Requerimientos del Estándar: Respecto a los requerimientos del

estándar ISO 27001:2013, es posible evidenciar que es posible dar cumplimiento al 88% de estos, el 12% restante dependerá de las acciones que GCS Consulting realice respecto a las auditorías y al seguimiento y mejora del sistema de gestión de seguridad de la información, el cumplimiento respecto a cada uno de los requerimientos del estándar, es necesario tener en cuenta que en el GAP Análisis inicial se evidencia un no cumplimiento del 69% y un cumplimiento del 27%, dando cumplimiento a la estrategia determinada para dar solución a este hallazgo.

Se puede evidenciar que con el Diseño y aprobación por parte de la alta gerencia de este sistema de gestión de seguridad de la información, …Véase el numeral 4. Diseño del SGSI…, es posible dar cumplimiento a los requisitos del estándar de seguridad de la información, otorgado a GCS Consulting valor respecto a la realización de los procesos y actividades como parte de la consecución de sus objetivos como organización incluyendo la seguridad de la información de acuerdo a su decisión estratégica de la implementación de este, como se muestra a continuación:

154

Figura 20. Comparación de Resultados GAP Inicial vs GAP Final Requisitos Estándar ISO 27001:2013

Fuente: Autores

En la figura 20 se muestra la comparación respecto al GAP inicial (Parte Izquierda) y al GAP final (Parte Derecha) en el que se diseñado el sistema de gestión de seguridad de la información, evidenciando que se da total cumplimiento a los requisitos del estándar ISO 27001:2013, al no existir requerimientos sin cumplimiento, parcialmente cumplidos o no documentados, únicamente se muestran los requisitos que pueden ser cumplidos parcialmente.

155

A continuación se muestra en detalle el cumplimiento respecto a los requisitos del estándar ISO 27001:20131_{, para los cuales no es posible hacer excepciones} respecto a su implementación.

Cuadro 20. Análisis del cumplimiento de los requisitos del estándar ISO 27001:2013 1_{, por parte de GCS Consulting a partir del diseño presentado por el} equipo de investigación. Objetivo de Cumplimiento del Estándar ISO 27001:2013 Alcance de Cumplimiento 4. Contexto de la Organización

Se da cumplimiento a la totalidad de los requisitos de esta sección, los cuales han sido identificados y documentados como parte de la gestión del riesgo sección 6.2.6. Establecimiento del Contexto y del sistema de gestión de seguridad de la información, …Véase el numeral 4.1. Contexto…

Inicialmente estos se encontraban parcialmente identificados y no se encontraban documentados.

5. Liderazgo

Se da cumplimiento a la totalidad de los requisitos de esta sección mediante el apoyo de la Alta Gerencia de GCS Consulting para con el Sistema de Gestión de Seguridad de la información, haciendo parte de la cultura organizacional, procesos, productos y servicios ofrecidos a clientes.

Inicialmente no se tenía definida una política de seguridad de la información, sus objetivos, roles o responsabilidades y como esta se encuentra estrechamente ligada al cumplimiento de los objetivos de la organización.

6. Planificación

Se da cumplimiento a la totalidad de los requisitos de esta sección, por lo que se ha diseñado y aplicado una metodología para la gestión del riesgo basada en el estándar ISO 31000:2009 como parte del sistema de gestión de seguridad de la información, con el objetivo de identificar, evaluar, analizar, administrar y dar tratamiento a los riesgos que pueden impactar los objetivos del negocio de cualquier forma.

También se han definido objetivos respecto al sistema de seguridad de la información, mediante los cuales se dará cumplimiento a la política definida.

156 Cuadro 20 (Continuación) Objetivo de Cumplimiento del Estándar ISO 27001:2013 Alcance de Cumplimiento 6. Planificación

Inicialmente GCS Consulting no ha identificado los riesgos y su impacto sobre la organización y sus objetivos del negocio, tampoco se tenían definidos objetivos respecto a la seguridad de la información.

7. Soporte

La alta gerencia de GCS Consulting como parte de su estrategia y compromiso con el sistema de gestión de seguridad de la información, proveerá los recursos necesarios para su implementación, funcionamiento y mejora continua. De igual manera determinará las necesidades de capacitación y concienciación de los funcionarios de la compañía respecto al sistema de gestión de seguridad de la información y la gestión del riesgo, lo cual se efectuara mediante evaluaciones calificables, permitiendo identificar el nivel de conciencia en los funcionarios y las necesidades de formación.

La alta gerencia de GCS Consulting divulga a través de diferentes medios como carteleras, correos electrónicos, comunicados a todas las partes interesadas que se ha diseñado y se implementara un sistema de gestión de seguridad de la información.

Toda la documentación referente al diseño del sistema de gestión de seguridad de la información se encuentra de forma escrita, aprobada y divulgada, por lo que será controlada y verificada al menos con una periodicidad anual.

Inicialmente no era posible la realización de estas actividades, debido a que no se tenían de forma escrita y aprobadas.

8. Operación

El Sistema de Gestión de Seguridad de la Información se encuentra basado en un modelo de mejora continua denominada PHVA, mediante la cual se busca mantener la planificación, operación, verificación y mejora continua del sistema.

Como parte de la metodología de la gestión del riesgo, estos son valorados y analizados de tal forma que puedan ser clasificados y se generando planes de tratamiento de riesgo para su monitoreo y verificación.

157 Cuadro 20 (Continuación) Objetivo de Cumplimiento del Estándar ISO 27001:2013 Alcance de Cumplimiento 8. Operación

Inicialmente no era posible la ejecución de estas actividades, debido a que no se tenía definido un proceso de gestión del riesgo y/o seguridad de la información.

9. Evaluación de Desempeño

La alta gerencia de GCS Consulting monitorea y verifica el funcionamiento del sistema de gestión de seguridad de la información a partir de los resultados del proceso de gestión del riesgo, planes de tratamiento del riesgo, auditorias y retroalimentación de clientes.

El proceso de auditorías internas no podrá realizarse debido al tamaño de la organización, por lo que se sugiere se ejecución por parte de un tercero idóneo.

La realización de las auditorias dependerán de su realización por parte de la alta gerencia de la compañía, por lo que no se encuentra en el alcance de este proyecto, por tal razón se consideran como de implementación parcial.

10. Mejora

La mejora continua es parte fundamental del sistema de gestión del riesgo por lo que la alta gerencia debe mantener un constante seguimiento, monitoreo, revisión y verificación del funcionamiento del sistema de gestión de seguridad de la información, de tal forma que este mejore de forma continua e incremente su nivel de madurez.

El cumplimiento de este requisito se considera como parcial debido a que la mejora del sistema de la seguridad de la información hace parte de las responsabilidades de la alta gerencia de la compañía y hace parte de la implementación y madurez del sistema.

Fuente: Autores a partir de información suministrada por GCS Consulting.

En el Cuadro 20 se analiza cómo se dio cumplimiento a cada uno de los requisitos del estándar para la implementación del sistema se gestión de seguridad de la información y cuál era la situación identificada durante el GAP Análisis inicial.

158