Como realizar un «Analisis de Brechas GAP» sobre la Seguridad de la Informacion. (1)

Anuncios

Compártelo:


Estimados lectores, un gusto tenerlo de nuevo por mi blog, les agradezco su tiempo, navegando por internet en este tema que me apasiona «Seguiridad de la Informacion» encontre este intersante articulo sobre «Analisis de Brechas GAP» que los invito a leer. El documento original lo pueden encontrar en el siguiente link:

https://normaiso27001.es/1-auditoria-inicial-iso-27001-gap-analysis/

Definicion Seguiridad de la Informacion

Por seguridad de la información se entiende el conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información. Dicho de otro modo, son todas aquellas políticas de uso y medidas que afectan al tratamiento de los datos que se utilizan en una organización.

Analisis de Brechas GAP

Para la realización de un «Analisis de Brechas GAP», puede ser aconsejable utilizar un «modelo de madurez» para la evaluación del cumplimiento. Los modelos de madurez más comunes tales como NIST, CITI-ISEM, COBOT, SSE / CM y CERT / CSO nos proponen un modelo de 5 a 6 niveles de madurez o de cumplimiento.

Estos modelos de madurez, comúnmente utilizados como herramientas para la gestión de servicios TI y se utilizan para evaluar qué tan bien se desarrollan los procesos de gestión con respecto a los controles internos.

Este modelo se adapta de forma perfecta para establecer un modelo de auditoría que nos permita medir su nivel de madurez actual respecto a los requisitos de un estándar específico, en este caso ISO 27001.

Como resultado el análisis de deficiencias GAP, nos revelara las mejoras prácticas a los controles internos del «Sistema de Gestión de la Seguridad de la Información».

Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la adecuación de los controles internos respecto a los objetivos del sistema de gestión.

Anuncios

Dentro de las ventajas de realizar un análisis de deficiencias mediante un modelo de niveles de madurez podemos enumerar:

  1. Proporciona el modelo para un programa de seguridad completo.
  2. Proporciona la información adecuada a la gerencia del orden en el cual implementar los controles de seguridad
  3. Conduce hacia el uso de estándares de mejores prácticas (en nuestro caso el ISO 27001).

En este modelo podremos evaluar tanto la existencia o no existencia como el grado de implantación de los 11 controles (dominios) que comprenden el ISO27001.

Niveles de Madurez

Como primer paso tomaremos en cuenta los niveles de madurez:

No existenciaNivel 0No hay reconocimiento de la necesidad del control o requisito
Ad-hocNivel 1Existe cierto reconocimiento de la necesidad de control interno o requisito.
Se aplica para algún problema o tarea específica, no generalizable
EjecutadoNivel 2los controles existen pero no están documentados
DefinidoNivel 3los controles están en su lugar y están documentados adecuadamente.
Manipulable y medibleNivel 4Existe un control interno sobre la aplicación de controles y cumplimiento de requisito.
OptimizadoNivel 5Existe un control interno y continúo sobre la aplicación de controles y cumplimiento de requisitos. Se mide la eficacia de los controles estableciendo objetivos de mejora.

Anuncios

Antes de continuar, revisaremos un poco de conceptos, los cuales nos seran de utilidad al aplicar el test.

4. CONTEXTO DE LA ORGANIZACIÓNConocer la organización y su contexto se plantea como un requisito de partida para poder establecer un punto de referencia en la aplicación del sistema de gestión de la seguridad de la información.
Se trata de que los objetivos en la seguridad de la información tengan en cuenta los propios objetivos del negocio de cada organización
El conocimiento de la organización se basa en la definición de todas aquellas cuestiones externas e internas, en relación a la seguridad de la información y que puedan ayudar o perjudicar a la consecución de los objetivos de la empresa.
5. LIDERAZGOLos requisitos relacionados con el liderazgo se refieren al compromiso que debe ejercer la dirección de la empresa en el proceso de implantación de un SGSI. En la revisión ISO 27001:2013 se considera como algo fundamental la implicación constante de la dirección en la implantación de una Cultura de la Seguridad en cada organización.
El compromiso de la dirección se verifica con la aportación de los recursos tanto humanos como materiales para la consecución de los objetivos en la seguridad de la información.
6. PLANIFICACIÓNUna vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica el punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que debemos tratar y las actividades a realizar para mitigar o evitar dichos riesgos.
7. SOPORTEEn este apartado la norma nos prescribe determinar los recursos necesarios para implementar los planes que hemos realizado en el apartado anterior «6. Planificación«, siempre teniendo en cuenta el compromiso de la dirección en proveer los recursos necesarios.
8. OPERACIÓNEste es el capítulo donde ponemos en marcha las medidas para la seguridad de la información que hemos definido en los capítulos anteriores en concreto.
En este capítulo los requisitos estarán orientados al seguimiento y supervisión de los planes de tratamiento de riesgos y su integración en los procesos.
9. EVALUACIÓN DEL DESEMPEÑOComo parte fundamental de cualquier sistema de Gestión deberemos evaluar el desempeño de las acciones emprendidas.
10. MEJORALa mejora del sistema de gestión de la seguridad de la información nos refiere a la actualización continua del sistema de gestión
Esto incluye la revisión permanente para encontrar oportunidades de mejora aprendiendo por un lado de los errores cometidos.
Anuncios
Advertisements

Deja un comentario