Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio...
-
Upload
fons-narvaez -
Category
Documents
-
view
219 -
download
0
Transcript of Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio...
![Page 1: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/1.jpg)
Diagnóstico de Brechas a la Seguridad
![Page 2: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/2.jpg)
Fases
• Entrevistas• Análisis entrevistado principal (Claudio Camblor)• Análisis Áreas de Controles ISO/IEC 27000:2005• Análisis Áreas de Requisitos mínimos para un SGSI ISO/IEC
27000:2005• Análisis Similitud (4 entrevistados)• Análisis Prioridades• Resultados, recomendaciones y próximas tareas
![Page 3: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/3.jpg)
Controles y RequisitosÁREA DEFINICIÓN % CUMPLIMIENTO
CONTROLES
A5 POLÍTICAS DE SEGURIDAD 100,0%
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 81,8%
A7 GESTIÓN DE ACTIVOS 80,0%
A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 100,0%
A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 100,0%
A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 90,6%
A11 CONTROL DE ACCESO 96,6%
A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 75,0%
A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%
A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%
A15 CONFORMIDAD 80,0%
REQUISITOS
R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 80,4%
R5 RESPONSABILIDAD DE LA DIRECCIÓN 89,5%
R6 AUDITORÍA INTERNA 83,3%
R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 46,7%
R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 100,0%
91,2%
80,0%
![Page 4: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/4.jpg)
![Page 5: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/5.jpg)
![Page 6: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/6.jpg)
Similitud
• 3 entrevistados más• Revisión coherencia de los cuestionarios• Re-revisión cuestionario en las preguntas con similitud distinta
del 100%• Validación vs Evidencia → OK
![Page 7: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/7.jpg)
Similitud
ÁREA DEFINICIÓN % Similitud
CONTROLES
A5 POLÍTICAS DE SEGURIDAD 100,0%
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFROMACIÓN 69,7%
A7 GESTIÓN DE ACTIVOS 73,3%
A8 A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 92,6%
A9 LA SEGURIDAD FÍSICA Y AMBIENTAL 87,2%
A10 GESTIÓN DE COMUNICACIÓN Y OPERACIONES 80,2%
A11 CONTROL DE ACCESO 92,0%
A12 ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 68,8%
A13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0%
A14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0%
A15 CONFORMIDAD 83,3%
86,1%
REQUISITOS
R4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 69,1%
R5 RESPONSABILIDAD DE LA DIRECCIÓN 64,9%
R6 AUDITORÍA INTERNA 66,7%
R7 REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 60,0%
R8 MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 61,6%
64,5%
![Page 8: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/8.jpg)
![Page 9: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/9.jpg)
![Page 10: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/10.jpg)
Prioridades por Área
• Las prioridades por área han sido identificadas.• El análisis muestra las áreas a tratar a corto y mediano plazo• Con las prioridades definidas y las áreas elegidas se diseñan
los indicadores
![Page 11: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/11.jpg)
A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)
![Page 12: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/12.jpg)
A10: Gestión de Comunicación y Operaciones (78%)A11: Control de Acceso (96%)A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)
A11 A10 A12 A6 A7 A15 A14 A13 A8 A5 A9
-1.00
-0.80
-0.60
-0.40
-0.20
0.00
0.20
0.40
0.60
0.80
1.00
Controles
![Page 13: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/13.jpg)
Resultados y Recomendaciones
• Como resultado de esta Auditoría y de acuerdo a las entrevistas realizadas, los resultados son buenos con respecto al cumplimiento de las áreas de Controles y Requisitos. Solo mencionar que en los requisitos la falta de revisión por parte de la Dirección de la Institución y las mejoras al SGSI en sus puntos débiles identificados.
• El análisis de similitud entregó resultados que sirvieron para validar algunas preguntas poco claras (del punto de vista del auditor).
• Recomendaciones Realizadas:– Pedir evidencia → Ejecutado– Constatar la validez de las respuestas → Ejecutado
• Recomendación: Prioridad de las Áreas → Ejecutado
![Page 14: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/14.jpg)
Resultados y Recomendaciones
• Las áreas con mayor prioridad son:– A10: Gestión de Comunicación y Operaciones (78%)– A11: Control de Acceso (96%)– A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
(63%)
• Número de Indicadores:– A10: 32 indicadores– A11: 25 indicadores– A12: 16 indicadores
![Page 15: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/15.jpg)
Resultados y Recomendaciones
• DashBoard– Documentación de procesos (evidencia)– Indicadores (métrica-periodicidad-criterio de éxito)
![Page 16: Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.](https://reader036.fdocuments.mx/reader036/viewer/2022062807/5665b4651a28abb57c912cb3/html5/thumbnails/16.jpg)
Diagnóstico de Brechas a la Seguridad