Introducing

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Tesina

Jennifer Cruz

Updated June 22, 2015

Transcript

ANÁLISIS DE BRECHAS Y PLAN DE RUTA DE CARA A LA RE-CERTIFICACIÓN BAJO EL ESTÁNDAR ISO/IEC 27001:2013

Fin

Recomendación 1

Razones

Es necesario una capacitación de todo el personal del Departamento Tecnologías Seguras, acerca de todos los puntos identificados, tanto en la comparación de ambas versiones, así como también los resultados del análisis de brecha.

Recomendación 2

Recomendación 6

• El haber promocionado el estar certificados y luego indicar no estarlo demuestra un revés en el manejo administrativo y comercial .

• Por una razón de factor diferenciador.

• Por el hecho de mantener el prestigio de ofrecer servicios respaldados en un SGSI certificado.

• Darle continuidad a lo logrado hasta ahora.

• Por la razón de que al no optar por la re certificación, si a mediano o largo plazo se decide retomar la certificación, el costo sería aún mayor que los costos.

• Se tiene el presupuesto para optar por el tercer escenario.

Es importante la concientización de todo el personal del Departamento Tecnologías Seguras, acerca de las políticas, estar conscientes de que con la ayuda de cada colaborador se puede lograr la eficiencia del Sistema de Gestión de Seguridad de la Información, así como también los beneficios de un mejor desempeño de la seguridad de la información.

Tener informado a la Alta Dirección sobre el desempeño del Sistema de Gestión de Seguridad de la Información, durante un periodo determinado, y en caso de que ocurra algún evento importante en el sistema.

Muchas gracias

Recomendación 5

Recomendación 4

Se recomienda seguir el plan de implementación indicado en esta tesina, ya que el mismo incluye los pasos a seguir junto con el análisis de brechas, para que el proceso Gestor de Atención, alcance la recertificación.

Recomendación 3

Actualizar el plan de capacitación y concientización según las recomendaciones 1 y 2.

La Dirección debe realizar al menos una revisión antes de cada auditoría (interna y externa) para verificar cómo se encuentra el sistema de gestión, así como también después, para que se expongan los resultados de las mismas y si hay mejoras o correcciones que realizar se genere el plan de resolución de cada punto identificado.

Escenarios

Escenario 3

Escenario 1

Escenario 2

El último escenario consiste en que el proceso Gestor de Atención realice la migración a la versión 2013 de la norma ISO/IEC 27001 , pero con el servicio de un ente certificador.

El primer escenario consiste en mantener el sistema de gestión como se encuentra en la actualidad, bajo la versión 2005 de la norma ISO/IEC 27001.

El siguiente escenario implica migrar a la versión 2013 de la norma ISO/IEC 27001 , pero sin el servicio de la auditoría externa o ente certificador.

Costo / Beneficio

Beneficios

Factores cualitativos

Beneficios

• Para la empresa, el costo de mantener el sistema sería menor, al estar ya implementado.

• La inversión disminuiría porque no es necesario aplicar la auditoría externa.

• El personal ya se encuentra capacitado en esta versión de la norma, por lo que no requiere mayor inversión en capacitación y concientización.

• Pérdida de la certificación internacional. No existe posibilidad de mantener la certificación internacional, dado que el estándar cambió de versión, por lo que ISO exige que todos aquellos que quieran mantener la certificación deben migrar antes del 30 septiembre de 2015.

• Mayor costo al reiniciar el proceso de certificación desde cero, en caso de requerirlo en el futuro tendría un costo aproximado entre $30000 y $40000.

• Riesgo de pérdida de metodología de trabajo y rigurosidad en la aplicación de controles, procedimientos y normativa, al no sentir la presión de mantener una certificación, lo cual podría provocar fallas en la operación, afectación de los servicios, pérdida de ingresos, multas (SUTEL) y pérdida de imagen de la empresa.

Factores Cuantitativos

Factores cualitativos

Mayor esfuerzo y trabajo del personal involucrado en el SGSI, incluyendo una curva de aprendizaje para lograr la migración del SGSI, bajo los requisitos de la nueva versión del estándar.
Tiempo reducido para realizar los cambios para la re certificación.

Obtención de la certificación internacional ISO/IEC 27001:2013, al cumplir con los requisitos de la misma.
Continuar con la promoción y venta de servicios amparados a una certificación internacional.
Ventaja competitiva en el mercado de proveedores de servicios de internet de banda ancha, máxime que el ICE es el operador dominante.
Mantener una metodología de trabajo ordenada, estandarizada y basada en las mejores prácticas del mercado.
Aprovechamiento de la inversión realizada en la implementación y mantenimiento del SGSI bajo el estándar internacional ISO/IEC 27001:2005.
Mantener la imagen de la empresa, al conservar la certificación internacional.
Mayor garantía en la efectividad de la aplicación de controles, al ser auditados por un ente externo.

Factores cualitativos

Beneficios

Factores Cuantitativos

• Al no tener la presión de obtener la certificación bajo la nueva versión de la norma, se puede lograr una mayor madurez del SGSI de previo a optar nuevamente por la certificación, en el mediano o largo plazo.

• Mayor holgura en el proceso de capacitación y concientización de la nueva versión del estándar, para el personal involucrado.

• Mantener el SGSI de acuerdo a los requisitos del estándar internacional vigente.

• Tener el SGSI listo para certificarse cuando la empresa así lo requiera.

• Disminuye la inversión por no tener que aplicar la auditoría externa.

• Mayor esfuerzo y trabajo del personal involucrado en el SGSI, sin tener el mérito de una certificación internacional.

• Pérdida de la certificación internacional.

• Mayor costo al reiniciar el proceso de certificación desde cero, en caso de requerirlo en el futuro tendría un costo aproximado entre $30000 y $40000.

• Riesgo de pérdida de clientes externos por falta de la certificación.

GAP ANÁLISIS

Se realiza el GAP Análisis tanto de los 10 capítulos de la norma internacional ISO/IEC 27001 versión 2013, así como también al anexo A. En los 10 capítulos se observan todos los debes de la norma, los cuales tienen que cumplirse a cabalidad para poder obtener la certificación, mientras que el Anexo A contiene controles de seguridad de la información sugeridos por la ISO.

Establecer los escenarios posibles a seguir en el área Tecnologías Seguras y ejecutar una valoración del costo / beneficio de cada una.

Ejecutar un GAP análisis de la norma ISO/IEC 27001:2013 con respecto al proceso Gestor de Atención para identificar las brechas que existen.

Anexo A versión 2013

De la versión 2013 del Anexo A de la norma ISO/IEC 27001, se mantienen de la versión anterior 78 controles, 19 son controles nuevos y 17 controles cambian de enfoque, sumando 114 controles. Lo anterior se refleja en el siguiente gráfico

Anexo A versión 2005

ISO/IEC 27001:2013

Identificar los cambios con base en la actualización de la norma, por medio de la comparación de las versiones ISO/IEC 27001:2005 con la ISO/IEC 27001:2013.

En síntesis en la versión anterior (2005) del Anexo A de la norma ISO/IEC 27001 tiene un total de 11 dominios y 134 controles. Comparando la versión 2005 con la versión actual (2013) del Anexo A de la norma ISO/IEC 27001 hay 37 controles que ya no se ven reflejados en la versión 2013, por lo que obtiene los siguientes datos.

ANEXO A

10 CAPÍTULOS

Realizar un estudio de las versiones la ISO/IEC 27001:2005 y la ISO/IEC 27001:2013.

Este proyecto surge de la necesidad que tiene el área de Tecnologías Seguras de decidir mantener la re-certificación migrando a la nueva versión 2013 de la norma ISO/IEC 27001, o por lo contrario, quedarse tal y como está.

El tiempo máximo que tienen los procesos y/o empresas certificadas, es el 30 de setiembre del 2015.

Este proyecto tendrá el cometido de generar escenarios que visualicen el impacto que podría tenerla implementación o no de la nueva versión de la norma Sistema de Gestión de Seguridad de la Información en el Proceso Gestor de Atención del Área de Tecnologías Seguras y con ello colaborar en la toma de decisiones de la empresa.

Alcance

Cliente Interno

¿Cuál sería el impacto de implementar o no la actualización a la versión 2013 de la norma ISO/IEC 27001 dentro del área Tecnologías Seguras del ICE en el proceso Gestor de Atención, mediante un estudio desarrollado durante un periodo de un semestre?

Cliente Externo

Este proyecto es ejecutado en el Instituto Costarricense de Electricidad, en el Área de Tecnologías Seguras, específicamente en el proceso Gestor de Atención, proceso que se encuentra certificado con la Norma ISO/IEC 27001 bajo la versión 2005 desde noviembre de 2013.

Es un departamento clave de la institución, encargado de la red de transporte de internet del ICE cuyo servicio radica en el transporte de datos IP´s nivel nacional, sustentando de este servicio a instituciones gubernamentales, entidades autónomas así como también empresas privadas.

Tecnologías Seguras brinda servicios de seguridad de la información a empresas a nivel nacional. Estos servicios tienen como objetivo identificar el tráfico malicioso y re-direccionarlo a servidores que se encargan de desechar ese tráfico.

Objetivo General

Limitaciones

Determinar el impacto de la decisión de implementar o no la actualización a la versión 2013 de la norma ISO/IEC 27001 dentro del área Tecnologías Seguras del ICE en el proceso Gestor de Atención durante un periodo de un semestre.

• Los costos que se muestren en este trabajo serán, datos cercanos a la realidad.

• No se mostrarán específicamente los controles que se determinen aplicables del Anexo A, para el proceso Gestor de Atención, por ser datos que si son expuestos al público dejan vulnerable al proceso en estudio.

Departamento Tecnologías Seguras

Proceso Gestor de Atención

Introducción

El proceso Gestor de Atención se encuentra certificado con la versión 2005, sin embargo ya existe una actualización de la norma ISO/IEC 27001 versión 2013, razón por la cual el presente documento tendrá como objeto realizar un estudio de posibles escenarios, con el fin de identificar el impacto por medio del costo beneficio de cada escenario planteado, y con esto poder visualizar la mejor opción para el área de Tecnologías Seguras y brindar el mejor servicio tanto a su cliente interno como a sus clientes externos.

Inicio

Tesina para optar por el grado académico de Bachillerato en Ingeniería Industrial

Choose a template

Modular - Dark (AI Assisted)

Revolutionize your presentations with our Modular Prezi AI-assisted presentation template, a versatile and customizable solution that adapts to your unique content, providing a visually stunning and cohesive framework for professionals, educators, and creatives.

Hiking Journey (AI Assisted)

Elevate your presentations with our immersive Hiking Journey Prezi AI-assisted presentation template, meticulously crafted to showcase the beauty of your adventures, from scenic trails to breathtaking landscapes, providing a visually compelling experience for every outdoor enthusiast.

Music Festival (AI Assisted)

Elevate your presentation with our dynamic and visually stunning Music Festival Prezi AI-assisted presentation template, designed to captivate audiences and showcase the rhythm of your event in every slide.

See more templates →

Presentations from around the world

Normas

valentina argoti

How to Avoid Employee Handbook Mistakes

Garrett Schmenk

Review demonstratives and vocabulary

Adnia Osornio

See staff picks →

Learn more about creating dynamic, engaging presentations with Prezi

Why Prezi is better