• Posted On: Octubre 01, 2021
• Posted By: adminincibchile

En este Blog N°4 te dejamos el análisis GAP que debe hacer cualquier institución y/o empresa.

a) ¿Debo hacer un análisis de GAP o de Brechas?

Si, debo hacerlo al comienzo de este viaje, para definir “donde estamos” (el presente) y “donde queremos estar” (el futuro).

Es un método para evaluar las diferencias de rendimiento, este hace referencia entre lo que estamos realizando hoy y lo que debería ser con respecto a las buenas prácticas de seguridad información; si no se cumplen los requisitos se deberá determinar qué pasos se seguirán para garantizar dicho cumplimiento.

Un análisis GAP consiste, por tanto, en un análisis de cumplimiento tanto con los requisitos genéricos de la norma ISO 27001 como de sus controles.

Sería algo así como una auditoria en te sub-cero, la idea es medir la temperatura de implementación de la norma y evaluar los esfuerzos de la organización, esta es una herramienta fiable para elaborar un plan de implementación y avance de ISO 27001.

No se confunda con un análisis de cumplimiento de requisitos y controles de la norma ISO 27001 con un análisis de riesgos. El análisis de cumplimiento identifica que requisitos y controles incluidos en la norma tenemos implementados en la organización y en qué grado.

La Norma ISO 27001 contiene 14 dominios y 114 controles …

Por otro lado, un análisis de riesgos nos ofrece como resultado los controles de la seguridad de la información que realmente necesitamos implementar.

Finalmente, tomando como base el análisis de riesgos podremos mediante el análisis de cumplimiento de los controles, obtener el plan de aplicación de estos y su estado de cumplimiento, además de ayudarnos en la elaboración de la declaración de aplicabilidad.

b) ¿Cuándo realizar un análisis GAP?

Dependiendo del tamaño y alcance del proyecto podremos realizar el análisis de brechas antes de comenzar la implementación de la norma, con el objetivo de evaluar la situación inicial y planificar los recursos.

c) ¿Cuáles son las preguntas que debo hacerme en un análisis de Gap ISO27001?

Algunas preguntas por cada uno de los dominios son:

1.- Políticas de Seguridad
a) ¿Existe un responsable de las políticas, normas y procedimientos?
2.- Organización de la Seguridad
a) ¿Existen acuerdos de confidencialidad de la información?
3.- Administración de activos de Sistema Información
a) ¿Existen procedimientos para clasificar la información?
4.- Seguridad de los Recursos Humanos
a) ¿Están definidas las responsabilidades y roles de seguridad?
5.- Seguridad Física y Ambiente
a) ¿Se incluye la seguridad en equipos móviles?
6.- Gestión de Comunicaciones y Operaciones
a) ¿Existen registros de los fallos detectados?
7.- Control Accesos
a) ¿Existe una gestión de claves de usuarios?
8.- Desarrollo y Mantenimiento de los Sistemas
a) ¿Existen controles criptográficos?
9.- Administración de Incidentes
a) ¿Se comunican los eventos que afectan la Seguridad de la información?
10.- gestión Continuidad de Negocio
a) ¿Existen procesos para la gestión de la continuidad del negocio?
11.- Cumplimiento
a) ¿Existe el resguardo de la propiedad intelectual de la información?
12.- Estructura Organizativa
a) ¿El comité sesiona regularmente y se elaboran minutas de reunión y acuerdos formalmente y por escrito?
13.- Procedimientos
a) ¿Existe un manual de operaciones de las distintas actividades que incluya aspectos de Seguridad de la información?
14.- Control de Cambio a las Aplicaciones
a) ¿Los sistemas desarrollados cuentan con manuales técnicos formales?
15.- Accesos Personal de TI
a) ¿Existe una matriz de usuarios con sus respectivos privilegios del personal de TI?

*Extracto de encuesta análisis GAP 27001

Si necesitas más información al respeto ponte en contacto con nosotros y te explicaremos más en detalle “como hacer un análisis GAP respecto a la 27001″:

Página web: www.INCIBChile.cl
WhatsApp Business: +56 9 6587 4587
Mail: contacto@incibchile.cl