auditorias
DESCRIPTION
auditorias internas iso 27001TRANSCRIPT
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Ramiro Cid | @ramirocid
Auditora del SGSI
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora UNE 71502
El modelo del sistema est basado en el modelo PDCA
El desarrollo de la seguridad se basa en un A.R. (Anlisis de Riesgos)
Incluye los requerimientos funcionales del sistema de gestin (SGSI) Incluye los requerimientos para verificar la efectividad del sistema
Introduce indicadores de seguridad o mtricas en el sistema
Est alineado con ISO 9000 o ISO 14000
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Certificacin de organizaciones
Cmo se puede aportar a
Nuestros clientes, Mercado, La sociedad
la confianza necesaria de que somos capaces de cumplir sus requisitos?
Si un tercero independiente certifica que lo estamos haciendo bien, de acuerdo a un esquema con el que los dos estamos conformes, el problema est resuelto
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Ventajas de la certificacin
EXTERNAS:
Aumenta la credibilidad y confianza de clientes y administracin Facilita el intercambio y acceso a mercados externos Evita o disminuye evaluaciones sobre nuestros productos o servicios Elemento diferenciador con la competencia Fidelizacin de clientes Facilitar la compra al consumidor
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Ventajas de la certificacin
INTERNAS:
Proporciona confianza a las personas de la organizacin Reduce costes Aumenta la motivacin del personal Mejora de la satisfaccin del cliente Mejora de la satisfaccin del personal Mejora los procesos Mejora del producto o servicio
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora de Seguridad: Objetivos
Evaluar la efectividad de la organizacin con respecto al uso de recursos
Evaluar los sistemas y procesos que se desarrollan en la organizacin
Detectar y prevenir posibles errores y fraudes
Evaluar el riesgo y los sistemas de seguridad de las organizaciones
Elaboracin de planes de contingencia y recuperacinen caso de desastres
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Equipo auditor: Requisitos EESSI
Calificaciones acadmicas necesarias
Los ltimos cuatro aos trabajando con las IT y de estos los dos ltimos relacionados con la seguridad de las IT.
Conocimientos sobre procesos de anlisis y gestin del riesgo.
Haber participado como mnimo en 3 auditoras a organizaciones como miembro de un equipo auditor
Cualidades para el proceso de asesoramiento a la organizacin que est evaluando.
Capacidad para comunicar los resultados obtenidos tanto va oral como escrita.
Equipo auditor
Auditor lder
Auditores
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Equipo auditor
Para asegurar su imparcialidad, la entidad certificadora no puede:
Preparar manuales, polticas o procedimientos. Participar en la toma de decisiones sobre el SGSI Dar recomendaciones especficas para el desarrollo del SGSI
Si puede:
Auditar y certificar Hacer seguimiento de las no conformidades Impartir formacin genrica Publicar interpretaciones sobre la norma Realizar auditoras previas a la certificacin
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Cdigo de conducta del equipo auditor
Actuar de forma veraz e imparcial
Deben evitar cualquier tipo de asignacin quepueda causar un conflicto de intereses
No aceptarn ningn tipo de incentivo, comisin, descuento u otro tipo de provecho por parte de la organizacin auditada
No revelarn las observaciones de la auditora a terceros
No actuarn de forma que pueda perjudicar a ninguna de las partes implicadas en la auditora
En caso de incumplimiento de este cdigo se proceder a una investigacin en que colaborarn para su esclarecimiento
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Los auditores
Estn cualificados para: Identificar las amenazas, vulnerabilidades e impactos
que puedan comprometer los activos de la organizacin Discernir las reas de actividad de la organizacin Verificar que la organizacin ha identificado correctamente sus riesgos
Debe tener: Formacin universitaria o experiencia profesional y formacin que se
considere equivalente Al menos 4 aos de experiencia en Tecnologas de la Informacin 2 aos de experiencia en seguridad de las Tecnologa
de la Informacin Haber realizado al menos un curso de 5 das de auditora.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Los auditores
Deben:
Haber realizado 4 auditoras y al menos 20 jornadas completas desarrollando: Revisin de la documentacin Revisin del anlisis de riesgos Auditora de la implantacin Desarrollo de informes de auditora
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Los auditores
Deben ser:
Maduros, profesionales e independientes Objetivo, analtico y persistente Realista, analizar e interpretar las situaciones
en su justa medida Mente abierta ante nuevas situaciones Capaz de percibir situaciones y problemas no declarados
Comprender las funciones de cada empleado
Observar los requerimientos de confidencialidad del solicitante
Mantenerse al da en temas de seguridad
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditor jefe
El Auditor Jefe adems debe:
Conocer el proceso de certificacin Haber realizado 3 auditoras como auditor Haber demostrado habilidades de comunicacin
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Dentro de la auditora
El jefe: Planifica y gestiona todas las fases de la misma Dirige la primera fase Colabora en la seleccin del equipo de auditores Controla los conflictos y maneja las situaciones difciles Dirige las reuniones con el equipo auditor y el personal auditado Toma decisiones en materia de la auditora y el SGSI
El auditor: Apoya al auditor jefe Documenta y apoya todos los hallazgos Realiza el seguimiento de las acciones
correctoras para corregir las no conformidades encontradas
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Dentro de la auditora
Equipo auditor:
Jefe y miembros del equipo: normalmente se trata de una o dos personas. Auditores en formacin: personal en formacin para convertirse en auditor. Observadores, auditor provisional: puede ser un observador, para supervisar
la auditora. Expertos, personal asesor: personal que asesora al auditor sobre temas
tcnicos o concretos del negocio a auditar. Testigos e invitados: Son simples observadores que no deben intervenir en la
auditora.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Dentro de la auditora
Equipo del solicitante:
Gua: persona de la empresa que acompaa al equipoauditor y le facilita la informacin solicitada. Normalmente ser el Responsable del Sistemade Gestin de la Seguridad de la Informacin.
Representante de la direccin: persona con autorizacin suficiente en la empresa para confirmar la implicacin y compromiso de la direccin con las polticas de seguridad y aprobadas.
Observadores, personal en formacin: normalmente personal de la empresa en formacin para auditor interno.
Consultores: cuando la empresa contrata un consultor externo para asesorarle en el desarrollo del SGSI, este puede asistir a la auditora pero no debe intervenir en ningn momento.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Proceso de certificacin
SOLICITUD
REVISION DOCUMENTACION
DOC. Completa y adecuada
auditora INICIAL
Acciones correctoras validas ?Peticin de nuevas acciones
correctoras y/o extraordinarias
NO
SI
NO
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Proceso de certificacin
Concesin del certificado
Auditora de seguimiento (ANUAL)
Peticin de nuevas acciones correctoras y/o visita extraordinaria
Validacin del certificado
auditora renovacin (trianual)
Acciones correctoras validas ?
SI
NO
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Revisin documental
Por parte del equipo auditor, en esta primera fase se revisa:
1. Poltica de seguridad de la organizacin2. Alcance de la certificacin3. Anlisis de riesgos de la organizacin4. La seleccin de controles de acuerdo con la declaracin de aplicabilidad5. Revisin de la documentacin de los controles seleccionados
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
1.- Poltica de seguridad
Supone la declaracin de intenciones sobre la que va a basar todo el desarrollo de la seguridad
Debe reflejar que esta poltica afecta a todo el personal que de una forma u otra est involucrada en el SGSI
Debe estar aprobada por el comit de seguridad y formada por el ms alto representante de la organizacin.
Comprobar que son: Fcil comprensin Aplicables, Sencillas y concretas Revisables Coherentes con los objetivos de la organizacin
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
1.- Poltica de seguridad
No se debe desarrollar en un nico documento
La poltica de alto nivel debera poder incluirse en un folio y estar distribuida a todo el personal.
Las polticas ms formales se distribuirn de acuerdo con las necesidades.
A incorporar en ellas: Definicin de la seguridad Declaracin del soporte de la direccin Explicaciones breves sobre polticas, principios, practicas y cumplimientos
de seguridad Definicin de responsabilidades Referencias a otros documentos
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
2.- Alcance
Condiciona la certificacin y el desarrollo de las auditoras, ya que se limitan a lo que est incluido.
Puede ser toda la organizacin o una parte de ella.
Si se modifica el alcance se debe modificar el certificado.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
3.- Anlisis de riesgos
El AR debe ser estructurado y estar documentado.
La metodologa empleada debe ser coherente con la complejidad y los niveles de proteccin requeridos.
El AR permite que la implantacin sea proporcional al nivel de riesgo y es un requisito para la certificacin.
El auditor determinar si el AR cubre el alcance y si es aceptable en funcin de los activos y la naturaleza de la organizacin.
El auditor se asegura de que el AR y su gestin tiene en cuenta los cambios y est actualizado.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
4.- Seleccin de controles
Determina si se han seleccionado los controles adecuados.
Todos reflejados en la Declaracin de aplicabilidad.
Si un control no se implementa puede ser por:
No existe un riesgo que lo justifique Presupuesto No hay viabilidad tecnolgica No se puede implantar por falta de tiempo No es aplicable
La razones para excluir controles deben ser slidas y coherentes.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
4.- Seleccin de controles
CONTROL SI/NO JUSTIFICACIN6.3.1. Comunicacin de las incidencias de seguridad
SI Es imprescindible para detectar las incidencias en un estado temprano y una de las bases para el proceso de mejora continua
7.1.5. reas aisladas de carga y descarga
NO No es aplicable, ya que la organizacin no dispone de reas de carga y descarga
8.7.2. Seguridad de soportes en trnsito
NO No es aplicable, ya que la organizacin no enva soportes fsicos con informacin sensible o confidencial
DECLARACION DE APLICABILIDAD:
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
4.- Seleccin de controles
El documento relaciona el AR con la situacin de la seguridad, tanto para los auditores externos como internos.
Junto con el alcance y la poltica, constituye la base de la auditora documental.
El auditor comprueba la consistencia de los planteamientos referentes a la seguridad entre los tres documentos.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
5.- Revisin documentacin
Deben documentarse todos los controles seleccionados.
Comprueba que la documentacin:
Est fechada y disponible Dispone de control de versiones Se retira si es obsoleta
Aparecen reflejados los diferentes puntos de la normativa ISO 27002
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
El equipo auditor selecciona una muestra de controles que se van a auditar:
Incluir todos los controles crticos Seleccionar controles que afecten a
las actividades ms importantes de la organizacin Seleccionar controles de todas las secciones Seleccionar los controles de forma que se auditen todos los departamentos
involucrados en el SGSI Dar prioridad a las reas de mayor riesgo Si no se encuentras problemas serios, se auditarn un 20% de los controles
aplicables.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Se elabora un Plan de auditora, que incluye:
Alcance y objetivo de la auditora Equipo por parte de la entidad y del solicitante Personal del solicitante con responsabilidad dentro del rea afectada Documentos de referencia reas o departamentos que se auditarn Muestras de controles a auditar Agenda para las reuniones Contenido y estructura de los informes Conformidad del solicitante al plan de auditora
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Entre la auditora documental y la in situ deben pasar entre 3 y 6 semanas
Se realiza siempre en las instalaciones del solicitante
Los objetivos de sta son: Confirmar que la organizacin cumple con sus
polticas y procedimientos Comprobar que el SGSI desarrollado es conforme
con las especificaciones de la norma Verificar que el SGSI est logrando los objetivos
que la organizacin se ha marcado
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Los auditores deben centrarse en:
El Anlisis de riesgos La declaracin de aplicabilidad Los objetivos que persigue la organizacin Cmo se
Monitoriza y mide Informa y mejora
Las revisiones del SGSI y de la seguridad El grado de implicacin de la direccin La coherencia entre
Polticas, anlisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Buscan evidencias objetivas: Registro de actividad (logs) o informacin Basados en medidas, en pruebas o en la
observacin
Pueden ser verificados!!
Tcnicas para obtenerlas:
Preguntas a los empleados Observacin Revisin de documentos o registros Muestreo Resumir, analizar o evaluar
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Los auditores visitarn las instalaciones de la organizacin.
Comprueban que los controles que han seleccionado en la muestra cumple con lo exigido en el estndar
No tocarn mquinas, pero solicitarn a los empleados de la organizacin que realicen las actividades que quieran evaluar.
El objetivo de la auditoria no es detectar no conformidades (errores), sino determinar que el SGSI es conforme con la norma.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
El equipo auditor convocar reuniones con miembros seleccionados de la organizacin, elaborar informes sobre lo observado durante las entrevistas, y redactar documentos de recomendaciones si procede-.
Convocar a una reunin final a la direccin de la empresa para explicarles lo observado en esta segunda fase, y comunicarles los resultados de la Auditora.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Entrevistas
La calidad de la entrevista de auditora dependerde la habilidad para realizar las preguntas del auditor.
La forma de preguntar debe hacerle sentirse cmodo al solicitante.
Las preguntas deben ser apropiadas al rea que est siendo auditada.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Entrevistas
Preguntas abiertas
Quin (lo hace)? - Cada cuanto (se hace)? Cmo (se hace)? - Mustramelo Dnde (se hace)? - Cuntamelo Cundo (se hace)?
Preguntas cerradas
Se pueden responder con un SI o un NO
Preguntas dirigidas
Utilizadas para ver conseguir la respuesta buscada de una forma ms rpida, guiando al auditado
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Entrevistas
Otro tipo de preguntas:
Preguntas de opinin Preguntas de investigacin Preguntas no-verbales (lenguaje corporal) Preguntas repetidas Preguntas sobre situaciones hipotticas
?
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Al final de la auditora la entidad debe mantener una reunin con el solicitante e informar del resultado de la misma:
Agradecer la colaboracin Recordar nuevamente el objetivo y alcance de la auditoria Dar un resumen del resultado de la auditora Informar de las recomendaciones que va a dar el equipo de auditora Preguntar si el solicitante tiene alguna cuestin que quiera aclarar Recoger la conformidad del solicitante Cierre de la reunin.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Informe de auditora
Las conclusiones y el informe deben basarse en:
Las dos etapas de la auditora conjuntamente Las no conformidades encontradas La documentacin, implantacin y efectividad del SGSI Fortaleza y debilidades de
Los departamentos Las secciones de la ISO 27002
Existe un compromiso de la direccin conla mejora continua.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Informe de auditora
En funcin de lo anterior el equipo auditor debe emitir la recomendacin:
Se recomienda el registro si se considera que le SGSI es conforme con la norma
Se recomienda revisin a la espera de recibir un plan aceptable de acciones correctoras en caso de que se hayan encontrado no conformidades
Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un rea concreta
Se recomienda volver a auditar si se han encontrado no conformidades mayores en ms de un rea.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Decisin sobre certificacin
La decisin de si se debe emitir o no el certificado la toma el Comit de Certificacin basndose en la informacin recogida durante el proceso.
Los miembros deben ser personal interno de la entidad, los miembros del equipo auditor no pueden participar en la toma de decisin.
Si la recomendacin es NO emitir el certificado, el Comit de Certificacin no debera cambiar el criterio.
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Decisin sobre certificacin
En caso de que se emita el certificado, la entidad remitir al solicitante una carta o diploma indicando como mnimo:
Nombre y direccin de la organizacin El alcance de la certificacin La fecha de emisin del certificado y su periodo de validez La versin de la declaracin de aplicabilidad
-
ramirocid.com [email protected] Twitter: @ramirocid
Auditora del SGSI
Dudas? preguntas?
Muchas Gracias !!
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocidhttp://www.youtube.com/user/cidramiro
Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL