Auditoría del SGSI

ramirocid.com [email protected] Twitter: @ramirocid

Auditoría del SGSI

Ramiro Cid | @ramirocid

Auditoría del SGSI


Auditoría del SGSI

Auditoría UNE 71502

� El modelo del sistema está basado en el modelo PDCA

� El desarrollo de la seguridad se basa en un A.R. (Análisis de Riesgos)

� Incluye los requerimientos funcionales del sistema de gestión (SGSI)

� Incluye los requerimientos para verificar la efectividad del sistema

� Introduce indicadores de seguridad o métricas en el sistema

� Está alineado con ISO 9000 o ISO 14000


Auditoría del SGSI

Certificación de organizaciones

� ¿Cómo se puede aportar a…

� Nuestros clientes, � Mercado,� La sociedad

� … la confianza necesaria de que somos capaces de cumplir sus

requisitos?

� Si un tercero independiente certifica que lo estamos haciendo bien, de

acuerdo a un esquema con el que los dos estamos conformes, el

problema está resuelto


Auditoría del SGSI

Ventajas de la certificación

EXTERNAS:

� Aumenta la credibilidad y confianza de clientes y administración� Facilita el intercambio y acceso a mercados externos� Evita o disminuye evaluaciones sobre nuestros productos o servicios� Elemento diferenciador con la competencia� Fidelización de clientes� Facilitar la compra al consumidor


Auditoría del SGSI

Ventajas de la certificación

INTERNAS:

� Proporciona confianza a las personas de la organización � Reduce costes� Aumenta la motivación del personal� Mejora de la satisfacción del cliente� Mejora de la satisfacción del personal� Mejora los procesos� Mejora del producto o servicio


Auditoría del SGSI

Auditoría de Seguridad: Objetivos

� Evaluar la efectividad de la organización con respecto al uso de recursos

� Evaluar los sistemas y procesos que se desarrollan en la organización

� Detectar y prevenir posibles errores y fraudes

� Evaluar el riesgo y los sistemas de seguridad de las organizaciones

� Elaboración de planes de contingencia y recuperaciónen caso de desastres


Auditoría del SGSI

Equipo auditor: Requisitos EESSI

• Calificaciones académicas necesarias

• Los últimos cuatro años trabajando con las IT y de

estos los dos últimos relacionados con la seguridad

de las IT.

• Conocimientos sobre procesos de análisis y gestión

del riesgo.

• Haber participado como mínimo en 3 auditorías a

organizaciones como miembro de un equipo auditor

• Cualidades para el proceso de asesoramiento a la

organización que está evaluando.

• Capacidad para comunicar los resultados obtenidos

tanto vía oral como escrita.

Equipo auditor

Auditor líder

Auditores


Auditoría del SGSI

Equipo auditor

Para asegurar su imparcialidad, la entidad certificadora no puede:

� Preparar manuales, políticas o procedimientos.� Participar en la toma de decisiones sobre el SGSI� Dar recomendaciones específicas para el desarrollo del SGSI

Si puede:

� Auditar y certificar� Hacer seguimiento de las no conformidades� Impartir formación genérica� Publicar interpretaciones sobre la norma� Realizar auditorías previas a la certificación


Auditoría del SGSI

Código de conducta del equipo auditor

� Actuar de forma veraz e imparcial

� Deben evitar cualquier tipo de asignación que

pueda causar un conflicto de intereses

� No aceptarán ningún tipo de incentivo, comisión, descuento

u otro tipo de provecho por parte de la organización auditada

� No revelarán las observaciones de la auditoría a terceros

� No actuarán de forma que pueda perjudicar a ninguna de las partes

implicadas en la auditoría

� En caso de incumplimiento de este código se procederá a una

investigación en que colaborarán para su esclarecimiento


Auditoría del SGSI

Los auditores

Están cualificados para:

� Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organización

� Discernir las áreas de actividad de la organización� Verificar que la organización ha identificado correctamente sus riesgos

Debe tener:

� Formación universitaria o experiencia profesional y formación que se considere equivalente

� Al menos 4 años de experiencia en Tecnologías de la Información� 2 años de experiencia en seguridad de las Tecnología

de la Información� Haber realizado al menos un curso de 5 días de auditoría.


Auditoría del SGSI

Los auditores

Deben:

� Haber realizado 4 auditorías y al menos 20 jornadas completas desarrollando:� Revisión de la documentación� Revisión del análisis de riesgos� Auditoría de la implantación� Desarrollo de informes de auditoría


Auditoría del SGSI

Los auditores

� Deben ser:

� Maduros, profesionales e independientes� Objetivo, analítico y persistente� Realista, analizar e interpretar las situaciones

en su justa medida� Mente abierta ante nuevas situaciones� Capaz de percibir situaciones y problemas no declarados

� Comprender las funciones de cada empleado

� Observar los requerimientos de confidencialidad del solicitante

� Mantenerse al día en temas de seguridad


Auditoría del SGSI

Auditor jefe

� El Auditor Jefe además debe:

� Conocer el proceso de certificación� Haber realizado 3 auditorías como auditor� Haber demostrado habilidades de comunicación


Auditoría del SGSI

Dentro de la auditoría

El jefe:

� Planifica y gestiona todas las fases de la misma� Dirige la primera fase� Colabora en la selección del equipo de auditores� Controla los conflictos y maneja las situaciones difíciles� Dirige las reuniones con el equipo auditor y el personal auditado� Toma decisiones en materia de la auditoría y el SGSI

El auditor:

� Apoya al auditor jefe� Documenta y apoya todos los hallazgos� Realiza el seguimiento de las acciones

correctoras para corregir las no conformidades encontradas


Auditoría del SGSI


Equipo auditor:

� Jefe y miembros del equipo: normalmente se trata de una o dos personas.� Auditores en formación: personal en formación para convertirse en auditor.� Observadores, auditor provisional: puede ser un observador, para supervisar

la auditoría.� Expertos, personal asesor: personal que asesora al auditor sobre temas

técnicos o concretos del negocio a auditar.� Testigos e invitados: Son simples observadores que no deben intervenir en la

auditoría.


Auditoría del SGSI


Equipo del solicitante:

� Guía: persona de la empresa que acompaña al equipoauditor y le facilita la información solicitada. Normalmente será el Responsable del Sistemade Gestión de la Seguridad de la Información.

� Representante de la dirección: persona con autorización suficiente en la empresa para confirmar la implicación y compromiso de la dirección con las políticas de seguridad y aprobadas.

� Observadores, personal en formación: normalmente personal de la empresa en formación para auditor interno.

� Consultores: cuando la empresa contrata un consultor externo para asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría pero no debe intervenir en ningún momento.


Auditoría del SGSI

Proceso de certificación

SOLICITUD

REVISION DOCUMENTACION

DOC. Completa y adecuada

auditoría INICIAL

¿ Acciones correctoras validas ?Petición de nuevas acciones

correctoras y/o extraordinarias

NO

SI

NO


Auditoría del SGSI

Proceso de certificación

Concesión del certificado

Auditoría de seguimiento (ANUAL)

Petición de nuevas acciones correctoras y/o visita extraordinaria

Validación del certificado

auditoría renovación (trianual)

¿ Acciones correctoras validas ?

SI

NO


Auditoría del SGSI

Revisión documental

Por parte del equipo auditor, en esta primera fase se revisa:

1. Política de seguridad de la organización2. Alcance de la certificación3. Análisis de riesgos de la organización4. La selección de controles de acuerdo con la declaración de aplicabilidad5. Revisión de la documentación de los controles seleccionados


Auditoría del SGSI

1.- Política de seguridad

� Supone la declaración de intenciones sobre la que va a basar todo el desarrollo de la seguridad

� Debe reflejar que esta política afecta a todo el personal que de una forma u otra esté involucrada en el SGSI

� Debe estar aprobada por el comité de seguridad y formada por el más alto representante de la organización.

� Comprobar que son:

� Fácil comprensión� Aplicables,� Sencillas y concretas� Revisables� Coherentes con los objetivos de la organización


Auditoría del SGSI

1.- Política de seguridad

� No se debe desarrollar en un único documento

� La política de alto nivel debería poder incluirse en un folio y estar distribuida a todo el personal.

� Las políticas más formales se distribuirán de acuerdo con las necesidades.

� A incorporar en ellas:

� Definición de la seguridad� Declaración del soporte de la dirección� Explicaciones breves sobre políticas, principios, practicas y cumplimientos

de seguridad� Definición de responsabilidades� Referencias a otros documentos


Auditoría del SGSI

2.- Alcance

� Condiciona la certificación y el desarrollo de las auditorías, ya que se

limitan a lo que esté incluido.

� Puede ser toda la organización o una parte de ella.

� Si se modifica el alcance se debe modificar el certificado.


Auditoría del SGSI

3.- Análisis de riesgos

� El AR debe ser estructurado y estar documentado.

� La metodología empleada debe ser coherente con la complejidad y los

niveles de protección requeridos.

� El AR permite que la implantación sea proporcional al nivel de riesgo y es

un requisito para la certificación.

� El auditor determinará si el AR cubre el alcance y si es aceptable en

función de los activos y la naturaleza de la organización.

� El auditor se asegura de que el AR y su gestión tiene en cuenta los

cambios y está actualizado.


Auditoría del SGSI

4.- Selección de controles

� Determina si se han seleccionado los controles adecuados.

� Todos reflejados en la Declaración de aplicabilidad.

� Si un control no se implementa puede ser por:

� No existe un riesgo que lo justifique� Presupuesto� No hay viabilidad tecnológica� No se puede implantar por falta de tiempo� No es aplicable

� La razones para excluir controles deben ser sólidas y coherentes.


Auditoría del SGSI


CONTROL SI/NO JUSTIFICACIÓN

6.3.1. Comunicación de las

incidencias de seguridad

SI Es imprescindible para detectar las incidencias en un

estado temprano y una de las bases para el proceso de

mejora continua

7.1.5. Áreas aisladas de carga y

descarga

NO No es aplicable, ya que la organización no dispone de

áreas de carga y descarga

8.7.2. Seguridad de soportes en

tránsito

NO No es aplicable, ya que la organización no envía soportes

físicos con información sensible o confidencial

DECLARACION DE APLICABILIDAD:


Auditoría del SGSI


� El documento relaciona el AR con la situación de la seguridad, tanto para

los auditores externos como internos.

� Junto con el alcance y la política, constituye la base de la auditoría

documental.

� El auditor comprueba la consistencia de los planteamientos referentes a la

seguridad entre los tres documentos.


Auditoría del SGSI

5.- Revisión documentación

� Deben documentarse todos los controles seleccionados.

� Comprueba que la documentación:

� Está fechada y disponible� Dispone de control de versiones� Se retira si es obsoleta

� Aparecen reflejados los diferentes puntos de la normativa ISO 27002


Auditoría del SGSI

Auditoría in situ

� El equipo auditor selecciona una muestra de controles que se van a

auditar:

� Incluir todos los controles críticos� Seleccionar controles que afecten a

las actividades más importantes de la organización� Seleccionar controles de todas las secciones� Seleccionar los controles de forma que se auditen todos los departamentos

involucrados en el SGSI� Dar prioridad a las áreas de mayor riesgo� Si no se encuentras problemas serios, se auditarán un 20% de los controles

aplicables.


Auditoría del SGSI

Auditoría in situ

� Se elabora un Plan de auditoría, que incluye:

� Alcance y objetivo de la auditoría� Equipo por parte de la entidad y del solicitante� Personal del solicitante con responsabilidad dentro del área afectada� Documentos de referencia� Áreas o departamentos que se auditarán� Muestras de controles a auditar� Agenda para las reuniones� Contenido y estructura de los informes� Conformidad del solicitante al plan de auditoría


Auditoría del SGSI

Auditoría in situ

� Entre la auditoría documental y la in situ deben pasar entre 3 y 6 semanas

� Se realiza siempre en las instalaciones del solicitante

� Los objetivos de ésta son:

� Confirmar que la organización cumple con sus políticas y procedimientos

� Comprobar que el SGSI desarrollado es conformecon las especificaciones de la norma

� Verificar que el SGSI está logrando los objetivosque la organización se ha marcado


Auditoría del SGSI

Auditoría in situ

� Los auditores deben centrarse en:

� El Análisis de riesgos� La declaración de aplicabilidad� Los objetivos que persigue la organización� Cómo se

� Monitoriza y mide� Informa y mejora

� Las revisiones del SGSI y de la seguridad� El grado de implicación de la dirección � La coherencia entre

� Políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad


Auditoría del SGSI

Auditoría in situ

� Buscan evidencias objetivas:

� Registro de actividad (logs) o información� Basados en medidas, en pruebas o en la

observación

� Pueden ser verificados!!

� Técnicas para obtenerlas:

� Preguntas a los empleados� Observación� Revisión de documentos o registros� Muestreo� Resumir, analizar o evaluar


Auditoría del SGSI

Auditoría in situ

� Los auditores visitarán las instalaciones de la organización.

� Comprueban que los controles que han seleccionado en la muestra

cumple con lo exigido en el estándar

� No tocarán máquinas, pero solicitarán a los empleados de la organización

que realicen las actividades que quieran evaluar.

� El objetivo de la auditoria no es detectar no conformidades (errores), sino

determinar que el SGSI es conforme con la norma.


Auditoría del SGSI

Auditoría in situ

� El equipo auditor convocará reuniones con miembros seleccionados de la

organización, elaborará informes sobre lo observado durante las

entrevistas, y redactará documentos de recomendaciones –si procede-.

� Convocará a una reunión final a la dirección de la empresa para

explicarles lo observado en esta segunda fase, y comunicarles los

resultados de la Auditoría.


Auditoría del SGSI

Entrevistas

� La calidad de la entrevista de auditoría dependerá

de la habilidad para realizar las preguntas del auditor.

� La forma de preguntar debe hacerle sentirse cómodo al solicitante.

� Las preguntas deben ser apropiadas al área

que está siendo auditada.


Auditoría del SGSI

Entrevistas

� Preguntas abiertas

� Quién (lo hace)? - Cada cuanto (se hace)?� Cómo (se hace)? - Muéstramelo� Dónde (se hace)? - Cuéntamelo� Cuándo (se hace)?

� Preguntas cerradas

� Se pueden responder con un SI o un NO

� Preguntas dirigidas

� Utilizadas para ver conseguir la respuesta buscada de una forma más rápida, guiando al auditado


Auditoría del SGSI

Entrevistas

� Otro tipo de preguntas:

� Preguntas de opinión� Preguntas de investigación� Preguntas no-verbales (lenguaje corporal)� Preguntas repetidas� Preguntas sobre situaciones hipotéticas

?


Auditoría del SGSI

Auditoría in situ

� Al final de la auditoría la entidad debe mantener una reunión con el

solicitante e informar del resultado de la misma:

� Agradecer la colaboración� Recordar nuevamente el objetivo y alcance de la auditoria� Dar un resumen del resultado de la auditoría� Informar de las recomendaciones que va a dar el equipo de auditoría� Preguntar si el solicitante tiene alguna cuestión que quiera aclarar� Recoger la conformidad del solicitante� Cierre de la reunión.


Auditoría del SGSI

Informe de auditoría

� Las conclusiones y el informe deben basarse en:

� Las dos etapas de la auditoría conjuntamente � Las no conformidades encontradas� La documentación, implantación y efectividad del SGSI� Fortaleza y debilidades de

� Los departamentos� Las secciones de la ISO 27002

� Existe un compromiso de la dirección conla mejora continua.


Auditoría del SGSI

Informe de auditoría

� En función de lo anterior el equipo auditor debe emitir la recomendación:

� Se recomienda el registro si se considera que le SGSI es conforme con la norma

� Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en caso de que se hayan encontrado no conformidades

� Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta

� Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.


Auditoría del SGSI

Decisión sobre certificación

� La decisión de si se debe emitir o no el certificado la toma el Comité de

Certificación basándose en la información recogida durante el proceso.

� Los miembros deben ser personal interno de la entidad, los miembros del

equipo auditor no pueden participar en la toma de decisión.

� Si la recomendación es NO emitir el certificado, el Comité de Certificación

no debería cambiar el criterio.


Auditoría del SGSI

Decisión sobre certificación

� En caso de que se emita el certificado, la entidad remitirá al solicitante

una carta o diploma indicando como mínimo:

� Nombre y dirección de la organización� El alcance de la certificación� La fecha de emisión del certificado y su periodo de validez� La versión de la declaración de aplicabilidad


Auditoría del SGSI

¿Dudas? ¿preguntas?

¡¡ Muchas Gracias !!

[email protected]

@ramirocid

http://www.linkedin.com/in/ramirocid

http://ramirocid.com http://es.slideshare.net/ramirocid

http://www.youtube.com/user/cidramiro

Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Auditoría del SGSI

Technology

Transcript of Auditoría del SGSI