SERVICIO GAP ASSESSMENT BASADO EN LA NUEVA ISO 27001:

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SERVICIO GAP ASSESSMENT BASADO EN LA NUEVA ISO 27001:2013. www.sigea.es"

Lucas Duarte Olivares
hace 8 años
Vistas:

1 SERVICIO GAP ASSESSMENT BASADO EN LA NUEVA ISO 27001:2013

2 Descripción del análisis Diferencias con una auditoría Fases, actividades y equipo de trabajo Contacto

3 DESCRIPCIÓN DEL ANÁLISIS GAP ASSESSMENT ISO 27001:2013

4 En esta primera parte del informe se incluyen las lagunas detectadas en áreas de cláusulas que componen la base principal de la gestión de la norma ISO/IEC 27001:2013, según el ciclo de mejora plan act do check

la base principal de la gestión de la norma ISO/IEC

En esta segunda parte del informe, la más extensa, se muestran las áreas de control de la norma, a nivel agrupado, indicando los grados de implantación de

5 En esta segunda parte del informe, la más extensa, se muestran las áreas de control de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva ISO/IEC 27001:2013

de cada una de ellas, para que la entidad pueda hacerse una idea del estado

6 La información acerca del estado de implantación de las áreas de control, también se muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una instantánea.

7 También se incluyen en el informe, para dar una visión más detallada, el estado de implantación de los objetivos de control de la nueva norma ISO/IEC 27001:2013

8 La parte más detallada del informe constituye aquella en la que se especifica el estado dei mplantación de cada uno de los controles de seguridad de la norma, indicando uno por uno su estado y las evidencias detectadas

cada uno de los controles de seguridad de la norma,

9 54% A modo de resumen, el informe también incorpora el estado de implantación general en forma de porcentaje

10 El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado de las medidad de seguridad de la información Porcentaje de reparto de controles aplicables Nivel de implantación por cada uno de los TIPOS de controles

de seguridad de la información Porcentaje de reparto de controles

11 El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado de implantación de las medidas de seguridad de la información Comparativas entre el NIVEL de implantación y el TIPO de controles

estado de implantación de las medidas de seguridad de la

12 También se incluye un análisis del nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un nivel de implementación medio o alto para cada uno de los tipos detectados. 24 % 50 % 47 %

aplicables pasasen a un nivel de implementación

13 Este nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control evaluados previamente. Se trata de uno de los mejores indicadores para decidir por dónde empezar a actuar en el caso de una implantación.

14 Y CUÁL ES LA DIFERENCIA CON UNA AUDITORÍA? GAP ASSESSMENT ISO/IEC 27001:2013

15 Nuestro informe incorpora varias propuestas de alcances certificables así como un programación gantt que refleja nuestra recomendación en tiempo, recursos y prioridades para la implantación. Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase II : Análisis de Riesgos y Plan de Tratamiento Fase III : Definición de la documentación aplicable Fase IV : Implantación de controles Fase V : Formación, definición de indicadores y recogida de datos Auditoria interna, acompañamiento en AC y cierre

Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase II : Análisis

16 La mayor parte de este tiempo es descontado de la primera fase de implantación del sistema, con lo que se reduce el coste de implantación. Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase II : Análisis de Riesgos y Plan de Tratamiento Fase III : Definición de la documentación aplicable Fase IV : Implantación de controles Fase V : Formación, definición de indicadores y recogida de datos Auditoria interna, acompañamiento en AC y cierre

Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 GAP analysis y definición del alcance Fase I :Política, objetivos y responsabilidades Fase

Además, nuestra metodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el informe proponemos además varias fórmulas u opciones de implantación Generación de

17 Además, nuestra metodologia de trabajo, puede ser decidida en todo momento por el cliente, ya que en el informe proponemos además varias fórmulas u opciones de implantación Generación de documentación Formación y concienciación Evaluación inicial (GAP) Act Plan Do Act Plan Do Act Plan Do Check Check Check Fase I Fase II Fase III Fase IV Fase V Auditoria interna y cierre OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados) OPCIÓN B - Acompañamiento a los consultores de la entidad Auditoria externa

Act Plan Do Act Plan Do Check Check Check Fase I Fase II Fase III Fase IV Fase V Auditoria interna y cierre OPCION A - Gestión del

18 FASES, ACTIVIDADES Y EQUIPO DE TRABAJO GAP ASSESSMENT ISO/IEC 27001:2013

19 GAP Assessment ISO/IEC 27001:2013 Fase 1 - Análisis de madurez de los requisitos ISO Para la evaluación de los REQUISITOS o MOTOR de la norma, se realizarán entrevistas con los principales interlocutores y, en la medida de lo posible, se revisará la documentación existente. El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de implantación de la norma ISO En concreto: Análisis de riesgos Política de seguridad Objetivos e indicadores Aspectos organizativos Formación y concienciación en seguridad Gestión documental Gestión de registros Planes de tratamiento de riesgos Gestión de Auditorías Internas Mejora Continua Revisiones por Dirección Los resultados serán presentados en gráficos de procesos indicando las desviaciones detectadas

El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de

Fase 2 Grado de implantación de medidas de seguridad Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la norma, se revisarán de forma individual, los

20 Fase 2 Grado de implantación de medidas de seguridad Para la evaluación del estado de implantación de las ÁREAS de CONTROLES seguridad del Anexo A de la norma, se revisarán de forma individual, los controles que ya estén implantados en la organización además de los no aplicados, su grado de implantación y cualquier otra evidencia u observación detectada. El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en la nueva norma ISO 27001:2013 Política de seguridad Aspectos organizativos Gestión de activos Seguridad de los RRHH Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Continuidad de negocio Conformidad GAP Assessment ISO Los resultados serán presentados de forma individualizada para cada una de las áreas de control, indicando su grado de IMPLANTACIÓN Se acompañará cada área con los puntos de atención que sea necesario tener en cuenta para mejorar los grupos que no se encuentren en un grado óptimo.

El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y

21 GAP Assessment ISO 27001:2013 Desarrollo de las actividades Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico, administrativos, etc de la entidad Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado de la seguridad de la información. Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los correspondientes informes. Principales actividades Recopilación de la información necesaria, tanto a nivel físico como lógico, de los sistemas, servicios, comunicaciones y medidas de seguridad. Identificación de los sistemas críticos que requieren un análisis detallado. Identificación de las principales actividades de negocio. Identificación de la legislación aplicable para la seguridad. Investigación sobre la madurez del sistema de gestión de seguridad de la información. Investigación sobre el grado de conformidad con los dominios, objetivos de control y controles de la ISO Grado de concienciación/formación de los empleados en materia de seguridad de la información. Recursos 1 Consultor Dedicación + Entrevistas on-site + Inspecciones on-site por cada centro adicional + Redacción off-site de informes y presentación de resultados Entregables - Informe de evaluación - Conclusiones - Estimación de implantación - Propuesta de alcances posibles

22 GAP Assessment ISO Equipo de trabajo Los trabajos podrán ser realizados, de manera individual o conjunta, por cualquiera de los dos consultores asignados al proyecto, que son los siguientes: Consultor Perfil Cualificación Beatriz Martínez Francisco Menéndez Piñera Consultora Senior Consultor Senior ISO & ISO Lead auditor CISA, CISM, CRISC

23 Gracias por su atención Teléfono:

Documentos relacionados

sobre SIGEA Consultora de referencia en ISO 27001

sobre SIGEA Consultora de referencia en ISO 27001 El Área de Consultoría de SIGEA presta servicios relacionados con la seguridad de la información y la gestión de servicios de TI. En concreto: Consultoría