SlideShare a Scribd company logo

Análisis GAP SI OFIN DIGETE

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

El documento presenta los resultados de una encuesta realizada a áreas técnicas de OFIN y DIGETE sobre el cumplimiento de la norma ISO/IEC 17799 en seguridad de la información. Se identificó bajo cumplimiento de los controles de seguridad, con respuestas negativas en el 72% de los casos. Además, los dominios que recibieron mayor atención fueron operaciones y control de accesos, mientras que gestión de activos, incidentes, continuidad y cumplimiento regulatorio tuvieron baja priorización. El anális

Technology
1 of 8
Análisis GAP Definición Objetivo Identificar y medir la diferencia entre las expectativas y lo que los sistemas realmente entregan Determinar el nivel de satisfacción de quienes dirigen las empresa con los sistemas de información, y en caso de detectar problemas proponer una estrategia para atacarlos Metodología Paso Descripción Objetivo 1 Análisis inicial Diagnóstico primario, rápido y no invasivo, para brindar un primer enfoque de la problemática Entregable Análisis de los controles versus el Estándar ISO 27001 e ISO 27002 y el diagnóstico de la infraestructura tecnológica con respecto a los criterios de confidencialidad, integridad y disponibilidad de la información 2 Definición de estrategia Cerrar el GAP entre expectativas y sistemas, en función de un análisis que profundice los hallazgos de la fase anterior Entregable Diagnóstico de carencias actuales con propuesta de una estrategia para atacarlas, la justificación de dicha estrategia con los beneficios esperados al adoptarla así como los riesgos asociados Porcentaje de cumplimiento de acuerdo a los controles definidos por la norma y el nivel de madurez esperado
Ejemplo de modelo de madurez ¿Dónde debo estar? Innovación Benchmarking Proactividad Innovaciones planeadas Gestión de configuraciones Análisis causal y resolución Planes Proyectos Tareas Medir ¿qué cumplo? ¿cómo lo cumplo? Corregir Predecible Automatización efectiva Cuantificación de resultados Explota beneficios de la estandarización Procesos estables Resultados predecibles Gestión del conocimiento Gestión cuantitativa de proyectos Procesos estandarizados, documentados y comunicados mediante entrenamiento Juez y parte Desarrollo de procesos, mediciones, entrenamiento Crecimiento de la productividad Economía de escala Gestión integrada de proyectos Gestión de riesgos Procedimientos similares para la misma tarea Dependencia en personas Estabilización del trabajo Compromiso de control Reducción del retrabajo Se satisfacen compromisos Planificación del proyecto ¿Dónde estoy? Reactivo Desorganizado Enfoque ad-hoc aplicada de manera individual o caso por caso bombero “sólo haz que funcione”
Encuesta (análisis) 1.1 Se ha solicitado a las jefaturas técnicas de OFIN y DIGETE que resuelvan una encuesta sobre el cumplimiento de la NTP ISO/IEC 17799:2007. Téngase presente las siguientes consideraciones: 1.1.1 Los resultados servirán para que las jefaturas técnicas se auto identifiquen y propongan fechas de corto y mediano plazo en las que se comprometan al establecimiento de una línea base de cumplimiento. 1.1.2 Esta línea base será producto de un análisis de brecha (carencias o necesidades particulares) de cada área con el fin de llegar a un estado de cumplimiento efectivo, aceptable y aceptado por la institución. 1.1.3 La línea base permitirá además establecer en el futuro cercano lo siguiente: 1.1.3.1 Correlacionar la NTP ISO/IEC 17799:2007 con el marco de gobierno de TI propuesto por la Information Systems Audit and Control Association (ISACA): Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, por sus siglas en idioma inglés). 1.1.3.2 Identificación del modelo de madurez de la institución en cuanto a la seguridad de la información. 1.1.4 Teniendo como punto de partida esta línea base, se podrán establecer auditorías internas de seguimiento. 1.1.4.1 Estas auditorías no están orientadas a la fiscalización inherente al ocuparse fundamentalmente del conjunto de medidas, políticas y procedimientos establecidos para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información en general. 1.1.4.2 Por el contrario, estas auditorías seguirán un enfoque moderno y estarán orientadas a un apoyo consultivo aportando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y dirección, con miras a pasar una auditoría de tercera parte (externa por requerimiento institucional, o de certificación no siendo esta un requerimiento legal). 1.1.4.3 El objetivo anterior, es evidente, será logrado en el tiempo y este estará determinado por el grado de compromiso de todos los involucrados. 1.2 La encuesta se envió a seis áreas técnicas de OFIN (SIAGIE, AIT, AOP, STI, AGTI) y DIGETE el 03 de mayo de 2013. Hasta la fecha de emisión del presente informe (luego de varios contactos reiterativos y postergaciones de presentación), sólo se obtuvo respuesta de las siguientes áreas: OFIN (SIAGIE, AOP, STI, AGTI) y DIGETE (Hub satelital).
1.3 Los resultados tabulados de esta encuesta son los siguientes: 1.4 Para el análisis que se presenta en las gráficas siguientes se debe considerar lo siguiente: 1.4.1 La NTP ISO/IEC 17799:2007 trata la seguridad de la información en 11 dominios los que en conjunto proponen 132 controles. 1.4.2 De este conjunto de controles se prepararon y presentaron en la encuesta un total de 1 157 preguntas. 1.4.3 Las preguntas permiten evaluar la seguridad de la información desde los puntos de vista de cumplimiento (implementación), consideración (prioridad y ponderación), y evidencia. 1.4.4 Cabe señalar que existen en OFIN documentos relacionados con los dominios y controles de la norma. 1.5 Tras el análisis de las respuestas recibidas se obtuvieron los resultados siguientes: 1.5.1 Los subtotales de respuestas entregadas por las áreas representan un porcentaje bajo de las mismas. En promedio por área, del total de 1 157 preguntas obtuvimos 293 respuestas sobre cumplimiento (25%), 8 respecto a prioridades (0.6%), y 27 respecto a ponderaciones (2.3%). 1.5.2 Era de esperar el comportamiento anterior y se evidencia en el número de respuestas negativas sobre cumplimiento: 72% del total que ha sido respondido; y 18% por área. 1.5.3 En la tabla se evidencia que el enfoque de la seguridad está relacionado solamente con tareas operativas de rutina (dominios 05, 06 y 07). 1.5.4 Tomando como indicativo el dominio 06, se puede apreciar que las consideraciones no guardan relación entre prioridad y ponderación. Esto sugiere necesidad de conocimiento. 1.5.5 La carencia de evidencia pone en claro una carencia de la documentación mínima necesaria para dar soporte a los sistemas de información actuales. 1.5.6 Si bien existe una Política de seguridad, esta no es suficientemente conocida o no está suficientemente implementada. Dominio Control Descripción Respuesta positiva Respuesta negativa Respuesta parcial Altaprioridad Media prioridad Bajaprioridad Ponderación muybaja Ponderación baja Ponderación media Ponderación alta Ponderación muyalta Existe sustento Noexiste sustento 01 00 Política de seguridad 6 24 1 4 0 0 0 2 2 3 4 0 1 02 00 Organización de la seguridad de la información 15 70 4 2 2 0 8 0 1 2 1 1 1 03 00 Gestión de activos 6 25 0 0 0 0 0 0 0 0 0 0 0 04 00 Seguridad ligada a los recursos humanos 8 76 0 6 0 0 3 0 1 2 0 0 1 05 00 Seguridad física y del entorno 81 156 10 4 1 1 6 5 4 3 1 1 0 06 00 Gestión de comunicaciones y operaciones 101 170 13 10 2 2 15 8 11 6 7 2 5 07 00 Control de accesos 101 202 16 1 0 0 4 4 6 2 0 2 0 08 00 Adquisición, desarrollo y mantenimiento de sistemas de información 36 175 10 1 2 1 1 1 6 1 0 0 0 09 00 Gestión de incidentes de seguridad de la información 0 22 0 0 0 0 0 0 0 0 0 0 0 10 00 Gestión de la continuidad del negocio 1 63 4 0 0 0 4 1 2 0 1 0 0 11 00 Cumplimiento regulatorio 1 67 2 0 0 0 5 1 2 0 0 0 0 # controles 132 Subtotales de respuestas de los 132 controles 356 1050 60 28 7 4 46 22 35 19 14 6 8 # preguntas 1157 % de preguntas respondidas de las 1157 formuladas para los 132 6% 18% 1% 1% 0% 0% 1% 0% 1% 0% 0% 0% 0% áreas que respondieron 05 Proporción aproximada de respuestas por área considerando las áreas que respondieron (5) 71 210 12 6 1 1 9 4 7 4 3 1 2 áreas encuestadas 06 Proyección aproximada de respuestas por área (6) 85 252 14 7 1 1 11 5 8 5 4 1 2
1.5.7 Aunque parece haber un cierto interés por la Organización de la seguridad de la información, no parece ser un tema prioritario y por tanto se le resta importancia. 1.5.8 La Gestión de activos, requerimiento base para la determinación de riesgos, no está realmente entre los puntos de interés y no se le da la importancia debida. 1.5.9 No es de extrañar que en algunos sistemas de información puedan no ser considerados con suficiencia y extensión aspectos relacionados con la seguridad, como auditoría y trazabilidad. 1.5.10 La Gestión de incidentes de seguridad de la información, tema importante y vital en cualquier organización, no se está contemplando adecuadamente; de hecho, no está siendo considerado en ninguna de las áreas. La sola perspectiva de que mantener un esquema apropiado de defensa perimetral o anti virus/spam, no es apropiado en estos tiempos; se requiere considerar el modelo moderno de defensa en profundidad, lo que incluye los sistemas de información. 1.5.11 Otro punto crítico es la Gestión de la continuidad del negocio, aspecto que si bien parece interesar, no es considerado un aspecto prioritario. 1.5.12 Es importante notar que en cuanto a Cumplimiento regulatorio, este dominio recibe una ponderación muy baja, siendo este tema vital, entre otros aspectos, para cumplir con las leyes de Transparencia y la de Datos Personales.
Análisis GAP SI OFIN DIGETE
Análisis GAP SI OFIN DIGETE
Análisis GAP SI OFIN DIGETE

Recommended

Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.jackelinearevalocarrascal
 
20151008普賢行 v4 slideshare
20151008普賢行 v4 slideshare20151008普賢行 v4 slideshare
20151008普賢行 v4 slideshare明哲 李
 
Ibm welcome to the cognitive era
Ibm welcome to the cognitive era Ibm welcome to the cognitive era
Ibm welcome to the cognitive era Ana Alves Sequeira
 
Sign Up For Your Free10 Minute Psychic Tarot Reading
Sign Up For Your Free10 Minute Psychic Tarot ReadingSign Up For Your Free10 Minute Psychic Tarot Reading
Sign Up For Your Free10 Minute Psychic Tarot ReadingTony-Guy Parker
 
20160809 小放_普賢行 李明哲編著
20160809 小放_普賢行 李明哲編著20160809 小放_普賢行 李明哲編著
20160809 小放_普賢行 李明哲編著明哲 李
 
BA cert
BA certBA cert
BA certMohammad Raihan
 

Recommended

Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.Tecnologia de la informacion guia 2.
Tecnologia de la informacion guia 2.jackelinearevalocarrascal
 
20151008普賢行 v4 slideshare
20151008普賢行 v4 slideshare20151008普賢行 v4 slideshare
20151008普賢行 v4 slideshare明哲 李
 
Ibm welcome to the cognitive era
Ibm welcome to the cognitive era Ibm welcome to the cognitive era
Ibm welcome to the cognitive era Ana Alves Sequeira
 
Sign Up For Your Free10 Minute Psychic Tarot Reading
Sign Up For Your Free10 Minute Psychic Tarot ReadingSign Up For Your Free10 Minute Psychic Tarot Reading
Sign Up For Your Free10 Minute Psychic Tarot ReadingTony-Guy Parker
 
20160809 小放_普賢行 李明哲編著
20160809 小放_普賢行 李明哲編著20160809 小放_普賢行 李明哲編著
20160809 小放_普賢行 李明哲編著明哲 李
 
BA cert
BA certBA cert
BA certMohammad Raihan
 
Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016Nicholas Fasano
 
Pinnacle Award Announcement
Pinnacle Award AnnouncementPinnacle Award Announcement
Pinnacle Award AnnouncementAndrew Sipka
 
Ibm big data
Ibm big dataIbm big data
Ibm big dataPeter Tutty
 
Herramientas web 2.0
Herramientas web 2.0Herramientas web 2.0
Herramientas web 2.0Jesús Ramírez
 
Economía
EconomíaEconomía
EconomíaFernando Fernandez
 
Improve your productivity
Improve your productivityImprove your productivity
Improve your productivityAna Alves Sequeira
 
Hotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in ChandigarhHotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in ChandigarhHotel Metro
 
training courses
training coursestraining courses
training coursesWaleed Galal
 
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...TEMS™ – now part of InfoVista (formerly Ascom Network Testing)
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
PROJECT CHARTER
PROJECT CHARTERPROJECT CHARTER
PROJECT CHARTERJulio Huamán
 
Caso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – PlanificacionCaso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – PlanificacionDharma Consulting
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
I S O 27001- Los Controles
I S O 27001- Los ControlesI S O 27001- Los Controles
I S O 27001- Los Controlessucari2009
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controlessucari2009
 

More Related Content

Viewers also liked

Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016Nicholas Fasano
 
Pinnacle Award Announcement
Pinnacle Award AnnouncementPinnacle Award Announcement
Pinnacle Award AnnouncementAndrew Sipka
 
Hotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in ChandigarhHotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in ChandigarhHotel Metro
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
Caso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – PlanificacionCaso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – PlanificacionDharma Consulting
 

Viewers also liked (12)

Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016Alexander's Inc. 10Q Q2 2016
Alexander's Inc. 10Q Q2 2016
 
Pinnacle Award Announcement
Pinnacle Award AnnouncementPinnacle Award Announcement
Pinnacle Award Announcement
 
Ibm big data
Ibm big dataIbm big data
Ibm big data
 
Herramientas web 2.0
Herramientas web 2.0Herramientas web 2.0
Herramientas web 2.0
 
Economía
EconomíaEconomía
Economía
 
Improve your productivity
Improve your productivityImprove your productivity
Improve your productivity
 
Hotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in ChandigarhHotel metro - Lounge Bar in Chandigarh
Hotel metro - Lounge Bar in Chandigarh
 
training courses
training coursestraining courses
training courses
 
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...
5G initiatives: A snapshot of TEMS strategy on the revolutionary path to 5G ...
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
PROJECT CHARTER
PROJECT CHARTERPROJECT CHARTER
PROJECT CHARTER
 
Caso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – PlanificacionCaso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
Caso Completo – Construcción de nuevo Hipermercado Buymart – Planificacion
 

Similar to Análisis GAP SI OFIN DIGETE

Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
I S O 27001- Los Controles
I S O 27001- Los ControlesI S O 27001- Los Controles
I S O 27001- Los Controlessucari2009
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controlessucari2009
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controlesdcordova923
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...xavazquez
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Gestion de seguridades
Gestion de seguridadesGestion de seguridades
Gestion de seguridadesDatapro
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 

Similar to Análisis GAP SI OFIN DIGETE (20)

Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001
 
SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
I S O 27001- Los Controles
I S O 27001- Los ControlesI S O 27001- Los Controles
I S O 27001- Los Controles
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controles
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controles
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Gestion de seguridades
Gestion de seguridadesGestion de seguridades
Gestion de seguridades
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 

More from Jack Daniel Cáceres Meza

UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosJack Daniel Cáceres Meza
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeJack Daniel Cáceres Meza
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareJack Daniel Cáceres Meza
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareJack Daniel Cáceres Meza
 
MINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresMINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresJack Daniel Cáceres Meza
 

More from Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto software
 
MINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresMINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidores
 

Recently uploaded

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 

Recently uploaded (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 

Análisis GAP SI OFIN DIGETE

  • 1. Análisis GAP Definición Objetivo Identificar y medir la diferencia entre las expectativas y lo que los sistemas realmente entregan Determinar el nivel de satisfacción de quienes dirigen las empresa con los sistemas de información, y en caso de detectar problemas proponer una estrategia para atacarlos Metodología Paso Descripción Objetivo 1 Análisis inicial Diagnóstico primario, rápido y no invasivo, para brindar un primer enfoque de la problemática Entregable Análisis de los controles versus el Estándar ISO 27001 e ISO 27002 y el diagnóstico de la infraestructura tecnológica con respecto a los criterios de confidencialidad, integridad y disponibilidad de la información 2 Definición de estrategia Cerrar el GAP entre expectativas y sistemas, en función de un análisis que profundice los hallazgos de la fase anterior Entregable Diagnóstico de carencias actuales con propuesta de una estrategia para atacarlas, la justificación de dicha estrategia con los beneficios esperados al adoptarla así como los riesgos asociados Porcentaje de cumplimiento de acuerdo a los controles definidos por la norma y el nivel de madurez esperado
  • 2. Ejemplo de modelo de madurez ¿Dónde debo estar? Innovación Benchmarking Proactividad Innovaciones planeadas Gestión de configuraciones Análisis causal y resolución Planes Proyectos Tareas Medir ¿qué cumplo? ¿cómo lo cumplo? Corregir Predecible Automatización efectiva Cuantificación de resultados Explota beneficios de la estandarización Procesos estables Resultados predecibles Gestión del conocimiento Gestión cuantitativa de proyectos Procesos estandarizados, documentados y comunicados mediante entrenamiento Juez y parte Desarrollo de procesos, mediciones, entrenamiento Crecimiento de la productividad Economía de escala Gestión integrada de proyectos Gestión de riesgos Procedimientos similares para la misma tarea Dependencia en personas Estabilización del trabajo Compromiso de control Reducción del retrabajo Se satisfacen compromisos Planificación del proyecto ¿Dónde estoy? Reactivo Desorganizado Enfoque ad-hoc aplicada de manera individual o caso por caso bombero “sólo haz que funcione”
  • 3. Encuesta (análisis) 1.1 Se ha solicitado a las jefaturas técnicas de OFIN y DIGETE que resuelvan una encuesta sobre el cumplimiento de la NTP ISO/IEC 17799:2007. Téngase presente las siguientes consideraciones: 1.1.1 Los resultados servirán para que las jefaturas técnicas se auto identifiquen y propongan fechas de corto y mediano plazo en las que se comprometan al establecimiento de una línea base de cumplimiento. 1.1.2 Esta línea base será producto de un análisis de brecha (carencias o necesidades particulares) de cada área con el fin de llegar a un estado de cumplimiento efectivo, aceptable y aceptado por la institución. 1.1.3 La línea base permitirá además establecer en el futuro cercano lo siguiente: 1.1.3.1 Correlacionar la NTP ISO/IEC 17799:2007 con el marco de gobierno de TI propuesto por la Information Systems Audit and Control Association (ISACA): Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, por sus siglas en idioma inglés). 1.1.3.2 Identificación del modelo de madurez de la institución en cuanto a la seguridad de la información. 1.1.4 Teniendo como punto de partida esta línea base, se podrán establecer auditorías internas de seguimiento. 1.1.4.1 Estas auditorías no están orientadas a la fiscalización inherente al ocuparse fundamentalmente del conjunto de medidas, políticas y procedimientos establecidos para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información en general. 1.1.4.2 Por el contrario, estas auditorías seguirán un enfoque moderno y estarán orientadas a un apoyo consultivo aportando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y dirección, con miras a pasar una auditoría de tercera parte (externa por requerimiento institucional, o de certificación no siendo esta un requerimiento legal). 1.1.4.3 El objetivo anterior, es evidente, será logrado en el tiempo y este estará determinado por el grado de compromiso de todos los involucrados. 1.2 La encuesta se envió a seis áreas técnicas de OFIN (SIAGIE, AIT, AOP, STI, AGTI) y DIGETE el 03 de mayo de 2013. Hasta la fecha de emisión del presente informe (luego de varios contactos reiterativos y postergaciones de presentación), sólo se obtuvo respuesta de las siguientes áreas: OFIN (SIAGIE, AOP, STI, AGTI) y DIGETE (Hub satelital).
  • 4. 1.3 Los resultados tabulados de esta encuesta son los siguientes: 1.4 Para el análisis que se presenta en las gráficas siguientes se debe considerar lo siguiente: 1.4.1 La NTP ISO/IEC 17799:2007 trata la seguridad de la información en 11 dominios los que en conjunto proponen 132 controles. 1.4.2 De este conjunto de controles se prepararon y presentaron en la encuesta un total de 1 157 preguntas. 1.4.3 Las preguntas permiten evaluar la seguridad de la información desde los puntos de vista de cumplimiento (implementación), consideración (prioridad y ponderación), y evidencia. 1.4.4 Cabe señalar que existen en OFIN documentos relacionados con los dominios y controles de la norma. 1.5 Tras el análisis de las respuestas recibidas se obtuvieron los resultados siguientes: 1.5.1 Los subtotales de respuestas entregadas por las áreas representan un porcentaje bajo de las mismas. En promedio por área, del total de 1 157 preguntas obtuvimos 293 respuestas sobre cumplimiento (25%), 8 respecto a prioridades (0.6%), y 27 respecto a ponderaciones (2.3%). 1.5.2 Era de esperar el comportamiento anterior y se evidencia en el número de respuestas negativas sobre cumplimiento: 72% del total que ha sido respondido; y 18% por área. 1.5.3 En la tabla se evidencia que el enfoque de la seguridad está relacionado solamente con tareas operativas de rutina (dominios 05, 06 y 07). 1.5.4 Tomando como indicativo el dominio 06, se puede apreciar que las consideraciones no guardan relación entre prioridad y ponderación. Esto sugiere necesidad de conocimiento. 1.5.5 La carencia de evidencia pone en claro una carencia de la documentación mínima necesaria para dar soporte a los sistemas de información actuales. 1.5.6 Si bien existe una Política de seguridad, esta no es suficientemente conocida o no está suficientemente implementada. Dominio Control Descripción Respuesta positiva Respuesta negativa Respuesta parcial Altaprioridad Media prioridad Bajaprioridad Ponderación muybaja Ponderación baja Ponderación media Ponderación alta Ponderación muyalta Existe sustento Noexiste sustento 01 00 Política de seguridad 6 24 1 4 0 0 0 2 2 3 4 0 1 02 00 Organización de la seguridad de la información 15 70 4 2 2 0 8 0 1 2 1 1 1 03 00 Gestión de activos 6 25 0 0 0 0 0 0 0 0 0 0 0 04 00 Seguridad ligada a los recursos humanos 8 76 0 6 0 0 3 0 1 2 0 0 1 05 00 Seguridad física y del entorno 81 156 10 4 1 1 6 5 4 3 1 1 0 06 00 Gestión de comunicaciones y operaciones 101 170 13 10 2 2 15 8 11 6 7 2 5 07 00 Control de accesos 101 202 16 1 0 0 4 4 6 2 0 2 0 08 00 Adquisición, desarrollo y mantenimiento de sistemas de información 36 175 10 1 2 1 1 1 6 1 0 0 0 09 00 Gestión de incidentes de seguridad de la información 0 22 0 0 0 0 0 0 0 0 0 0 0 10 00 Gestión de la continuidad del negocio 1 63 4 0 0 0 4 1 2 0 1 0 0 11 00 Cumplimiento regulatorio 1 67 2 0 0 0 5 1 2 0 0 0 0 # controles 132 Subtotales de respuestas de los 132 controles 356 1050 60 28 7 4 46 22 35 19 14 6 8 # preguntas 1157 % de preguntas respondidas de las 1157 formuladas para los 132 6% 18% 1% 1% 0% 0% 1% 0% 1% 0% 0% 0% 0% áreas que respondieron 05 Proporción aproximada de respuestas por área considerando las áreas que respondieron (5) 71 210 12 6 1 1 9 4 7 4 3 1 2 áreas encuestadas 06 Proyección aproximada de respuestas por área (6) 85 252 14 7 1 1 11 5 8 5 4 1 2
  • 5. 1.5.7 Aunque parece haber un cierto interés por la Organización de la seguridad de la información, no parece ser un tema prioritario y por tanto se le resta importancia. 1.5.8 La Gestión de activos, requerimiento base para la determinación de riesgos, no está realmente entre los puntos de interés y no se le da la importancia debida. 1.5.9 No es de extrañar que en algunos sistemas de información puedan no ser considerados con suficiencia y extensión aspectos relacionados con la seguridad, como auditoría y trazabilidad. 1.5.10 La Gestión de incidentes de seguridad de la información, tema importante y vital en cualquier organización, no se está contemplando adecuadamente; de hecho, no está siendo considerado en ninguna de las áreas. La sola perspectiva de que mantener un esquema apropiado de defensa perimetral o anti virus/spam, no es apropiado en estos tiempos; se requiere considerar el modelo moderno de defensa en profundidad, lo que incluye los sistemas de información. 1.5.11 Otro punto crítico es la Gestión de la continuidad del negocio, aspecto que si bien parece interesar, no es considerado un aspecto prioritario. 1.5.12 Es importante notar que en cuanto a Cumplimiento regulatorio, este dominio recibe una ponderación muy baja, siendo este tema vital, entre otros aspectos, para cumplir con las leyes de Transparencia y la de Datos Personales.