Desde el año 2012 en ESET Latinoamérica ofrecemos una gama servicios de seguridad a través de ESET Intelligence Labs. Dichos servicios están mayormente orientados al diagnóstico de seguridad, es decir, a obtener una fotografía del estado de la seguridad para poder determinar un plan de acción y mejoras. Entre los tres servicios que brindamos regularmente, uno de ellos es el GAP Analysis y partir de muchas consultas que recibimos a través de la web sobre en qué consiste cada servicio, es que iniciaremos esta serie de publicaciones explicando el alcance y cómo se estructura cada servicio de seguridad.

En cuanto al GAP Analysis, es importante que se aclaren algunos conceptos y objetivos que involucran a este servicio, así como también qué resultados debe esperar el cliente. Como siempre afirmamos, la seguridad es un proceso y es por esto que creemos que es importante tener en cuenta servicios como este.

¿Qué es un GAP Analysis?

Gap Analysis (del inglés, análisis de brecha) es un servicio que permite identificar la distancia existente entre la organización actual de la seguridad de la información en la empresa y las buenas prácticas más reconocidas en la industria. Durante la ejecución del servicio, un consultor especializado realiza entrevistas con diferentes áreas de la compañía con el ánimo de identificar la situación actual de la misma en materia de seguridad, comparando contra las mejores prácticas o normativas vigentes respecto a la seguridad de la información.

De esta forma, es posible identificar la brecha existente entre ambas y ayudar a la compañía a diseñar un plan tendiente a minimizarla.

¿Qué involucra un GAP Analysis?

El GAP Analysis es un servicio completo, que posee diferentes etapas. Las actividades que involucra son:

  • Identificación de la brecha existente entre las prácticas de seguridad actuales de organización y las mejores prácticas existentes en la industria.
  • Análisis de la distancia entre las prácticas actuales de la organización y aquellas requeridas por las normativas.
  • Detección de los desvíos en las prácticas actuales de seguridad.
  • Proponer prácticas para mejorar el nivel actual de seguridad de la compañía.

¿Quiénes deberían interesarse en este tipo de servicios?

Las compañías que desean certificarse en alguna normativa deben considerar realizar un GAP Analysis. Luego de la ejecución de este servicio, la empresa estará en condiciones de medir que tan lejos se encuentra con respecto a una de ellas y comenzar a elaborar un plan de acción para su futuro cumplimiento.

En la mayoría de los casos, la normativa de referencia suele ser ISO 27001. En este caso, la certificación de una determinada compañía con la ISO 27000 asegura que la organización posee los requisitos actuales para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. De todas formas, existen otras normativas que se abocan a otro tipo de controles dependiendo del modelo de negocio de la organización.

Asimismo, esto también asegura que las compañías brindarán una buena imagen para con sus clientes, justificando que se apegan a los últimos estándares referentes a seguridad de la información.

Desde ESET Latinoamérica, hemos analizado las necesidades de las compañías en lo referente a las buenas prácticas de seguridad y es por esto que actualmente ofrecemos la propuesta de ESET Intelligence Labs, bajo el concepto de que la seguridad debe gestionarse. De esta forma, podremos encontrar vulnerabilidades antes de que los atacantes lo hagan.

Los invitamos a visitar el sitio de ESET Intelligence Labs para conocer más sobre los servicios que ofrecemos. Para más información, no duden en contactarnos.

Fernando Catoira
Analista de Seguridad