ISO 27001 FASE 1 Auditoria Inicial Análisis GAP

por | Feb 5, 2025 | Seguridad Informática | 0 Comentarios

Bienvenidos a esta guía sobre ISO 27001 FASE 1 Auditoria Inicial Análisis GAP. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Análisis de Brechas GAP en ISO 27001: Qué es y cuál es su importancia

El análisis de brechas GAP es una metodología utilizada para evaluar las diferencias entre el estado actual de los sistemas de información de una organización y el nivel de cumplimiento requerido por la norma ISO 27001. Este proceso permite determinar qué tan alineada está la organización con los requisitos de la norma y qué medidas deben tomarse para lograr la conformidad.

El término «GAP» hace referencia a la brecha existente entre la situación actual («donde estamos») y la situación deseada («donde queremos estar»). De esta manera, el análisis de brechas funciona como una herramienta clave para identificar deficiencias y definir los recursos necesarios para alcanzar los objetivos de seguridad de la información.

Función del Análisis de Brechas GAP en la Implementación de ISO 27001

Este análisis juega un papel fundamental en la implementación de ISO 27001, ya que permite evaluar el nivel de cumplimiento con la norma y sus controles. En esencia, se asemeja a una auditoría inicial que ofrece una visión clara del grado de implantación de la norma dentro de la organización.

Realizar un análisis de brechas GAP tiene dos propósitos principales:

  1. Establecer el punto de partida para la implementación de ISO 27001, facilitando la planificación de recursos y la definición de los esfuerzos necesarios para cumplir con la norma.
  2. Servir como herramienta de evaluación continua durante el proceso de implementación, permitiendo medir el progreso y ajustar estrategias en función de los resultados obtenidos.

Diferencia entre Análisis de Brechas GAP y Análisis de Riesgos

Es importante no confundir el análisis de cumplimiento de la norma ISO 27001 con el análisis de riesgos. Aunque ambos son procesos esenciales en la gestión de la seguridad de la información, tienen enfoques y objetivos distintos.

El análisis de cumplimiento o brechas GAP se centra en identificar qué requisitos y controles de la norma han sido implementados y en qué medida. Su propósito es evaluar el grado de cumplimiento con ISO 27001 y definir las acciones necesarias para cerrar las brechas existentes.

Por otro lado, el análisis de riesgos busca identificar las amenazas y vulnerabilidades que pueden afectar la seguridad de la información. A partir de este análisis, se determinan los controles de seguridad que realmente se necesitan para mitigar los riesgos identificados. En otras palabras, mientras el análisis de brechas mide el nivel de cumplimiento con la norma, el análisis de riesgos justifica la implementación de controles específicos basados en amenazas concretas.

Cuándo Realizar un Análisis de Brechas GAP

El momento adecuado para llevar a cabo un análisis de brechas GAP depende del tamaño y el alcance del proyecto de implementación de ISO 27001. En general, se recomienda realizar este análisis antes de iniciar la implementación de la norma, ya que permite obtener una visión clara de la situación inicial y planificar de manera efectiva los recursos necesarios.

En versiones anteriores de ISO 27001, el análisis GAP también era de gran utilidad para elaborar la Declaración de Aplicabilidad. Sin embargo, en la versión actual de la norma (ISO 27001:2013), primero se debe realizar un análisis de riesgos para determinar el alcance real de los controles a implementar.

Recomendación Clave para el Análisis de Brechas GAP

Para obtener un informe de auditoría inicial sobre el cumplimiento de la norma, se recomienda llevar a cabo un análisis de brechas GAP antes de comenzar el proyecto. Esto permitirá evaluar los requisitos generales de la norma y establecer un punto de referencia claro.

Además, al combinar este análisis con un estudio de riesgos, se puede generar un informe detallado sobre el estado de cumplimiento de los controles de seguridad, facilitando la elaboración de la Declaración de Aplicabilidad y el diseño de un plan de acción eficaz para la implementación de ISO 27001.

Cómo Realizar un Análisis de Brechas GAP en la Seguridad de la Información

El análisis de brechas GAP en seguridad de la información es un proceso fundamental para evaluar el nivel de cumplimiento de una organización con respecto a un estándar o normativa específica, como la ISO 27001. Para llevarlo a cabo de manera efectiva, es recomendable utilizar un modelo de madurez que permita medir el grado de implementación y eficacia de los controles internos.

Los modelos de madurez más utilizados incluyen NIST, CITI-ISEM, COBIT, SSE/CM y CERT/CSO, los cuales generalmente establecen entre cinco y seis niveles de madurez. Estos modelos han sido diseñados para la gestión de servicios de TI, permitiendo evaluar cómo se desarrollan los procesos en relación con los controles internos establecidos. En el contexto de la seguridad de la información, estos modelos ayudan a determinar la madurez de la organización respecto a la norma ISO 27001, identificando las brechas existentes y proponiendo mejoras.

Importancia del Análisis de Brechas GAP en la Seguridad de la Información

El análisis GAP no solo ayuda a identificar deficiencias en el sistema de gestión de seguridad de la información (SGSI), sino que también proporciona una guía clara para implementar mejoras. Como resultado, la organización puede optimizar sus controles internos y aumentar su nivel de madurez, logrando una mayor alineación con los requisitos normativos.

Cabe destacar que los niveles de madurez no representan un objetivo en sí mismos, sino que sirven como una herramienta de evaluación para medir la eficacia de los controles internos y su alineación con los objetivos del SGSI. Además, el análisis GAP permite estructurar un plan de acción basado en mejores prácticas, estableciendo prioridades en la implementación de medidas correctivas.

Ventajas de Realizar un Análisis de Brechas mediante un Modelo de Madurez

Aplicar un modelo de niveles de madurez para el análisis de brechas en seguridad de la información aporta beneficios significativos a la organización, entre los cuales se destacan:

  • Proporciona un marco estructurado para la implementación de un programa de seguridad integral.
  • Permite a la gerencia comprender el estado actual de la seguridad y definir prioridades en la aplicación de controles.
  • Facilita el alineamiento con estándares de mejores prácticas, como ISO 27001.
  • Evalúa la existencia y el grado de implementación de los 11 controles (dominios) de la norma ISO 27001.

Niveles de Madurez en el Análisis GAP

Para realizar un análisis efectivo, es necesario considerar los diferentes niveles de madurez que pueden presentar los controles internos de la organización:

  • No existencia (Nivel 0): No se reconoce la necesidad del control o requisito.
  • Ad-hoc (Nivel 1): Se reconoce la necesidad del control, pero solo se aplica en casos específicos.
  • Ejecutado (Nivel 2): Existen controles, pero no están documentados formalmente.
  • Definido (Nivel 3): Los controles están documentados y operan de manera consistente.
  • Manipulable y medible (Nivel 4): Se establecen métricas para evaluar la eficacia de los controles.
  • Optimizado (Nivel 5): Se implementa un proceso de mejora continua basado en la evaluación de los controles.

Determinación del Nivel de Cumplimiento

Para evaluar el nivel de cumplimiento de la organización con respecto a la norma ISO 27001, se recomienda el uso de cuestionarios que permitan analizar la aplicación de los diferentes controles de seguridad. Dichos cuestionarios deben estar diseñados con base en los controles estándar de la norma, permitiendo obtener valores precisos de madurez.

Estos cuestionarios deben abordar aspectos clave de cada uno de los 11 controles de la ISO 27001, incluyendo políticas de seguridad, gestión de activos, control de accesos, seguridad física y ambiental, entre otros. De esta manera, se puede establecer un diagnóstico claro del estado actual de la seguridad de la información en la organización y definir un plan de mejora continuo.

En conclusión, el análisis de brechas GAP basado en un modelo de madurez es una estrategia efectiva para evaluar y mejorar el sistema de gestión de seguridad de la información. Al proporcionar una visión clara del estado actual y las áreas de mejora, este análisis permite fortalecer la seguridad organizacional y garantizar el cumplimiento con los estándares internacionales.

TEST EJEMPLO DE CUMPLIMIENTO NORMATIVO ISO 27001

4 La Organización y su Contexto


4.1 Entendiendo la Organización y su contexto
1.- ¿Están identificados los objetivos del SGS Sistema de Gestión de la Seguridad de la Información?
2.- ¿Se han identificado las cuestiones internas y externas relacionadas con la Seguridad de la
Información?
3.- ¿Se han identificado como las partes internas y externas pueden suponer amenazas o riesgos para
la seguridad de la Información?

4.2 Expectativas de las partes interesadas
1.- ¿Se han identificado las partes interesadas?
2.- ¿Existe un listado de requisitos sobre Seguridad de la Información de las partes interesadas?
3.- ¿Existe un listado de requisitos sobre Seguridad de la Información referente a reglamentos,
requisitos legales y requisitos contractuales?

4.3 Alcance del SGSI
1.- ¿Se ha determinado el alcance del SGS y se conserva información documentada?
4.4 SGS Sistema de Gestión de la Seguridad de la información
1.- ¿El sistema de Gestión de Seguridad de la información SGSI está establecido, implementado y se
revisa de forma planificada considerando oportunidades de mejora?

5 Liderazgo


5.1 Liderazgo y compromiso
1.- ¿Se han establecido objetivos de la Seguridad de la Información acordes con los objetivos del
negocio?
2.- ¿La dirección provee de los recursos materiales y humanos necesarios para el cumplimiento de los
objetivos del SGSI?
3.- ¿La dirección revisa directamente la eficacia del SGSI para garantizar que se cumplen los objetivos
del SGSI?

5.2 Política de la Seguridad de la Información
1.- ¿Se ha definido una Política de la Seguridad de la Información?
2.- ¿Se ha establecido un marco que permita el establecimiento de objetivos?
3.- ¿Se ha comunicado la política de la Seguridad de la información a las partes interesadas y a toda la
empresa?
4.- ¿Se mantiene información documentada de la política del SGSI y de sus objetivos?

5.3 Roles y Responsabilidades

1.- ¿Se han asignado las responsabilidades y autoridades sobre la Seguridad de la Información?
2.- ¿Se han comunicado convenientemente las responsabilidades y autoridades para la Seguridad de
la Información?

6 Planificación


6.1 Tratamiento de Riesgos y Oportunidades
1.- ¿El plan para abordar riesgos y oportunidades considera las expectativas de las partes interesadas
en relación a la Seguridad de la Información?
2.- ¿Se identifican y analizan los riesgos mediante un método de evaluación y aceptación de riesgos?
3.- ¿Se ha definido un proceso de tratamiento de riesgos?
4.- ¿Se han establecido criterios para elaborar una declaración de aplicabilidad?
5.- ¿Se mantiene información documentada de los puntos anteriores?

6.2 Planificación para consecución de objetivos
1.- ¿Se han establecido objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio?
2.- ¿Los objetivos de la Seguridad de la Información están planificados mediante?
-Asignación de responsabilidades
-Cronograma de ejecución temporal
-Método de evaluación
3.- ¿Se han integrado los objetivos de la Seguridad de la Información en los procesos de la
organización teniendo en cuenta las funciones principales dentro de la Organización?

7 Soporte

7.1 Recursos
1.- ¿Se identifican y asignan los recursos necesarios para el SGSI?

7.2 Competencia
1.- ¿Se evalúa la competencia en materias de Seguridad de la Información para personas que efectúan
tareas que puedan afectar a la seguridad?
2.- ¿Se mantiene información actualizada sobre la competencia del personal?

7.3 Concienciación
1.- ¿El personal está involucrado y es consciente de su papel en la Seguridad de la Información?
2.- ¿Existe conciencia de los daños que se pueden producir de no seguir las pautas de la Seguridad de
la Información?


7.4 Comunicación
1.- ¿Se comunica la política de la Seguridad de la Información con las responsabilidades de cada uno?

2.- ¿Existe un proceso para comunicar las deficiencias o malas prácticas en la seguridad de la
Información?


7.5 Información Documentada
1.- ¿Se dispone de la documentación requerida por la norma más la requerida por la organización
incluyendo?
-La política de la Seguridad de la Información y el alcance del Sistema de Gestión
-Los procesos principales de la seguridad de la Información
-Los Documentos exigidos por la Norma ISO 27001 incluyendo registros
-Los Documentos propios de Seguridad de la Información identificados por la empresa
(instrucciones técnicas etc.)
2.- ¿Existe un control documental donde se verifica?
-Quien publica el documento
-Quien lo autoriza y como se revisan
-Formatos y Soportes de publicación
-Su almacenamiento y protección
3.- ¿Se controlan los documentos de origen externo?

8 Operación

8.1 Control Operacional
1.- ¿Los procesos de seguridad de la Información están documentados para controlar que se realizan
según lo planificado?
2.- ¿Existe un proceso para evaluar los riesgos en la Seguridad de la Información antes de realizar
cambios en el Sistema de Gestión o procesos de Seguridad?
3.- ¿Se establecen medidas y planes para mitigar los riesgos en la Seguridad de la Información ante
cambios realizados?
4.- ¿Se identifican y controlan los procesos externalizados en cuanto a los riesgos para la Seguridad de
la Información?

8.2 Análisis de riesgos de la Seguridad de la Información
1.-¿Se ha establecido un proceso documentado de análisis y evaluación de riesgos para la Seguridad
de la Información donde se identifique?
-El propietario del riesgo
-La importancia del riesgo o nivel de impacto
-La probabilidad de ocurrencia

8.3 Tratamiento de riesgos de la Seguridad de la Información
1.-¿Se ha implementado un plan de tratamiento de riesgos dónde?
-Los propietarios del riesgo están informados y han aprobado el plan
-Se documentan los resultados
2.- ¿Se identifican todos los controles necesarios para mitigar el riesgo justificando su aplicación?
3.- ¿Se documenta el nivel de aplicación de todos los controles a aplicar?

9 Evaluación del desempeño

9.1 Seguimiento y medición
1.- ¿Se ha establecido un proceso continuo de monitoreo de los aspectos clave de la seguridad de la
información teniendo en cuenta los controles para la seguridad de la información?
2.-¿Se ha establecido un proceso documentado para evaluar los resultados de las mediciones y de
que estos resultados son tomados en cuenta por los responsables tanto de los procesos como de la
Seguridad de la Información?

9.2 Auditorías Internas
1.- ¿Se ha establecido una programación de Auditorías Internas y asignado responsables?
2.- ¿Se ha definido el alcance y los requisitos para el informe de auditoría?
3.- ¿Se consideran acciones correctivas y propuestas de cambio en los informes de auditoría?

9.3 Informe de Revisión por la Dirección
1.- ¿Existe una programación para los informes de la dirección y existe constancia de su realización
periódica?
2.- ¿Se documentan los resultados de los informes y la dirección se implica tanto en su conocimiento
como en la toma de decisiones sobre los aspectos cruciales para el SGSI?

10 Mejora

10.1 No Conformidades y acciones correctivas
1.- ¿Existe un procedimiento documentado para identificar y registrar las no conformidades y su
tratamiento?
2.- ¿Dentro de las acciones correctivas existe una diferenciación entre acciones correctivas sobre la no
conformidad y sobre las causas de la misma?

10.2 Mejora continua
1.- ¿Existe un proceso para garantizar la mejora continua del SGSI identificando las oportunidades de
mejora?

TEST EJEMPLO DE CUMPLIMIENTO CONTROLES ANEXO A ISO 27001

A5.- Políticas de Seguridad de la Información

A5.1 Dirección de gestión para la seguridad de la información
1 ¿La dirección ha publicado y aprobado las políticas sobre la Seguridad de la Información acordar con los requisitos del negocio?

2 ¿Existe un proceso planificado y verificable de revisión de las políticas de Seguridad de la información?

A6.- Organización de la Seguridad de la Información

A6.1
1 ¿Se han asignado y definido las responsabilidades sobre la seguridad de la Información en las distintas tareas o actividades de la organización?

2 ¿Se han segregado las diversas áreas de responsabilidad sobre la Seguridad de la Información para evitar usos o accesos indebidos?

3 ¿Existe un proceso definido para contactar con las autoridades competentes ante incidentes relacionados con la Seguridad de la Información?

4 ¿Existen medios y se han establecido contactos con grupos de interés y asociaciones relacionadas con la seguridad de la información para mantenerse actualizado en noticias e información sobre Seguridad?

5 ¿Existen requisitos para afrontar cuestiones sobre la seguridad de la información en la gestión de proyectos de la organización?

A6.2 Dispositivos Móviles y Teletrabajo
1 ¿Se consideran requisitos especiales para la Seguridad de la Información en la utilización de dispositivos móviles?

2 ¿Se aplican los criterios de Seguridad para los accesos de teletrabajo?

A7.- Seguridad en los Recursos Humanos

A7.1 Antes de contratar a un empleado
1 ¿Se investigan los antecedentes de los candidatos?
-Formación
-Experiencia
-Verificar Titulación
-Referencias

2 ¿Se incluyen cláusulas relativas a la Seguridad de la Información en los contratos de trabajo?

A7.2 Durante el contrato
1 ¿El cumplimiento de las responsabilidades sobre la Seguridad de la Información es exigida de forma activa a empleados y contratistas?

2 ¿Existen procesos de información, formación y sensibilización sobre las responsabilidades sobre la Seguridad de la Información?

3 ¿Existe un plan disciplinario donde se comunica a los empleados y contratistas las consecuencias de los incumplimientos sobre las políticas de la Seguridad de la Información?

A7.3 Terminación del contrato
1 ¿Existe un procedimiento para garantizar la Seguridad de la Información en los cambios de empleo, puesto de trabajo o al finalizar un contrato?

2 ¿Se definen responsabilidades sobre la Seguridad de la información que se extiendan más allá de la finalización de un contrato como por ejemplo cuestiones relativas a la confidencialidad de la Información?

A8.- Gestión de Activos

A8.1 Responsabilidad sobre los Activos
1 ¿Se ha realizado un inventarios de activos que dan soporte al negocio y de Información?

2 ¿Se ha identificado al responsable de cada activo en cuanto a su seguridad?

3 ¿Se han establecido normas para el uso de activos en relación a su seguridad?

4 ¿Existe un procedimiento para la devolución de activos cedidos a terceras partes o a la finalización de un puesto de trabajo o contrato?

A8.2 Clasificación de la Información
1 ¿Se clasifica la información según su confidencialidad o su importancia en orden a establecer medidas de seguridad especificas?

2 ¿Los activos de información son fácilmente identificables en cuanto a su grado de confidencialidad o su nivel de clasificación?

3 ¿Existen procedimientos para el manipulado de la información de acuerdo a su clasificación?

A8.3 Manipulación de Soportes
1 ¿Existen controles establecidos para aplicar a soportes extraíbles?
-Uso
-Cifrado
-Borrado
-Etc.

2 ¿Existen procedimientos establecidos para la eliminación de soportes?

3 ¿Existen procedimientos para el traslado de soportes de información para proteger su seguridad?
-Control de salidas
-Cifrado etc.

A9.- Control de Acceso

A9.1 Requisitos generales para el control de acceso
1 ¿Existe una política para definir los controles de acceso a la información que tengan en cuenta el acceso selectivo a la información según las necesidades de cada actividad o puesto de trabajo?

2 ¿Se establecen accesos limitados a los recursos y necesidades de red según perfiles determinados?

A9.2 Accesos de Usuario
1 ¿Existen procesos formales de registros de usuarios?

2 ¿Existen procesos formales para asignación de perfiles de acceso?

3 ¿Se define un proceso específico para la asignación y autorización de permisos especiales de administración de accesos?

4 ¿Se ha establecido una política específica para el manejo de información clasificada cono secreta ? en cuanto a:
-Autenticación
-Compromisos

5 ¿Se establecen periodos concretos para renovación de permisos de acceso?

6 ¿Existen un proceso definido para la revocación de permisos cuando se finalice una actividad, puesto de trabajo o cese de contratos?

A9.3 Responsabilidades de los usuarios
1 ¿Se establecen normas para la creación y salvaguarda de contraseñas de acceso?

A9.4 Control de acceso a sistemas y aplicaciones
1 ¿Se establecen niveles y perfiles específicos de acceso para los sistemas de Información de forma que se restringa la información a la actividad específica a desarrollar?

2 ¿Se han implementado procesos de acceso seguro para el inicio de sesión considerando limitaciones de intentos de acceso, controlando la información en pantalla etc.?

3 ¿Se establecen medidas para controlar el establecimiento de contraseñas seguras?

4 ¿Se controla la capacitación y perfil de las personas que tienen permisos de administración con perfiles bajos de Seguridad?

5 ¿Se restringe el acceso a códigos fuente de programas y se controla cualquier tipo de cambio a realizar?

A10.- Criptografía

A10.1 Control criptográfico
1 ¿Existe una política para el establecimiento u yo de controles criptográficos?

2 ¿Existe un control del ciclo de vida de las claves criptográficas?

A11.- Seguridad Física y del entorno

A11.1 Áreas de Seguridad
1 ¿Se establecen perímetros de seguridad física donde sea necesario con barreras de acceso?

2 ¿Existen controles de acceso a personas autorizadas en áreas restringidas?

3 ¿Se establecen medidas de seguridad para zonas de oficinas para proteger la información de pantallas etc. en áreas de accesibles a personal externo?

4 ¿Se controla o supervisa la actividad de personal que accede a áreas seguras?

5 ¿Se controlan las áreas de Carga y descarga con procedimientos de control de mercancías entregadas etc.?

A11.2 Seguridad de los equipos
1 ¿Se protegen los equipos tanto del medioambiente como de accesos no autorizados?
2 ¿Se protegen los equipos contra fallos de suministro de energía?
3 ¿Existen protecciones para los cableados de energía y de datos?
4 ¿Se planifican y realizan tareas de mantenimiento sobre los equipos?
5 ¿Se controlan y autorizan la salida de equipos, aplicaciones etc. Que puedan contener información?
6 ¿Se consideran medidas de protección específicas para equipos que se utilicen fuera de las instalaciones de la propia empresa?
7 ¿Se establecen protocolos para proteger o eliminar información de equipos que causan baja o van a ser reutilizados?
8 ¿Se establecen normas para proteger la información de equipos cuando los usuarios abandonan el puesto de trabajo?
9 ¿Se establecen reglas de comportamiento para abandonos momentáneos o temporales del puesto de trabajo?

A12.- Seguridad en las Operaciones

A12.1 Procedimientos y responsabilidades
1 ¿Se documentan los procedimientos y se establecen responsabilidades?

2 ¿Se controla que la información sobre procedimientos se mantenga actualizada?

3 ¿Se dispone de un procedimiento para evaluar el impacto en la seguridad de la información ante cambios en los procedimientos?

4 ¿Se controla el uso de los recursos en cuanto al rendimiento y capacidad de los sistemas?

5 ¿Los entornos de desarrollo y pruebas están convenientemente separados de los entornos de producción?

A12.2 Protección contra software malicioso
1 ¿Existen sistemas de detección para Software malicioso o malware?

A12.3 Copias de Seguridad
1 ¿Se ha establecido un sistema de copias de seguridad acordes con las necesidades de la información y de los sistemas?

A12.4 Registros y supervisión
1 ¿Se realiza un registro de eventos?
-Intentos de acceso fallidos/exitosos
-Desconexiones del sistema
-Alertas de fallos Etc.

2 ¿Se ha establecido un sistema de protección para los registros mediante segregación de tareas o copias de seguridad?

3 ¿Se protege convenientemente y de forma específica los accesos o los de los administradores?

4 ¿Existe un control de sincronización de los distintos sistemas?

A12.5 Control del Software
1 ¿Las instalaciones de nuevas aplicaciones SW o modificaciones son verificadas en entornos de prueba y existen protocolos de seguridad para su instalación?

A12.6 Vulnerabilidad Técnica
1 ¿Se establecen métodos de control para vulnerabilidades técnicas «hacking ético» etc.?

2 ¿Se establecen medidas restrictivas para la instalación de Software en cuanto a personal autorizado evitando las instalaciones por parte de usuarios finales?

A12.7 Auditorias de Sistemas de Información
1 ¿Existen mecanismos de auditorías de medidas de seguridad de los sistemas?

2 ¿Se establecen protocolos específicos para desarrollo de auditorías Software considerando su impacto en los sistemas?

A13.- Seguridad en las Comunicaciones

A13.1 Seguridad de Redes
1 ¿En el entorno de red se gestiona la protección de los sistemas mediante controles de red y de elementos conectados?

2 ¿Se establecen condiciones de seguridad en los servicios de red tanto propios como subcontratados?

3 ¿Existe separación o segregación de redes tomando en cuenta condiciones de seguridad y clasificación de activos?

A13.2 Intercambio de Información
1 ¿Se establecen políticas y procedimientos para proteger la información en los intercambios?

2 ¿Se delimitan y establecen acuerdos de responsabilidad en intercambios de información con otras entidades?

3 ¿Se establecen normas o criterios de seguridad en mensajería electrónica?

4 ¿Se establecen acuerdos de confidencialidad antes de realizar intercambios de información con otras entidades

A14.- Adquisición, desarrollo y mantenimiento de sistemas de información


A14.1 Intercambio de Información
1 ¿Se definen y documentan los requisitos de Seguridad de la Información para los nuevos sistemas de Información?

2 ¿Se especifican los requisitos de Seguridad de la información en el diseño de nuevos sistemas?

3 ¿Se consideran requisitos de seguridad específicos para accesos externos o de redes públicas a los sistemas de información?

4 ¿Se establecen medidas de protección para transacciones Online?

A14.2 Seguridad en los procesos de Soporte
1 ¿Se establecen procedimientos que garanticen el desarrollo seguro del Software?

2 ¿Se gestiona el control de cambios en relación al impacto que puedan tener en los sistemas?

3 ¿Se establecen procedimientos de revisión después de efectuar cambios o actualizaciones?

4 ¿Se establecen procesos formales para cambios en versiones o nuevas funcionalidades para Software de terceros?

5 ¿Se definen políticas de Seguridad de la Información en procesos de ingeniería de Sistemas?

6 ¿Se realiza una evaluación de riesgos para herramientas de desarrollo de Software?

7 ¿Se acuerdan los requisitos de seguridad de la Información para Software desarrollado por terceros?

8 ¿Se realizan pruebas funcionales de seguridad de los sistemas antes de su fase de producción?

9 ¿Se establecen protocolos y pruebas de aceptación de sistemas para nuevos sistemas y actualizaciones?

A14.3 Datos de prueba
1 ¿Se utilizan datos de prueba en los ensayos o pruebas de los sistemas?

A15.- Relación con Proveedores


A15.1 Seguridad en la Relación con Proveedores
1 ¿Existe una política de Seguridad de la información para proveedores que acceden a activos de la información de la empresa?

2 ¿Se han establecido requisitos de seguridad de la información en contratos con terceros?

3 ¿Se fijan requisitos para extender la seguridad de la información a toda la cadena de suministro?

A15.2 Gestión de servicios externos
1 ¿Se controla el cumplimiento de los requisitos establecidos con proveedores externos?

2 ¿Se controlan los posibles impactos en la seguridad ante cambios de servicios de proveedores externos?

A16.- Gestión de incidentes de seguridad de la información


A16.1 Gestión de incidentes de seguridad de la información y mejoras.
1 ¿Se definen responsabilidades y procedimientos para responder a los incidentes de la Seguridad de la Información?

2 ¿Se han implementado canales adecuados para la comunicación de incidentes en la seguridad de la Información?

3 ¿Se promueve y se hayan establecidos canales para comunicar o identificar puntos débiles en la Seguridad de la Información?

4 ¿Se ha establecido un proceso para gestionar los incidentes en la Seguridad de la Información?

5 ¿Existen mecanismos para dar respuesta a los eventos de la Seguridad de la Información?

6 ¿La información que proporcionada por los eventos en la Seguridad de la información son tratados para tomar medidas preventivas?

7 ¿Existe un proceso para recopilar evidencias sobre los incidentes en la seguridad de la Información?

A17.- Gestión de la Continuidad del Negocio

A17.1 Continuidad de la seguridad de la información.
1 ¿Se ha elaborado un plan de continuidad del negocio ante incidentes de Seguridad de la Información?

2 ¿Se ha implementado las medidas de recuperación previstas en el plan de Continuidad del Negocio?

3 ¿Se han verificado o probado las acciones previstas en el plan de Continuidad del Negocio?

A17.2 Redundancias
1 ¿Se ha evaluado la necesidad de redundar los activos críticos de la Información?

A18.- Cumplimiento

A18.1 Cumplimiento de los requisitos legales y contractuales.
1 ¿Se han identificado las legislaciones aplicables sobre protección de datos personales y su cumplimiento?
-LOPD
-Leyes para comercio Electrónico
-Transacciones Bancarias
-Información Protegida
-Otras propias del negocio o actividad
-Ley general de Telecomunicaciones

2 ¿Existen procedimientos implementados sobre la propiedad intelectual?

3 ¿Se establecen criterios para clasificación de registros y medidas de protección según niveles?

4 ¿Se establecen medidas para la protección de datos personales de acuerdo con la legislación vigente?

5 ¿Si se utiliza el cifrado, se establecen controles criptográficos de acuerdo a la legislación?

A18.2 Revisiones de la Seguridad de la Información
1 ¿Se revisan los controles de la Seguridad de la Información por personal independiente a los responsables de implementar los controles?

2 ¿Se revisa periódicamente el cumplimiento de las políticas y controles de la Seguridad de la información?

3 ¿Se realizan evaluaciones sobre el correcto funcionamiento de las medidas técnicas de protección para la seguridad de la información?

Como realizar los cuestionarios Análisis GAP ISO 27001

El análisis GAP para la norma ISO 27001 es una herramienta fundamental para evaluar el estado de cumplimiento de una organización con respecto a los requisitos de seguridad de la información. Dependiendo del tamaño y la complejidad de la empresa, este proceso puede abordarse de diferentes maneras.

Para pequeñas y medianas empresas, lo más eficiente es llevar a cabo el cuestionario de forma global, asignando un único interlocutor responsable de responder en nombre de toda la organización. En cambio, en empresas de mayor envergadura, es recomendable designar interlocutores específicos para cada grupo de controles o requisitos, lo que permite una evaluación más precisa y segmentada.

Asignación de Interlocutores en el Análisis GAP ISO 27001

En organizaciones más grandes, donde los controles de seguridad abarcan diversas áreas, es necesario asignar responsables específicos para cada conjunto de requisitos del Anexo A de la norma. Esto facilita la recopilación de información y permite que cada control sea evaluado por quienes tienen un conocimiento directo de su aplicación.

Por ejemplo, una posible asignación de interlocutores sería la siguiente:

  • A.5 Políticas de Seguridad de la Información: Dirección + Todos los departamentos
  • A.6 Organización de la Seguridad de la Información: Director del Departamento de TI
  • A.7 Seguridad en los Recursos Humanos: Director de Recursos Humanos
  • A.8 Gestión de Activos: Director de Operaciones & Director de TI
  • A.9 Control de Acceso: Director de Operaciones
  • A.10 Criptografía: Director de Operaciones & Director de TI
  • A.11 Seguridad Física y del Entorno: Director de Operaciones
  • A.12 Seguridad en las Operaciones: Director de Operaciones & Director de TI
  • A.13 Seguridad en las Comunicaciones: Director de Operaciones & Director de TI
  • A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información: Director del Departamento de TI
  • A.15 Relación con Proveedores: Director de Compras
  • A.16 Gestión de Incidentes de Seguridad de la Información: Director del Departamento de TI
  • A.17 Gestión de la Continuidad del Negocio: Dirección + Todos los departamentos
  • A.18 Cumplimiento: Departamento Legal

Este enfoque asegura que cada área crítica de la empresa tenga una evaluación precisa y realista de su estado de cumplimiento en relación con la norma ISO 27001.

Evaluación del Cumplimiento y Niveles de Madurez

Para determinar el grado de cumplimiento de cada control, se asigna un valor basado en niveles de madurez, utilizando una escala de 0 a 5. La fórmula utilizada para obtener el nivel medio de cumplimiento es la siguiente:

Nivel Medio de Cumplimiento = (Puntuación total de cada Control) / (Número de controles evaluados)

Esta métrica proporciona un valor entre 0 y 5, permitiendo clasificar el estado de cumplimiento de cada control en los siguientes niveles:

  • Puntaje inferior a 1.65: No cumple con los requisitos
  • Puntaje entre 1.66 y 3.25: Cumplimiento parcial
  • Puntaje superior a 3.26: Cumple con los requisitos de la norma

Estos valores permiten identificar los controles que requieren una mayor atención para alcanzar la conformidad con ISO 27001.

Presentación de los Resultados del Análisis GAP

Para obtener una visión clara del estado de cumplimiento de la organización, es recomendable presentar los resultados del análisis GAP de manera estructurada. Una forma efectiva de hacerlo es mediante evaluaciones parciales por grupos de controles, diferenciando entre:

  • Controles de gestión: Evaluación de la política de seguridad, organización de la información y cumplimiento normativo.
  • Controles técnicos: Gestión de activos, seguridad física y ambiental, comunicaciones y gestión de operaciones.
  • Controles operacionales: Desarrollo y mantenimiento de sistemas, control de accesos, gestión de incidentes y continuidad del negocio.

En este sentido podríamos presentar un gráfico como el siguiente

También podríamos presentar un análisis por cada control de forma que tengamos una idea más concreta del esfuerzo necesario para cumplir con el estándar ISO 27001 y del estado de cada control

Además, la información puede representarse gráficamente para visualizar el nivel de cumplimiento de cada requisito de la norma ISO 27001. También se pueden realizar análisis individuales para cada control, permitiendo a la organización identificar el esfuerzo necesario para cerrar las brechas y alcanzar el cumplimiento total de la norma.

Este enfoque sistemático no solo facilita la toma de decisiones estratégicas, sino que también ayuda a priorizar acciones y recursos para fortalecer la seguridad de la información dentro de la empresa.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.


Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *