- In:
- Posted By: webadmin
En varias oportunidades he tenido la oportunidad de ser consultado sobre la necesidad o el como realizar un análisis de brechas (GAP Analisys) para ISO/IEC 27001, por lo que considero importante hacer algunas comentarios al respecto de modo que se puedan clarificar algunos aspectos de este instrumento de gestión.
Lo primero que es necesario considerar y tener muy en claro es que un análisis de brechas no es requisito ni es requerido por los requisitos de ISO/IEC 27001:2013, por lo que realizarlo o no es una decisión estrictamente organizacional.
Sin entrar en contradicción con lo antes mencionado, es importante señalar también que ISO/IEC 27001.2013 establece los requisitos para un sistema de gestión, por lo tanto cualquier instrumento, herramienta, metodología, buena práctica, etc que la organización utilice o considere útil para sus procesos de gestión es enteramente aplicable al contexto de seguridad de la información, es en este contexto en el que un análisis de brechas puede ser un instrumento positivo, pero dependerá del valor que aporte a la organización, caso contrario no tendrá mayor impacto y podría estar restando recursos a otras actividades.
Es importante señalar que hay algunos aspectos a considerar al realizar un análisis de brechas como por ejemplo:
- El costo, esto estará en proporción con el nivel de profundidad del análisis y el producto esperado, a mayor detalle y complejidad, los costos evidentemente son mayores. En muchos casos solo se requiere un análisis de brechas como una foto inicial antes de iniciar un proceso de implementación, por lo que el nivel no sería exhaustivo sino referencial y de alto nivel.
- El objetivo, esto definirá el nivel y complejidad del análisis, estando en proporción directa con la necesidad organizacional o la expectativa que debe cubrir.
- El tiempo, evidentemente a mayor detalle y complejidad, el tiempo necesario para realizar el análisis de brechas será mayor y esto tiene implicancias de costo y otros recursos necesarios.
En algunos casos he visto que algunos análisis de brechas se centran mayormente en los controles existentes y los faltantes, tomando como referencia el Anexo A de ISO/IEC 27001:2013, en este caso es importante determinar si el análisis de brechas estará orientado a las brechas sobre los requisitos de ISO/IEC 27001, los controles del anexo A o ambos, toda vez que para determinar brechas en cuanto a controles esto debe estar relacionado con los resultados de la gestión del riesgo, por lo que si esos requisitos no se han cumplido, será difícil determinar las brechas sobre controles que no se tiene la certeza si son necesarios o no.
En cualquier caso, un aspecto importante para hacer el análisis de brechas es tener por lo menos determinado el alcance del SGSI, caso contrario no se podrá tener certeza de sobre que alcance se esta analizando las brechas.
Personalmente considero que un análisis de brechas es un instrumento muy útil y eficiente, pero esto tendrá valor en la medida que sea útil para la organización (no solo para el consultor) y puede ayudarnos a tomar decisiones sobre el SGSI.
Cuando se considere aplicar alguna plantilla o herramienta que este a disposición, es importante verificar si es de aplicabilidad a nuestra necesidad, del mismo modo sobre si esta basado en la edición 2005 o 2013 de ISO/IEC 27001 toda vez que hay consideraciones diferentes en cada edición de la norma (he podido hacer observaciones hacia análisis que consideraban requisitos de la edición 2005 y que provocaban decisiones no adecuadas al objetivo organizacional).
Finalmente (para no extenderme tanto en este tema), deberíamos considerar que un análisis de brechas no reemplaza a una auditoria y si se requiere conocer el nivel de cumplimiento de requisitos y controles, el SGSI incluye requisitos tanto para auditoria interna como para medición y análisis, de modo que el análisis de brechas debería proporcionar valor adicional a estos requisitos y tomar en consideración que podría realizarse periódicamente para medir el grado de avance e integrarse con los requisitos de la clausula 9.1 de ISO/IEC 27001:2013.
Como siempre, si tienen comentarios o consultas sobre este tema pueden contactarme o plantearlas en los grupos de discusión que mantiene GTDI en redes sociales.
