Analisis De Brecha
Páginas: 95 (23661 palabras)
Publicado: 15 de enero de 2013
ANEXOS V
Análisis de Brecha – ISO/IEC 27001 - 27002
El detalle del análisis de brechas se muestra en la siguiente matriz elaborada por el equipo de trabajo como parte metodológica cuyo contenido es el siguiente:
* PREGUNTAS: Es el cuestionario aplicado a la empresa en base a los controles de la ISO.
* RPTA: Es la respuesta afirmativa o negativa a las interrogantes.
* SITUACIÓNACTUAL: Se consideran los sustentos o fundamentos a las interrogantes, de manera de concisa.
* MEJORES PRÁCTICAS: Muestra un resumen de las mejores prácticas y controles que establece la ISO.
* ANÁLISIS DE BRECHA: Muestra en forma gráfica el nivel de comparación entre la situación actual de la empresa en relación a la ISO.
En el siguiente cuadro se detalla la descripción de los gráficosutilizados:
| Razonablemente cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| Sustancialmente cubierto | Faltan realizar algunas actividades para cubrir razonablemente los requerimientos de ISO/IEC 17799 |
| Parcialmente cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| Limitadamente cubierto | Losrequerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| No cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
RESUMEN DE LA EVALUACIÓN REALIZADA
A continuación se muestra el resumen de la evaluación realizada:
ÁREA EVALUADA | ANÁLISIS DE BRECHA |
1. POLÍTICA DE SEGURIDAD | |
2. ORGANIZACIÓN DE LA SEGURIDAD DE LAINFORMACIÓN | |
3. GESTIÓN DE ACTIVOS | |
4. SEGURIDAD DE RECURSOS HUMANOS | |
5. SEGURIDAD FÍSICA Y AMBIENTAL | |
6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES | | |
7. CONTROL DE ACCESO | | |
8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN | |
9. CONTROL DE ACCESOGESTIÓN DE UN INCIDENTE EN LA SEGURIDAD DE LA INFORMACIÓN | | |
10. GESTIÓN DE LACONTINUIDAD DEL NEGOCIO | |
11. CUMPLIMIENTO | | |
CUADRO DETALLADO DEL ANÁLISIS
PREGUNTA | RPTA | FUNDAMENTO | BUENAS PRACTICAS | BRECHA |
1.POLÍTICA DE SEGURIDAD | |
1.1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN | |
1.1.1. Documento De La Política De Seguridad De La Información * ¿La gerencia ha aprobado un documento de política de seguridad de la información? * ¿Se tieneconocimiento dentro de la empresa lo que es la seguridad de la información? * ¿Se ha establecido un marco referencial donde se encuentren señalados los objetivos de control en seguridad de la información? * ¿Están establecidas las responsabilidades para la gestión de la seguridad de la información dentro de la empresa? * ¿Los aspectos de seguridad de la información dentro de la empresa soncomunicados a todo el personal de manera entendible? 1.1.2. Revisión De La Política De Seguridad De La Información * ¿Los puntos relacionados a la seguridad de la información son revisados o actualizados periódicamente? * ¿Existe algún responsable de revisar los aspectos relacionados a la seguridad de la información dentro de la empresa? * ¿La gerencia participa en la revisión de lapolítica o gestión de seguridad de la información? * ¿Se da importancia a los cambios que pueden afectar el enfoque de la organización en una revisión gerencial? * ¿Participan en la revisión la manifestación de los incidentes que pudieran haber ocurrido? * ¿Autoridades recomiendan estas revisiones? * ¿Se lleva un registro de la revisión gerencial luego de haberla realizado? |NoNoSiSiSiNoSiSiSiSiSiNo | - No existe un documento como tal, pero existen políticas aisladas referidas a este tema. - Sólo tienen conocimiento las gerencias y el área de auditoría. - Si se encuentra establecido en el objetivo. - Se encuentran de alguna manera compartidas por la gerencia y las áreas de mayor participación. * Son comunicados y se encuentran publicados en el sistema SGI y está a...
Análisis de Brecha – ISO/IEC 27001 - 27002
El detalle del análisis de brechas se muestra en la siguiente matriz elaborada por el equipo de trabajo como parte metodológica cuyo contenido es el siguiente:
* PREGUNTAS: Es el cuestionario aplicado a la empresa en base a los controles de la ISO.
* RPTA: Es la respuesta afirmativa o negativa a las interrogantes.
* SITUACIÓNACTUAL: Se consideran los sustentos o fundamentos a las interrogantes, de manera de concisa.
* MEJORES PRÁCTICAS: Muestra un resumen de las mejores prácticas y controles que establece la ISO.
* ANÁLISIS DE BRECHA: Muestra en forma gráfica el nivel de comparación entre la situación actual de la empresa en relación a la ISO.
En el siguiente cuadro se detalla la descripción de los gráficosutilizados:
| Razonablemente cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| Sustancialmente cubierto | Faltan realizar algunas actividades para cubrir razonablemente los requerimientos de ISO/IEC 17799 |
| Parcialmente cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| Limitadamente cubierto | Losrequerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
| No cubierto | Los requerimientos de ISO/IEC 17799 de la SBS están razonablemente cubiertos. |
RESUMEN DE LA EVALUACIÓN REALIZADA
A continuación se muestra el resumen de la evaluación realizada:
ÁREA EVALUADA | ANÁLISIS DE BRECHA |
1. POLÍTICA DE SEGURIDAD | |
2. ORGANIZACIÓN DE LA SEGURIDAD DE LAINFORMACIÓN | |
3. GESTIÓN DE ACTIVOS | |
4. SEGURIDAD DE RECURSOS HUMANOS | |
5. SEGURIDAD FÍSICA Y AMBIENTAL | |
6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES | | |
7. CONTROL DE ACCESO | | |
8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN | |
9. CONTROL DE ACCESOGESTIÓN DE UN INCIDENTE EN LA SEGURIDAD DE LA INFORMACIÓN | | |
10. GESTIÓN DE LACONTINUIDAD DEL NEGOCIO | |
11. CUMPLIMIENTO | | |
CUADRO DETALLADO DEL ANÁLISIS
PREGUNTA | RPTA | FUNDAMENTO | BUENAS PRACTICAS | BRECHA |
1.POLÍTICA DE SEGURIDAD | |
1.1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN | |
1.1.1. Documento De La Política De Seguridad De La Información * ¿La gerencia ha aprobado un documento de política de seguridad de la información? * ¿Se tieneconocimiento dentro de la empresa lo que es la seguridad de la información? * ¿Se ha establecido un marco referencial donde se encuentren señalados los objetivos de control en seguridad de la información? * ¿Están establecidas las responsabilidades para la gestión de la seguridad de la información dentro de la empresa? * ¿Los aspectos de seguridad de la información dentro de la empresa soncomunicados a todo el personal de manera entendible? 1.1.2. Revisión De La Política De Seguridad De La Información * ¿Los puntos relacionados a la seguridad de la información son revisados o actualizados periódicamente? * ¿Existe algún responsable de revisar los aspectos relacionados a la seguridad de la información dentro de la empresa? * ¿La gerencia participa en la revisión de lapolítica o gestión de seguridad de la información? * ¿Se da importancia a los cambios que pueden afectar el enfoque de la organización en una revisión gerencial? * ¿Participan en la revisión la manifestación de los incidentes que pudieran haber ocurrido? * ¿Autoridades recomiendan estas revisiones? * ¿Se lleva un registro de la revisión gerencial luego de haberla realizado? |NoNoSiSiSiNoSiSiSiSiSiNo | - No existe un documento como tal, pero existen políticas aisladas referidas a este tema. - Sólo tienen conocimiento las gerencias y el área de auditoría. - Si se encuentra establecido en el objetivo. - Se encuentran de alguna manera compartidas por la gerencia y las áreas de mayor participación. * Son comunicados y se encuentran publicados en el sistema SGI y está a...
Leer documento completo
Regístrate para leer el documento completo.