Obtenga su Presupuesto Normas ISO en 1 Minuto AQUIObtenga su Presupuesto Normas ISO en 1 Minuto AQUI

Gap análisis – auditoría inicial ISO 27001

¿Por qué un Gap Análisis en ISO 27001?

Gap análisis - auditoria inicial ISO 27001

Realizar un Gap Análisis, es el siguiente paso para implantar una norma ISO 27001 está orientado en el objetivo de identificar las amenazas que ponen en peligro la confidencialidad, integridad y disponibilidad de la información. Se trata de evaluar la eficacia de los controles existentes dentro de la empresa y para determinar el perfil de riesgo.

Para ello deberemos realizar primeramente un análisis de las deficiencias (gap análisis) seguido de un análisis de riesgos, el cual debe abarcar no solo los aspectos tecnológicos sino que también debe incluir los procesos y las personas de la organización.

El primer punto a destacar es que no debemos confundir lo que es el gap análisis con la evaluación de riesgos ya que se trata de tareas que comparten el mismo objetivo de identificar las amenazas y deficiencias en la seguridad de la información en la empresa.

¿Qué es el Gap ANALISIS?

Se trata de realizar un análisis de todas y cada una de las cláusulas de la norma ISO 27001 tales como:

  • Política de la seguridad de la Información
  • Organización de la seguridad de la Información
  • Gestión de Activos
  • Control de Accesos
  • Criptografía
  • Seguridad física y ambiental
  • Seguridad de las operaciones
  • Seguridad de las comunicaciones
  • Relaciones con los proveedores
  • Gestión de Incidentes
  • Continuidad del Negocio

Se trata en definitiva de determinar el grado de cumplimiento o implementación en la empresa de estas cláusulas, utilizando un esquema gradual como el que sigue:

  • Nivel 0: Requisito inexistente, no se ha aplicado ni planificado
  • Nivel 1: Requisito Planificado, existe visibilidad temporal para su implementación
  • Nivel 2: Requisito en Borrador, se ha elaborado el plan concreto de implementación
  • Nivel 3: Requisito Incompleto, Se ha comenzado a aplicar pero de forma parcial
  • Nivel 4: Requisito Correcto, implementado pero no se han realizado aun pruebas de revisión y mejora
  • Nivel 5: Optimizado, implementado y con procesos de medición, revisión y mejora llevados a cabo con regularidad

En qué aspectos es Necesario el GAP Análisis

Según la norma ISO 27001 el GAP análisis no es obligatorio aunque si recomendable realizarlo para todos los aspectos principales de la norma sino solamente para aquellos controles que son aplicables a la actividad de la empresa.

En este punto hemos introducido un nuevo concepto que trataremos en artículos posteriores como es la declaración de Aplicabilidad. La declaración de Aplicabilidad y que realizaremos después del análisis de riesgos y su tratamiento, está directamente relacionada con el ANEXO A de la norma donde se nos describen todos los controles aplicables al tratamiento del riesgo en la empresa aunque según la nueva redacción de la Norma 2013 este capítulo queda abierto a la interpretación de cada tipo de negocio pudiéndose aplicar otros o proponer controles nuevos, pero esto también será objeto de un punto específico que trataremos en otro capítulo.

En definitiva el GAP ANALISIS se realizara de forma obligatoria para todos controles que aparecen en el Anexo A.

CONCLUSIONES

Resumiendo, el GAP Análisis nos indica lo lejos o cerca que estamos de los requisitos de la norma ISO 27001 y de implementar los controles correspondientes pero no nos dice en concreto los riesgos en la seguridad de la Información a los que estamos sometidos ni que controles hemos de implementar para la mitigación o eliminación de dichas amenazas. Este será un tema que trataremos exactamente en lo que viene a continuación: La evaluación de riesgos, que si nos indica qué incidentes pueden ocurrir y que controles podemos implementar. EL Gap análisis si nos aporta por otro lado una visión general de que controles ya se están implementando.

Finalmente podemos concluir que otro aporte de la realización del GAP análisis es tener el conocimiento de donde nos encontramos en este momento ante la implementación de la Norma ISO 27001, sin embargo si queremos conocer además cual es el esfuerzo necesario para ello deberemos completar este estudio con el análisis de riesgos que nos determine el alcance real de la implementación de los controles Necesarios.

En INGERTEC somos expertos en implantar sistemas de gestión de la seguridad de la información como miembro fundadores de la UTE 27001 y proveedores oficiales del INCIBE perteneciente al Ministerio de Industria

 

!Conozca el presupuesto para implantar la norma ISO 27001!


Presupuesto On Line ISO 27001 Seguridad de la Información

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Referencias Sector TIC

Referencias INGERTEC Sector Tic - Garantía de un trabajo bien hecho

Contacte con nosotros

  •   Acepto la Política de privacidad

Donde estamos

DELEGACION CENTRO
[Tel.91 748 23 38]
Madrid
Paseo de la Castellana 259
Torre de Cristal
DELEGACION NOROESTE
[Tel.93 550 08 94]
Barcelona
Edif. Este, Moll de Barcelona, s/n DELEGACION SUR
[Tel.957 41 04 27]
Sevilla
Córdoba
Avda. Torrecilla s/n, Centro
Industrial La Torre nave 38
DELEGACION NORTE
Navarra [Tel.:948 985 753]
C/ Mayor Nº 15
Burlada
Logroño
[Tel.:946 545 010]
General Vara de Rey 64
DELEGACION NOROESTE
[Teléfono 881 242 869]
A Coruña
Calle Rua de Amio 114
Llamada gratuita 900 897 931

Autopresupuesto sin compromiso

Rellene este formulario y recibirá automáticamente el presupuesto en su email



Sector Servicios
Sector Fabricación
Otros

Si
No