Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001
Análisis de las deficiencias
Saber más
Cambia la historia
Aprobado
Cambios de versión (fecha) Autor
Comentario de contenido
Contenido
3. Metodología................................................. ................................ 6
4. Recomendaciones................................................. ........................................ 7
1. Introducción
1.1 Cliente
[Cliente], fundada hace siete años como una nueva empresa, está establecida y trabaja en el sector del
transporte. En 2017, [Cliente] decidió buscar nuevos mercados y entró en la industria automotriz. El producto
original era un producto de software que se compró e instaló en la infraestructura del cliente; Últimamente,
[Cliente] ha pasado a un modelo basado en la nube utilizando Amazon Web Services (AWS).
[Cliente] ha invitado a IT Governance (Gobierno de TI) a realizar un análisis de brechas para establecer qué
trabajo y recursos serán necesarios y plazos realistas para lograr la certificación acreditada según el Estándar.
El análisis detallado de los acuerdos actuales frente a los requisitos de la Norma se establece en los apéndices al
final de este informe.
1.2ISO/IEC 27001:2013
Un SGSI está diseñado para garantizar que se aplique un conjunto optimizado de controles de seguridad
de la información eficaces a la organización en cuestión, o al alcance establecido si se trata de algo distinto de
toda la organización.
El conjunto de controles optimizados se ve reforzado aún más por los procesos del sistema de gestión
que garantizan que los controles se requieran en función del riesgo, los requisitos legales o reglamentarios,
las obligaciones contractuales o cualquier otro requisito que la organización pueda estipular. Otros procesos
del sistema de gestión garantizan que es probable que el sistema de gestión logre los resultados previstos, que
sea sostenible y que los controles, así como los procesos mismos, permanezcan actualizados y sean eficaces.
ISO 27001 establece 22 procesos y subprocesos del sistema de gestión, todos los cuales deben estar
implementados y funcionando de manera efectiva, junto con 114 información.
controles de seguridad, algunos o todos los cuales, si es necesario, también deben estar establecidos y
funcionando de manera efectiva.
2. Resumen ejecutivo
El SGSI de [Cliente] aún no está desarrollado y tiene no conformidades en las áreas clave de
planificación, gestión de riesgos, evaluación y mejora del desempeño. No es inusual que una organización
sea débil en estas áreas cuando se acerca a la certificación por primera vez.
Se entiende que se pretende incluir a toda la organización en el alcance del SGSI, lo que parece la mejor
solución para dar la seguridad requerida a los posibles clientes.
[Cliente] no realiza evaluaciones de riesgos de seguridad de la información y, por lo tanto, no se han definido
criterios de aceptación de riesgos ni un proceso de evaluación de riesgos, y los controles del Anexo A aún no
se han seleccionado.
El nivel actual de conformidad (4% de conformidad total y 23% de conformidad parcial) de los procesos del
sistema de gestión con los requisitos de la Norma muestra que se necesita un trabajo significativo para alcanzar el
nivel requerido para lograr la certificación.
Sin embargo, aunque hay muchas áreas que necesitan mejorar antes de una auditoría de certificación,
según los niveles actuales de compromiso, capacidad y disponibilidad de recursos, las perspectivas de
obtener la certificación acreditada ISO 27001 dentro de los próximos 12 meses son buenas.
De los procesos y subprocesos del sistema de gestión existente que se revisaron durante el análisis de
brechas, se encontró que los arreglos actuales eran parcialmente conformes en 6 áreas y no conformes en 16
áreas.
4%
23%
73%
Totalmente conforme
No conforme
Controlar la conformidad
1%
38%
46%
15%
Totalmente conforme
No conforme
No requerido
3. Metodología
1.3 Enfoque
1.4 Entrevistados
1.5 Advertencias
Este informe se basa en la información proporcionada y revisada durante las entrevistas de análisis de brechas. La
naturaleza de muestreo de dicho análisis significa que puede haber áreas de buenas prácticas o no conformidades
que no hayan sido identificadas durante esta evaluación.
4. Hallazgos
El contexto de la organización es, esencialmente, información sobre la organización que formará parte de la base
del sistema de gestión. Lo que el Estándar denomina “cuestiones externas e internas” son factores de riesgo
primarios que pueden afectar el éxito del SGSI propuesto y deberían actuar como punto de referencia en el
desarrollo de otros procesos del sistema de gestión.
[El cliente] tiene cierta comprensión de sus necesidades y de las expectativas de las partes interesadas
externas. En particular, se identificaron las expectativas de seguridad de la información de los
clientes potenciales como el principal impulsor para lograr la certificación ISMS según ISO 27001 y, a su vez,
los requisitos VDA de la industria automotriz, que se basan en gran medida en ISO 27001:2013. Los interesados
internos aún no han sido considerados.
[El cliente] deberá realizar un análisis exhaustivo de su contexto y documentar a todas las partes interesadas y
sus requisitos.
4.2 Liderazgo
Existe conciencia entre la alta dirección sobre la importancia de la gestión de la seguridad de la información.
El CTO, que también forma parte de la junta directiva, es un patrocinador activo de este proyecto y está claro
que toda la alta dirección respalda
esta iniciativa. Sin embargo, ayudaría al éxito de este proyecto si el compromiso fuera más visible para la
organización en general en forma de políticas impulsadas desde arriba.
[El cliente] debe garantizar que la política de seguridad de la información incluya un compromiso
con los requisitos, objetivos y mejora continua de la seguridad de la información. Debe contar con el
respaldo activo de la alta dirección y ponerse a disposición de todo el personal. Se debe alentar al
personal a discutir y desarrollar procedimientos que podrían proporcionar una mayor propiedad y
mejorar la eficacia de la seguridad de la información dentro de la organización.
4.3 Planificación
Los riesgos y oportunidades que podrían afectar la capacidad del SGSI para lograr los resultados deseados se
han considerado, pero aún no se han documentado, y no existen planes para abordarlos.
No existe un proceso para evaluar sistemáticamente los riesgos de seguridad de la información; Esta área
necesita atención ya que es fundamental para un sistema de gestión eficaz. Será necesario definir los
criterios para realizar evaluaciones de riesgos de seguridad de la información.
y evaluaciones de riesgos realizadas. Además, será necesario iniciar evaluaciones de riesgos para todos los
cambios durante la recopilación de requisitos de los cambios.
Será necesario documentar un plan de tratamiento de riesgos; debe considerar qué riesgo residual queda después
de la implementación del tratamiento de riesgo. Es necesario evaluar el riesgo residual para determinar si se ha
reducido a un nivel aceptable para la organización. La evaluación de riesgos también debe identificar
y
documentar a los propietarios del riesgo y su aceptación del plan de tratamiento del riesgo y del riesgo
residual.
Cuando se hayan establecido el proceso de evaluación y tratamiento de riesgos y se hayan seleccionado los
controles del Anexo A de la Norma, será necesario elaborar una Declaración de Aplicabilidad (SoA). El SoA debe
detallar los controles para abordar los riesgos identificados e incluir justificaciones para la selección o
exclusión. Durante este análisis de brechas, se estableció que solo se podía excluir un control.
4.4 Soporte
El apoyo es un conjunto de habilitadores para sistemas de gestión viables y sostenibles, algunos de los cuales,
hasta cierto punto, se evidenciaron en [Cliente].
Recursos: Los recursos necesarios para la implementación y el mantenimiento del SGSI se han identificado y se
están realizando más contrataciones. Se ha puesto a disposición el presupuesto. [El cliente] debe considerar
el requisito de tiempo adicional para revisar el SGSI en las reuniones de gestión. Es probable que sea
necesario ampliar las reuniones para incluir temas adicionales en la agenda y revisar el progreso de la
implementación y el desempeño del sistema de gestión.
Competencia: [Cliente] generalmente conoce las competencias internas para implementar el SGSI y ya está
tomando medidas para adquirirlas mediante la investigación de normas ISO externas.
27001 Capacitación de Implementador Líder y Auditor Líder. [Cliente] también está considerando
subcontratar el soporte de implementación del SGSI a una organización experta.
programa y debe asegurarse de incluir módulos de concientización y capacitación (por ejemplo, videos, correos
electrónicos, campañas de phishing) centrados en la seguridad de la información. Este trabajo es particularmente
importante para la eficacia continua del SGSI. Durante este análisis se observó que se han planificado varias
iniciativas de sensibilización, pero que aún no se han llevado a cabo.
Comunicación: En las primeras etapas del desarrollo del SGSI, [Cliente] debe definir y
documentar un programa de comunicación que incluya a todas las partes interesadas, el propósito de la
comunicación, el método y la frecuencia. El plan debe revisarse para determinar si los métodos de comunicación
son apropiados para el tema y los destinatarios.
Información documentada: No existe un proceso formal de control de documentos pero sí un sistema de gestión
documental centralizado (Confluence). El SGSI requerirá que Confluence aborde el control de versiones y los
cambios de auditoría, y controle el acceso del personal a las políticas y procedimientos. Además, es necesario
trabajar para garantizar que se considere la protección de los registros y que se gestionen adecuadamente
durante todo su ciclo de vida. Será necesario crear una política de retención de documentos para que los
documentos no se conserven más del necesario y se eliminen de acuerdo con la política.
4.5 Operación
Los proveedores son administrados por individuos y cada proveedor que tiene acceso a la información de
[Cliente] firma acuerdos de confidencialidad (NDA). Sin embargo, no existe una política para evaluar los riesgos
asociados a los proveedores. Esto debería abordarse.
Además, se debe implementar un proceso para revisar a los proveedores periódicamente.
La dirección deberá revisar las métricas relacionadas con el SGSI. También necesitarán ser
Se realiza un seguimiento a lo largo del tiempo para mostrar si el rendimiento del SGSI está mejorando.
No existe una función de auditoría interna que se ocupe de la auditoría del sistema de gestión ni existe
un programa de auditoría interna, aunque es relativamente fácil de diseñar.
El principal problema de [cliente] es el de recursos y competencia, pero esto se abordará mediante
capacitación. El programa de auditoría requerido deberá conectarse con la identificación y provisión de
recursos, junto con los aspectos de competencia y concientización del SGSI. En la siguiente tabla se
detallan las funciones que probablemente se requieran para un programa de auditoría interna del SGSI, con los
niveles asociados de esfuerzo y competencia.
Tema en
cuestion Auditoría de aspectos específicos de seguridad Interno certificado
La mitad del día
experto auditor – SGSI
'Cierre' de no conformidades
(SGSI)
Es notoriamente difícil hacer estimaciones del esfuerzo y lo anterior se basa en la experiencia. Los
factores clave en el esfuerzo requerido incluyen:
• La complejidad del programa y proceso de auditoría;
• Niveles de no conformidad descubiertos;
• Competencia real, en la práctica, de los auditores seleccionados;
• Continuidad de los auditores; y
• Competencia de los propietarios de procesos para abordar las no conformidades.
Una vez que se comuniquen los roles relevantes para la seguridad de la información, el Jefe de TI y
Seguridad de la Información deberá garantizar que se implementen los procesos para definir los
insumos obligatorios relacionados con el SGSI para la revisión de la alta dirección, y que los insumos
(por ejemplo, auditoría interna, mejora continua, estado de planes de tratamiento de riesgos) se
proporcionan según sea necesario. También será necesario garantizar que los resultados de la
revisión por la dirección se ingresen en el registro de mejora continua y se actúe en
consecuencia según corresponda.
4.7 Mejora
El Estándar requiere que las organizaciones tomen medidas para corregir las no conformidades
identificadas y abordar las consecuencias. [Cliente] no tiene procedimientos formales para identificar y gestionar no
conformidades (ni una base para identificar las no conformidades), ni mecanismos para planificar, ejecutar
y revisar la efectividad de las acciones correctivas.
5. Conclusión
Este análisis de brechas debe revisarse y utilizarse para priorizar y planificar mejoras en áreas de no conformidad
dentro del sistema de gestión de [Cliente]. Si bien hay muchas áreas que necesitan mejoras antes de una
auditoría de certificación, esto se puede lograr en un plazo razonable utilizando recursos con buenos
conocimientos sobre la implementación efectiva de ISO 27001.
Para [Cliente], un punto de partida hacia el desarrollo del SGSI es definir un mandato del proyecto (por ejemplo,
en el documento de inicio del proyecto) y asignar un líder del proyecto. Esta será la persona a quien todos los
demás miembros de la organización acudirán en busca de información y orientación sobre el proyecto. En la etapa
de inicio del proyecto, [Cliente]
debe establecer sus objetivos de seguridad de la información, formar un equipo de proyecto y desarrollar un plan
de proyecto y un registro de riesgos del proyecto. El plan del proyecto es parte del proceso de profundizar
gradualmente en lo que realmente se hará en la implementación de ISO 27001 y debe incluir datos críticos del
proyecto, como fechas de revisión. La alta dirección debe asignar recursos apropiados para apoyar la
implementación del proyecto.
En las etapas iniciales, la alta dirección debe confirmar el alcance del SGSI, teniendo en cuenta las interfaces y
dependencias entre las actividades realizadas por la organización, las cuestiones internas y externas y los
hallazgos descritos en este informe.
Al confirmar el alcance, la alta dirección debe considerar lo que las partes interesadas (por ejemplo, clientes
potenciales) considerarían aceptable y apropiado.
La auditoría interna y la mejora continua son esenciales para mantener un sistema de gestión eficaz; Es necesario
desarrollar e implementar un programa de auditoría interna, y las no conformidades identificadas en las
auditorías y otras áreas deben incorporarse al proceso de mejora.
Dado el objetivo de lograr la certificación acreditada en un plazo medio, la siguiente tabla proporciona una indicación
de los hitos que deben cumplirse para lograrlo:
Estos tiempos se pueden modificar y lograr en un período de tiempo más corto con más recursos dedicados al
proyecto.
Como es el caso de la mayoría de las organizaciones, mejorar el conjunto actual de acuerdos informales y
el marco de controles es un objetivo perfectamente alcanzable, y la certificación acreditada puede seguirse
fácilmente si se comprende y sigue la norma ISO 27001.
Las importantes brechas en la conformidad de los procesos no son inusuales para las organizaciones en la
mayoría de los sectores y no deben verse como una barrera insuperable.
Finalmente, la implementación exitosa de un SGSI compatible con ISO 27001 puede contribuir a satisfacer algunos
de los requisitos establecidos en otras normas que podrían ser relevantes para [Cliente], como los requisitos
VDA.
conforme
Título de la cláusula Objeto/cláusula Problemas y comentarios
S/N/P
4.1 Comprender la Determinar cuestiones internas
organización y su contexto. y externas relevantes para el [Cliente] todavía se considera una nueva empresa. Se han realizado grandes esfuerzos para
propósito de la organización y proteger su propiedad intelectual mediante el uso de acuerdos de confidencialidad, etc. Se
PAG
comprende claramente el contexto de la organización. Si bien se comprenden las cuestiones
internas y externas, sería beneficioso articularlas de forma estructurada para incorporarlas al SGSI
de manera efectiva.
SGSI
4.4 SGSI El SGSI se establece, implementa,
mantiene y mejora continuamente,
norte
Actualmente no existe ningún SGSI.
de acuerdo con la norma ISO27001.
conforme
Título de la cláusula Objeto/cláusula Problemas y comentarios
S/N/P
5.2 Política Establecer una política de
norte
Aún no se ha documentado ninguna política.
seguridad de la información.
5.3 Roles, responsabilidades y La alta dirección asigna
El Jefe de TI y Seguridad de la Información figura como Oficial de Seguridad de la Información.
autoridades organizacionales responsabilidades y
Recomendamos cambiar el puesto de "Oficial de Protección de Datos (DPO)" a "Representante" para
autoridades para roles relevantes para
evitar confusión o posibles implicaciones durante una violación de datos. [Cliente] no está
la seguridad de la información. PAG
obligado legalmente a tener un DPO. Las descripciones de puestos se han modificado para incluir
responsabilidades de seguridad de la información, pero no incluyen informes sobre el desempeño del
SGSI a la alta dirección, lo cual es un requisito del Estándar.
[Contenido resumido]
Referencia Título Objetivo de control/pregunta de control ¿Existe un Control requerido Conforme S/N/P Estado/comentarios
5.1.1 Políticas de documento de política de seguridad de la información, o un
seguridad de la conjunto de políticas, que haya sido definido, aprobado por la
información. gerencia y haya sido publicado y comunicado a todos los Y norte
No hay políticas publicadas actualmente.
empleados y partes externas relevantes?
6.1.3 Contacto con ¿La organización mantiene contactos adecuados con las
Contacto mantenido con 3GPP y otros organismos de la
autoridades autoridades pertinentes?
Y norte
industria. Sin contacto con los reguladores,
que debe documentarse.
Referencia Título Objetivo de control/pregunta de control ¿La Control requerido Conforme S/N/P Estado/comentarios
6.1.5 Seguridad de la organización aborda la seguridad de la información en la
información gestión de proyectos, independientemente del tipo de Metodologías Waterfall y Agile utilizadas para la gestión de
en la proyecto? proyectos. No se considera ninguna metodología escrita durante
gestión de proyectos. Y norte
esta evaluación y la seguridad de la información
no se considera en el proceso de gestión del proyecto.
[Contenido resumido]