Análisis GAP
Definición Objetivo
Identificar y medir la diferencia entre las
expectativas y lo que los sistemas realmente
entregan
Determinar el nivel de satisfacción de quienes
dirigen las empresa con los sistemas de
información, y en caso de detectar problemas
proponer una estrategia para atacarlos
Metodología
Paso Descripción Objetivo
1 Análisis inicial Diagnóstico primario, rápido y no invasivo, para brindar un primer
enfoque de la problemática
Entregable Análisis de los controles versus el Estándar ISO 27001 e ISO 27002 y el
diagnóstico de la infraestructura tecnológica con respecto a los criterios
de confidencialidad, integridad y disponibilidad de la información
2 Definición de
estrategia
Cerrar el GAP entre expectativas y sistemas, en función de un análisis
que profundice los hallazgos de la fase anterior
Entregable Diagnóstico de carencias actuales con propuesta de una estrategia para
atacarlas, la justificación de dicha estrategia con los beneficios esperados
al adoptarla así como los riesgos asociados
Porcentaje de cumplimiento de acuerdo a los controles definidos por la
norma y el nivel de madurez esperado

Ejemplo de modelo de madurez
¿Dónde
debo
estar?
Innovación
Benchmarking
Proactividad Innovaciones
planeadas
Gestión de
configuraciones
Análisis causal
y resolución
Planes
Proyectos
Tareas
Medir
¿qué
cumplo?
¿cómo lo
cumplo?
Corregir
Predecible
Automatización
efectiva
Cuantificación
de resultados
Explota
beneficios de la
estandarización
Procesos
estables
Resultados
predecibles
Gestión del
conocimiento
Gestión
cuantitativa de
proyectos
Procesos
estandarizados,
documentados
y comunicados
mediante
entrenamiento
Juez y parte
Desarrollo de
procesos,
mediciones,
entrenamiento
Crecimiento de
la
productividad
Economía de
escala
Gestión
integrada de
proyectos
Gestión de
riesgos
Procedimientos
similares para
la misma tarea
Dependencia
en personas
Estabilización
del trabajo
Compromiso
de control
Reducción del
retrabajo
Se satisfacen
compromisos
Planificación
del proyecto
¿Dónde
estoy?
Reactivo
Desorganizado
Enfoque
ad-hoc aplicada
de manera
individual o
caso por caso
bombero “sólo haz que
funcione”

Encuesta (análisis)
1.1 Se ha solicitado a las jefaturas técnicas de OFIN y DIGETE que resuelvan una encuesta sobre el
cumplimiento de la NTP ISO/IEC 17799:2007. Téngase presente las siguientes consideraciones:
1.1.1 Los resultados servirán para que las jefaturas técnicas se auto identifiquen y propongan
fechas de corto y mediano plazo en las que se comprometan al establecimiento de una
línea base de cumplimiento.
1.1.2 Esta línea base será producto de un análisis de brecha (carencias o necesidades
particulares) de cada área con el fin de llegar a un estado de cumplimiento efectivo,
aceptable y aceptado por la institución.
1.1.3 La línea base permitirá además establecer en el futuro cercano lo siguiente:
1.1.3.1 Correlacionar la NTP ISO/IEC 17799:2007 con el marco de gobierno de TI
propuesto por la Information Systems Audit and Control Association (ISACA):
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, por
sus siglas en idioma inglés).
1.1.3.2 Identificación del modelo de madurez de la institución en cuanto a la seguridad
de la información.
1.1.4 Teniendo como punto de partida esta línea base, se podrán establecer auditorías internas
de seguimiento.
1.1.4.1 Estas auditorías no están orientadas a la fiscalización inherente al ocuparse
fundamentalmente del conjunto de medidas, políticas y procedimientos
establecidos para proteger el activo, minimizar las posibilidades de fraude,
incrementar la eficiencia operativa y optimizar la calidad de la información en
general.
1.1.4.2 Por el contrario, estas auditorías seguirán un enfoque moderno y estarán
orientadas a un apoyo consultivo aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la efectividad de los procesos de gestión de
riesgos, control y dirección, con miras a pasar una auditoría de tercera parte
(externa por requerimiento institucional, o de certificación no siendo esta un
requerimiento legal).
1.1.4.3 El objetivo anterior, es evidente, será logrado en el tiempo y este estará
determinado por el grado de compromiso de todos los involucrados.
1.2 La encuesta se envió a seis áreas técnicas de OFIN (SIAGIE, AIT, AOP, STI, AGTI) y DIGETE el 03 de
mayo de 2013. Hasta la fecha de emisión del presente informe (luego de varios contactos
reiterativos y postergaciones de presentación), sólo se obtuvo respuesta de las siguientes áreas:
OFIN (SIAGIE, AOP, STI, AGTI) y DIGETE (Hub satelital).

1.3 Los resultados tabulados de esta encuesta son los siguientes:
1.4 Para el análisis que se presenta en las gráficas siguientes se debe considerar lo siguiente:
1.4.1 La NTP ISO/IEC 17799:2007 trata la seguridad de la información en 11 dominios los que en
conjunto proponen 132 controles.
1.4.2 De este conjunto de controles se prepararon y presentaron en la encuesta un total de
1 157 preguntas.
1.4.3 Las preguntas permiten evaluar la seguridad de la información desde los puntos de vista de
cumplimiento (implementación), consideración (prioridad y ponderación), y evidencia.
1.4.4 Cabe señalar que existen en OFIN documentos relacionados con los dominios y controles
de la norma.
1.5 Tras el análisis de las respuestas recibidas se obtuvieron los resultados siguientes:
1.5.1 Los subtotales de respuestas entregadas por las áreas representan un porcentaje bajo de
las mismas. En promedio por área, del total de 1 157 preguntas obtuvimos 293 respuestas
sobre cumplimiento (25%), 8 respecto a prioridades (0.6%), y 27 respecto a ponderaciones
(2.3%).
1.5.2 Era de esperar el comportamiento anterior y se evidencia en el número de respuestas
negativas sobre cumplimiento: 72% del total que ha sido respondido; y 18% por área.
1.5.3 En la tabla se evidencia que el enfoque de la seguridad está relacionado solamente con
tareas operativas de rutina (dominios 05, 06 y 07).
1.5.4 Tomando como indicativo el dominio 06, se puede apreciar que las consideraciones no
guardan relación entre prioridad y ponderación. Esto sugiere necesidad de conocimiento.
1.5.5 La carencia de evidencia pone en claro una carencia de la documentación mínima
necesaria para dar soporte a los sistemas de información actuales.
1.5.6 Si bien existe una Política de seguridad, esta no es suficientemente conocida o no está
suficientemente implementada.
Dominio
Control
Descripción
Respuesta
positiva
Respuesta
negativa
Respuesta
parcial
Altaprioridad
Media
prioridad
Bajaprioridad
Ponderación
muybaja
Ponderación
baja
Ponderación
media
Ponderación
alta
Ponderación
muyalta
Existe
sustento
Noexiste
sustento
01 00 Política de seguridad 6 24 1 4 0 0 0 2 2 3 4 0 1
02 00 Organización de la seguridad de la información 15 70 4 2 2 0 8 0 1 2 1 1 1
03 00 Gestión de activos 6 25 0 0 0 0 0 0 0 0 0 0 0
04 00 Seguridad ligada a los recursos humanos 8 76 0 6 0 0 3 0 1 2 0 0 1
05 00 Seguridad física y del entorno 81 156 10 4 1 1 6 5 4 3 1 1 0
06 00 Gestión de comunicaciones y operaciones 101 170 13 10 2 2 15 8 11 6 7 2 5
07 00 Control de accesos 101 202 16 1 0 0 4 4 6 2 0 2 0
08 00 Adquisición, desarrollo y mantenimiento de sistemas de información 36 175 10 1 2 1 1 1 6 1 0 0 0
09 00 Gestión de incidentes de seguridad de la información 0 22 0 0 0 0 0 0 0 0 0 0 0
10 00 Gestión de la continuidad del negocio 1 63 4 0 0 0 4 1 2 0 1 0 0
11 00 Cumplimiento regulatorio 1 67 2 0 0 0 5 1 2 0 0 0 0
# controles 132 Subtotales de respuestas de los 132 controles 356 1050 60 28 7 4 46 22 35 19 14 6 8
# preguntas 1157 % de preguntas respondidas de las 1157 formuladas para los 132 6% 18% 1% 1% 0% 0% 1% 0% 1% 0% 0% 0% 0%
áreas que
respondieron 05
Proporción aproximada de respuestas por área considerando las áreas
que respondieron (5) 71 210 12 6 1 1 9 4 7 4 3 1 2
áreas
encuestadas 06 Proyección aproximada de respuestas por área (6) 85 252 14 7 1 1 11 5 8 5 4 1 2

1.5.7 Aunque parece haber un cierto interés por la Organización de la seguridad de la
información, no parece ser un tema prioritario y por tanto se le resta importancia.
1.5.8 La Gestión de activos, requerimiento base para la determinación de riesgos, no está
realmente entre los puntos de interés y no se le da la importancia debida.
1.5.9 No es de extrañar que en algunos sistemas de información puedan no ser considerados con
suficiencia y extensión aspectos relacionados con la seguridad, como auditoría y
trazabilidad.
1.5.10 La Gestión de incidentes de seguridad de la información, tema importante y vital en
cualquier organización, no se está contemplando adecuadamente; de hecho, no está
siendo considerado en ninguna de las áreas. La sola perspectiva de que mantener un
esquema apropiado de defensa perimetral o anti virus/spam, no es apropiado en estos
tiempos; se requiere considerar el modelo moderno de defensa en profundidad, lo que
incluye los sistemas de información.
1.5.11 Otro punto crítico es la Gestión de la continuidad del negocio, aspecto que si bien parece
interesar, no es considerado un aspecto prioritario.
1.5.12 Es importante notar que en cuanto a Cumplimiento regulatorio, este dominio recibe una
ponderación muy baja, siendo este tema vital, entre otros aspectos, para cumplir con las
leyes de Transparencia y la de Datos Personales.