Documentos de Académico
Documentos de Profesional
Documentos de Cultura
De manera general, puede agrupar las necesidades y puntos de vista de los integrantes de
la organización como usuarios, administradores, auditores, especialistas en seguridad y de
otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos. Otros
miembros que pueden conformar este foro son el responsable del sistema de gestión,
jefes de áreas funcionales de la organización y un rol de auditor para una evaluación
objetiva e imparcial del SGSI.
Del mismo modo, resulta útil la formación de estructuras dentro de las organizaciones, que
permitan la colaboración y cooperación de los representantes de las diferentes partes con
roles y funciones relevantes.
Análisis de brecha (GAP) El análisis de brechas o GAP Analysis es un estudio preliminar
que permite conocer la forma en la que se desempeña una organización en materia de
seguridad de la información, con relación a las mejores prácticas reconocidas en la
industria; para ello se utilizan criterios establecidos en normas o estándares.
El análisis establece la diferencia entre el desempeño actual y el deseado.
Aunque este análisis es aplicable a cualquier estándar certificable, normalmente se lleva a
cabo nuevos esquemas de certificación, que son los que más dudas generan en las
organizaciones, debido a su novedad.
Análisis de Impacto al Negocio (BIA) El análisis de impacto al negocio (BIA por las siglas
en inglés) es un elemento utilizado para estimar la afectación que podría padecer una
organización como resultado de la ocurrencia de algún incidente o un desastre.
Tiene dos objetivos principales, el primero de ellos consiste en proveer una base para
identificar los procesos críticos para la operación de una organización y la priorización de
ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor
será la prioridad.
El BIA está directamente relacionado con los aquellos procesos que poseen un tiempo
crítico para su operación, porque si bien, todos los procesos sujetos a un tiempo crítico
son de misión crítica, no todos los procesos de misión crítica están relacionados con un
tiempo crítico para su ejecución.
Recursos: tiempo, dinero y personal Con base en los resultados del análisis de brecha y
del impacto al negocio, es posible estimar elementos necesarios para la implementación
de ISO/IEC 27001.
En caso de tratarse del primer ciclo de operación, el momento sugerido para la
implementación de la norma es un periodo con una carga de trabajo menor, que permita
una planificación adecuada o, en caso de ser necesario, contratar nuevo personal
enfocado a esta tarea.
Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo
mayor a un año antes de que se cumpla su primer ciclo, esto debido a distintas razones
como los continuos cambios en los riesgos, cambio en las prioridades de la dirección con
respecto a la protección de activos, aparición de nuevas amenazas, entre otras.
El análisis también permite estimar los recursos financieros necesarios para alcanzar el
estado deseado en materia de seguridad de la información, conforme a ISO 27001.
Se debe tener en mente que durante la implementación se deberán destinar recursos
para implementar controles técnicos, físicos o administrativos, conforme a los resultados
de una evaluación de riesgos.
Por otro lado, la organización debe contar con personal idóneo para llevar a cabo las
actividades técnicas y administrativas relacionadas con el sistema de gestión, por lo que
puede optar por capacitar a miembros de la organización o contratar los servicios de
personal externo que colabore para los objetivos planteados en el SGSI.