PMG SSI: Etapa I – El Diagnóstico
ISO 27001
Tal y como vimos en el post anterior, la implementación del Plan de Mejora de la Gestión del Sistema de Seguridad de la Información se compone de 4 etapas.
ISO 27001 |
Hoy nos centraremos en la primera etapa, el Diagnóstico institucional.
Las acciones a realizar en esta etapa son:
– Identificación y priorización de los activos de la información de la Institución de los procesos de provisión, considerando tanto las personas, como la infraestructura y sus características.
– Análisis de criticidad de estos activos identificados de acuerdo a los niveles de confidencialidad, integridad y disponibilidad, con el objetivo de obtener un inventario de activos de la información estableciendo la prioridad según su criticidad.
– Revisión de los riesgos más relevantes para los activos identificados con una criticidad alta o media, estableciendo los controles a establecer para mitigarlos. Según la propuesta de la NCH-ISO 27001 y el Decreto Supremo Nº83, tratados en anteriores posts.
– Verificación del cumplimiento de la institución respecto a esos controles.
– Identificación de las brechas e iniciativas a abordar en el Plan General de Seguridad de la Información Institucional, para mitigar los riesgos detectados.
En esta fase hay una serie de entregables resultado de las acciones anteriores. Estos son los siguientes:
ISO 27001 |
– Oficio del Alcance del SSI: este oficio con el análisis del alcance del SSI debe entregarse a la Red de Expertos-DIPRES y debe de estar de acuerdo con las definiciones estratégicas establecidas por la institución.
– Inventario de Activos de la Información: se trata de una planilla en la que se plasman los activos, sus características (condiciones físicas en que se encuentran, tipificación del activo, responsabilidades asociadas, requerimientos de confidencialidad, integridad y disponibilidad, etc.) y su criticidad. Se centra en los activos identificados con una criticidad alta y media. De este inventario se encarga tanto el encargado del PMG/MEI-SSI, como los funcionarios.
– Planilla de Análisis de Riesgos: se añade al inventario anterior, ya que añade los riesgos que amenazan a los activos ya identificados. En esta planilla se cuantifica también el nivel de severidad del riesgo, así como el tratamiento que hay que darle en base a la ISO27001. Aquí hay que identificar si los controles se han implementado o no e identificar brechas a superaren en cada caso, de esta forma se ve el nivel de cumplimiento por cada Dominio del servicio.
Cada control establecido debe de estar justificado con su correspondiente evidencia.
Tras esta primera etapa, el siguiente paso será la Planificación, que analizaremos en el siguiente post.
Software para ISO 27001
ISOTools es la Plataforma Tecnológica que facilita la implantación del PMG SSI, permitiendo en esta primera fase de Diagnóstico, la identificación de activos, el análisis de su criticidad en cuanto a la confidencialidad, integridad y disponibilidad, identificación de riesgos, establecimiento y seguimiento de controles, etc…todo ello de la manera más sencilla y evitando errores y riesgos por una mala gestión.