Diagnóstico de Brechas a la Seguridad

Fases

• Entrevistas• Análisis entrevistado principal (Claudio Camblor)• Análisis Áreas de Controles ISO/IEC 27000:2005• Análisis Áreas de Requisitos mínimos para un SGSI ISO/IEC

27000:2005• Análisis Similitud (4 entrevistados)• Análisis Prioridades• Resultados, recomendaciones y próximas tareas

Controles y RequisitosÁREA DEFINICIÓN % CUMPLIMIENTO

CONTROLES

A5 POLÍTICAS DE SEGURIDAD 100,0%

A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 81,8%

A7 GESTIÓN DE ACTIVOS 80,0%

A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 100,0%

A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 100,0%

A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 90,6%

A11 CONTROL DE ACCESO 96,6%

A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 75,0%

A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%

A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%

A15 CONFORMIDAD 80,0%

REQUISITOS

R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 80,4%

R5 RESPONSABILIDAD DE LA DIRECCIÓN 89,5%

R6 AUDITORÍA INTERNA 83,3%

R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 46,7%

R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 100,0%

91,2%

80,0%

Similitud

• 3 entrevistados más• Revisión coherencia de los cuestionarios• Re-revisión cuestionario en las preguntas con similitud distinta

del 100%• Validación vs Evidencia → OK

Similitud

ÁREA DEFINICIÓN % Similitud

CONTROLES

A5 POLÍTICAS DE SEGURIDAD 100,0%

A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFROMACIÓN 69,7%

A7 GESTIÓN DE ACTIVOS 73,3%

A8 A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 92,6%

A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 87,2%

A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 80,2%

A11 CONTROL DE ACCESO 92,0%

A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 68,8%

A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%

A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%

A15 CONFORMIDAD 83,3%

86,1%

REQUISITOS

R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 69,1%

R5 RESPONSABILIDAD DE LA DIRECCIÓN 64,9%

R6 AUDITORÍA INTERNA 66,7%

R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 60,0%

R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 61,6%

64,5%

Prioridades por Área

• Las prioridades por área han sido identificadas.• El análisis muestra las áreas a tratar a corto y mediano plazo• Con las prioridades definidas y las áreas elegidas se diseñan

los indicadores

A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)

A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)

A11 A10 A12 A6 A7 A15 A14 A13 A8 A5 A9

-1.00

-0.80

-0.60

-0.40

-0.20

0.00

0.20

0.40

0.60

0.80

1.00

Controles

Resultados y Recomendaciones

• Como resultado de esta Auditoría y de acuerdo a las entrevistas realizadas, los resultados son buenos con respecto al cumplimiento de las áreas de Controles y Requisitos. Solo mencionar que en los requisitos la falta de revisión por parte de la Dirección de la Institución y las mejoras al SGSI en sus puntos débiles identificados.

• El análisis de similitud entregó resultados que sirvieron para validar algunas preguntas poco claras (del punto de vista del auditor).

• Recomendaciones Realizadas:– Pedir evidencia → Ejecutado– Constatar la validez de las respuestas → Ejecutado

• Recomendación: Prioridad de las Áreas → Ejecutado

Resultados y Recomendaciones

• Las áreas con mayor prioridad son:– A10: Gestión de Comunicación y Operaciones (78%)– A11: Control de Acceso (96%)– A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento

(63%)

• Número de Indicadores:– A10: 32 indicadores– A11: 25 indicadores– A12: 16 indicadores

Resultados y Recomendaciones

• DashBoard– Documentación de procesos (evidencia)– Indicadores (métrica-periodicidad-criterio de éxito)

Diagnóstico de Brechas a la Seguridad