ALISO27001_T007 Análisis de brechas GAP en ISO 27001

Plataformas de Aprendizaje Autodirigido

Análisis de brechas GAP en ISO 27001.

Un análisis de brechas GAP es un método para evaluar las diferencias de rendimiento entre los sistemas de información de una empresa o las aplicaciones de software para determinar si se cumplen los requisitos del negocio y, de no ser así, qué pasos se deben tomar para garantizar que se cumplan con éxitoGap se refiere al espacio entre «donde estamos» (el presente) y «donde queremos estar» (el objetivo a alcanzar). Un análisis de deficiencias también puede denominarse análisis de necesidades, permitiéndonos determinar lo que nos falta y los recursos necesarios para alcanzar los objetivos.

Un análisis de brechas GAP o análisis de deficiencias consiste por tanto, en un análisis de cumplimiento tanto con los requisitos de la norma ISO 27001 como de sus controles.

Un análisis GAP nos brinda el estado actual y permite determinar el plan necesario para cerrar las brechas. (También conocido como plan de acción).

Un análisis de brechas ISO IEC 27001:2022, también conocido a veces como evaluación de cumplimiento o evaluación previa, es una evaluación que proporciona una descripción general de alto nivel de la postura de seguridad actual de su organización.

Análisis de brechas GAP sobre la Seguridad de la Información.

Para la realización del análisis de deficiencias GAP puede ser aconsejable utilizar un modelo de madurez para la evaluación del cumplimiento.

¿Qué es un modelo de madurez?

Es un conjunto y estructura de elementos que describen el nivel de madurez de un ente en un aspecto determinado. Los modelos de madurez más comunes tales como NIST-CSEAT, CITI-ISEM, COBIT, CMMI, ISM3 y CERT / CSO nos proponen un modelo de 4, 5 o 6 niveles de madurez o de cumplimiento.

Estos modelos de madurez comúnmente utilizados como herramientas para la gestión de servicios TI, se utilizan para evaluar qué tan bien se desarrollan los procesos de gestión con respecto a los controles internos.

Este modelo se adapta de forma perfecta para establecer un modelo de auditoría que nos permita medir su nivel de madurez actual respecto a los requisitos de un estándar específico, en este caso ISO 27001.

¿Para qué sirve?

  • Me permite medir: ¿Dónde estoy hoy?
  • Me permite definir dónde debo estar
  • Me permite planear lo que debo lograr, para llegar a donde quiero estar
  • Me permite gestionar mi crecimiento y evolución

Para establecer el nivel de madurez actual para cada uno de los requisitos y controles de la ISO IEC 27001 se realiza una serie de preguntas (test de cumplimiento), el resultado de esta evaluación posicionará a la organización dentro de una escala según el modelo de madurez definido.

El test de cumplimiento puede ser una lista de preguntas bajo diferentes escenarios de acuerdo al modelo de madurez definido, diseñando cuidadosamente las preguntas usando la norma ISO27001:2022 y su ANEXO A.

Como resultado el análisis de deficiencias GAP nos revelara las mejoras prácticas a los controles internos del sistema de Gestión de la Seguridad de la Información.

Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la adecuación de los controles internos respecto a los objetivos del sistema de gestión

Dentro de las ventajas de realizar un análisis de deficiencias mediante un modelo de niveles de madurez podemos enumerar:

  1. Proporciona el modelo para un programa de seguridad completo.
  2. Proporciona la información adecuada a la gerencia del orden en el cual implementar los controles de seguridad
  3. Conduce hacia el uso de estándares de mejores prácticas.

En este modelo podremos evaluar tanto la existencia o no existencia como el grado de implantación de los 11 controles (dominios) que comprenden el ISO27001.

Modelo de Madurez COBIT.

Tomando como ejemplo el modelo de madurez COBIT, este nos permite evaluar el nivel de madurez actual respecto a los requisitos (Numerales) y controles (Anexo A) de la ISO IEC 27001 en una escala de 5 niveles:

Niveles de madurez.

  • No existe (Nivel 0): no hay reconocimiento de la necesidad del control o requisito
  • Inicial (Nivel 1): existe cierto reconocimiento de la necesidad de control interno o requisito. Se aplica para algún problema o tarea específica, no generalizable.
  • Repetible (Nivel 2): los controles existen pero no están documentados
  • Definido (Nivel 3): los controles están en su lugar y están documentados adecuadamente.
  • Administrado (Nivel 4): Existe un control interno sobre la aplicación de controles y cumplimiento de requisito.
  • Optimizado (5): Existe un control interno y continúo sobre la aplicación de controles y cumplimiento de requisitos. Se mide la eficacia de los controles estableciendo objetivos de mejora.

 

Nivel de cumplimiento.

Para llevarlo a cabo podemos usar una lista de preguntas para obtener el nivel de cumplimiento de la organización bajo diferentes escenarios de acuerdo a los niveles de madurez definidos. Esto nos permitirá establecer un nivel de madurez para cada uno de los 11 controles.