Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introducción
El presente documento, elaborado con base en una experiencia piloto, pretende servir
de guía para los interesados en implantar un SGSI alineado al estándar ISO 27001.
2. Etapas
3. Objetivo
4. Alcance
El alcance definido es el proceso Gestión de Servicios TI, integrante del macro
proceso Gestión de Tecnologías de Información, ilustrado en la Figura 2. El cual se
focaliza en la fase de operación (producción) de tres (3) Servicios TI: LBTR, SIMC y
Trade Thru, ilustrados en la Figura 3.
Los controles del Anexo A están organizados en once (11) dominios, denominados A5
hasta A15:
A.5 Política de Seguridad
A.6 Organización de la Seguridad de la Información
A.7 Gestión de Recursos
A.8 Seguridad de los Recursos Humanos
A.9 Seguridad Física y del Entorno
A.10 Gestión de las Comunicaciones y Operaciones
A.11 Control de Acceso
A.12 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
A.13 Gestión de los Incidentes de Seguridad
A.14 Gestión de la Continuidad del Negocio
A.15 Cumplimiento
1
Tomado de Information Security Governance. Guidance for Boards of Directors and Executive
Management, 2nd Edition. ISACA
Gerencia de Tecnologías de Información
Proyecto SGSI alineado a ISO 27001
Escala % Descripción
Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo.
Inicial 20 Sin embargo, no hay procesos estandarizados. La implementación de un control depende de
cada individuo y es muchas veces es reactiva.
Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta
el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no están
Repetible 40
formalizados, ni hay comunicación formal sobre los procedimientos desarrollados. Hay un alto
grado de confianza en los conocimientos de cada persona.
Los procesos y los controles se documentan y se comunican. No se han establecido
Definido 60
mecanismos de monitoreo, para una detección de desviaciones efectiva.
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los
Gestionado 80 procedimientos y tomar medidas de acción donde los procesos no estén funcionando
eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de
Optimizado 100
mejores prácticas, basándose en los resultados de una mejora continua.
Para los cálculos totales, se determinó el promedio de los valores asignados a cada
control para obtener la calificación del objetivo de control al cual pertenecen, los
cuales, a su vez, se promediaron para calcular el nivel de madurez de cada dominio.
Como resultado del análisis se encontró que frente a los requerimientos de la norma el
SGSI de la institución se encuentra en un nivel de madurez Repetible. Esto quiere
decir, que se han adelantado actividades para la implementación de controles y
buenas prácticas, que en su mayoría siguen un patrón regular, pero que no en todos
los casos se han formalizado y por ende su ejecución depende de cada persona.
Como resultado, no es posible detectar adecuadamente las desviaciones de la
aplicación de los mismos ni gestionar su eficacia.