Todos los sistemas de gestión de seguridad de la información (SGSIs) se basan en un análisis de riesgos que determina el número de medidas de seguridad a aplicar con el fin de obtener un nivel de seguridad aceptable.
Dependiendo del número de medidas aplicadas y del nivel de riesgo asumido se pueden identificar diferentes estados en los SGSIs en función de su grado de implantación y madurez.
Si observamos la gráfica se pueden ver claramente diferentes etapas en los SGSIs (Sistemas de Gestión de Seguridad de la Información)
Etapa de ingenuidad (P1) En este estado no se aplican las medidas de seguridad suficientes y necesarias para garantizar un nivel de seguridad aceptable, por ello el nivel de riesgo es muy alto. En esta etapa predominan los sistemas inmaduros y con gran desconocimiento de los riesgos y la tecnología para minimizarlos. Son muy vulnerables y la probabilidad de sufrir daños es muy alta.
Etapa de equilibrio (P2) El punto P2 representa un estado en el cuál se han aplicado las medidas necesarias para minimizar el riesgo de forma razonable. Sigue existiendo un riesgo residual pero es asumido y gestionado. En esta etapa se identifican sistemas en los que se valora mucho la parte económica de cara a proteger los activos y se minimizan los esfuerzos simplificando las medidas y los controles.
Etapa de máxima seguridad (P3) En esta etapa se detectan SGSIs en los que se aplican numerosos controles y medidas con el fin minimizar los niveles de riesgo sobre los activos. Se dedican grandes recursos y esfuerzos a mantener un nivel de seguridad alto. La seguridad es una prioridad y los procesos son controlados estrictamente para evitar riesgos.
Etapa de máxima seguridad (P4) En este estado los SGSIs cuentan con excesivos controles, burocracia y tecnologías que complican la gestión de la seguridad y hacen que paradógicamente aumente el nivel de riesgo a pesar de los grandes recursos dedicados a minimizarlo. Estos sistemas suelen ser difíciles de gestionar y controlar ya que aparecen puntos de realimentación al propio sistema que añaden complejidad e inseguridad.
Estas cuatro etapas muestran con claridad las tendencias a las que se enfrentan todos los SGSIs dentro de su ciclo de vida de mejora continua a lo largo del tiempo.
