C.3. Conducir una evaluación de SI

Propósito

Contrastar los objetivos deseados contra la situación actual de la seguridad de la información de la organización a través de la evaluación de la seguridad de la información.

Entradas

Salidas de la actividad B.4. Integrar cada uno de los alcances y límites
Salidas de la actividad B.5. Desarrollar las políticas del SGSI y obtener aprobación de la dirección.
Salidas de la actividad C.1. Definir los requerimientos de SI.
Salidas de la actividad C.2. Identificar activos dentro del alcance del SGSI.

Herramientas y técnicas

Técnica Delphi: Técnica usada para alcanzar el consenso de expertos, en el que cada uno participa de forma anónima y un facilitador centraliza cada opinión de forma iterativa hasta que no exista otra re evaluación.
Juicio de expertos: Descrito en el punto A.3.
Inspección: Incluye actividades para validar que los entregables cumplan las especificaciones y documentar la finalización de cada entregable.

Recomendaciones

La evaluación de la seguridad de la información consiste en reconocer el nivel de seguridad actual para analizar las vulnerabilidades que conduzcan a la mejora continua, es recomendable que esta evaluación sea realizada por un parte externa de la organización, para no ingresar en un conflicto de intereses, dicha evaluación se llevará a través de lo siguiente:

Estudiar los antecedentes de los procesos críticos.
Identificar y listas los estándares relevantes de la organización.
Clasificar los activos de información en alineación con los objetivos de negocio.
Analizar los requerimientos de la organización haciendo foco en los procesos críticos del negocio.
Diseñar gráficos que explique y sustente la situación actual en base a los requerimientos de seguridad de la información.
Determinar los controles deficientes y realizar la comparación con los requerimientos ya identificados.
Elaborar un documento que consolide el estado actual.

Salidas

Documento consolidando el estado de la evaluación de seguridad de la organización y las vulnerabilidades evaluadas.

SGSI

Sistema de gestión de seguridad de la Información

C.3. Conducir una evaluación de SI

Propósito

Contrastar los objetivos deseados contra la situación actual de la seguridad de la información de la organización a través de la evaluación de la seguridad de la información.

Entradas

Salidas de la actividad B.4. Integrar cada uno de los alcances y límites

Salidas de la actividad B.5. Desarrollar las políticas del SGSI y obtener aprobación de la dirección.

Salidas de la actividad C.1. Definir los requerimientos de SI.

Salidas de la actividad C.2. Identificar activos dentro del alcance del SGSI.

Herramientas y técnicas

Técnica Delphi: Técnica usada para alcanzar el consenso de expertos, en el que cada uno participa de forma anónima y un facilitador centraliza cada opinión de forma iterativa hasta que no exista otra re evaluación.

Juicio de expertos: Descrito en el punto A.3.

Inspección: Incluye actividades para validar que los entregables cumplan las especificaciones y documentar la finalización de cada entregable.

Recomendaciones

Salidas

Introducción

ISO/IEC 27001

Become Our Friend

SGSI

27001