir con las obligaciones de cumplimiento aplicables.
o Lo más probable es que exista una función de ciberseguridad dedicada o un pequeño equipo de ciberseguridad.

C|P­CMM NIVEL 3 (L3) ­ BIEN DEFINIDO

Este nivel de madurez se define como "estandarización en toda la empresa", donde las prácticas están bien definidas y estandarizadas en toda la organización:

Las prácticas están estandarizadas "en toda la empresa", donde el control está bien definido y estandarizado en toda la empresa.
Los controles se implementan en todas las circunstancias/entornos aplicables (las desviaciones están documentadas y justificadas).
Las prácticas se realizan de acuerdo con un proceso bien definido utilizando versiones aprobadas y personalizadas de procesos estandarizados. La realización de un
control se realiza de acuerdo con procedimientos especificados, bien definidos y estandarizados.
La ejecución del control se planifica y gestiona utilizando una metodología estandarizada para toda la empresa.
Una persona razonable concluiría que los controles están “centrados en la seguridad” y abordan medidas tanto obligatorias como discrecionales.
requisitos. El cumplimiento podría considerarse razonablemente como un “subproducto natural” de las prácticas seguras.
Existe evidencia suficiente de debido cuidado y debida diligencia para demostrar el cumplimiento de obligaciones legales, reglamentarias y/o contractuales específicas.

El Director de Seguridad de la Información (CISO), o una función similar, desarrolla un Concepto de Operaciones centrado en la seguridad (CONOPS) que documenta las
medidas técnicas, operativas y de gestión de toda la organización para aplicar técnicas de defensa en profundidad (nota: en este contexto , un CONOPS es una declaración
verbal o gráfica de intenciones y suposiciones con respecto a la operacionalización de las tareas identificadas para lograr los objetivos establecidos por el CISO. El resultado
del CONOPS es operar el programa de ciberseguridad y protección de datos de la organización para que cumpla con los objetivos comerciales). Se pueden incorporar
CONOPS de control o de dominio específico como parte de un plan operativo más amplio para el programa de ciberseguridad y privacidad de datos (por ejemplo, plan de
negocios específico de ciberseguridad).

6 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

Las prácticas L3 generalmente se consideran “listas para auditoría” con un nivel aceptable de evidencia para demostrar la debida diligencia y el debido cuidado en la ejecución
del control. A diferencia de las prácticas L2 que tienen un enfoque limitado, las prácticas L3 están estandarizadas en toda la organización.

Se puede argumentar que las prácticas L3 se centran en la seguridad más que en el cumplimiento, donde el cumplimiento es un subproducto natural de esas prácticas seguras.
Se trata de prácticas bien definidas y con un alcance adecuado que abarcan toda la organización, independientemente del departamento o las consideraciones geográficas.

Nota – La realidad con un nivel de madurez L3 suele ser:

Para organizaciones más pequeñas:
o Hay un pequeño personal de TI que tiene requisitos claros para cumplir con las obligaciones de cumplimiento aplicables.
o Hay un líder muy competente (por ejemplo, gerente/director de seguridad) con sólida experiencia en ciberseguridad que tiene la
autoridad para dirigir recursos para implementar prácticas seguras en toda la organización.
Para organizaciones medianas/grandes:
o El personal de TI tiene requisitos claros para implementar principios estandarizados de ciberseguridad y privacidad en toda la empresa.
o Además de la existencia de un equipo de ciberseguridad dedicado, hay especialistas (p. ej., ingenieros, analistas de SOC, GRC,
privacidad, etc).
o Hay un líder muy competente (por ejemplo, CISO) con sólida experiencia en ciberseguridad que tiene la autoridad para dirigir
recursos para implementar prácticas seguras en toda la organización.

C|P­CMM NIVEL 4 (L4) ­ CONTROLADO CUANTITATIVAMENTE

Este nivel de madurez se define como “prácticas basadas en métricas”, donde además de ser prácticas bien definidas y estandarizadas en toda la organización, existen métricas
detalladas para permitir la supervisión de la gobernanza:
Las prácticas están “basadas en métricas” y proporcionan suficiente información de gestión (basada en una comprensión cuantitativa de las capacidades del proceso)
para predecir el rendimiento óptimo, garantizar operaciones continuas e identificar áreas de mejora. Las prácticas se basan en criterios de
madurez L3 establecidos y tienen métricas detalladas para permitir la supervisión de la gobernanza.
Se recopilan y analizan medidas detalladas de desempeño. Esto conduce a una comprensión cuantitativa de la capacidad del proceso.
y una capacidad mejorada para predecir el rendimiento.
El desempeño se gestiona objetivamente y la calidad de los productos del trabajo se conoce cuantitativamente.

Las prácticas L4 generalmente se consideran “listas para auditoría” con un nivel aceptable de evidencia para demostrar la debida diligencia y la debida diligencia.
El cuidado en la ejecución del control, así como métricas detalladas, permiten una función de supervisión objetiva. Las métricas pueden ser diarias, semanales, mensuales,
trimestrales, etc.

Nota – La realidad con un nivel de madurez L4 suele ser:

Para organizaciones más pequeñas, no es realista alcanzar este nivel de madurez. Para
organizaciones medianas/grandes:
o El personal de TI tiene requisitos claros para implementar principios estandarizados de ciberseguridad y privacidad en toda la empresa.
o Además de la existencia de un equipo de ciberseguridad dedicado, hay especialistas (p. ej., ingenieros, analistas de SOC, GRC,
privacidad, etc).
o Hay un líder muy competente (por ejemplo, CISO) con sólida experiencia en ciberseguridad que tiene la autoridad para dirigir
recursos para implementar prácticas seguras en toda la organización.
o Se informa a las partes interesadas del negocio sobre el estado del programa de ciberseguridad y privacidad de datos (por ejemplo, revisiones comerciales
trimestrales al CIO/CEO/junta directiva). Esta conciencia situacional es posible gracias a métricas detalladas.

C|P­CMM NIVEL 5 (L5) ­ MEJORANDO CONTINUAMENTE

Este nivel de madurez se define como “prácticas de clase mundial”, donde las prácticas no solo están bien definidas y estandarizadas en toda la organización, además de tener
métricas detalladas, sino que el proceso mejora continuamente:
Las prácticas son capacidades de “clase mundial” que aprovechan el análisis predictivo.
Las prácticas se basan en criterios de madurez L4 establecidos y son urgentes para respaldar la eficiencia operativa, que probablemente incluya acciones automatizadas
a través del aprendizaje automático o la Inteligencia Artificial (IA).
Se establecen objetivos de desempeño cuantitativos (objetivos) para la efectividad y eficiencia de los procesos, con base en los objetivos comerciales.
de la organización.
Las mejoras de procesos se implementan de acuerdo con prácticas de “mejora continua” para afectar los cambios de proceso.

7 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

Las prácticas L5 generalmente se consideran “listas para auditoría” con un nivel aceptable de evidencia para demostrar la debida diligencia y la debida diligencia.
cuidado en la ejecución del control e incorpora la capacidad de mejorar continuamente el proceso. Curiosamente, aquí es donde existirían la Inteligencia Artificial (IA) y el
Aprendizaje Automático (ML) , ya que AI/ML se centraría en evaluar el rendimiento y realizar ajustes continuos para mejorar el proceso. Sin embargo, no es necesario
que AI/ML sea L5.

Nota – La realidad con un nivel de madurez L5 suele ser:

Para las organizaciones pequeñas y medianas, no es realista alcanzar este nivel de madurez. Para grandes
organizaciones:
o El personal de TI tiene requisitos claros para implementar principios estandarizados de ciberseguridad y privacidad en toda la empresa.
o Además de la existencia de un equipo de ciberseguridad dedicado, hay especialistas (p. ej., ingenieros, analistas de SOC, GRC,
privacidad, etc).
o Hay un líder muy competente (por ejemplo, CISO) con sólida experiencia en ciberseguridad que tiene la autoridad para dirigir
recursos para implementar prácticas seguras en toda la organización.
o Se informa a las partes interesadas del negocio sobre el estado del programa de ciberseguridad y privacidad de datos (por ejemplo, revisiones comerciales
trimestrales al CIO/CEO/junta directiva). Esta conciencia situacional es posible gracias a métricas detalladas.

o La organización tiene un modelo de negocio muy agresivo que requiere que no solo TI, sino también sus prácticas de ciberseguridad y privacidad de
datos, sean innovadores hasta el punto de liderar la industria en cómo se diseñan, construyen o entregan sus productos y servicios.

o La organización invierte mucho en el desarrollo de tecnologías AI/ML para realizar mejoras en los procesos casi en tiempo real para
respaldar el objetivo de ser un líder de la industria.

8 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

DEFINICIÓN DE UN “ PUNTO DULCE” DE MADUREZ DE CAPACIDAD

Para la mayoría de las organizaciones, el "punto óptimo" para los objetivos de madurez se encuentra entre los niveles L2 y L4. Lo que define el objetivo ideal dentro de
esta zona generalmente se basa en limitaciones de recursos y otras limitaciones comerciales, por lo que va más allá de que los equipos de ciberseguridad y privacidad
de datos dicten los objetivos. La identificación de objetivos de madurez debe ser un esfuerzo de equipo entre tecnólogos y partes interesadas del negocio.

Desde una perspectiva empresarial, el aumento del coste y la complejidad siempre requerirá un liderazgo en ciberseguridad y privacidad de datos para proporcionar un
caso de negocio convincente que respalde cualquier necesidad de planificación de madurez. Hablar en términos que la empresa pueda entender es de vital importancia.
importante.

Nota: Durante el desarrollo de C|P­CMM, un colaborador identificó una idea interesante de que L0­L3 son niveles de madurez "internos" para los equipos de
ciberseguridad y privacidad de datos, mientras que L4­L5 son niveles de madurez "externos" que se expanden más allá de esos. equipos. Cuando nos fijamos en las
partes interesadas involucradas en L0­L3, se trata casi exclusivamente de TI, ciberseguridad y privacidad de datos. No es hasta L4­L5 cuando hay una verdadera
participación de las partes interesadas del negocio en la supervisión y mejora de procesos. Esto crea un cambio interno hacia externo en la propiedad del programa de
ciberseguridad y privacidad.

CONSIDERACIONES DE NEGLIGENCIA

Sin la capacidad de demostrar evidencia tanto de debido cuidado como de debida diligencia, una organización puede ser considerada negligente. En términos prácticos,
el “umbral de negligencia” se sitúa entre L1 y L2. La razón de esto es que en L2, las prácticas se formalizan hasta el punto de que existe evidencia documentada para
demostrar que se tomaron medidas razonables para operar un control.

CONSIDERACIONES DE RIESGO

El riesgo asociado con el control en cuestión disminuye con la madurez, pero es más difícil lograr reducciones notables del riesgo por encima de L3.
La supervisión y la automatización de procesos pueden disminuir el riesgo, pero generalmente no de manera tan notable como las medidas adoptadas para alcanzar el Nivel 3.

CONSIDERACIONES SOBRE EL RETRASO DE LA REVISIÓN DEL PROCESO

Las mejoras en los procesos aumentan con la madurez, basándose en ciclos de revisión más cortos y una mayor supervisión del proceso. Lo que podría haber sido un
ciclo de revisión anual para evaluar y modificar un proceso puede realizarse casi en tiempo real con la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML).

CONSIDERACIONES DE VALOR PARA LAS PARTES INTERESADAS

El valor percibido de los controles de seguridad aumenta con la madurez. Sin embargo, el valor percibido tiende a disminuir después de N3, ya que el valor del costo
adicional y la complejidad se vuelve más difícil de justificar ante las partes interesadas del negocio. Las empresas que están genuinamente enfocadas en ser líderes de
la industria son candidatas ideales para objetivos L5 que respalden sus agresivas necesidades de modelos de negocios.

9 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

EJEMPLO ANALÓGICO : SENTARSE / GASTRAR / CAMINAR / CORRER / CORRER / SALTAR OBSTÁCULOS

El siguiente ejemplo muestra la aplicación de este enfoque a los niveles de madurez para correr, donde demuestra que el enfoque anidado de los niveles de madurez en
cada nivel de madurez sucesivo incorpora habilidades aprendidas en el nivel anterior.

El objetivo de este ejemplo es demostrar un escenario identificable en el que los lectores puedan comprender cómo no es práctico pedirle que salte directamente a un nivel
avanzado de madurez, cuando requiere algún nivel de madurez menor. Por ejemplo, si recién estuvieras aprendiendo a caminar, sería una tontería intentar correr los 400
metros con vallas que requieren tanto la fuerza como la habilidad de correr, pero también el conocimiento de cómo saltar un obstáculo.

En este ejemplo, este modelo de madurez se aplica a un control para aumentar la frecuencia cardíaca en reposo de un individuo mediante ejercicio.
L0 – Sentarse
o Sentarse sería un esfuerzo inexistente. No existe evidencia de ejercicio.
o Sentarse se consideraría deficiente para el cumplimiento de este control.
L1 – Gatear
o El gateo se considera, en el mejor de los casos, un ejercicio ad hoc y probablemente no cumpla con la intención del control.
o El gateo se consideraría deficiente para el cumplimiento de este control.
L2 – Caminar
o Caminar se basa en las habilidades aprendidas al gatear y demuestra una capacidad que eleva el corazón en reposo de las personas.
tasa.
o Caminar cumpliría con la intención del control, pero claramente hay margen de mejora.
L3 – Corriendo
o Correr desarrolla las habilidades aprendidas al caminar y cumple con la intención del control.
o Correr sería el “punto ideal” de madurez para este ejemplo.
L4 – Velocidad de 400 metros
o El sprint se basa en las habilidades aprendidas al correr y cumple con la intención del control.
o Correr requiere dominar las habilidades de carrera para hacerlo correctamente y evitar lesiones.
L5 – 400 metros vallas
o Correr las vallas se basa en las habilidades aprendidas al correr y cumple con la intención del control.
o La carrera de vallas requiere un dominio de las carreras de velocidad, ya que el salto de vallas es además de una carrera de velocidad.

10 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

CASOS DE USO ESPERADOS DE C|P­CMM

CASO DE USO N.º 1: CRITERIOS OBJETIVOS PARA CONSTRUIR UN PROGRAMA DE CIBERSEGURIDAD Y PRIVACIDAD

La identificación de un estado de madurez objetivo tiene como objetivo respaldar la misión y la estrategia de su organización, por lo que sin comprender primero la misión
más amplia de la organización y tener objetivos priorizados, un CISO/CIO/CPO estará adivinando cuando se trata de establecer expectativas para la madurez de la
capacidad. Como todo en la vida, si no planifica, planea fracasar; las implementaciones de CMM no son una excepción.

El tiempo para ejecutar un plan de negocios para madurar un programa de ciberseguridad y privacidad de datos generalmente abarca varios años, donde ciertas
capacidades se priorizan sobre otras. Esto significa que el CISO/CIO/CPO establecerá objetivos de CMM que evolucionan cada año, en función de la priorización. En el
gráfico siguiente, el uso de un gráfico de araña puede resultar beneficioso para identificar brechas actuales y futuras con el C|P­CMM.
La priorización de los vencimientos de capacidad puede basarse en evaluaciones de riesgos, auditorías, obligaciones de cumplimiento o dirección de la gestión.

IDENTIFICANDO EL PROBLEMA
El uso de una CMM ayuda a las organizaciones a evitar "objetivos móviles" para las expectativas. Los objetivos de madurez definen “cómo es lo correcto” en términos de
las personas, los procesos y la tecnología necesarios que se espera que existan para ejecutar controles a nivel de contribuyente individual.
Sin objetivos de madurez, es muy difícil y subjetivo definir el éxito de un programa de seguridad y privacidad.

Con demasiada frecuencia, los líderes sin principios de ciberseguridad y privacidad manipulan el negocio a través del Miedo, la Incertidumbre y la Duda (FUD) para
asustar a otros líderes tecnológicos y empresariales para que apoyen iniciativas de ciberseguridad. Estos malos actores mantienen la ilusión de un sólido programa de
ciberseguridad y privacidad, cuando en realidad el departamento es un conjunto de capacidades inconexas que carece de un plan unificador. Estos individuos permanecen
en el trabajo el tiempo suficiente para reclamar pequeñas victorias, implementar alguna tecnología interesante y luego abandonar el barco para desempeñar roles más
importantes en otras organizaciones para extender su camino de desorden. En estos casos, un tema común es la falta de una planificación empresarial viable más allá de
una lista de compras de tecnologías y objetivos de personal para promover sus objetivos profesionales.

CONSIDERACIONES
Los departamentos de ciberseguridad y privacidad son un centro de costos, no una función comercial que genere ingresos. Eso significa que la ciberseguridad y la
privacidad compiten con todos los demás departamentos por el presupuesto, y requiere un caso de negocio convincente para justificar la tecnología y el personal necesarios.
Los líderes empresariales se están volviendo más inteligentes en el tema de la ciberseguridad y la privacidad, por lo que estos líderes deben superar la mentalidad FUD
y ofrecer un valor acorde con las necesidades del negocio.

11 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

Al identificar un nivel de madurez objetivo, es crucial tener en cuenta la cultura de su organización. La razón de esto es que la implementación de niveles de
seguridad percibidos como “draconianos” puede provocar una revuelta en organizaciones que no están acostumbradas a fuertes restricciones. Una buena
regla general a la hora de decidir entre objetivos L3 y L4 es esta sencilla pregunta: "¿Quiere estar en un entorno controlado o quiere estar en un entorno
controlado?" La madurez L3 generalmente se considera "un entorno que está en control" donde está bien gestionado, mientras que estar en un entorno L4 es
más bien un "entorno controlado", que es más controlado y menos libre. Dadas estas consideraciones, los entornos que no están acostumbrados a fuertes
restricciones pueden querer apuntar a L3 como el nivel más alto de objetivos de madurez. Además, el costo de madurar desde un L3­4 o L4­5 podría ser de
cientos de miles a millones de dólares, por lo que existe un costo muy real asociado con la elección de un nivel de madurez objetivo. Aquí es nuevamente
donde contar con el apoyo de la dirección es crucial para el éxito, ya que, en última instancia, se trata de una decisión de la dirección.

Desde la perspectiva de CISO/CIO/CPO, identificar un nivel de madurez objetivo también es muy beneficioso para obtener un presupuesto y proteger su
reputación profesional. En los casos en los que el liderazgo empresarial no apoya alcanzar el nivel de madurez objetivo propuesto, el CISO/CIO/CPO al menos
tiene documentación para demostrar que demostró una necesidad de recursos definida (por ejemplo, nivel CMM para respaldar una necesidad empresarial) y
el la solicitud fue denegada. Básicamente, esto puede ayudar a cubrir a un CISO/CIO/CPO en caso de que ocurra un incidente y se señale la culpa. Esa es
simplemente la realidad de la vida para cualquiera que ocupe una posición de liderazgo de alta visibilidad y ser capaz de desviar críticas injustificadas es un
seguro para la reputación profesional.

IDENTIFICAR UNA SOLUCIÓN

Definir un estado de madurez objetivo es el Paso 4 en la Gestión de Controles Integrados (ICM) El modelo es un recurso gratuito del SCF. Esa guía puede ser
útil, ya que ayuda a establecer dos requisitos previos clave para identificar objetivos de CMM:
1. Priorización de esfuerzos (incluidos los recursos); y
2. Identificación de obligaciones legales, reglamentarias y contractuales aplicables.

La forma más eficiente que podemos recomendar sería observar primero los treinta y dos dominios que componen el SCF y asignar un objetivo de nivel CMM
de alto nivel para cada dominio. Estos dominios están bien resumidos en los Principios de diseño (SIP) de ciberseguridad y privacidad de datos gratuitos del
SCF. documento y puede ser utilizado por un CISO/CIO/CPO para alinear rápidamente un objetivo de madurez para cada dominio, de acuerdo con la
priorización y las necesidades comerciales previamente establecidas.

Si bien un CISO/CIO/CPO puede detenerse en el nivel de dominio para apuntar a los niveles de CMM, se espera que él o sus subordinados pasen por cada
uno de los controles SCF correspondientes para luego etiquetar cada control con el nivel de CMM objetivo apropiado. Estos objetivos de control pueden luego
asignarse a gerentes y Colaboradores Individuales (CI) para desarrollar planes operativos para alcanzar esos objetivos. Idealmente, se realiza una revisión de
estado trimestral para supervisar el progreso realizado hacia el logro de los niveles objetivo de CMM.

12 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

CASO DE USO N.º 2: AYUDAR A LOS EQUIPOS DEL PROYECTO A PLANIFICAR Y PRESUPUESTAR APROPIADAMENTE PRÁCTICAS SEGURAS

Cuando se consideran regulaciones como el Reglamento General de Protección de Datos de la UE (GDPR), existe la expectativa de que los sistemas,
aplicaciones y procesos identifiquen e incorporen la ciberseguridad y la privacidad de los datos de forma predeterminada y por diseño. Para determinar qué es
apropiado y evaluarlo antes de “entrar en funcionamiento”, es necesario definir las expectativas de madurez del control.

IDENTIFICANDO EL PROBLEMA

Al planificar un proyecto o iniciativa, es importante establecer “cómo se ve lo correcto” a partir de los controles de seguridad y privacidad que deben implementarse
para abordar todas las necesidades de cumplimiento. Esto incluye requisitos internos, así como requisitos externos de las leyes, regulaciones y contratos
aplicables. La planificación previa de los requisitos puede reducir los retrasos y otros costos asociados con la reingeniería.

CONSIDERACIONES

Volviendo a la sección de descripción general de C|P­CMM de este documento, los niveles de madurez L0­1 se identifican como deficientes desde una
“perspectiva de persona razonable” en la mayoría de los casos. Por lo tanto, los equipos de proyecto deben observar el “punto óptimo de madurez de la
capacidad” entre L2­L4 para identificar las personas, los procesos y las tecnologías razonables que deben incorporarse a la solución.

Como se mencionó anteriormente, evitar el comportamiento negligente es una consideración fundamental. Las limitaciones más comunes que afectan la madurez
de un proyecto son: (1) presupuesto y (2) tiempo. Un ciclo de vida de desarrollo de sistemas (SDLC) tiene limitaciones y las expectativas son que se apliquen
controles de seguridad y privacidad en todo el SDLC.

Los proyectos no tienen presupuestos ilimitados ni tienden a tener cronogramas demasiado flexibles que permitan instalar y capacitar nuevas herramientas de
seguridad y privacidad. Desde la perspectiva del proyecto, esto a menudo limitará los niveles de CMM objetivo a L2­3 para fines de planificación.

IDENTIFICAR UNA SOLUCIÓN

Si bien hay más de 1.000 controles en el catálogo de controles del SCF, es necesario que un equipo de proyecto reduzca ese catálogo únicamente a lo que es
aplicable al proyecto (por ejemplo, ISO 27002, PCI DSS, CCPA, etc.). Este paso simplemente implica filtrar los controles en el SCF que no son aplicables. Este
paso también se puede realizar dentro de Excel o dentro de una solución GRC (por ejemplo, SCF Connect). Al final, el resultado es un conjunto de controles
personalizados que satisface las necesidades específicas del proyecto.

Ahora que ha reducido el catálogo de controles del SCF a solo lo que es aplicable, es un proceso de revisión manual para identificar el nivel apropiado de
madurez para cada uno de los controles. Idealmente, el proyecto heredará el mismo nivel de madurez objetivo para los controles que se utilizan en toda la
organización. Para cualquier desviación, basada en el presupuesto, el tiempo u otras limitaciones, se debe realizar una evaluación de riesgos para garantizar
que sea apropiado un nivel más bajo de madurez para los controles específicos del proyecto.

13 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

CASO DE USO N.º 3: PROPORCIONAR CRITERIOS OBJETIVOS PARA EVALUAR LA SEGURIDAD DEL PROVEEDOR DE SERVICIOS TERCEROS

Ahora es común que los proveedores de servicios externos (TSP), incluidos proveedores y socios, estén obligados contractualmente a implementar y gestionar un conjunto
básico de controles de ciberseguridad y privacidad de datos. Esto requiere supervisión de los TSP para garantizar que los controles se realicen adecuadamente.
implementado y gestionado.

IDENTIFICANDO EL PROBLEMA

Al gestionar un programa de ciberseguridad y privacidad de datos, es importante abordar los controles de manera holística, lo que incluye la gestión de la cadena de
suministro. Los TSP son comúnmente considerados el "punto débil" del programa de seguridad de una organización, ya que la supervisión de los TSP tiene
tradicionalmente han sido débiles o inexistentes en la mayoría de las organizaciones. Ha habido numerosos ejemplos publicitados de TSP como fuente de un incidente o
infracción.

Uno de los problemas con la gestión de TSP es que la mayoría de los cuestionarios piden respuestas simples de sí, no o no aplicables. Este enfoque carece de detalles
que proporcionen información crítica sobre la postura de seguridad real del TSP. El C|P­CMM se puede utilizar para obtener respuestas más matizadas de los TSP
haciendo que esos TSP seleccionen entre L0­5 para responder si el control está implementado y qué tan maduro es el proceso.

CONSIDERACIONES

Volviendo a la sección de descripción general de C|P­CMM de este documento, los niveles de madurez L0­1 se identifican como deficientes desde una “perspectiva de
persona razonable” en la mayoría de los casos. Por lo tanto, las organizaciones deben observar el “punto óptimo de madurez de capacidad” entre L2­L4 para identificar
las personas, los procesos y las tecnologías razonables que los TSP deben poder demostrar para proteger adecuadamente sus sistemas, aplicaciones, servicios y datos,
independientemente de donde se almacena, transmite o procesa. Desde la perspectiva de la gestión de TSP, esto a menudo limitará los niveles de CMM objetivo a L2­3
para la mayoría de las organizaciones.

Se espera que los controles de TSP cubran tanto sus requisitos internos como los requisitos externos de las leyes, regulaciones y contratos aplicables. El uso de C|P­
CMM puede ser una forma eficiente de proporcionar un nivel de control de calidad sobre las prácticas de TSP. Ser capaz de demostrar prácticas adecuadas de
ciberseguridad y privacidad de datos se basa en los principios de seguridad de proteger la confidencialidad, integridad, disponibilidad y seguridad de sus activos, incluidos
los datos.

IDENTIFICAR UNA SOLUCIÓN

Si bien hay más de 1.000 controles en el catálogo de controles de la SCF, es necesario reducir ese catálogo únicamente a lo que es aplicable al alcance de control de ese
TSP específico (por ejemplo, proveedor de servicios gestionados (MSP), proveedor de software como servicio (SaaS) , etc.). Este paso simplemente implica filtrar los
controles en el SCF que no son aplicables. Este paso también se puede realizar dentro de Excel o dentro de una solución GRC (por ejemplo, SCF Connect). Al final, el
resultado es un conjunto de controles personalizados que abordan los aspectos específicos del TSP de los controles de ciberseguridad y privacidad de los que es
responsable o sobre los que influye.

Ahora que ha reducido el catálogo de controles del SCF a solo lo que es aplicable, es un proceso de revisión manual para identificar el nivel apropiado de madurez para
cada uno de los controles que se esperaría para el TSP. Idealmente, el TSP heredará el mismo nivel de madurez objetivo para los controles que se utiliza en toda la
organización. Para cualquier desviación, basada en cláusulas contractuales, presupuesto, tiempo u otras limitaciones, se debe realizar una evaluación de riesgos para
garantizar que sea apropiado un nivel más bajo de madurez para los controles específicos de TSP.

14 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

CASO DE USO #4 – DEBIDA DILIGENCIA EN FUSIONES Y ADQUISICIONES (M&A)

Es común realizar una evaluación de las prácticas de ciberseguridad y privacidad de datos como parte de las actividades de debida diligencia en fusiones y adquisiciones (M&A).
Para medir el nivel de riesgo se puede utilizar una evaluación de deficiencias respecto de un conjunto de controles básicos de fusiones y adquisiciones (por ejemplo, el conjunto de
controles SCF­B). En términos prácticos, este tipo de evaluación de brechas basada en la madurez se puede utilizar de varias maneras:
Los vendedores pueden proporcionar los resultados de una evaluación de brechas propia o de un tercero para demostrar tanto las fortalezas como las debilidades,
como señal de transparencia.
Los compradores pueden identificar deficiencias imprevistas que pueden:
o Conducir a un precio de compra más bajo; o
o Retirarse del trato.

IDENTIFICANDO EL PROBLEMA
Adquirir otra entidad implica una cantidad considerable de confianza. La debida diligencia en fusiones y adquisiciones en ciberseguridad existe para evitar que la
entidad compradora pueda sufrir una demanda colectiva o multas multimillonarias relacionadas con la protección de datos (peores escenarios). Las fusiones y
adquisiciones son un juego del gato y el ratón entre las dos partes:
La entidad que se desinvierte querrá “dar lo mejor de sí” y pasar por alto las deficiencias; y
La entidad adquirente quiere saber la verdad sobre las fortalezas y debilidades.

Si la entidad adquirente solo aprovecha un marco único (por ejemplo, NIST CSF, ISO 27002 o NIST 800­53) para el trabajo de diligencia debida, lo más probable es que
proporcione una imagen parcial de las prácticas de ciberseguridad y privacidad de datos de la entidad desinvertida. Es por eso que el SCF­B es un conjunto personalizado de
controles de ciberseguridad y privacidad de datos que se creó específicamente para que las fusiones y adquisiciones proporcionen una imagen lo más completa posible sobre
las prácticas de ciberseguridad y privacidad de datos de la entidad desinvertida.

Un cuestionario de conjunto de control que solicite respuestas simples de sí, no o no aplicable es insuficiente en la debida diligencia de fusiones y adquisiciones. No
aprovechar los criterios basados en la madurez resultará en la incapacidad de proporcionar información crítica sobre la postura de seguridad real de la entidad que se
desinvierte. El C|P­CMM se puede utilizar para obtener respuestas más matizadas para determinar (1) si se implementa un control y (2) qué tan maduro es el proceso
detrás del control.

CONSIDERACIONES
Volviendo a la sección de descripción general de C|P­CMM de este documento, los niveles de madurez L0­1 se identifican como deficientes desde una
“perspectiva de persona razonable” en la mayoría de los casos. Por lo tanto, las entidades adquirentes deben observar el “punto óptimo de madurez de capacidad”
entre L2­L4 para identificar las personas, los procesos y las tecnologías razonables necesarios para demostrar que protegen adecuadamente los sistemas,
aplicaciones, servicios y datos, independientemente de dónde se almacenen o transmitan. o procesado.

Se pueden identificar áreas de deficiencia y determinar los costos de remediación, que pueden usarse para ajustar las valoraciones. Las áreas clave que afectan
las valoraciones incluyen, entre otras:
Incumplimiento de obligaciones legales, reglamentarias y/o contractuales
Prácticas de protección de datos (p. ej., privacidad)
Gestión del ciclo de vida de los activos de TI (por ejemplo, tecnologías heredadas/no compatibles)
Incidentes históricos de ciberseguridad
Gestión de riesgos (p. ej., elementos abiertos en un registro de riesgos o Plan de acción e hitos (POA&M)
Conciencia situacional (por ejemplo, visibilidad de las actividades en sistemas y redes)
Licencias de software (por ejemplo, infracción de propiedad intelectual)
Continuidad del Negocio / Recuperación de Desastres (BC/DR)
Arquitecturas de TI/ciberseguridad (por ejemplo, implementación de arquitecturas locales, de nube e híbridas)
Competencias del personal de TI/ciberseguridad

IDENTIFICAR UNA SOLUCIÓN

El SCF hizo el arduo trabajo desarrollando el conjunto de control SCF­B. Las “mejores prácticas” que componen el SCF­B incluyen:
Criterios de Servicios de Confianza (SOC 2)
CSC de la CEI

COBITv5
COSO
CSA CCM
GAPP
ISO 27002
ISO 31000

15 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.
Machine Translated by Google

ISO 31010
NIST 800­160
Marco de ciberseguridad del NIST
OWASP Top 10
UL 2900­1
RGPD UE

16 de 16
© 2023. Consejo Marco de Controles Seguros, LLC. Reservados todos los derechos.
Esta guía es sólo para fines educativos. Le recomendamos que trabaje con un experto en ciberseguridad y/o privacidad de datos para validar cualquier suposición relacionada con el cumplimiento.