Análisis de Información
Objetivo: Estudio y análisis de la información recolectada en las fases anteriores en base a códigos de mejores prácticas, estándares, normas, metodologías, conocimiento y experiencia del equipo de trabajo.
Tras haber realizado la recolección general y técnica de información según lo descrito en los anteriores apartados, se procederá al análisis de toda la información recogida y situaciones existentes, estudiando las posibles carencias en seguridad de la información de los productos, diseños de red, accesos a información o procesos organizativos implementados, entre otras cosas, tomando como base para ello distintas fuentes, entre las que se podrán destacar los códigos de buenas prácticas existentes aplicables a los distintos sistemas y procesos analizados, metodologías y estándares (como ISO 27001) de recomendable u obligado cumplimiento, legislación y normativas internas aplicables, además de bases de conocimiento existentes sobre los distintos sistemas o productos analizados y, por supuesto, la experiencia y conocimiento aportado por el equipo de trabajo encargado del proyecto.
En el desarrollo de este análisis será un activo crítico la experiencia y conocimiento del equipo de trabajo en las distintas áreas de la seguridad de la información aplicables, puesto que será objeto de su trabajo la identificación de posibles vulnerabilidades, fallos de concepto y debilidades en los diseños técnicos y de procesos de la organización, que requerirá un amplio conocimiento y experiencia en los campos analizados.
Este análisis supondrá el paso previo al desarrollo del Informe de Estado de la Seguridad de la Información en la Compañía (Informe SEIS) que, como se verá en el punto siguiente, desarrollará los distintos hallazgos y recomendaciones asociadas basándose para ello en dicho análisis.
© Copyright 2007 Samuel Linares / Ignacio Paredes