6 Pasos para realizar el análisis de brechas según la ISO 27001

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

Para implementar de forma eficaz un Sistema de Gestión de Seguridad de la información (SGSI), es indispensable que la organización compare su grado de cumplimiento con los requisitos de la ISO 27001 y obtenga una visión completa de su situación en ciberseguridad.

 

Cuando la organización identifica sus debilidades y comprende donde debe enfocar sus esfuerzos, ejerce mayor control sobre la información y mejora sus prácticas en la protección de los datos sensibles del negocio.

 

La revisión detallas de los 114 controles de seguridad de la información es obligatoria para el desarrollo de la Declaración de Aplicabilidad del sistema, la cual debe reflejar el estado real y la capacidad de cumplimiento de la organización.

 

Es así como una estrategia de gran utilidad para definir qué tan lejos está la organización de los requisitos del SGSI es el análisis de brechas ISO 27001.

 

El análisis de brechas es un proceso que se debe realizar antes de iniciar la implementación del sistema. Permite revisar los requisitos de la norma para determinar el estado de cumplimiento de cada uno en la organización y los vacíos existentes para la conformidad del sistema.

 

Hoy aprenderás a ejecutar un análisis de brechas a la seguridad de la información del negocio y a implementar los controles adecuados para proteger y lograr los intereses y objetivos de la organización.

 

Empecemos!

Análisis de brechas en ISO 27001

 

Aunque el análisis de brechas no es un requisito obligatorio en la ISO 27001, es una herramienta estratégica para la seguridad de la información que es adoptada en las organizaciones como una práctica conveniente a la hora de iniciar con la implementación de esta norma.

 

El principal propósito del análisis de brechas es evaluar el rendimiento del sistema de información actual de la organización con los requisitos de la ISO 27001 y determinar el grado de cumplimiento existente.

 

Esta herramienta es de gran utilidad para establecer el “donde estamos” y el “donde queremos llegar” de una  organización que busca proteger sus datos, en otras palabras, define el punto de partida para implementar la norma y la cantidad de recursos y esfuerzos necesarios para este propósito.

 

El Análisis de Riesgos es diferente al Análisis de Brechas

 

Aunque la diferencia pareciera estar muy clara, suele suceder que algunas organizaciones confunden la evaluación de riesgos con el análisis de brechas ISO 27001, esto debido a que ambos buscan identificar las no conformidades en la seguridad de la información.

 

Por un lado el análisis de brechas te muestra que tan lejos está la organización del cumplimiento de los requisitos y controles de la norma. Sin embargo a través de este proceso no es posible identificar los problemas que puedan presentarse y alterar la seguridad de la información, ya que de esta tarea se encarga directamente la evaluación de riesgos.

 

De modo que con la evaluación de riesgos se comprende la cantidad, ocurrencia, magnitud y capacidad de afectar los riesgos al sistema, puede desarrollarse antes del análisis de brechas para complementar este proceso y dar confiabilidad a los resultados.

 

Beneficios del análisis de brechas

 

  • Conocer el estado general en el momento actual de la seguridad de la información frente a los requisitos de la norma.

 

  • Tener claridad sobre la cantidad de recursos que deben destinarse para el cumplimiento del sistema.

 

  • Abordar todas las debilidades del sistema.

 

  • Mayor optimización de las funciones comerciales de la organización.

 

  • Evidenciar el alcance del SGSI y los controles que deben implementarse.

 

  • Incluir la ciberseguridad en los procesos, políticas y actividades el negocio.

 

  • Mejor planificación estratégica para adoptar los controles de ciberseguridad necesarios.

 

  • Mantener orden y control sobre las tareas necesarias para implementar exitosamente el sistema.

 

Pasos para realizar el análisis de brechas ISO 27001

 

Paso 1. Revisar los requisitos de la norma

 

La norma ISO 27001:2013, define como requisitos obligatorios los comprendidos entre la cláusula 4 a 10, los cuales son:

 

  • Contexto de la organización

 

  • Liderazgo

 

  • Planificación

 

  • Soporte

 

  • Operación

 

  • Evaluación de desempeño

 

  • Mejora

 

Paso 2. Diseñar el cuestionario de cumplimiento

 

Una vez identificados los requisitos obligatorios de la norma, es necesario estructurar un cuestionario que permita evaluar el cumplimiento de cada una de estas cláusulas en las áreas pertinentes de la organización.

 

Aquí eres libre de decidir la cantidad y el tipo de preguntas que te permitan cumplir con el propósito, recuerda emplear un lenguaje claro y de fácil comprensión.

 

Te indicaré algunos ejemplos de cómo podrías elaborar tu cuestionario:

 

  • Contexto de la organización

 

 

 

  • Liderazgo

 

 

  • ¿Se encuentra establecida, documentada, comunicada y disponible la política de seguridad de la información?

 

  • Planeación

 

 

 

  • Soporte

 

  • ¿Se han destinado los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI?

 

 

  • Operación

 

  • ¿Se controlan los procesos que permiten la conformidad y mejora continua del SGSI?

 

 

  • Evaluación del desempeño

 

  • ¿Se desarrollan evaluaciones al desempeño del SGSI?

 

 

  • Mejora

 

 

  • ¿Se controla la eficacia de las acciones correctivas?

 

Dependiendo del número de preguntas por clausula será el valor a cada una.

 

Paso 3. Determinar el nivel de madurez del cumplimiento

 

El nivel de madurez evidencia el progreso de la organización en el cumplimiento de los requisitos de la ISO 27001. Puedes definir los niveles que mejor representen el estado real de la implementación de los controles, te explicaré con el siguiente ejemplo:

 

Cumplimiento ISO 27001
Nivel de madurez Porcentaje de cumplimiento Observación
Inexistente 0% No se encuentran implementados.
Inicial 1-20% Se han implementado bajo una necesidad específica y ocasional sin evidencia documentada.
Repetible 21-40% Se han implementado y existe un procedimiento. Pero no están completamente documentados.
Definido 41-60% Se han implementado y  documentado totalmente en procedimientos, políticas y estándares.
Administrado 61-80% Se mantiene control sobre su eficacia y rendimiento.
Optimizado 81-100% Se han establecido acciones que han logrado su mejora continua y óptimo cumplimiento.

Es momento de conocer el nivel de madurez de cada cláusula, para esto es necesario aplicar el cuestionario diseñado anteriormente a las diferentes áreas de la organización. Los resultados debes presentarlos de forma clara y organizada para un mejor análisis. Es una buena idea plasmar la información en una tabla como la siguiente:

Cláusula % cumplimiento ahora Brecha % cumplimiento deseado Cumplimiento
4. Contexto de la organización 0% 100% 100% INEXISTENTE
5. Liderazgo 20% 80% 100% INICIAL
6. Planificación 40% 60% 100% REPETIBLE
7. Soporte 60% 40% 100% DEFINIDO
8. Operación 80% 20% 100% ADMINISTRADO
9. Evaluación de cumplimiento 80% 20% 100% ADMINISTRADO
10. Mejora 100% 0% 100% OPTIMIZADO

 

TOTAL

 

 

54%

 

 

DEFINIDO

Paso 4. Analizar los resultados

 

Ahora es momento de analizar los resultados, evidenciar la madurez de los controles implementados y reforzar la seguridad de la información interviniendo sobre la brecha existente.

 

En esta etapa la organización conoce su estado actual y cuán lejos está de lo que desea lograr. Con ello es posible seleccionar las medidas de seguridad confiables y eficaces que permitan la mejora continua del SGSI. El análisis de resultados debe evidenciar:  

 

  • El estado general y la madurez de los controles de seguridad de la información.

 

  • La diferencia entre el estado actual y el ideal de la organización.

 

  • La descripción de las brechas existentes.

 

  • Las posibles estrategias para reforzar las medidas de seguridad.

 

Paso 5. Elaborar el informe de resultados

 

Los resultados pueden presentarse ya sea por grupos de controles o por cada cláusula, de cualquier forma resulta de gran ayuda emplear gráficos que relacionen cada requisito con su estado de cumplimiento y permitan comprender fácilmente el nivel de seguridad informática de la organización.   

 

Algunos ejemplos pueden ser:

Grupo de controles

En este gráfico se presenta el nivel de cumplimiento por grupo de controles, indicando el valor porcentual y la clasificación por color.

 

Cláusulas

Y en este gráfico, la metodología de análisis es la misma que en el anterior, sólo que se hace por cada cláusula de la norma.

 

Estas son sólo algunas de las alternativas que puedes emplear para el informe de los resultados, lo importante es que la información se presente de forma clara, precisa y con su respectivo análisis y conclusiones.

 

Paso 6. Construir el plan de acción

 

Con los resultados obtenidos ahora es posible idear estrategias que permitan llenar los vacíos existentes del cumplimiento a la ISO 27001, y con ello garantizar la protección, integridad, disponibilidad y confidencialidad de la información.

 

El plan de acción debe:

 

  • Definir las medidas de seguridad y controles a implementar.

 

  • Establecer los responsables y el tiempo de ejecución.

 

  • Determinar cómo se determinará la eficiencia del plan.

 

Algunas acciones de seguridad que puedes tener en cuenta en el plan de acción para prevenir o eliminar las brechas del SGSI son:

 

  • Implementar un sistema de contraseñas seguras.

 

  • Emplear la doble autenticación antes de acceder a los sistemas de información.

 

  • Mantener copias de seguridad de la información.

 

  • Realizar actualizaciones a los sistemas.

 

  • Adoptar un sistema de cifrado de dispositivos.

 

 

Conclusión

 

Antes de iniciar con el análisis de brechas asegúrate de contar con el apoyo, el liderazgo y el compromiso de la alta dirección. Al no ser este proceso un requisito obligatorio,  son clave para su aplicación y desarrollo exitoso la comprensión de su utilidad y el reconocimiento  de sus beneficios para el SGSI.  

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *