jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });
/38

DIAGNÓSTICO - ISO27001 - FEEL AGILE

 

Evalúe rápidamente la madurez de seguridad de su organización.

Comience ahora y reciba sus resultados por correo electrónico.

La certificación se basa en las medidas de seguridad que se implantarán en la empresa o dentro del perímetro de certificación elegido. Juntos, evaluaremos rápidamente su nivel global de ciberseguridad.

Categoría: Introducción

¿Cómo calificaría su ciberseguridad?

Categoría: Introducción

¿Qué tamaño tiene su empresa?

La complejidad de la implantación de la norma ISO 27001 está relacionada con el número de empleados. Identificar el número de empleados dentro del alcance de la certificación es una tarea importante.

Categoría: Introducción

Dependiendo de su tamaño, ¿cuál es su idea del presupuesto para un proceso de certificación ISO 27001?

El presupuesto de un proyecto ISO 27001 puede parecer elevado. Hay que evaluarlo en su conjunto (tiempo dedicado por los equipos, medidas de seguridad, certeza del éxito del proyecto).

Categoría: Introducción

¿En qué sector opera su empresa?

Categoría: Introducción

¿Cuándo prevé obtener la certificación?

Para un proyecto con menos de 10 empleados, se requiere un periodo de proyecto de 6 meses si se parte de 0.

Categoría: Introducción

¿Dispone de expertos internos en ISO 27001?

Es bastante imposible completar con éxito un proyecto ISO 27001 sin conocimientos específicos. La certificación 27001 es la más difícil de las certificaciones ISO actuales. La formación teórica no es suficiente si quiere tener éxito en su proyecto.

Categoría: Introducción

¿Ha definido un jefe de proyecto dentro de su equipo para la implantación de la certificación ISO 27001 (Jefe de Proyecto, CISO)?

Las funciones son muy importantes para el proyecto, y el director del proyecto debe tener buenas aptitudes interpersonales, organizativas y de seguridad. La mayoría de las veces hay dos funciones: una organizativa y otra de seguridad técnica. Hay que evaluar si se dispone de los recursos necesarios. Un gestor de proyectos Feel Agile debería dedicar unos 50 días al proyecto (el doble si trabaja solo).

Categoría: Introducción

¿Ha realizado ya una auditoría o un diagnóstico?

Categoría: Organización

¿Están bien definidos el contexto y los retos internos y externos?

La implantación de la norma ISO 27001 requiere un buen conocimiento de la información jurídica y de las distintas cuestiones vinculadas a la empresa que repercuten en la ciberseguridad (entre estas cuestiones figuran las amenazas específicas, la cultura de la empresa, etc.). Este análisis del contexto debe realizarse durante la fase de puesta en marcha.

Categoría: Organización

¿Está claro y documentado el alcance de la certificación?

Para definir el alcance de la certificación, hay que identificar los servicios y partes de la empresa que deben protegerse y certificarse específicamente.
Puede tratarse de toda la empresa o sólo de una parte.

Categoría: Organización

¿Ha identificado los elementos de su empresa que deben protegerse?

Todos los activos de apoyo de la empresa deben estar correctamente identificados y protegidos de forma completa y seria.

Categoría: Organización

¿Existe una política de seguridad de la información aprobada por la dirección?

La elaboración de una política de seguridad es una etapa clave de un proyecto ISO 27001, a menudo realizada al principio y luego mejorada. Esta política de seguridad puede adoptar diferentes formas y ser más o menos detallada.

Categoría: Organización

¿Se asignan y comunican las funciones y responsabilidades en materia de seguridad de la información?

La definición de funciones y responsabilidades es una etapa importante del proyecto, y es necesario definir las funciones del CISO y del RSMSI.

Categoría: Organización

Se ha realizado un análisis de riesgos formal, de conformidad con la norma ISO 27005. Se han identificado las oportunidades y los riesgos, y se han incorporado medidas al plan de acción?

Como parte de un proyecto ISO 27001, debe llevarse a cabo un análisis de riesgos completo de conformidad con la norma ISO 27005.

Categoría: Organización

¿Ha llevado a cabo la organización un análisis de riesgos exhaustivo para identificar las amenazas y vulnerabilidades en materia de seguridad de la información?

Categoría: Organización

¿Se definen y controlan los objetivos de seguridad mediante indicadores?

Los objetivos de seguridad deben estar claramente definidos para que pueda verse que el proceso de ciberseguridad avanza en la dirección correcta.

Categoría: Organización

¿Dispone de los recursos necesarios, tanto humanos como técnicos, para que la CMSI funcione?

El funcionamiento del SGSI durante su implantación, y posteriormente durante su mantenimiento, requiere un alto nivel de medidas de seguridad organizativas y la gestión de las medidas de seguridad técnicas.
Es difícil evaluar esta carga de trabajo al inicio del proyecto, ya que varía mucho de una empresa a otra. Si desea precisar esta carga de trabajo, no dude en ponerse en contacto con nosotros tras este autodiagnóstico.

Categoría: Organización

¿Existen programas de concienciación y formación sobre seguridad de la información para los empleados?

Sensibilizar al personal e informar a determinados empleados sobre la seguridad de la información es un requisito esencial de la norma ISO 27001. Este enfoque debe iniciarse al principio del proyecto, cuando se implanta la norma, y también debe mantenerse anualmente para garantizar una formación y sensibilización continuas en materia de seguridad.

Categoría: Organización

¿Dispone de un plan de comunicación en el que se detallen las acciones de comunicación llevadas a cabo en materia de seguridad, tanto interna como externa?

Debe elaborarse un plan de comunicación para la ciberseguridad y la seguridad de la información.

Categoría: Organización

¿Se han definido y supervisado indicadores para evaluar los resultados en materia de seguridad y la eficacia del SGSI?

En materia de seguridad, hay indicadores bastante específicos que deben ser objeto de seguimiento. Pueden referirse, por ejemplo, a los incidentes de seguridad, la aplicación de medidas de seguridad y las actualizaciones. También se pueden controlar los indicadores relativos al acceso.

Categoría: Organización

¿Se están aplicando y supervisando las medidas de seguridad identificadas?

La norma ISO 27001 tiene por objeto definir y aplicar medidas de seguridad que deben supervisarse y controlarse rigurosamente a lo largo de todo el proyecto. Es más, una vez que la empresa ha obtenido la certificación, es crucial asegurarse de que las distintas medidas se supervisan y aplican eficazmente.

Categoría: Legal

¿He identificado los requisitos reglamentarios aplicables a mi empresa?

Como se ha mencionado al inicio del autodiagnóstico, en la empresa deben cumplirse todos los requisitos normativos aplicables en materia de seguridad de la información y gestión de la información, entre los que se incluyen, por ejemplo, el RGPD, pero también otras normativas como la NIS 2.

Categoría: Legal

¿Superviso la ciberseguridad (sitios de seguimiento/revistas/boletines informativos)?

La vigilancia de la ciberseguridad debe incluir los temas de las 6 amenazas a la seguridad, la desconcentración legal y los avances tecnológicos en relación con la empresa.

Categoría: Legal

¿Mantiene mi empresa pruebas adecuadas de que cumple la normativa?

La preservación de pruebas es un elemento crucial en iso 27001 para la parte legal, como lo es para todas las demás partes en términos de ciberseguridad.

Categoría: Legal

¿Cumple mi empresa el RGPD o cualquier otra normativa de protección de datos/privacidad?

Categoría: Sección técnica

¿Qué medidas de seguridad se han implantado en los puestos de trabajo y dispositivos móviles para proteger los datos de la empresa?

Categoría: Sección técnica

¿Existen medidas de seguridad para el uso de teléfonos móviles de empresa?

Categoría: Sección técnica

¿Existen medidas de seguridad para el uso de soportes extraíbles (por ejemplo, memorias USB, discos duros externos)?

Categoría: Sección técnica

¿Graba y supervisa la actividad de la red para identificar rápidamente comportamientos sospechosos e intentos de intrusión?

Categoría: Sección técnica

¿Utiliza un gestor de contraseñas centralizado?

Categoría: Sección técnica

¿Haces copias de seguridad de los datos críticos?

Categoría: Sección técnica

¿Tienes una lista de usuarios y accesos a todos tus sistemas?

Categoría: Sección técnica

¿Dispone de sistemas para detectar vulnerabilidades en sus servidores o estaciones de trabajo y actualizarlos?

Categoría: Sección técnica

¿Tiene una red local segmentada?

Categoría: Sección técnica

¿Dispone de entornos de desarrollo, prueba y producción independientes?

Categoría: Sección técnica

¿Se utilizan herramientas para garantizar la seguridad (cortafuegos, IP/ID)?

Categoría: Sección técnica

¿Está protegido el WiFi (WiFi para invitados, protección de la conexión)?

Categoría: Sección técnica

¿Realizan auditorías técnicas?