IS2ME

Desarrollo de Informe SEIS (State of Enterprise Information Security, Estado de la Seguridad de la Información de la Compañía)

Objetivo: Elaboración del informe de estado de la seguridad de la información en la compañía que recogerá en un único documento una imagen de la situación actual de la organización en lo que a implantación de medidas técnicas y organizativa de la seguridad de la información se refiere.

A partir de los hallazgos obtenidos en la Recolección Técnica de Información, y tras haber procedido al análisis de toda la información recolectada, se desarrollará el informe SEIS (State of Enterprise Information Security). Este informe persigue dos objetivos. El primero, proporcionar una visión global y detallada del estado de la organización en cuanto a la seguridad de la información. El segundo objetivo, no menos importante, es señalar cuales son los aspectos mejorables que atañen a la seguridad de la información así como proponer acciones correctivas priorizándolas de acuerdo con la relevancia que tengan para la organización.

A continuación se detallarán los distintos apartados que componen el informe SEIS.

Descripción del estado actual

En este apartado se describirán los hallazgos obtenidos durante la Recolección Técnica de Información y el estado actual de las redes y sistemas de información de la organización. Un ejemplo de la estructura de este apartado sería el siguiente:

Topología: Descripción de la topología de las redes de la organización. Recopilación de esquemas físicos y lógicos
Sistemas: Inventario y caracterización de los sistemas más importantes de la organización.
Servicios: Inventario y caracterización de los servicios públicos y privados de la organización.
Seguridad Física: Descripción de las medidas de seguridad física implantadas en las dependencias de la organización.
Seguridad Lógica: Descripción de las medidas de seguridad lógica implantadas en la organización para proteger sus sistemas de información.
Gestión y Operaciones: Listado de las políticas y procedimientos existentes en la organización referentes a manejo de sistemas de información.

Análisis y Recomendaciones Técnicas

Para cada uno de los apartados indicados en el apartado anterior y siguiendo la misma estructura en su documentación, se revisarán las implicaciones existentes respecto a la seguridad de la información y se recomendarán las acciones necesarias para paliar los problemas encontrados.

Conclusiones y Propuestas de acción

En este apartado, se ordenarán las acciones recomendadas en el apartado anterior según una gradación basada en la criticidad de su aplicación. Dicha criticidad, se asignará teniendo en cuenta la cantidad de riesgo que la ausencia de aplicación de la acción tendría sobre la organización. Este riesgo, no siempre debe ser calculado de manera objetiva (i.e. pérdida monetaria), sino que en muchos casos dependerá de otras consideraciones propias de la organización.

Deberá prestarse especial atención a las acciones consideradas como extremadamente prioritarias debido a que suponen un riesgo inmediato que no puede ser asumido por la organización. Para todas las acciones recomendadas se especificará un tiempo recomendado para abordar su aplicación según su grado de riesgo. Como referencia, un ejemplo de gradación podría ser el siguiente:

Crítico: Aplicación inmediata
Alto: Aplicación en tres meses
Medio: Aplicación de tres a seis meses
Bajo: Aplicación de seis a doce meses

Medidas de Seguridad y Controles Recomendados

Adicionalmente, se propondrán una serie de medidas y controles de seguridad aplicables tal como se recomiendan en las guías de buenas prácticas existentes en este campo. IS2ME no requiere la utilización de ninguna norma específica, si bien, su filosofía y objetivo se ajusta a lo propuesto por la norma ISO/IEC 17799/27001.

En este punto se recomienda la identificación y descripción de las distintas medidas de seguridad y controles aplicables de la norma seguida, de forma que esta parte del informe pueda servir como referencia para su posterior implantación que, evidentemente, requerirá de un desarrollo posterior en profundidad de cada uno de esos controles en la fase de Implantación de IASAP.

Resumen Ejecutivo

Deberá desarrollarse como un apartado más del informe, un resumen ejecutivo que recogerá de forma clara, concisa y en un lenguaje fácilmente comprensible, evitando términos excesivamente técnicos en la medida de lo posible, un resumen de los principales resultados y riesgos que la organización está asumiendo debido al estado actual de implementación de medidas, en lo que a seguridad de la información se refiere.

Deberá prestarse especial atención al desarrollo de este apartado, puesto que probablemente sea el que mayor visibilidad vaya a tener en la organización y, por tanto, el que pueda influir de forma decisiva en la continuidad del apoyo gerencial hacia el cumplimiento de las medidas necesarias y en la incorporación de la seguridad de la información a la cultura organizacional de la compañía.

Introducción Objetivos El Método

Identificación de Interlocutores

Recolección General de Información

Recolección Técnica de Información

Análisis de Información

Desarrollo Informe SEIS

Presentación Informe SEIS

Desarrollo Documento IASAP

Presentación Documento IASAP

Implantación IASAP

Conclusiones