| 25 años generando CONFIANZA
ISO 27001:2013
¿Qué es un diagnóstico de la Seguridad de la Información?
El diagnóstico de la seguridad de la información es el acto de investigar y analizar los riesgos asociados a los procesos del propio negocio y su entorno.
Un diagnóstico eficaz va a permitir:
- Conocer los activos y recursos a proteger, los puntos vulnerables de cada proceso y las amenazas asociadas.
- Evaluar la viabilidad y efectividad de los controles de reducción a la exposición de amenazas que se están desarrollando.
- Identificar el nivel de riesgo aceptable para que la organización pueda existir.
- Calcular el coste del impacto de materialización de las amenazas identificadas.
- Valorar la capacidad de recuperación frente a incidentes y la probabilidad de continuidad de los procesos del negocio.
- Elaborar planes de acción para la mejora y solución de los puntos críticos.
¿Qué se debe diagnosticar?
Las organizaciones se estructuran en sistemas con el fin de alcanzar unos objetivos mediante la aplicación de procesos. Por ello, para el diagnóstico eficiente de seguridad de la información se recomienda el análisis funcional de la organización, considerando las siguientes áreas:
- Sistema de gestión, políticas, planes de seguridad y base reglamentaria.
- Inventario de Hardware, Software y la evaluación de su valor real y de pérdida.
- Seguridad de la red e Internet.
- Accesos remotos y uso de servicios de acceso a aplicaciones de la organización.
- Publicaciones de la organización.
- Ordenadores de mesa y estaciones de trabajo en red.
- Seguridad física y ambiental de la Edificación.
- Fronteras de responsabilidades y disciplina tecnológica de la red.
Todas ellas deben estar identificadas e inventariadas. Así mismo, de cada una de ellas deben verificarse diferentes aspectos básicos relacionados con la normativa vigente, la aplicabilidad al caso real de la organización, la eficiencia del control ejercido, el valor económico, la empleabilidad y la formación del personal encargado.
¿Cómo se debe realizar el diagnóstico?
El diagnóstico de la seguridad de la información propone un enfoque sistémico y por objetivos, aplicado a los principios básicos de evidencia, análisis, síntesis y de control. El procedimiento para acometer el diagnóstico se puede resumir en las siguientes fases:
- Presentar el programa de diagnóstico con la definición de los objetivos, identificación de activos y recursos, técnicas a aplicar, recursos disponibles y temporalización.
- Contar con personal formado y cualificado oficialmente que sea capaz de verificar y revisar los equipos y aplicaciones informáticas, la red y el personal a cargo.
- Establecer un expediente que registre evidencias, organice la documentación solicitada, recopile actas y material relacionados con las pruebas realizadas.
- Presentar un informe con los resultados del diagnóstico que recoja la identificación del sistema, las fechas de ejecución, el equipo encargado, los criterios de medición y objetivos comprobados, los resultados finales, los elementos no conformes, una conclusión final y una serie de recomendaciones de mejora.
ISOTools es la plataforma tecnológica que permite ejecutar el diagnóstico de seguridad desde el momento cero, aplicando el enfoque a procesos para evaluar globalmente todas las áreas de la organización.
ISOTools cumple los objetivos del diagnóstico, facilita determinar el GAP de la organización con respecto a los niveles de madurez requeridos, evaluar los riesgos, analizar los controles y poder determinar un Plan de Acción, para comenzar a trabajar en los procesos críticos para la organización.
Las ventajas que ofrece la automatización del proceso de diagnóstico con ISOTools son:
- Fácil identificación de activos y recursos a diagnosticar.
- Permite una evaluación individual intuitiva, mediante un cuestionario equilibrado en alcance y precisión.
- Aplicabilidad para diferentes diagnósticos basados en modelos contrastados y la participación de expertos.
- Fomenta el entorno colaborativo mediante el uso de herramientas para gestionar y alcanzar una evaluación consensuada.
ISOTools ofrece un conjunto de potentes aplicaciones parametrizables que ayudan a alas organizaciones en todas las fases del diagnóstico de la Seguridad de la Información: evaluación del riesgo, evaluación de la eficacia de controles, check list, incidentes TI, gestión de reports e indicadores.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...