ALISO27001_T007 Análisis de brechas GAP en ISO 27001

Plataformas de Aprendizaje Autodirigido

Análisis de brechas GAP en ISO 27001.

Un análisis de brechas GAP es un método para evaluar las diferencias de rendimiento entre los sistemas de información de una empresa o las aplicaciones de software para determinar si se cumplen los requisitos del negocio y, de no ser así, qué pasos se deben tomar para garantizar que se cumplan con éxitoGap se refiere al espacio entre «donde estamos» (el presente) y «donde queremos estar» (el objetivo a alcanzar). Un análisis de deficiencias también puede denominarse análisis de necesidades, permitiéndonos determinar lo que nos falta y los recursos necesarios para alcanzar los objetivos.

Un análisis de brechas GAP o análisis de deficiencias consiste por tanto, en un análisis de cumplimiento tanto con los requisitos de la norma ISO 27001 como de sus controles.

Se trata de algo similar a una auditoria inicial por la que podemos tener una idea del GRADO DE IMPLANTACION de la norma 27001 en nuestra organización que nos puede servir para un doble objetivo:

  • Establecer el punto de partida para implementar la norma y evaluar el esfuerzo necesario así como tener una herramienta fiable para elaborar un plan de implementación de ISO 27001.
  • Mantener una herramienta de evaluación del grado de implantación de la norma durante el proceso de implantación y evaluar el grado de avance del proyecto.

Análisis de brechas GAP sobre la Seguridad de la Información.

Para la realización del análisis de deficiencias GAP puede ser aconsejable utilizar un modelo de madurez para la evaluación del cumplimiento. Los modelos de madurez más comunes tales como NIST, CITI-ISEM, COBOT, SSE / CM y CERT / CSO nos proponen un modelo de 5 a 6 niveles de madurez o de cumplimiento.

Estos modelos de madurez comúnmente utilizados como herramientas para la gestión de servicios TI, se utilizan para evaluar qué tan bien se desarrollan los procesos de gestión con respecto a los controles internos.

Este modelo se adapta de forma perfecta para establecer un modelo de auditoría que nos permita medir su nivel de madurez actual respecto a los requisitos de un estándar específico, en este caso ISO 27001.

Como resultado el análisis de deficiencias GAP nos revelara las mejoras prácticas a los controles internos del sistema de Gestión de la Seguridad de la Información.

Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la adecuación de los controles internos respecto a los objetivos del sistema de gestión

Dentro de las ventajas de realizar un análisis de deficiencias mediante un modelo de niveles de madurez podemos enumerar:

  1. Proporciona el modelo para un programa de seguridad completo.
  2. Proporciona la información adecuada a la gerencia del orden en el cual implementar los controles de seguridad
  3. Conduce hacia el uso de estándares de mejores prácticas.

En este modelo podremos evaluar tanto la existencia o no existencia como el grado de implantación de los 11 controles (dominios) que comprenden el ISO27001.

Niveles de madurez.

  • No existencia (Nivel 0): no hay reconocimiento de la necesidad del control o requisito
  • Ad-hoc (Nivel 1): existe cierto reconocimiento de la necesidad de control interno o requisito. Se aplica para algún problema o tarea específica, no generalizable.
  • Ejecutado (Nivel 2): los controles existen pero no están documentados
  • Definido (Nivel 3): los controles están en su lugar y están documentados adecuadamente.
  • Manipulable y medible (Nivel 4): Existe un control interno sobre la aplicación de controles y cumplimiento de requisito.
  • Optimizado (5): Existe un control interno y continúo sobre la aplicación de controles y cumplimiento de requisitos. Se mide la eficacia de los controles estableciendo objetivos de mejora.

Nivel de cumplimiento.

Para llevarlo a cabo podemos usar una lista de preguntas para obtener el nivel de cumplimiento de la organización bajo diferentes escenarios de acuerdo a los niveles de madurez definidos. Esto nos permitirá establecer un nivel de madurez para cada uno de los 11 controles.