13/05/2024

GAP ISO 27001

Servicio de Consultoria: Analisis de Brechas ISO 27001

Guido Rosales 08/05/2019

Servicio de Consultoria:

Análisis del Nivel de Madurez de un Sistema de Gestión de Seguridad de la Información basado en ISO 27001.

Tenemos mas de 20 años evaluando sistemas de gestión SGSI basados en ISO 27001, desde la ISO 17799 hasta la ultima versión.

Aplicamos metodologías propias que nos permiten aportan un gran valor agregado al negocio. Ya sea para alinearse solamente o buscar una certificación.

La información es uno de los principales activos de las organizaciones, pudiendo llegar a poner en peligro su continuidad en caso de pérdida de la confidencialidad, integridad o disponibilidad de la información.

Por este motivo, son necesarios sistemas de protección adecuados, así como una correcta gestión de la seguridad.

La norma ISO/IEC 27001 nace con la finalidad de establecer las bases de un SGSI (Sistema de Gestión de la Seguridad de la Información) utilizando como marco de referencia las 12 áreas de actuación definidas en el Código de Buenas Prácticas en Gestión de la Seguridad de la Información identificadas en la norma ISO/IEC 27002.

La Seguridad de la Información, ya no es una opción o estilo de dirección, es una necesidad directa para la supervivencia de cualquier negocio. Después del recurso humano, la información marca la diferencia competitiva por lo cual los riesgos asociados a la gestión de la información se incrementan constantemente de la mano del desarrollo tecnológico.

El servicio está orientado a la determinación de brechas entre un Sistema de Gestión de la Seguridad implementado a nivel Institucional y el SGSI Sistema de Gestión de Seguridad de la Información planteado por la ISO 27001, con la finalidad de establecer el NIVEL DE MADUREZ.

Nuestra empresa ha desarrollado una metodología propia para evaluar tanto la seguridad de la información a nivel de gestión como la dimensión técnica.Tenemos la experiencia de haber Certificado nuestro SGSI y contar con uno de los Auditores ISO 27001 con mas experiencia. Siendo la primera Empresa en Bolivia del sector consultoria en Seguridad en haber logrado esta certificación. Y sin duda de las pocas en américa latina.

Nuestra experiencia también esta acompañada de certificaciones como Lead auditor de nuestro personal

 

Mantenemos una metodología propia denominada ANALISIS NETHO

 

 


Sin duda un importante aval son las certificaciones tanto como empresa como del personal consultor:

Certificado SGSI Empresarial y como Lead auditor. El primer trabajo es probar la teoría en uno mismo. Caso contrario no tienes moral para pregonar resultados ajenos.

La metodología NETHO permite un análisis en múltiples dimensiones. Con esta metodología los resultados pueden ser fácilmente agregados mostrando el GAP esperado en diferentes ámbitos..

Con esta metodología los resultados pueden ser fácilmente agregados mostrando el GAP esperado en diferentes ámbitos..

Falta empoderamiento de la función de Seguridad de la Información

Guido Rosales 19/03/2018

Autor: Guido Rosales

Tratamos de ser imaginativos para decirle al negocio que la unidad de seguridad necesita ser empoderada. Es decir, requiere ser dotada de AUTORIDAD, JERARQUÍA y PODER para realmente ser efectiva dentro el negocio.

Por supuesto que no son todos, pero solo veamos organigramas para responder donde pasa esto. Y salarios por supuesto. Si tu gerente de TI recibe el doble que tu supuesto "Gerente" de Seguridad, no será un tema de jerarquía, pero si de empoderamiento y consecuente autoridad.

La misma regla aplicamos a las comparativas con gerencias de ventas, créditos, operaciones contra sistemas y seguridad.

Ya no podemos decir que sea una quinta rueda del automóvil por cuanto su presencia ya es más participativa. Pero creo que paso de ser una rueda de auxilio, a ser un aditivo decorativo al momento de recibir la visita del Ente regulador o salir en los medios públicos para decir que la Entidad se preocupa por la seguridad.

Creo que ya pasamos de que sea la quinta rueda, pero aun falta. En algunos casos son como las cadenas que se usan para la nieve. Son convocados cuando el ENTE regulador visita con su talonario de multas.

 

En otros casos son como un talismán de la buena suerte!! a ver si con prenderles una vela se repele a los hackers!!

 

Debería haber un equilibrio caso contrario aún están en la época del talismán, la quinta rueda o las cadenas de seguridad para nieve.

¿En que basamos la opinión? Tanto en temas externos como campañas de marketing y publicidad que no contemplan la exposición y riesgo, así como en la capacidad de decisión que tienen las unidades de seguridad sobre la infraestructura de protección. Al final sigue siendo la unidad de TI que elije Antivirus, compra firewalls, gestores de logs y demás elementos que deberían ser tuición de las unidades de seguridad. Por supuesto en coordinación con TI, pero con el poder de decisión.

Se aprecia que los requerimientos de negocio no toman en cuenta la opinión de riesgo de la unidad de seguridad. O se les pregunta cuando el Ente regulador solicita tal documento.

El negocio debe darle el silbato a su unidad de seguridad junto con toda la autoridad para detener proyectos que salen a producción con debilidades de seguridad. Pero como pude mas la necesidad de salir en la foto, adelante, que después arreglamos.

Otro factor relevante que tomaremos en cuenta en otro articulo tiene que ver con la madurez del personal en la función de seguridad. Las entidades de regulación no están definiendo el perfil profesional que estos deben tener.

Asi que un ingeniero junior que sabe lanzar unos cuantos ataques de hacking, pronto es el Oficial de Seguridad, sin la suficiente barba como para sentarse en una mesa de Directorio o Comités de Negocio y defender el Riesgo en Seguridad. Falta del joven profesional? o del Sistema que lo ha contratado?

El resultado es muy claro. Las unidades de seguridad son avasalladas por el negocio, por TI y otras áreas con mayor poder en el negocio. Aun pasara mucha agua antes de que se entienda sobre el equilibrio de poderes.

Empoderar la unidad de seguridad no va con un MEMO de Poder, sino con un cambio en la mentalidad de los emigrantes digitales. el mundo esta cambiando. Deben actualizarse o ceder espacio al empuje de las nuevas tecnologías.

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023