Diagnóstico de Brechas a la Seguridad

Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005 Análisis Áreas de Requisitos mínimos para un SGSI ISO/IEC 27000:2005 Análisis Similitud (4 entrevistados) Análisis Prioridades Resultados, recomendaciones y próximas tareas

Controles y Requisitos ÁREADEFINICIÓN% CUMPLIMIENTO CONTROLES A5POLÍTICAS DE SEGURIDAD 100,0% A6ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 81,8% A7GESTIÓN DE ACTIVOS 80,0% A8LA SEGURIDAD DE LOS RECURSOS HUMANOS 100,0% A9LA SEGURIDAD FÍSICA Y AMBIENTAL 100,0% A10GESTIÓN DE COMUNICACIÓN Y OPERACIONES 90,6% A11CONTROL DE ACCESO 96,6% A12ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 75,0% A13GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0% A14GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0% A15CONFORMIDAD 80,0% REQUISITOS R4SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 80,4% R5RESPONSABILIDAD DE LA DIRECCIÓN 89,5% R6AUDITORÍA INTERNA 83,3% R7REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 46,7% R8MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 100,0% 91,2% 80,0%

Similitud 3 entrevistados más Revisión coherencia de los cuestionarios Re-revisión cuestionario en las preguntas con similitud distinta del 100% Validación vs Evidencia → OK

Similitud ÁREADEFINICIÓN% Similitud CONTROLES A5POLÍTICAS DE SEGURIDAD 100,0% A6ORGANIZACIÓN DE LA SEGURIDAD DE LA INFROMACIÓN 69,7% A7GESTIÓN DE ACTIVOS 73,3% A8A8 LA SEGURIDAD DE LOS RECURSOS HUMANOS 92,6% A9LA SEGURIDAD FÍSICA Y AMBIENTAL 87,2% A10GESTIÓN DE COMUNICACIÓN Y OPERACIONES 80,2% A11CONTROL DE ACCESO 92,0% A12ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN, DESARROLLO Y MANTENIMIENTO 68,8% A13GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 100,0% A14GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 100,0% A15CONFORMIDAD 83,3% 86,1% REQUISITOS R4SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 69,1% R5RESPONSABILIDAD DE LA DIRECCIÓN 64,9% R6AUDITORÍA INTERNA 66,7% R7REVISIÓN POR LA DIRECCIÓN DE SISTEMA DE GESTIÓN DE LA INFORMACIÓN 60,0% R8MEJORA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 61,6% 64,5%

Prioridades por Área Las prioridades por área han sido identificadas. El análisis muestra las áreas a tratar a corto y mediano plazo Con las prioridades definidas y las áreas elegidas se diseñan los indicadores

A10: Gestión de Comunicación y Operaciones (78%) A11: Control de Acceso (96%) A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)

A10: Gestión de Comunicación y Operaciones (78%) A11: Control de Acceso (96%) A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%)

Resultados y Recomendaciones Como resultado de esta Auditoría y de acuerdo a las entrevistas realizadas, los resultados son buenos con respecto al cumplimiento de las áreas de Controles y Requisitos. Solo mencionar que en los requisitos la falta de revisión por parte de la Dirección de la Institución y las mejoras al SGSI en sus puntos débiles identificados. El análisis de similitud entregó resultados que sirvieron para validar algunas preguntas poco claras (del punto de vista del auditor). Recomendaciones Realizadas: –Pedir evidencia → Ejecutado –Constatar la validez de las respuestas → Ejecutado Recomendación: Prioridad de las Áreas → Ejecutado

Resultados y Recomendaciones Las áreas con mayor prioridad son: –A10: Gestión de Comunicación y Operaciones (78%) –A11: Control de Acceso (96%) –A12: Adquisición de Sistemas de Información, Desarrollo y Mantenimiento (63%) Número de Indicadores: –A10: 32 indicadores –A11: 25 indicadores –A12: 16 indicadores

Resultados y Recomendaciones DashBoard –Documentación de procesos (evidencia) –Indicadores (métrica-periodicidad-criterio de éxito)

Diagnóstico de Brechas a la Seguridad