Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El perfil profesional
y la calificación de un auditor SGSI
sobre ISO 27001
Enric Nebot Teixidó
Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007
AUDITORIAAUDITORIA
de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE
SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN
segsegúúnn ISO/IEC 27001:2005ISO/IEC 27001:2005

índice
• Marco normativo
• Perfil profesional del auditor
• Titulaciones y certificados
• El equipo auditor en la certificación
• Audit team knowledge

Marco normativo
• ISO/IEC 19011
• EA-7/03
• DIS ISO/IEC 27006:2006

Ser auditor cualificado de ISO 27001
• Experiencia profesional:
– Tener al menos 4 años de experiencia en IT de los
cuales al menos dos años en Seguridad de la
Información
• Haber cursado y aprobado un training de 5 días
40 horas organizado por una entidad de
certificación acreditada
• Experiencia de al menos 4 auditorias con 20
horas, incluyendo revisiones de documentación
de análisis de activos, riesgos y reporting
• Formación académica
– Education at secondary level
• Otros...

Audit team training
7.2 DIS ISO 27006

Audit team competence
7.2 DIS ISO 27006

Audit team knowledge

• In relation to ISMS & audit
• Programar y planificar auditorías
• Tipos de auditoría y metodologías
• Information Security processes analysis
• Ciclo Deming de mejora contínua
• Auditorías internas de Seguridad de la
Información

• In relation to regulatory requirements
– Propiedad intelectual
– Protecction organizational records
– Data protection&privacy
– Firma-e
– E-commerce
– Telecommunications interception &
monitoring
– Computer abuse
– Electronic evidence collection
– Penetration testing
– National sector specific requirements (e.g.
Banking)

• In relation to
Management
requirements
• Re-engineering of IS
risks
• ICT outsourcing security
risks
• Supply chain information
security risks

El arte de auditar un SGSI
AUDITORIAAUDITORIA
segsegúúnn ISO/IEC 27001ISO/IEC 27001
Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007

El arte de auditar un SGSI
• Auditar el cumplimiento de la ISO 27001:2005
• Reuniendo evidencias
• Que obtener
• Técnicas de preguntas
• Desarrollo de preguntas
• El arte de auditar
• Errores del auditor
• Tácticas negativas en el auditado
• Auditar el SGSI
• Auditar los controles

“Auditar la ISO 27001”
Auditar el SGSIAuditar los controles
Evaluar el cumplimiento y
plasmarlo en un informe de
Auditoría que puede culminar en
la consecución del certificado

Reuniendo evidencias
• Entrevistar
• Examinar Documentos
• Observar actividades / condiciones
• Verificar Independientemente
• Tomar Notas
CAP.IV 7/20

Que Observar
• Escenarios
– Técnico (físico, lógico,sectorial)
– Legal
– Organizacional
• Equipo auditor coordinado desde el plan
inicial
CAP.IV 10/20

Que Observar
• Identidad del Personal
• Documentación
• Registros
• Producto
• Escenarios
– Técnico (físico, lógico)
– Legal
– Organizacional
• Planos / Diseños
• Hallazgos Reales
CAP.IV 10/20

Técnica de Preguntas
• ¿Qué?
• ¿Por qué?
• ¿Cuándo?
• ¿Cómo?
• ¿Dónde?
• ¿Quién?
CAP.IV 12/20

Desarrollo de Preguntas
• Muéstreme .... ?
• No comprendo .... ?
• Que pasa si .... ?
• Suponga que .... ?
• Usted está diciendo que .... ?
• Entiendo que .... ?
• Esto significa que .... ?
• Acercamiento en Silencio
CAP.IV 13/20

El Arte de Auditar
• Ser objetivo / cortés
• Buscar no-conformidades
• Ser persistente
• Evitar críticas o discusiones
• Evitar manifestar propias conclusiones
• Mantener la independencia
• Decidir “in situ”
• Ser positivo

Que debe evitar el auditor
• Mostrarse enfadado
• Hablar demasiado
• Llegue tarde
• Discutir
• Ser negativo
• Ser sarcástico
• Ser demasiado amistoso
• Ser reservado
• Hacer de consultor

Tácticas negativas en el auditado
• Soborno
• Engaño / deshonestidad
• Excusas
• Olvido
• Interrupciones
• “Pobre de mí...”
• Pérdidas de tiempo, esperas
• Ausencia de auditados
• Súplicas
• Falta de colaboración

Errores del Auditor
• Mal énfasis
• Falta de técnica
• Errores de semántica
• Error de lectura
• Errores de percepción
• Mala comprensión
• Distracción
• ¡Tengo razón!

Auditando el SGSI
•Revisión documental de cada unos de los procedimientos
de gestión del SGSI (clauses 4 to 8)
• Clause 4 ISO 27001
• Management Responsabilities
• Auditorías internas
• Revisiones por parte de la dirección
• Revisión documental de los registros del SGSI
• Auditar RA, RE, RTP y selección de controles

Auditando controles
•Procedimiento de implementación de controles
•SoA
• Roles y propietarios de cada uno de ellos
• Procedimientos propios de los controles
•Revisión de cumplimiento

Con el objeto de auditar para conseguir un nivel aceptable en
materia de la seguridad de la información es condición
indispensable determinar los controles específicos de la norma ISO
27001: 2005. Para ello es condición sine qua non disponer de la
DECLARACIÓN DE APLICABILIDAD (en adelante SoA ,Statement
of Applicability), declarada a partir del Análisis y tratamiento de
riesgos. En este sentido cabe mencionar que la misma norma ISO
específica que no es necesario aplicar todos los controles definidos
y que además pueden ser aplicables nuevos controles según los
requerimientos y el alcance de los trabajos.
A partir de estos requerimientos de seguridad el proceso de
Auditoría se centrará en la evaluación del tratamiento y gestión de
riesgos relativos a la seguridad de la Información, la
implementación de los controles ISO 27001 según el SoA, el
cumplimiento legal, regulatorio y contractual relacionado con la
Seguridad de la Información y el establecimiento del cumplimiento
del ciclo de vida PDCA del Sistema de Gestión de Seguridad de la
Información en la organización.

Como auditar los controles
• Sobre todos/algunos de los controles del SoA,
la auditoría debe contemplar inspecciones del
tipo:
– Control organizacional
• Revisión documental, entrevistas,
observaciones e inspección física
– Control técnico
• Medir la efectividad mediantes system
testing o mediante herramientas de
audit/reporting
– System testing
– Inspección visual

Auditando controles

El fenómeno campo “Observaciones”
• System Testing:
– Directo a la BBDD (Ms Acess, Oracle, SQL
Server)
– “SELECT OBSERVACIONES FROM CLIENTES”
• Riesgos de confidencialidad
– VISA...teléfonos móviles, información de
impagados, información de familiares
• Riesgos de incumplimiento LOPD
– Calidad, nivel de seguridad mayor que el
definido
• Observación en la auditoría

Code of Professional Ethics

El proceso de auditoría
de certificación del SGSI
AUDITORIAAUDITORIA
segsegúún ISO 27001n ISO 27001
Director Comercial y de desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007

La certificación ISO 27001

Petición de la organización, entrega presupuesto, aceptación
STAGE 1. REVISIÓN DOCUMENTAL
para conocer la desviación del sistema con relación al estándar: Revisión de los
documentos del SGSI para decidir si éstos se ajustan a la normativa y se recomienda
la certificación, Activos, Declaración de aplicabilidad, Análisis de riesgos, Política de
seguridad, Aspectos legales de la seguridad de la Información
STAGE 2. AUDITORIA DEL SGSI Y DE CONTROLES
Auditoria del SGSI, tratamiento del riesgo, implementación de controles,
revisión de documentación, Plan de continuidad de negocio, Gestión de
incidencias, Formación y sensibilización, etc.
REUNIÓN DE CIERRE Y ENTREGA INFORME DE AUDITORIA
Medidas correctivas, aspectos de mejora,
EMISIÓN DEL CERTIFICADO
para que pueda utilizarlo en sus relaciones con cliente y
proveedores
STAGE O. PLAN DE AUDITORÍA
Estudio de la complejidad de la organización, elaboración del plan de
auditoría, designación del equipo auditor.

Stage 0 Plan de auditoría
• Estudio de la complejidad de la
organización
• Tiempos de auditoría
• Designación del equipo auditor
• Elaboración del plan de auditoría
• Envío a la organización del plan de
auditoría

Complejidad de la organización
• Dependiendo de la complejidad de la
organización:
– Determinaremos el equipo auditor
– Determinaremos el tiempo de auditoría
(junto con otros factores)
• La complejidad la determinan diversas
circunstancias de la organización que
determinarán un nivel (riesgo potencial)
• Alto
• Medio
• Bajo

Tiempos de auditoría
• A según num.empleados
– (66-85) A=6 days
– (876-1175) A=13 days
• +(1 -3) days document review
• + 2 days audit control ISO 27002
• + 0.5 x # sites
• + factor (si sector riesgo alto)
• Valor ejemplo -> 25 días de auditoria en una
empresa de 1200 empleados con nivel alto de
riesgo

Stage 1. Reunión con dirección
• Plan de Auditoría
• Equipo auditor

Stage 1. Revisión documental
• Revisión documental
– Alcance
– Política alto nivel
– DML
– Cumplimiento legal
– Procedimientos de gestión del SGSI
– Evaluación de riesgos
– SoA
– Proceso de implantación de controles
– Gestión de incidencias
– Comité de seguridad

Stage 2. Auditoría in-situ
• Auditoría según el plan
• Auditando el sistema
• Auditando los controles
• Revisión técnica
• Revisión documental
• Mediante entrevistas
• Mediante inspección física
• Mediante testing/tools
• A usuarios, responsables,externos
• Por muestreo , a todos los sites

•Revisiones exclusiones de la Declaración de Aplicabilidad y
hallazgos de la Revisión documental de la FASE I
•Auditoría del proceso de Análisis de Riesgos, su tratamiento y los
controles asociados
•Entrevistas con los diversos departamentos o áreas de la empresa
o empresas.
•Evaluación del SGSI, establecimiento, monitorización, revisión y
auditorías internas
•Análisis de los sistemas, revisión de las instalaciones y de
procedimientos.
•Auditoría de implementación de los controles relacionados en
los principales sistemas de información de procesos de
negocio, comunicación, y almacenamiento de datos.
•Evaluaciones y auditoría de los controles relacionados en los
sistemas de teletrabajo, en el Centro de Datos y en la relación
y procedimientos de trabajo relacionados con los mismos.

•Evaluación del grado de conocimiento de seguridad de la
información por parte de los usuarios, concienciación de
seguridad y gestión de incidentes.
•Auditoria de los procedimientos y actuaciones relacionados
con la Gestión de incidencias
•Auditoría de aspectos relacionados con Recursos Humanos
(controles A8 ISO 27001:2006), Plan de Continuidad de
negocio (controles A14 ISO 27001:2006)
•Revisión del establecimiento del marco legal, regulatorio y
contractual y del cumplimiento de las obligaciones legales
establecidas en materia de Protección de datos personales,
Propiedad intelectual e Internet, Ley de Servicios de la
Sociedad de la Información y del Comercio Electrónico.

Reunión de Cierre
• Introducción
• Reseña
• Impresión General
• Puntos específicos
• Conclusiones
• Respuesta del Auditado
• Recomendaciones de mejora
• Firma de no-conformidades
• Agradecimientos al Auditado
• Despedida
CAP.IV 20/20

Auditorías de seguimiento
• A intervalos planeados desde el programa de
auditoría
• Normalmente cada seis meses
• En algunas auditorías del SGSI se audita el
alcance parcialmente para conseguir la
certificación al final del proceso
• A los tres años se requiere una recertificación

Factores de éxito de un SGSI
En la certificación
Obtener el compromiso de la dirección en todo el proceso
Adecuar el alcance inicial del SGSI con el objetivo de certificarlo
posteriormente
Contar con una ENTIDAD ACREDITADA con suficiente experiencia y
conocimiento y que conozca su sector de negocio
Preparar adecuadamente la auditoría, tener todo en regla, el equipo
formado
Adecuar el plan de auditoria y las auditorias de seguimiento a los
objetivos de negocio obteniendo indicadores y métricas tangibles
En la implantación del SGSI: …
En la fase inicial se debe tener en cuenta: …

ISO 27001
Sistema de Gestión de
Seguridad de la Información
Muchas gracias por vuestra
atención.
¿Nos vemos en la auditoria?
Director Comercial y de Desarrollo
ECA CERT

Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

Semelhante a Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web (20)

Mais de CRISEL BY AEFOL

Mais de CRISEL BY AEFOL (20)

Último

Último (20)

Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web