Successfully reported this slideshow.
Your SlideShare is downloading. ×

MINEDU: Resultados de encuestas: Análisis GAP en OFIN

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Análisis GAP
Definición Objetivo
Identificar y medir la diferencia entre las
expectativas y lo que los sistemas realmente
...
Ejemplo de modelo de madurez
¿Dónde
debo
estar?
Innovación
Benchmarking
Proactividad Innovaciones
planeadas
Gestión de
con...
Encuesta (análisis)
1.1 Se ha solicitado a las jefaturas técnicas de OFIN y DIGETE que resuelvan una encuesta sobre el
cum...
Advertisement

Check these out next

1 of 8 Ad
Advertisement

More Related Content

Similar to MINEDU: Resultados de encuestas: Análisis GAP en OFIN (20)

Advertisement

More from Jack Daniel Cáceres Meza (20)

Recently uploaded (20)

Advertisement

MINEDU: Resultados de encuestas: Análisis GAP en OFIN

  1. 1. Análisis GAP Definición Objetivo Identificar y medir la diferencia entre las expectativas y lo que los sistemas realmente entregan Determinar el nivel de satisfacción de quienes dirigen las empresa con los sistemas de información, y en caso de detectar problemas proponer una estrategia para atacarlos Metodología Paso Descripción Objetivo 1 Análisis inicial Diagnóstico primario, rápido y no invasivo, para brindar un primer enfoque de la problemática Entregable Análisis de los controles versus el Estándar ISO 27001 e ISO 27002 y el diagnóstico de la infraestructura tecnológica con respecto a los criterios de confidencialidad, integridad y disponibilidad de la información 2 Definición de estrategia Cerrar el GAP entre expectativas y sistemas, en función de un análisis que profundice los hallazgos de la fase anterior Entregable Diagnóstico de carencias actuales con propuesta de una estrategia para atacarlas, la justificación de dicha estrategia con los beneficios esperados al adoptarla así como los riesgos asociados Porcentaje de cumplimiento de acuerdo a los controles definidos por la norma y el nivel de madurez esperado
  2. 2. Ejemplo de modelo de madurez ¿Dónde debo estar? Innovación Benchmarking Proactividad Innovaciones planeadas Gestión de configuraciones Análisis causal y resolución Planes Proyectos Tareas Medir ¿qué cumplo? ¿cómo lo cumplo? Corregir Predecible Automatización efectiva Cuantificación de resultados Explota beneficios de la estandarización Procesos estables Resultados predecibles Gestión del conocimiento Gestión cuantitativa de proyectos Procesos estandarizados, documentados y comunicados mediante entrenamiento Juez y parte Desarrollo de procesos, mediciones, entrenamiento Crecimiento de la productividad Economía de escala Gestión integrada de proyectos Gestión de riesgos Procedimientos similares para la misma tarea Dependencia en personas Estabilización del trabajo Compromiso de control Reducción del retrabajo Se satisfacen compromisos Planificación del proyecto ¿Dónde estoy? Reactivo Desorganizado Enfoque ad-hoc aplicada de manera individual o caso por caso bombero “sólo haz que funcione”
  3. 3. Encuesta (análisis) 1.1 Se ha solicitado a las jefaturas técnicas de OFIN y DIGETE que resuelvan una encuesta sobre el cumplimiento de la NTP ISO/IEC 17799:2007. Téngase presente las siguientes consideraciones: 1.1.1 Los resultados servirán para que las jefaturas técnicas se auto identifiquen y propongan fechas de corto y mediano plazo en las que se comprometan al establecimiento de una línea base de cumplimiento. 1.1.2 Esta línea base será producto de un análisis de brecha (carencias o necesidades particulares) de cada área con el fin de llegar a un estado de cumplimiento efectivo, aceptable y aceptado por la institución. 1.1.3 La línea base permitirá además establecer en el futuro cercano lo siguiente: 1.1.3.1 Correlacionar la NTP ISO/IEC 17799:2007 con el marco de gobierno de TI propuesto por la Information Systems Audit and Control Association (ISACA): Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, por sus siglas en idioma inglés). 1.1.3.2 Identificación del modelo de madurez de la institución en cuanto a la seguridad de la información. 1.1.4 Teniendo como punto de partida esta línea base, se podrán establecer auditorías internas de seguimiento. 1.1.4.1 Estas auditorías no están orientadas a la fiscalización inherente al ocuparse fundamentalmente del conjunto de medidas, políticas y procedimientos establecidos para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información en general. 1.1.4.2 Por el contrario, estas auditorías seguirán un enfoque moderno y estarán orientadas a un apoyo consultivo aportando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y dirección, con miras a pasar una auditoría de tercera parte (externa por requerimiento institucional, o de certificación no siendo esta un requerimiento legal). 1.1.4.3 El objetivo anterior, es evidente, será logrado en el tiempo y este estará determinado por el grado de compromiso de todos los involucrados. 1.2 La encuesta se envió a seis áreas técnicas de OFIN (SIAGIE, AIT, AOP, STI, AGTI) y DIGETE el 03 de mayo de 2013. Hasta la fecha de emisión del presente informe (luego de varios contactos reiterativos y postergaciones de presentación), sólo se obtuvo respuesta de las siguientes áreas: OFIN (SIAGIE, AOP, STI, AGTI) y DIGETE (Hub satelital).
  4. 4. 1.3 Los resultados tabulados de esta encuesta son los siguientes: 1.4 Para el análisis que se presenta en las gráficas siguientes se debe considerar lo siguiente: 1.4.1 La NTP ISO/IEC 17799:2007 trata la seguridad de la información en 11 dominios los que en conjunto proponen 132 controles. 1.4.2 De este conjunto de controles se prepararon y presentaron en la encuesta un total de 1 157 preguntas. 1.4.3 Las preguntas permiten evaluar la seguridad de la información desde los puntos de vista de cumplimiento (implementación), consideración (prioridad y ponderación), y evidencia. 1.4.4 Cabe señalar que existen en OFIN documentos relacionados con los dominios y controles de la norma. 1.5 Tras el análisis de las respuestas recibidas se obtuvieron los resultados siguientes: 1.5.1 Los subtotales de respuestas entregadas por las áreas representan un porcentaje bajo de las mismas. En promedio por área, del total de 1 157 preguntas obtuvimos 293 respuestas sobre cumplimiento (25%), 8 respecto a prioridades (0.6%), y 27 respecto a ponderaciones (2.3%). 1.5.2 Era de esperar el comportamiento anterior y se evidencia en el número de respuestas negativas sobre cumplimiento: 72% del total que ha sido respondido; y 18% por área. 1.5.3 En la tabla se evidencia que el enfoque de la seguridad está relacionado solamente con tareas operativas de rutina (dominios 05, 06 y 07). 1.5.4 Tomando como indicativo el dominio 06, se puede apreciar que las consideraciones no guardan relación entre prioridad y ponderación. Esto sugiere necesidad de conocimiento. 1.5.5 La carencia de evidencia pone en claro una carencia de la documentación mínima necesaria para dar soporte a los sistemas de información actuales. 1.5.6 Si bien existe una Política de seguridad, esta no es suficientemente conocida o no está suficientemente implementada. Dominio Control Descripción Respuesta positiva Respuesta negativa Respuesta parcial Altaprioridad Media prioridad Bajaprioridad Ponderación muybaja Ponderación baja Ponderación media Ponderación alta Ponderación muyalta Existe sustento Noexiste sustento 01 00 Política de seguridad 6 24 1 4 0 0 0 2 2 3 4 0 1 02 00 Organización de la seguridad de la información 15 70 4 2 2 0 8 0 1 2 1 1 1 03 00 Gestión de activos 6 25 0 0 0 0 0 0 0 0 0 0 0 04 00 Seguridad ligada a los recursos humanos 8 76 0 6 0 0 3 0 1 2 0 0 1 05 00 Seguridad física y del entorno 81 156 10 4 1 1 6 5 4 3 1 1 0 06 00 Gestión de comunicaciones y operaciones 101 170 13 10 2 2 15 8 11 6 7 2 5 07 00 Control de accesos 101 202 16 1 0 0 4 4 6 2 0 2 0 08 00 Adquisición, desarrollo y mantenimiento de sistemas de información 36 175 10 1 2 1 1 1 6 1 0 0 0 09 00 Gestión de incidentes de seguridad de la información 0 22 0 0 0 0 0 0 0 0 0 0 0 10 00 Gestión de la continuidad del negocio 1 63 4 0 0 0 4 1 2 0 1 0 0 11 00 Cumplimiento regulatorio 1 67 2 0 0 0 5 1 2 0 0 0 0 # controles 132 Subtotales de respuestas de los 132 controles 356 1050 60 28 7 4 46 22 35 19 14 6 8 # preguntas 1157 % de preguntas respondidas de las 1157 formuladas para los 132 6% 18% 1% 1% 0% 0% 1% 0% 1% 0% 0% 0% 0% áreas que respondieron 05 Proporción aproximada de respuestas por área considerando las áreas que respondieron (5) 71 210 12 6 1 1 9 4 7 4 3 1 2 áreas encuestadas 06 Proyección aproximada de respuestas por área (6) 85 252 14 7 1 1 11 5 8 5 4 1 2
  5. 5. 1.5.7 Aunque parece haber un cierto interés por la Organización de la seguridad de la información, no parece ser un tema prioritario y por tanto se le resta importancia. 1.5.8 La Gestión de activos, requerimiento base para la determinación de riesgos, no está realmente entre los puntos de interés y no se le da la importancia debida. 1.5.9 No es de extrañar que en algunos sistemas de información puedan no ser considerados con suficiencia y extensión aspectos relacionados con la seguridad, como auditoría y trazabilidad. 1.5.10 La Gestión de incidentes de seguridad de la información, tema importante y vital en cualquier organización, no se está contemplando adecuadamente; de hecho, no está siendo considerado en ninguna de las áreas. La sola perspectiva de que mantener un esquema apropiado de defensa perimetral o anti virus/spam, no es apropiado en estos tiempos; se requiere considerar el modelo moderno de defensa en profundidad, lo que incluye los sistemas de información. 1.5.11 Otro punto crítico es la Gestión de la continuidad del negocio, aspecto que si bien parece interesar, no es considerado un aspecto prioritario. 1.5.12 Es importante notar que en cuanto a Cumplimiento regulatorio, este dominio recibe una ponderación muy baja, siendo este tema vital, entre otros aspectos, para cumplir con las leyes de Transparencia y la de Datos Personales.

×