auditorias

ramirocid.com [email protected] Twitter: @ramirocid

Auditora del SGSI

Ramiro Cid | @ramirocid

Auditora del SGSI


Auditora del SGSI

Auditora UNE 71502

El modelo del sistema est basado en el modelo PDCA

El desarrollo de la seguridad se basa en un A.R. (Anlisis de Riesgos)

Incluye los requerimientos funcionales del sistema de gestin (SGSI) Incluye los requerimientos para verificar la efectividad del sistema

Introduce indicadores de seguridad o mtricas en el sistema

Est alineado con ISO 9000 o ISO 14000


Auditora del SGSI

Certificacin de organizaciones

Cmo se puede aportar a

Nuestros clientes, Mercado, La sociedad

la confianza necesaria de que somos capaces de cumplir sus requisitos?

Si un tercero independiente certifica que lo estamos haciendo bien, de acuerdo a un esquema con el que los dos estamos conformes, el problema est resuelto


Auditora del SGSI

Ventajas de la certificacin

EXTERNAS:

Aumenta la credibilidad y confianza de clientes y administracin Facilita el intercambio y acceso a mercados externos Evita o disminuye evaluaciones sobre nuestros productos o servicios Elemento diferenciador con la competencia Fidelizacin de clientes Facilitar la compra al consumidor


Auditora del SGSI

Ventajas de la certificacin

INTERNAS:

Proporciona confianza a las personas de la organizacin Reduce costes Aumenta la motivacin del personal Mejora de la satisfaccin del cliente Mejora de la satisfaccin del personal Mejora los procesos Mejora del producto o servicio


Auditora del SGSI

Auditora de Seguridad: Objetivos

Evaluar la efectividad de la organizacin con respecto al uso de recursos

Evaluar los sistemas y procesos que se desarrollan en la organizacin

Detectar y prevenir posibles errores y fraudes

Evaluar el riesgo y los sistemas de seguridad de las organizaciones

Elaboracin de planes de contingencia y recuperacinen caso de desastres


Auditora del SGSI

Equipo auditor: Requisitos EESSI

Calificaciones acadmicas necesarias

Los ltimos cuatro aos trabajando con las IT y de estos los dos ltimos relacionados con la seguridad de las IT.

Conocimientos sobre procesos de anlisis y gestin del riesgo.

Haber participado como mnimo en 3 auditoras a organizaciones como miembro de un equipo auditor

Cualidades para el proceso de asesoramiento a la organizacin que est evaluando.

Capacidad para comunicar los resultados obtenidos tanto va oral como escrita.

Equipo auditor

Auditor lder

Auditores


Auditora del SGSI

Equipo auditor

Para asegurar su imparcialidad, la entidad certificadora no puede:

Preparar manuales, polticas o procedimientos. Participar en la toma de decisiones sobre el SGSI Dar recomendaciones especficas para el desarrollo del SGSI

Si puede:

Auditar y certificar Hacer seguimiento de las no conformidades Impartir formacin genrica Publicar interpretaciones sobre la norma Realizar auditoras previas a la certificacin


Auditora del SGSI

Cdigo de conducta del equipo auditor

Actuar de forma veraz e imparcial

Deben evitar cualquier tipo de asignacin quepueda causar un conflicto de intereses

No aceptarn ningn tipo de incentivo, comisin, descuento u otro tipo de provecho por parte de la organizacin auditada

No revelarn las observaciones de la auditora a terceros

No actuarn de forma que pueda perjudicar a ninguna de las partes implicadas en la auditora

En caso de incumplimiento de este cdigo se proceder a una investigacin en que colaborarn para su esclarecimiento


Auditora del SGSI

Los auditores

Estn cualificados para: Identificar las amenazas, vulnerabilidades e impactos

que puedan comprometer los activos de la organizacin Discernir las reas de actividad de la organizacin Verificar que la organizacin ha identificado correctamente sus riesgos

Debe tener: Formacin universitaria o experiencia profesional y formacin que se

considere equivalente Al menos 4 aos de experiencia en Tecnologas de la Informacin 2 aos de experiencia en seguridad de las Tecnologa

de la Informacin Haber realizado al menos un curso de 5 das de auditora.


Auditora del SGSI

Los auditores

Deben:

Haber realizado 4 auditoras y al menos 20 jornadas completas desarrollando: Revisin de la documentacin Revisin del anlisis de riesgos Auditora de la implantacin Desarrollo de informes de auditora


Auditora del SGSI

Los auditores

Deben ser:

Maduros, profesionales e independientes Objetivo, analtico y persistente Realista, analizar e interpretar las situaciones

en su justa medida Mente abierta ante nuevas situaciones Capaz de percibir situaciones y problemas no declarados

Comprender las funciones de cada empleado

Observar los requerimientos de confidencialidad del solicitante

Mantenerse al da en temas de seguridad


Auditora del SGSI

Auditor jefe

El Auditor Jefe adems debe:

Conocer el proceso de certificacin Haber realizado 3 auditoras como auditor Haber demostrado habilidades de comunicacin


Auditora del SGSI

Dentro de la auditora

El jefe: Planifica y gestiona todas las fases de la misma Dirige la primera fase Colabora en la seleccin del equipo de auditores Controla los conflictos y maneja las situaciones difciles Dirige las reuniones con el equipo auditor y el personal auditado Toma decisiones en materia de la auditora y el SGSI

El auditor: Apoya al auditor jefe Documenta y apoya todos los hallazgos Realiza el seguimiento de las acciones

correctoras para corregir las no conformidades encontradas


Auditora del SGSI


Equipo auditor:

Jefe y miembros del equipo: normalmente se trata de una o dos personas. Auditores en formacin: personal en formacin para convertirse en auditor. Observadores, auditor provisional: puede ser un observador, para supervisar

la auditora. Expertos, personal asesor: personal que asesora al auditor sobre temas

tcnicos o concretos del negocio a auditar. Testigos e invitados: Son simples observadores que no deben intervenir en la

auditora.


Auditora del SGSI


Equipo del solicitante:

Gua: persona de la empresa que acompaa al equipoauditor y le facilita la informacin solicitada. Normalmente ser el Responsable del Sistemade Gestin de la Seguridad de la Informacin.

Representante de la direccin: persona con autorizacin suficiente en la empresa para confirmar la implicacin y compromiso de la direccin con las polticas de seguridad y aprobadas.

Observadores, personal en formacin: normalmente personal de la empresa en formacin para auditor interno.

Consultores: cuando la empresa contrata un consultor externo para asesorarle en el desarrollo del SGSI, este puede asistir a la auditora pero no debe intervenir en ningn momento.


Auditora del SGSI

Proceso de certificacin

SOLICITUD

REVISION DOCUMENTACION

DOC. Completa y adecuada

auditora INICIAL

Acciones correctoras validas ?Peticin de nuevas acciones

correctoras y/o extraordinarias

NO

SI

NO


Auditora del SGSI

Proceso de certificacin

Concesin del certificado

Auditora de seguimiento (ANUAL)

Peticin de nuevas acciones correctoras y/o visita extraordinaria

Validacin del certificado

auditora renovacin (trianual)

Acciones correctoras validas ?

SI

NO


Auditora del SGSI

Revisin documental

Por parte del equipo auditor, en esta primera fase se revisa:

1. Poltica de seguridad de la organizacin2. Alcance de la certificacin3. Anlisis de riesgos de la organizacin4. La seleccin de controles de acuerdo con la declaracin de aplicabilidad5. Revisin de la documentacin de los controles seleccionados


Auditora del SGSI

1.- Poltica de seguridad

Supone la declaracin de intenciones sobre la que va a basar todo el desarrollo de la seguridad

Debe reflejar que esta poltica afecta a todo el personal que de una forma u otra est involucrada en el SGSI

Debe estar aprobada por el comit de seguridad y formada por el ms alto representante de la organizacin.

Comprobar que son: Fcil comprensin Aplicables, Sencillas y concretas Revisables Coherentes con los objetivos de la organizacin


Auditora del SGSI

1.- Poltica de seguridad

No se debe desarrollar en un nico documento

La poltica de alto nivel debera poder incluirse en un folio y estar distribuida a todo el personal.

Las polticas ms formales se distribuirn de acuerdo con las necesidades.

A incorporar en ellas: Definicin de la seguridad Declaracin del soporte de la direccin Explicaciones breves sobre polticas, principios, practicas y cumplimientos

de seguridad Definicin de responsabilidades Referencias a otros documentos


Auditora del SGSI

2.- Alcance

Condiciona la certificacin y el desarrollo de las auditoras, ya que se limitan a lo que est incluido.

Puede ser toda la organizacin o una parte de ella.

Si se modifica el alcance se debe modificar el certificado.


Auditora del SGSI

3.- Anlisis de riesgos

El AR debe ser estructurado y estar documentado.

La metodologa empleada debe ser coherente con la complejidad y los niveles de proteccin requeridos.

El AR permite que la implantacin sea proporcional al nivel de riesgo y es un requisito para la certificacin.

El auditor determinar si el AR cubre el alcance y si es aceptable en funcin de los activos y la naturaleza de la organizacin.

El auditor se asegura de que el AR y su gestin tiene en cuenta los cambios y est actualizado.


Auditora del SGSI

4.- Seleccin de controles

Determina si se han seleccionado los controles adecuados.

Todos reflejados en la Declaracin de aplicabilidad.

Si un control no se implementa puede ser por:

No existe un riesgo que lo justifique Presupuesto No hay viabilidad tecnolgica No se puede implantar por falta de tiempo No es aplicable

La razones para excluir controles deben ser slidas y coherentes.


Auditora del SGSI


CONTROL SI/NO JUSTIFICACIN6.3.1. Comunicacin de las incidencias de seguridad

SI Es imprescindible para detectar las incidencias en un estado temprano y una de las bases para el proceso de mejora continua

7.1.5. reas aisladas de carga y descarga

NO No es aplicable, ya que la organizacin no dispone de reas de carga y descarga

8.7.2. Seguridad de soportes en trnsito

NO No es aplicable, ya que la organizacin no enva soportes fsicos con informacin sensible o confidencial

DECLARACION DE APLICABILIDAD:


Auditora del SGSI


El documento relaciona el AR con la situacin de la seguridad, tanto para los auditores externos como internos.

Junto con el alcance y la poltica, constituye la base de la auditora documental.

El auditor comprueba la consistencia de los planteamientos referentes a la seguridad entre los tres documentos.


Auditora del SGSI

5.- Revisin documentacin

Deben documentarse todos los controles seleccionados.

Comprueba que la documentacin:

Est fechada y disponible Dispone de control de versiones Se retira si es obsoleta

Aparecen reflejados los diferentes puntos de la normativa ISO 27002


Auditora del SGSI

Auditora in situ

El equipo auditor selecciona una muestra de controles que se van a auditar:

Incluir todos los controles crticos Seleccionar controles que afecten a

las actividades ms importantes de la organizacin Seleccionar controles de todas las secciones Seleccionar los controles de forma que se auditen todos los departamentos

involucrados en el SGSI Dar prioridad a las reas de mayor riesgo Si no se encuentras problemas serios, se auditarn un 20% de los controles

aplicables.


Auditora del SGSI

Auditora in situ

Se elabora un Plan de auditora, que incluye:

Alcance y objetivo de la auditora Equipo por parte de la entidad y del solicitante Personal del solicitante con responsabilidad dentro del rea afectada Documentos de referencia reas o departamentos que se auditarn Muestras de controles a auditar Agenda para las reuniones Contenido y estructura de los informes Conformidad del solicitante al plan de auditora


Auditora del SGSI

Auditora in situ

Entre la auditora documental y la in situ deben pasar entre 3 y 6 semanas

Se realiza siempre en las instalaciones del solicitante

Los objetivos de sta son: Confirmar que la organizacin cumple con sus

polticas y procedimientos Comprobar que el SGSI desarrollado es conforme

con las especificaciones de la norma Verificar que el SGSI est logrando los objetivos

que la organizacin se ha marcado


Auditora del SGSI

Auditora in situ

Los auditores deben centrarse en:

El Anlisis de riesgos La declaracin de aplicabilidad Los objetivos que persigue la organizacin Cmo se

Monitoriza y mide Informa y mejora

Las revisiones del SGSI y de la seguridad El grado de implicacin de la direccin La coherencia entre

Polticas, anlisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad


Auditora del SGSI

Auditora in situ

Buscan evidencias objetivas: Registro de actividad (logs) o informacin Basados en medidas, en pruebas o en la

observacin

Pueden ser verificados!!

Tcnicas para obtenerlas:

Preguntas a los empleados Observacin Revisin de documentos o registros Muestreo Resumir, analizar o evaluar


Auditora del SGSI

Auditora in situ

Los auditores visitarn las instalaciones de la organizacin.

Comprueban que los controles que han seleccionado en la muestra cumple con lo exigido en el estndar

No tocarn mquinas, pero solicitarn a los empleados de la organizacin que realicen las actividades que quieran evaluar.

El objetivo de la auditoria no es detectar no conformidades (errores), sino determinar que el SGSI es conforme con la norma.


Auditora del SGSI

Auditora in situ

El equipo auditor convocar reuniones con miembros seleccionados de la organizacin, elaborar informes sobre lo observado durante las entrevistas, y redactar documentos de recomendaciones si procede-.

Convocar a una reunin final a la direccin de la empresa para explicarles lo observado en esta segunda fase, y comunicarles los resultados de la Auditora.


Auditora del SGSI

Entrevistas

La calidad de la entrevista de auditora dependerde la habilidad para realizar las preguntas del auditor.

La forma de preguntar debe hacerle sentirse cmodo al solicitante.

Las preguntas deben ser apropiadas al rea que est siendo auditada.


Auditora del SGSI

Entrevistas

Preguntas abiertas

Quin (lo hace)? - Cada cuanto (se hace)? Cmo (se hace)? - Mustramelo Dnde (se hace)? - Cuntamelo Cundo (se hace)?

Preguntas cerradas

Se pueden responder con un SI o un NO

Preguntas dirigidas

Utilizadas para ver conseguir la respuesta buscada de una forma ms rpida, guiando al auditado


Auditora del SGSI

Entrevistas

Otro tipo de preguntas:

Preguntas de opinin Preguntas de investigacin Preguntas no-verbales (lenguaje corporal) Preguntas repetidas Preguntas sobre situaciones hipotticas

?


Auditora del SGSI

Auditora in situ

Al final de la auditora la entidad debe mantener una reunin con el solicitante e informar del resultado de la misma:

Agradecer la colaboracin Recordar nuevamente el objetivo y alcance de la auditoria Dar un resumen del resultado de la auditora Informar de las recomendaciones que va a dar el equipo de auditora Preguntar si el solicitante tiene alguna cuestin que quiera aclarar Recoger la conformidad del solicitante Cierre de la reunin.


Auditora del SGSI

Informe de auditora

Las conclusiones y el informe deben basarse en:

Las dos etapas de la auditora conjuntamente Las no conformidades encontradas La documentacin, implantacin y efectividad del SGSI Fortaleza y debilidades de

Los departamentos Las secciones de la ISO 27002

Existe un compromiso de la direccin conla mejora continua.


Auditora del SGSI

Informe de auditora

En funcin de lo anterior el equipo auditor debe emitir la recomendacin:

Se recomienda el registro si se considera que le SGSI es conforme con la norma

Se recomienda revisin a la espera de recibir un plan aceptable de acciones correctoras en caso de que se hayan encontrado no conformidades

Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un rea concreta

Se recomienda volver a auditar si se han encontrado no conformidades mayores en ms de un rea.


Auditora del SGSI

Decisin sobre certificacin

La decisin de si se debe emitir o no el certificado la toma el Comit de Certificacin basndose en la informacin recogida durante el proceso.

Los miembros deben ser personal interno de la entidad, los miembros del equipo auditor no pueden participar en la toma de decisin.

Si la recomendacin es NO emitir el certificado, el Comit de Certificacin no debera cambiar el criterio.


Auditora del SGSI

Decisin sobre certificacin

En caso de que se emita el certificado, la entidad remitir al solicitante una carta o diploma indicando como mnimo:

Nombre y direccin de la organizacin El alcance de la certificacin La fecha de emisin del certificado y su periodo de validez La versin de la declaracin de aplicabilidad


Auditora del SGSI

Dudas? preguntas?

Muchas Gracias !!

[email protected]

@ramirocid

http://www.linkedin.com/in/ramirocid

http://ramirocid.com http://es.slideshare.net/ramirocidhttp://www.youtube.com/user/cidramiro

Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

auditorias

Documents