GAP análisis ISO 27001-27002
Enviado por Ricardo Vasquez • 3 de Septiembre de 2023 • Informe • 1.790 Palabras (8 Páginas) • 59 Visitas
XXX | GAP ISO 27001-2[pic 2][pic 1]
Informe GAP ISO 27001-2
GAP ANÁLISIS ISO 27001-27002
TERMINOS DE CONFIDENCIALIDAD
Este documento contiene información confidencial de propiedad de . XXXX acuerda mantener esta información confidencial y no reproducirla o darla a conocer a ninguna persona fuera del grupo directamente responsable de la evaluación de su contenido.
Contenido
TERMINOS DE CONFIDENCIALIDAD 1
Objetivo 3
Alcance 3
1. Evaluación ISO/IEC 27001-2/2013 4
1.1 Descripción General 4
2. Modelo de Madurez 5
3. Resultados Análisis GAP ISO 6
3.1 Resumen evaluación de seguridad 6
3.2 Nivel de adhesión al modelo 7
3.3 Resultado por objetivos de control 8
3.4 Detalle de las brechas detectadas por cada uno de los controles 9
3.5 Detalle de las debilidades detectadas en controles de TI 20
3.6 Documentos requeridos para formalizar la seguridad de la información 21
3.7 Proyectos propuestos 23
3.8 Controles TI necesarios para la garantizar la seguridad de la información 23
4. Conclusión 24
5. Recomendaciones 25
Objetivo
El presente documento tiene por finalidad comunicar los resultados obtenidos de la ejecución del Análisis GAP o Análisis de Brechas realizado a XX, fundamentado en el Anexo A de la norma ISO/IEC 27001 en concordancia con la ISO/IEC 27002:2013. El servicio estuvo orientado a evaluar el cumplimiento con las citadas normas y determinar así el nivel de madurez y las capacidades actuales en materia de seguridad de la información, como punto de partida para establecer la estrategia, y así identificar y tratar los riesgos, y con esto proteger los activos de información de la empresa.
Alcance
El alcance del análisis de brechas realizado se centró específicamente en revisar la documentación existente en materia de seguridad de la información y evaluar los controles de la norma ISO 27001-2 a través de entrevistas con los responsables o personal relevante de las áreas involucradas.
Es importante tener en cuenta que este análisis de brechas no reemplaza a una auditoría formal de certificación ISO27001, sino que proporciona una visión inicial de la situación actual en materia de seguridad de la información en la organización y servirá de base para la implementación de mejoras continuas al sistema de gestión de seguridad de la información (SGSI).
La actividad fue desarrollada por medio de entrevistas a las personas que administran o tienen bajo su responsabilidad áreas como: Infraestructura de TI, Cumplimiento, Desarrollo de Sistemas y Recursos Humanos (o personal), además de una visita presencial para revisión física y/o perimetral.
Evaluación ISO/IEC 27001-2/2013
Descripción General
Esta evaluación de seguridad de la información, que tiene como base la norma ISO/IEC 27002:2013, permite, en un esquema de “revisión de cumplimiento”, determinar la distancia a que se encuentra la organización respecto de las mejores prácticas del mercado.
Los 14 dominios de seguridad incluidos en el Anexo A de la Norma ISO/IEC 27001 y detallados en la norma ISO/IEC 27002:2013, son los siguientes:
- A.5.- Políticas de seguridad de la Información
- A.6.- Organización de la Seguridad de la Información
- A.7.- Seguridad relativa a los Recursos Humanos
- A.8.- Gestión de activos
- A.9.- Control de accesos
- A.10.- Criptografía
- A.11.- Seguridad física y del entorno
- A.12.- Seguridad de las operaciones
- A.13.- Seguridad de las comunicaciones
- A.14.- Adquisición, desarrollo y mantenimiento de sistemas
- A.15.- Relación con los proveedores
- A.16.- Gestión de incidentes de seguridad de la información
- A.17.- Aspectos de seguridad de la información para la gestión de la continuidad del negocio
- A.18.- Cumplimiento
Los 14 dominios de seguridad, divididos en 35 objetivos, contienen 114 controles que, en su mayoría, son aplicables a todas las organizaciones.
Esta norma es de aplicación transversal, aun cuando el énfasis del control es de TI y sus servicios, su implementación involucra a toda la organización y sus procesos. Es necesario concebir la seguridad de la información permeando en toda la organización, de allí que se consideren aspectos no tecnológicos como el cumplimiento legal, la relación laboral, definición de roles y responsabilidades, entre otras.
El análisis considera cada uno de los controles incluidos en la norma, específicamente su evaluación respecto de las buenas prácticas allí señaladas, la determinación de debilidades (si las hay) y la formulación de las recomendaciones tendentes a erradicar las causas de esas debilidades destinadas a mejorar la seguridad de la información de la empresa a corto, mediano y largo plazo.
Modelo de Madurez
La siguiente tabla muestra la escala y detalle de la metodología utilizada para evaluar los distintos controles
[pic 3]
...