AVANCE DEL MODELO DE OPERACION PHVA

Sobre los avances del modelo de operación PHVA, en la fase diagnóstica, se acordo realizar un analisis del Sistema de Gestión de Seguridad en el área de las Técnologias de la Información y las Comunicacionees de la Corporación Autónoma Regional de Cundinamarca – CAR, a partir de las inquietudes y necesidades tanto institucionales como legislativas.

Este informe inicial contiene los principales hallazgos, observaciones y oportunidades de mejora, el analisis esta basado en un Autodiagnostico realizado junto con los responsables. La implementación del Sistema de Gestión de Seguridad de la Información, requiere además de una guía estandar como ISO 27001:2013, un plan de Continuidad del Negocio y un Plan de Recuperación de Desastres.

Principales Observaciones.

Dentro de los planes estratégicos de tecnología y comunicaciones de la Corporación, se busca fortalecer la Seguridad de la Información, como pilar del desarrollo de cada uno de los proyectos tecnológicos y como parte de la Continuidad de la operación tecnológica de la entidad. Alineado con las buenas prácticas y estándares, se ha realizado una primera evaluación del Sistema de Gestión de Seguridad, teniendo en cuenta las cuatro (4) fases del ciclo PHVA (Planear-Hacer- Verificar y Actuar). La evaluación de cada una de estas fases, ha arrojado resultados que deben ser ajustados y mejorados en la medida que se vayan gestionando la incorporación de buenas prácticas de seguridad.

Tabla 6: Fases del ciclo de operación PHVA – Nivel de madurez

FASE META NIVEL DE

MADUREZ.

44

PLANEAR 30% NIVEL 1 Inicial -. Ausencia total de

procesos

HACER 40% NIVEL 2 Gestionado

VERIFICAR 15% NIVEL 3 Definido

ACTUAR 15% NIVEL 4 En mejora continua

TOTAL 100% NIVEL 5 Mejores prácticas

implementadas Fuente: Elaboración propia

PLANEAR:

Definición del Marco de Seguridad y Privacidad de la Entidad. Se evaluaron los aspectos referentes a las pautas de implementación del Sistema de Gestión de Seguridad de la Información.

Nivel de madurez: 1 – Ausencia total de procesos.

No se han evidenciado muchos de los conceptos básicos de la fase de planeación del Sistema de Gestión de Seguridad. La Corporación Autónoma Regional de Cundinamarca – CAR. Muchas de las actividades sugeridas no están siendo implementadas o no se ha evidenciado está actividad.

Se requiere de una intervención dinámica y pro-activa de la Dirección General de la Corporación Autónoma Regional de Cundinamarca – CAR para el fortalecimiento del MSPI. Hasta el momento se evidencia una ejecución del 4.8% sobre un 30% de la meta esperada.

HACER

Implementación del Plan de Seguridad. La información corresponde a los controles del Anexo A de la norma ISO 27001:2013, se valida el cumplimiento de cada uno de los controles del Anexo A. Actualmente se evalúan 111 controles que aplican para la Corporación Autónoma Regional de Cundinamarca – CAR.

45 Nivel de madurez 2 – Gestionado.

Se ha evidenciado el cumplimiento parcial de la mayoría de los controles seleccionados de la norma ISO 27001:2013.

Se recomienda que se gestione la documentación de cada uno de los procesos de TI de la Corporación Autónoma Regional de Cundinamarca – CAR, de una manera resumida de cada actividad. Se evidencia un avance parcial del 18% sobre una meta del 40% esperada.

VERIFICAR

Monitoreo del Sistema de Gestión de Seguridad de la Información. Se evaluaron los aspectos relevantes de la fase de Verificación, como parte del ciclo de vida del MSPI.

Nivel de madurez 1 – Ausencia total de procesos.

No existen planes ni procesos que permitan conocer el estado del MSPI. Esta ausencia de procesos, limitan el alcance del Sistema de Gestión de Seguridad de la Información, se evidencia una falta total de seguimiento de cada uno de los controles inicialmente implementados.

ACTUAR

Mejoramiento continuo del sistema de Gestión de Seguridad de la Información. Se evaluaron los aspectos relativos al mejoramiento del Sistema de Gestión de Seguridad.

Nivel de madurez 1 – Ausencia total de procesos.

Existe evidencia ante las No-Conformidades halladas, pero no se han cumplido con las labores de remediación y/o mejoramiento. No se pueden evidenciar la eficacia de las medidas de mejora tomadas hasta el momento. Se evidencia una ausencia de procesos de mejora.

46 Figura 5: Estado actual del SGSI – Nivel de madurez

Fuente: Elaboración propia.

Los niveles de madurez, para cada uno de los procesos del MSPI presentan el siguiente comportamiento:

Figura 6: Estado actual SGSI 30% 40% 15% 15% 100% 4.8% 18.0% 1.3% 2.5% 26.6% 0% 20% 40% 60% 80% 100%

PLANEAR HACER VERIFICAR ACTUAR TOTAL

Avances logros MSPI

47 Fuente: Elaboración propia

De lo anterior se puede concluir que:

 La Corporación Autónoma Regional de Cundinamarca – CAR carece de un Sistema de Gestión de Seguridad de la Información, aun no se han implementado los procedimientos y soportes documentales de seguridad de la información.

 No se encontraron elementos relacionados a un análisis de riesgos, no solo a nivel de TI sino también de la infraestructura física que alberga los activos de TI de la CAR.

 Se han evidenciado un “Ausencia Total” de procesos y/o buenas prácticas de Seguridad de la Información, lo anterior se puede interpretar como una gran posibilidad de mejora y una necesidad de implementar y documentar las buenas practicas sugeridas por los estándares (ISO 27001:2013). 3 3 3 3 1 2 1 1 Planear Hacer Verificar Actuar

Nivel de Madurez MSPI

Nivel Deseado Nivel Actual

48