Credenciales Mientras que ven el video anote que hace bien y que hace mal el entrevistado.
Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio...
-
Upload
fons-narvaez -
Category
Documents
-
view
214 -
download
0
Transcript of Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio...
Diagnóstico de Brechas a la Seguridad
Fases
• Entrevistas• Análisis entrevistado principal (Claudio Camblor)• Análisis Áreas de Controles ISO/IEC 27000:2005• Análisis Áreas de Requisitos mínimos para un SGSI ISO/IEC
27000:2005• Análisis Similitud (4 entrevistados)• Análisis Prioridades• Resultados, recomendaciones y próximas tareas
Controles y RequisitosÁREA DEFINICIÓN % CUMPLIMIENTO
CONTROLES
A5 POLÍTICAS DE SEGURIDAD 100,0%
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 81,8%
A7 GESTIÓN DE ACTIVOS 80,0%
A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 100,0%
A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 100,0%
A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 90,6%
A11 CONTROL DE ACCESO 96,6%
A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 75,0%
A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%
A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%
A15 CONFORMIDAD 80,0%
REQUISITOS
R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 80,4%
R5 RESPONSABILIDAD DE LA DIRECCIÓN 89,5%
R6 AUDITORÍA INTERNA 83,3%
R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 46,7%
R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 100,0%
91,2%
80,0%
Similitud
• 3 entrevistados más• Revisión coherencia de los cuestionarios• Re-revisión cuestionario en las preguntas con similitud distinta
del 100%• Validación vs Evidencia → OK
Similitud
ÁREA DEFINICIÓN % Similitud
CONTROLES
A5 POLÍTICAS DE SEGURIDAD 100,0%
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFROMACIÓN 69,7%
A7 GESTIÓN DE ACTIVOS 73,3%
A8 A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 92,6%
A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 87,2%
A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 80,2%
A11 CONTROL DE ACCESO 92,0%
A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 68,8%
A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%
A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%
A15 CONFORMIDAD 83,3%
86,1%
REQUISITOS
R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 69,1%
R5 RESPONSABILIDAD DE LA DIRECCIÓN 64,9%
R6 AUDITORÍA INTERNA 66,7%
R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 60,0%
R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 61,6%
64,5%
Prioridades por Área
• Las prioridades por área han sido identificadas.• El análisis muestra las áreas a tratar a corto y mediano plazo• Con las prioridades definidas y las áreas elegidas se diseñan
los indicadores
A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)
A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)
A11 A10 A12 A6 A7 A15 A14 A13 A8 A5 A9
-1.00
-0.80
-0.60
-0.40
-0.20
0.00
0.20
0.40
0.60
0.80
1.00
Controles
Resultados y Recomendaciones
• Como resultado de esta Auditoría y de acuerdo a las entrevistas realizadas, los resultados son buenos con respecto al cumplimiento de las áreas de Controles y Requisitos. Solo mencionar que en los requisitos la falta de revisión por parte de la Dirección de la Institución y las mejoras al SGSI en sus puntos débiles identificados.
• El análisis de similitud entregó resultados que sirvieron para validar algunas preguntas poco claras (del punto de vista del auditor).
• Recomendaciones Realizadas:– Pedir evidencia → Ejecutado– Constatar la validez de las respuestas → Ejecutado
• Recomendación: Prioridad de las Áreas → Ejecutado
Resultados y Recomendaciones
• Las áreas con mayor prioridad son:– A10: Gestión de Comunicación y Operaciones (78%)– A11: Control de Acceso (96%)– A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
(63%)
• Número de Indicadores:– A10: 32 indicadores– A11: 25 indicadores– A12: 16 indicadores
Resultados y Recomendaciones
• DashBoard– Documentación de procesos (evidencia)– Indicadores (métrica-periodicidad-criterio de éxito)
Diagnóstico de Brechas a la Seguridad