Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Análisis de Brechas - GAP

No description
by

Ricardo Mendizabal

on 3 July 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Análisis de Brechas - GAP

ANÁLISIS DE BRECHAS - GAP
DIVEMOTOR

CONTENIDO
CUADRO RESUMEN DE ANÁLISIS DE BRECHAS DEL PROCESO DE ALTAS, BAJAS
Conclusiones
GAP Analysis es una metodología que nos permite encontrar y analizar adecuadamente las brechas que existen entre los procesos actuales y el cómo deberían llegar a ser.
Se han logrado identificar las brechas que se tienen actualmente en los procesos de TI de la empresa Divemotor:
De acuerdo a los controles de la cláusula 9 Control de Accesos para el análisis del proceso de altas, bajas y modificación de usuarios en los sistemas de información
De acuerdo a los controles de la cláusula 8 Gestión de Activos para el análisis del proceso de administración y uso de servidor de archivos
De acuerdo a los controles de la cláusula 13 Seguridad de las Comunicaciones para el análisis del proceso de acceso a la red LAN
El análisis de brechas nos ayuda a ahorrar tiempo, costo y esfuerzo para optimizar los procesos del negocio al detectar anticipadamente los procesos que no van a alineados.
Hoy en día, las empresas requieren identificar y tratar las brechas que se tienen en los procesos de TI a través de una metodología específica como la detección del nivel de madurez de procesos.
Introducción
Antecedentes
Objetivos
Alcance
Desarrollo del Análisis - GAP
Conclusiones
Recomendaciones
De acuerdo a los objetivos trazados para el presente año la Gerencia General y el área de TI han planteado implementar la primera fase de lo que será el Sistema de Gestión de Seguridad de la Información para Divemotor.

Esta primera fase está abarcando la gerencia de TI y el la sub gerencia de Calidad y Procesos. Por tal motivo, el análisis de brechas en los procesos del área de Producción y Tecnología será de gran aporte para este objetivo final.
Objetivo General
Elaborar un análisis y evaluación del estado actual de Seguridad de la Información que posee la empresa Divemotor basado en el nivel de madurez y grado de cumplimiento logrado con la metodología CMMI y con respecto a los controles de la norma ISO 27001:2013 Anexo A.

Objetivo Específicos
Elaborar un plan de estudio y análisis de información mediante cuadros comparativos y gráficos basados en la metodología CMMI para poder definir los niveles de madurez y el grado de cumplimiento de los procesos de TI de la empresa Divemotor.
Identificar y evaluar las brechas que existen actualmente entre los procesos de TI y los controles de las cláusulas de la norma ISO 27001:2013 Anexo A. Aquí se definirá el objetivo del GAP Analysis: “¿Dónde estamos y hacia dónde queremos llegar?”
Brindar los lineamientos adecuados para la gestión de seguridad de la información específicamente de acuerdo a los controles de las cláusulas de control de accesos, gestión de activos y seguridad de las comunicaciones para poder tomar una decisión de mejora de los procesos actuales según las brechas encontradas.

Este informe es de alcance para todas las cláusulas referenciadas en la Norma ISO/IEC 27001:2013, pero principalmente se tomará: Control de Accesos, Gestión de Activos y Seguridad en las Comunicaciones para evaluar los procesos del área de Producción y Tecnología; tanto para los usuarios de la compañía, como de los especialistas de TI asociados a esta labor y que tengan como finalidad la gestión los procesos relacionados.
El marco tiene 3 dominios
Recomendaciones
En el entorno competitivo actual, desde hace ya algunos años, la sola posesión de tecnología no supone por sí misma una ventaja competitiva para las empresas. Es la gestión de esa tecnología la que puede ser diferencial, es por eso que se recomienda realizar periódicamente un análisis de brechas para poder detectar los procesos que no están ejecutándose de manera eficaz y óptima.
Se recomienda la mejora de los procesos actuales según las brechas encontradas:
Para el proceso de altas, bajas y modificación de usuarios en los sistemas de información
Para el proceso de administración y uso de servidor de archivos
Para el proceso de acceso a la red LAN
Es necesario que las empresas tomen conciencia que el uso de las tecnologías de la información, si bien es cierto mejoran la productividad cuando están correctamente implementadas, pero tienen que estar alineadas en sus procesos, manteniéndolos documentados, validados y con una mejora continua.
Reconocer a TI como un área importante en la empresa que puede influir también en la toma de decisiones futuras con una administración efectiva de los procesos optimizados que pueden presentar nuevas oportunidades al negocio.
AGENDA
INTRODUCCIÓN
ANTECEDENTES
OBJETIVOS
ALCANCE
DESARROLLO DE ANÁLISIS DE GAP
De los diferentes modelos internacionales que existen, para nuestro diseño y desarrollo utilizaremos la metodología CMMI ya que no sólo es uno de los modelos más reconocidos y usados a nivel mundial, sino que también recopila una serie de buenas prácticas. Estas prácticas representan una guía para elevar la eficiencia y la calidad de los procesos.
Definición
Antecedentes
Entre sus funciones principales tenemos:
Diseñar y llevar a cabo la instalación de nuevas redes de acuerdo a las necesidades del negocio.
Realizar el monitoreo de los enlaces de datos a nivel nacional e Internet.
Supervisar el cumplimiento de los mantenimientos preventivos/correctivos de todos los equipos de comunicación y centrales telefónicas.
Aplicar políticas de seguridad para el acceso a los recursos de red.
Redes y Comunicaciones
DOCUMENTACIÓN DE PROCEDIMIENTOS DEL ÁREA
EL control 9.2.5. Revisión de los derechos de acceso de usuario es el que se encuentra en un nivel más incipiente y no ha sido implementado
El control 9.2.2. Acceso aprovisionamiento de usuarios es el que mejor se encuentra posicionado debido a que se cumple y se encuentra establecido cuantitativamente
CUADRO DE RESUMEN DE CONTROLES
CUADRO DE RESUMEN DE BRECHAS POR CLAUSULA
INTEGRANTES:

Correa Salazar, Renzo
Cuyatti Sánchez, Alonso
Marcelo Huamán, Aby
Palacios Mendizábal, Ricardo

Divemotor es una empresa comercializadora de autos, buses y camiones con más de 20 años en el Perú. Actualmente Divemotor cuenta con más de veinte sucursales a nivel nacional que brinda una atención de calidad en la venta de automóviles Mercedes-Benz, Jeep, Dodge, Chrysler y Ram; buses y camiones Mercedes-Benz y camiones Freightliner. Así mismo, Divemotor se esfuerza cada día por ofrecer el mejor servicio de venta y post-venta; es por eso que cuenta desde el 2010 con la certificación ISO 9001.

En esta oportunidad nos toca realizar el análisis GAP del área de Producción y Tecnología que forma parte de la Gerencia de Informática. En esta área se realizará una evaluación que ayudará a identificar las falencias en el manejo de la información. Puntualmente se evaluará si existen brechas las cuales se les conoce como "el espacio entre donde estamos y dónde queremos estar".
Adicionalmente a los procedimientos colgados en la intranet, cada área ha creado bases de conocimiento en donde ha colgado los instructivos detallados de cada uno de los procedimientos del área. Aquí mostramos un ejemplo:
Para el desarrollo de este análisis, en primer lugar nos planteamos las siguientes preguntas:
Cuál es la situación actual?
Qué debería ser?
Cuán lejos estamos de dónde queremos estar?
Cómo llegamos a los controles de accesos deseados?
Nombre del área de estudio:

• Producción
• Tecnología

Gerencia:

- Gerencia de informática

SITUACIÓN ACTUAL
Conformación:
Jefatura de producción y
tecnología

- Redes y Comunicaciones
- Operaciones y Accesos
- Soporte Técnico
- Mesa de Ayuda

Área encargada de brindar asistencia en forma presencial a los usuarios de Divemotor, atendiendo incidencias que impidan el correcto desempeño de las herramientas de trabajo de los colaboradores.
Soporte Técnico
Entre sus funciones principales tenemos:
Implementar y administrar los servidores y bases de datos de la empresa
Realizar las copias de seguridad (backup) de cintas magnéticas
Regular el control de accesos a los principales activos de información de la empresa
Encargados de administrar la plataforma de correo y aplicaciones de Google
Operaciones y acciones
Primer nivel de atención para todas las incidencias que estén relacionadas con el uso de algún sistema interno o servicio informático.
Mesa de Ayuda
Divemotor al ser una empresa certificada con ISO 9001 que cuenta con una Intranet en donde se están publicados todos los procedimientos de trabajo de las diferentes áreas. En este repositorio se encuentran también todos los procedimientos de trabajo del área de Producción y Tecnología; pero por motivo del análisis, ahondaremos tres procedimientos principales que mostramos a continuación:

PRO-GTI-010:
Proceso de altas, bajas y modificación de usuarios en los sistemas de información.
PRO-GTI-020:
Proceso de administración y uso del servidor de archivos.
PRO-GTI-030:
Proceso de acceso a la red LAN.

NIVELES DE MADUREZ SEGÚN METODOLOGÍA CMMI
CUADRO DE RESUMEN DE ANÁLISIS DE BRECHAS DEL PROCESO DEL SERVIDOR DE ARCHIVOS
EL control 13.2.4. Los acuerdos de confidencialidad o de no divulgación es el que se encuentra en un nivel más incipiente y no ha sido implementado
CUADRO DE RESUMEN DE ANÁLISIS DE BRECHAS DEL PROCESO DE LAS REDES LAN
EL control 13.2.4. Los acuerdos de confidencialidad o de no divulgación es el que se encuentra en un nivel más incipiente y no ha sido implementado
Este análisis de brechas que se ha realizado, en primer término nos ha permitido ver el estado actual de nuestra organización respecto a la ejecución de algunos procedimientos relacionados con la gestión de seguridad de la información.
Posteriormente y en vista del primer análisis en donde se detectará el GAP (o brecha) existente entre la normativa y la realidad empresarial, se podrá formular un plan de acción para realizar las mejoras necesarias.
Se debe tener en cuenta lo siguiente para realizar dichas tareas:
Acompañamiento de alineación a la norma y disminución de las brechas encontradas. Tanto si la empresa se desea certificar como si simplemente desea mantener una adecuada gestión de la seguridad de su información.
Entrenamiento para el personal de la empresa mientras se realizan las tareas recomendadas y capacitaciones específicas sobre diversos controles.
Full transcript