Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Indicaciones Evaluación Final

    Cargado por

    Jeremy Valencia Morales
    10 vistas5 páginas
    El documento proporciona instrucciones para realizar un análisis de brechas de seguridad de la información y ciberseguridad en una organización real. El análisis requiere identificar las leyes y estándares aplicables, determinar los niveles actuales y deseados de cumplimiento de la organización, e identificar brechas y posibles soluciones donde el nivel actual no alcance el deseado. Se provee una plantilla de hoja de cálculo para organizar la información recolectada.

    Descripción original:

    Indicaciones Evaluación Final

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento proporciona instrucciones para realizar un análisis de brechas de seguridad de la información y ciberseguridad en una organización real. El análisis requiere identificar las leyes y estándares aplicables, determinar los niveles actuales y deseados de cumplimiento de la organización, e identificar brechas y posibles soluciones donde el nivel actual no alcance el deseado. Se provee una plantilla de hoja de cálculo para organizar la información recolectada.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    10 vistas5 páginas

    Indicaciones Evaluación Final

    Cargado por

    Jeremy Valencia Morales
    El documento proporciona instrucciones para realizar un análisis de brechas de seguridad de la información y ciberseguridad en una organización real. El análisis requiere identificar las leyes y estándares aplicables, determinar los niveles actuales y deseados de cumplimiento de la organización, e identificar brechas y posibles soluciones donde el nivel actual no alcance el deseado. Se provee una plantilla de hoja de cálculo para organizar la información recolectada.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    LEYES Y REGULACIONES NACIONALES E

    INTERNACIONALES

    EVALUACIÓN FINAL: TRABAJO INTEGRADOR


    (ONLINE)
    2 Evaluación final / trabajo

    EVALUACIÓN FINAL: ANÁLISIS DE BRECHAS

    ORGANIZACIONALES

    I. Instrucciones

    En este trabajo deberás realizar un análisis de brechas con foco en la seguridad

    de la información y la ciberseguridad en una organización. Si en trabajos anteriores

    determinaste la aplicabilidad sobre la organización de leyes, regulaciones, tratados,

    estándares y marcos de trabajo; en este trabajo podrás determinar el nivel de

    cumplimiento que tiene la organización para dichas normas. La organización debe

    ser real, indistintamente que se trate de una empresa privada, organismo público,

    organización sin fines de lucro u otra razón social. En este sentido, se recomienda

    escoger una organización sobre la cual se tenga un buen conocimiento y acceso a

    los responsables de las áreas de negocio. Para levantar la información necesaria

    para el análisis, puedes utilizar revisión documental, entrevistas, encuestas,

    investigación propia u otros mecanismos equivalentes.

    Un análisis de brechas es una práctica de análisis de negocios, donde se

    compara el estado actual de la organización con un estado futuro deseado de la

    organización. En los casos donde el estado actual iguale o supere el estado futuro

    deseado, se tiene un cumplimiento. Por otra parte, en los casos, donde el estado

    actual no satisfaga el estado futuro deseado, se tiene una brecha. Una vez

    detectadas las brechas, la organización debe determinar las remediaciones que


    3 Evaluación final / trabajo

    resolverían esa brecha específica. Es decir, el conjunto de acciones, que llevarían

    a la organización desde un estado actual indeseado a un estado futuro deseado.

    El estado deseado es una decisión de negocio. La organización determina cuán

    maduros desea que estén sus procesos. Esta decisión se basa en el apetito de

    riesgo, los recursos disponibles, la criticidad de los procesos, y la agilidad de la

    operación. En cambio, el estado actual es una medición que se realiza utilizando

    como base la información levantada.

    A. Indicaciones desarrollo del trabajo

    Para desarrollar tu trabajo escrito te sugerimos seguir los siguientes pasos:

    Paso 1: Descarga el formato Excel de Secure Controls Framework desde

    Github1, o desde su página web2.

    Paso 2: Marca la Ley de Protección de Datos (“Americas Chile”), e ISO 27.001

    v2013 como normas de cumplimiento obligatorio. Marca ISO 27.002 v2013 como

    norma de cumplimiento optativo.

    Paso 3: En caso de estar disponibles en la plantilla, marca otras normas que

    sean aplicables a la organización. Se considera obligatorio el cumplimiento si se

    trata de normas legales, o estándares bajo los cuales la organización está

    certificada o se quiere certificar. Se considera optativo el cumplimiento si se trata de

    normas que se usan como lineamiento general. Debes tomar como insumo los

    1
    https://github.com/securecontrolsframework/securecontrolsframework
    2
    https://www.securecontrolsframework.com/download-scf
    4 Evaluación final / trabajo

    análisis de aplicabilidad de leyes, regulaciones, tratados, estándares y marcos de

    referencia; realizados previamente.

    Paso 4: Oculta o elimina las columnas correspondientes a normas irrelevantes

    para la organización.

    Paso 5: Filtra, oculta, o elimina los controles irrelevantes de forma que sólo

    queden visibles los controles relevantes.

    Paso 6: Agrega a la tabla las columnas “Nivel actual”, “Nivel deseado”, “Brechas”,

    y “Remediaciones”.

    Paso 7: Por cada uno de los controles, fija el nivel de madurez deseado. Este

    valor se trata de un número del 0 al 5, y hace referencia a los niveles de madurez

    SP-CMM. La meta de nivel de madurez puede ser uniforme para todos los controles,

    o puede estar diferenciada por función. Es posible que algunos controles específicos

    sean irrelevantes para la organización. Por ejemplo: los controles relacionados con

    el desarrollo seguro, para una organización que no desarrolla ni tiene software a

    medida. En este caso el nivel deseado puede ser 0. Para este ejercicio, al menos el

    80% de los controles debe tener un nivel de madurez deseado mayor o igual a 2.

    Paso 8: Por cada uno de los controles, analiza la descripción, los métodos de

    cumplimiento y la pregunta relacionada. Luego revisa los diferentes niveles de

    madurez que tiene asociados. Finalmente, determina cuál de los niveles de madurez

    describe mejor la situación actual de la organización. En esta columna va un número


    5 Evaluación final / trabajo

    del 0 al 5 según el estado de madurez actual de la práctica respectiva en la

    organización.

    Paso 9: Por cada uno de los controles, se debe comparar el nivel de madurez

    actual contra el nivel de madurez deseado. Si el nivel de madurez actual es igual o

    mayor al deseado, se tiene un cumplimiento. En cambio, el nivel de madurez actual

    es menor al deseado, se tiene una brecha. En caso de cumplimiento, se pueden

    llenar los campos de “Brechas” y “Remediaciones” con “N/A”. En cambio, si existen

    brechas, se deben indicar explícitamente, en el campo “Brechas”, todas las razones

    por las cuales el control no está en el nivel deseado; y en el campo “Remediaciones”

    todas las acciones que debería tomar la organización para alcanzar el nivel

    deseado.

    También podría gustarte