introducción al análisis de riesgos (aarr) · gap assessment iso 27001 introducción la...
TRANSCRIPT
2
sobre SIGEA Consultora de referencia en ISO 27001
El Área de Consultoría de SIGEA presta servicios relacionados con la seguridad
de la información y la gestión de servicios de TI . En concreto:
Consultoría para implantación y certificación: ISO 27001, ISO 20000, ISO
22301, ISO 15504 SPICE, etc.
Análisis de riesgos: Herramienta GxSGSI
IT Governance
Todos los consultores de SIGEA, son profesionales con experiencia
en la ejecución de los proyectos ISO 27001 e ISO 20000.
Contamos con las siguientes certificaciones :
CISA, CISM y CRISC.
ISO 27001 Lead Auditor
ISO 20000 Lead Auditor
COBIT
SIGEA cuenta en su equipo con auditores calificados por Applus+ (España), EQA
(España) y ABS Quality Evaluations (EE.UU.)
sobre SIGEA
3
Equipo
SIGEA ha hecho un gran esfuerzo para formar a un equipo de asesores y consultores SGSI
conviertiéndose en un referente en la realización de proyectos de ISO 27001.
La herramienta GxSGSI de SIGEA fue seleccionada por ENISA (Agencia Europea de Seguridad de
la Información y de las Redes) e incluirla en su catálogo de software recomendado para la
realización de análisis de riesgos de seguridad.
Sus autores, son los responsables del departamento
de seguridad en SIGEA:
Beatriz Martínez
CISA, CISM y CRISC por ISACA
Miembro numerario de Criptored
Directora de Proyecto del equipo de Seguridad M45
Lead Auditor ISO 27001 e ISO 20000 para ABS,
Applus y EQA
Francisco Menéndez
CISA, CISM y CRISC por ISACA
Cobit Foundation
Gerente del equipo de Seguridad M45
Lead Auditor ISO 27001 e ISO 20000 para ABS,
Applus y EQA
GAP Assessment ISO 27001
Introducción
La evaluación o assessment tiene por objeto analizar el estado de
madurez del sistema de gestión y de los controles de seguridad
de la información existentes con los requisitos establecidos en la
norma ISO 27001.
Esto se logra a través de entrevistas, basadas en el análisis individual
de cada proceso y objetivo de control de esta norma internacional de
referencia.
Para programar las entrevistas, es necesaria la presencia de los jefes
de departamentos y/o responsables de la ejecución de las actividades
relacionadas con la seguridad de la información.
Si estas funciones no son llevadas a cabo, será el responsable de la
seguridad o el personal designado el que asumirá la responsabilidad
de asistir a las reuniones. En este caso, también se llevará a cabo la
formación donde se explicarán los requisitos estándar a cumplir.
Objetivos y actividades
Esta evaluación inicial tiene por objeto identificar el estado actual de implantación de las medidas de seguridad
en la organización. De esta forma, se obtiene una percepción de modelo de seguridad real presente en la
organización.
Para ello, será necesario estudiar la información que nos permita evaluar el estado de aplicación de las medidas
de organizativas y administrativas de la empresa. Estas medidas, en general, son necesarias para evaluar el
estado de implementación de la norma ISO 27001, tanto a nivel del PDCA como a nivel de control de la seguridad
de la información.
Principales actividades
Recopilación de la información necesaria, tanto a nivel físico como
lógico, de los sistemas, servicios, comunicaciones y medidas de
seguridad.
Identificación de los sistemas críticos que requieren un análisis
detallado.
Identificación de las principales actividades de negocio.
Identificación de la legislación aplicable para la seguridad.
Investigación sobre la madurez del sistema de gestión de seguridad
de la información.
Investigación sobre el grado de conformidad con los dominios,
objetivos de control y controles de la ISO 27001.
Grado de concienciación/formación de los empleados en materia de
seguridad de la información.
Recursos
1 Consultor
Dedicación
3 días On-site
2 días Off-site
Entregable
Informe
de evaluación,
gráficos de estado
y conclusiones
GAP Assessment ISO 27001
Parte 1 - Análisis de madurez de los requisitos ISO 27001
Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los
principales interlocutores y, en la medida de lo posible, se revisará la documentación existente.
El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las
cláusulas PDCA que puedan actuar de forma transversal así como el de identificar las necesidades
de implantación de la norma ISO 27001. En concreto:
Análisis de riesgos
Política de seguridad
Objetivos e indicadores
Aspectos organizativos
Formación y concienciación en seguridad
Gestión documental
Gestión de registros
Planes de tratamiento de riesgos
Gestión de Auditorías Internas
Mejora Continua
Revisiones por Dirección
Los resultados serán presentados en
gráficos de procesos indicando las
desviaciones detectadas
GAP Assessment ISO 27001
7
Parte 2 – Grado de implantación de medidas de seguridad
Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la
norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de
los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada.
El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a
nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En
concreto, se evaluarán un total de 133 CONTROLES de seguridad, repartidos en 39 OBJETIVOS y 11
DOMINIOS :
Política de seguridad
Aspectos organizativos
Gestión de activos
Seguridad de los RRHH
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Continuidad de negocio
Conformidad
Los resultados serán presentados de forma individualizada
para cada una de las áreas de control, indicando su grado
de IMPLANTACIÓN
Se acompañará cada área con los puntos de atención que
sea necesario tener en cuenta para mejorar los grupos que
no se encuentren en un grado óptimo.
GAP Assessment ISO 27001
8
CONCLUSIONES
El informe final incorpora además las conclusiones generales de todo el estudio, así como una visión general
del estado de implantación de la norma y recomendaciones en términos de tiempo, recursos, esfuerzo y
dedicación, en el caso de que la empresa quiera abordar una certificación basada en el marco de la norma ISO
27001
GAP Assessment ISO 27001
9
ESTIMACIÓN DE IMPLANTACIÓN
Junto a nuestro informe de conclusiones, incorporamos una estimación en tiempos, recursos y prioridades que
orienta a nuestros clientes para conocer el plazo que podría suponer la implantación de la norma ISO 27001
GAP Assessment ISO 27001
