Gap Analysis (Iso 27001)

NewNet ofrece el servicio donde se requiere realizar por medio de una consultoría el diagnostico actual del nivel de cumplimiento en Seguridad de la Información de cada cliente, mediante un Análisis de Brecha (GAP) bajo los lineamientos y requerimientos mínimos establecidos de la Norma Internacional ISO/IEC 27001:2013.

Características del Gap Analysis (ISO 27001)

El análisis se hace en dos partes: primero el análisis de los requerimientos exigidos en la norma ISO/IEC 27001:2013, y segundo el análisis de los controles descritos en el Anexo A de la norma ISO/IEC 27001:2013 y distribuidos en catorce (14) dominios.

Los requisitos exigidos por la norma se enmarcan en los siguiente numerales:

  • Contexto de la Organización
    Liderazgo
  • Planificación
  • Apoyo
  • Operación
  • Evaluación de desempeño
    Mejora

Los 14 dominios de la norma ISO/IEC 27001:2013 son:

  • Políticas de la Seguridad de la Información. Considera las políticas, normas y procedimientos relacionados con la posición de la organización en cuanto a la Seguridad de la Información.
  • Organización de la seguridad de la información. Contempla aspectos como la estructura organizacional, la asignación de responsabilidades y consideraciones de los riesgos relacionados con partes externas, y la computación móvil y el trabajo remoto.
  • Seguridad de los Recursos Humanos. Incluye el proceso de selección, los términos y condiciones laborales (manuales de funciones y responsabilidades de los empleados y usuarios), la educación y formación en seguridad, el proceso disciplinario (leyes, resoluciones, reglamentos, etc.) y la terminación de la relación laboral.
  • Gestión de activos. Hace referencia al inventario, clasificación y uso aceptable de los activos de información.
  • Control de acceso. Incluye aspectos como la gestión de usuarios (registro, privilegios, contraseñas), las responsabilidades de los usuarios (uso de contraseñas)
  • Criptografía: Está orientado al uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad o integridad de la información.
  • Seguridad física y del entorno. Hace referencia al acceso físico, la seguridad de las oficinas, la protección contra amenazas ambientales y disturbios de orden público, la seguridad y mantenimiento de los equipos y del cableado, el servicio de suministro y la reutilización y destrucción de equipos.
  • Seguridad de las operaciones. Contempla los procedimientos operacionales (gestión del cambio, documentación, copias de respaldo, planificación y criterios de aceptación de los sistemas, manejo de los medios de almacenamiento removibles, etc.)
  • Seguridad de las comunicaciones: Contempla los procedimientos para la seguridad en redes y el seguimiento (monitoreo) de los sistemas de información y la seguridad en el intercambio de información.
  • Adquisición, desarrollo y mantenimiento de sistemas: Hace referencia a los requisitos de seguridad y validación del sistema (datos de entrada y salida, procesamiento, integridad), cifrado, protección de los datos de prueba y del código fuente, en los procesos de adquisición y desarrollo de sistemas de información.
  • Relaciones con los proveedores: Se refiere a la seguridad de la información en las relaciones con proveedores y la gestión de entrega del servicio.
  • Gestión de incidentes de Seguridad de la Información Establece lo referente a los incidentes de seguridad de la información, como la identificación, las responsabilidades y procedimientos y el manejo de evidencia, entre otros.
  • Aspectos de seguridad de la información de la gestión de continuidad del negocio. Relacionado con los aspectos de seguridad de la información en los planes de continuidad, contingencia y de recuperación de desastres.
  • Cumplimiento. Contempla la revisión del cumplimiento de la normatividad interna y los requisitos legales aplicables (legislación aplicable, derechos de propiedad intelectual, etc.).
Caso de Éxito Metaza

Metaza, una compañía con 38 años en el mercado colombiano, que importa, transforma y comercializa acero, para el uso industrial. Ellos buscaban certificarse como OEA (Operador Económico Autorizado) ante la DIAN.

Para ayudarles a cumplir su objetivo, desde NewNet S.A. ejecutamos un proyecto constituido por una Auditoría de Controles de Seguridad al Proceso de Tecnología, seguido de esto, realizamos un Análisis de Vulnerabilidades a diferentes activos de la infraestructura, para después, hacer un ejercicio de Ethical Hacking. Con todo esto se hizo un plan de prevención y mitigación y un acompañamiento hasta que Metaza obtuviera la certificación OEA por parte de la DIAN.

Estamos comprometidos con apoyar a nuestros clientes a alcanzar sus objetivos.

    Contáctanos












    ACEPTA las políticas de datos personales, Consúltelas Aquí