Ses 04 - Auditoria SGSI
Transcript of Ses 04 - Auditoria SGSI
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 1Gestión de seguridad aplicado a los recursos de TI 1
Curso: Gestión de Seguridad aplicado a los recursos de TI
SGSI (norma ISO 27001)
Sesión 4: Auditorias del SGSI
Lic. Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001Consulting [email protected]
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
UNIDAD DE POSTGRADO
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 2Gestión de seguridad aplicado a los recursos de TI 2
Agenda
1• Auditorias internas del SGSI
2• Requerimientos
3• Procedimientos de la auditoria
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 3Gestión de seguridad aplicado a los recursos de TI 3
Estructura de la norma ISO 27001
0. Introducción• General• Enfoque de procesos• Compatibilidad con otros
sistemas de gestión
1. Alcance• General• Aplicación
2. Referencias normativa
3. Términos y definiciones
4. Sistema de gestión de seguridad de
información5. Responsabilidad de
la gerencia6. Auditorias internas
del SGSI7. Revisión por la
dirección del SGSI
8. Mejora del SGSI Anexo A: Objetivos de control y controles
Anexo B: Principios OECD y la Norma
Internacional
Anexo C: Correspondencia
entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional
Requisitos obligatorios de ISO 27001Objetivos de control y controles (Desarrollado en ISO 17799)
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 4Gestión de seguridad aplicado a los recursos de TI 4
0.0Sistema de Gestión de
Seguridad de Información (SGSI)
2.0 (Planear)Planificación del SGSI
1.0Gestión del Proyecto
3.0 (Hacer) Realización del SGSI
4.0 (Verificar)Verificación del SGSI
5.0 (Actuar)Corrección del SGSI
1.1 Gestión del Alcance
1. 2 Gestión del Tiempo
1. 3 Gestión de la Calidad
2.1 Activos de Información
2.2 Requerimiento de Seguridad
2.3 Análisis de Riesgos
2.4 Declaración de Aplicabilidad (SOA)
2.5 Plan de Tratamiento de Riesgos
3.1 Controles Básicos
3.2 Controles Complementarios
3.3 Evidencia de Operación
4.1 Monitoreo del SGSI
4.2 Medición del SGSI
2.6 Definir los controles del SGSI
5.1 No conformidades
5.2 Plan de Mejoras
PlanAct
Check Do
Fases de Implementación de un SGSI
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 5Gestión de seguridad aplicado a los recursos de TI 5
AUDITORIAS INTERNAS DEL SGSI
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 6Gestión de seguridad aplicado a los recursos de TI 6
Auditoría del SGSI
• Proceso sistemático, documentado e independiente que se ejecuta con el fin de obtener evidencias de auditoría y evaluarlas objetivamente para determinar si los requisitos y objetivos de control del SGSI son cumplidos o no.
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 7Gestión de seguridad aplicado a los recursos de TI 7
Evidencia de Auditoría
• Registros (logs, actas, libros)• Presentación de hechos• Otras informaciones pertinentesLa evidencia puede ser:
– Cualitativa: declaraciones hechas por el personal
– Cuantitativas: registros, documentos, etc.
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 8Gestión de seguridad aplicado a los recursos de TI 8
REQUERIMIENTOS
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 9Gestión de seguridad aplicado a los recursos de TI 9
Realizar Auditorías Internas del SGSI
• La organización debe realizar auditorías internas del SGSI en intervalos programados para determinar si los objetivos, controles y procesos de su SGSI:
Cumplen con los requerimientos
de la norma ISO 27001 y
regulaciones relevantes
Cumplen con los requerimientos de
seguridad de información identificados
Están implementados y
mantenidos efectivamente
Se desempeñan según lo esperado
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 10Gestión de seguridad aplicado a los recursos de TI 10
Planear un Programa de Auditoría
PROGRAMA DE AUDITORÍADefine el criterio de auditoría, alcance, frecuencia y métodos
Estado e importancia de los procesos y
áreas a ser auditadas
Resultados de auditorías previas
La selección de auditores y la conducción de auditorías debe asegurar objetividad e imparcialidad del proceso de auditoría. Los auditores no deben
auditar su propio trabajo.
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 11Gestión de seguridad aplicado a los recursos de TI 11
PROCEDIMIENTO DE AUDITORIAS
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 12Gestión de seguridad aplicado a los recursos de TI 12
Definir un Procedimiento de Auditoría del SGSI
• Define responsabilidades y requerimientos para:– Planear y conducir
auditorías– Reportar resultados– Mantener registros
PROCEDIMIENTO DOCUMENTADO
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 13Gestión de seguridad aplicado a los recursos de TI 13
Tomar Acción
La gerencia responsable del área auditada debe asegurar que las acciones se realizan sin demora para eliminar no conformidades detectadas y sus causas.
Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de los resultados de verificación
AUDITORES AUDITADOS
Auditoría
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 14Gestión de seguridad aplicado a los recursos de TI 14
El Ciclo de la Auditoría del SGSI
1. PLANIFICACION
2. EJECUCION
3. REGISTRO
4. CIERRE
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 15Gestión de seguridad aplicado a los recursos de TI 15
1. PLANIFICACIÓN
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 16Gestión de seguridad aplicado a los recursos de TI 16
Objetivos y Criterios de Auditoria
Evaluar la conformidad de la documentación conforme a ISO 27001.
Juzgar la conformidad de la implementación de la documentación
Determinar la eficacia del SGSI
Cumplir con los requisitos contractuales y regulatorios en seguridad
Brindar una oportunidad de mejorar el SGSI
Preparar al SGSI para una certificación
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 17Gestión de seguridad aplicado a los recursos de TI 17
Factores a considerar
Planeamiento de la
Auditoría
Tamaño y naturaleza de
la organización
Número de empleados
Complejidad del Sistema
Alcance del SGSI
Número de locales
involucradosTipos de
información (papel,
electrónica)
Cultura de la empresa
Idioma
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 18Gestión de seguridad aplicado a los recursos de TI 18
El Plan de Auditoría
• Es desarrollado al final de la fase 1 y antes del inicio de la fase 2.
• Debe reflejar el alcance del SGSI• Debe minimizar las interrupciones a la organización• Debe identificar si se requiere expertos técnicos• Es preparado por el Auditor Líder• Es aprobado por el cliente
– El cliente es quien solicita la auditoría, puede ser el auditado o un tercero.
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 19Gestión de seguridad aplicado a los recursos de TI 19
Responsabilidades del Auditor Líder
Planear y gerenciartodas las fases de la
auditoríaConducir la fase 1
de la auditoría
Asistir en la selección e
instrucción del equipo
Controlar los conflictos y lidiar con situaciones
difíciles
Conducir y controlar todas las reuniones con el equipo y con
el auditado
Tomar decisiones en temas de auditoría y
del SGSI
Comunicar los resultados de la
auditoría
Comunicar los principales obstáculos
encontrados
Comunicar inmediatamente las no conformidades
encontradas
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 20Gestión de seguridad aplicado a los recursos de TI 20
Contenidos del Plan de Auditoría
Objetivos y alcance Responsabilidades Documentos de
referenciaEquipo de auditoría
Idioma de la auditoría
Áreas a ser auditadas
Tiempo y duración de cada
actividadProgramación de
reuniones
Requisitos de confidencialidad
Distribución de informe y fechas
de entrega
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 21Gestión de seguridad aplicado a los recursos de TI 21
Fuentes de información para el Plan de Auditoría
Plan de auditoría
Resultados de la Fase 1
Manual y procedimientos
de seguridad
Prioridades de la dirección
Áreas de alto riesgo
Revisiones internas
anteriores
Información del servicio / producto
Experiencia de los auditores
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 22Gestión de seguridad aplicado a los recursos de TI 22
2. EJECUCION
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 23Gestión de seguridad aplicado a los recursos de TI 23
Fases de una Auditoría en la etapa de Ejecución:
Fase 1• Revisión de
Documentación
Fase 2• Auditoría de
Implementación
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 24Gestión de seguridad aplicado a los recursos de TI 24
Fase 1: Revisión de Documentación
• Objetivo: brindar un foco para el planeamiento de la auditoría (fase 2) obteniendo un entendimiento del SGSI en el contexto de:– La política de seguridad de la organización y sus
objetivos– El estado de preparación de la organización para
una auditoría
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 25Gestión de seguridad aplicado a los recursos de TI 25
Fase 1: Revisión de Documentación (continuación)
• Actividades claves:– Revisar la estructura de gestión del SGSI– Evaluar el alcance del SGSI– Evaluación y gestión del riesgo– Declaración de aplicabilidad– Política de seguridad y procedimientos de apoyo
clave– Revisar informe de hallazgos– Explicar la fase 2 a la organización
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 26Gestión de seguridad aplicado a los recursos de TI 26
Fase 2: Auditoría de Implementación
• Objetivo:– Confirmar que la organización cumple la política,
objetivos y procedimientos– Confirmar que el SGSI se adecua a las exigencias
de la norma y cumple con los objetivos de la política de la organización
– Probar la eficacia del SGSI
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 27Gestión de seguridad aplicado a los recursos de TI 27
Fase 2: Auditoría de Implementación (continuación)
• Actividades claves– Entrevistar a los responsables y usuarios del SGSI– Revisar las áreas de riesgo– Evaluar cumplimiento de objetivos y metas de
seguridad– Documentar hallazgos y dar recomendaciones
finales
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 28Gestión de seguridad aplicado a los recursos de TI 28
No Conformidades a la Norma
• No Conformidad– Menor– Mayor
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 29Gestión de seguridad aplicado a los recursos de TI 29
No Conformidad Menor
• Falta de cumplimiento de un requerimiento
Ejemplos:– Falla observada con la adecuación de política de
escritorio limpio– Falta de aprobación formal para uso del sistema
de correo electrónico con acceso a Internet
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 30Gestión de seguridad aplicado a los recursos de TI 30
No Conformidad Mayor
• La ausencia de, o la falla repetitiva en la implantación y mantenimiento de uno o más requerimientos del SGSI
Ejemplo:– Ninguna Política de Seguridad– Ningun registro o evidencia requerida por un
control del SGSI
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 31Gestión de seguridad aplicado a los recursos de TI 31
3. REGISTRO
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 32Gestión de seguridad aplicado a los recursos de TI 32
Informe de Auditoría
• Referencia de la Auditoría (código)• Detalles de la Auditoría• Objetivo, alcance y criterio• Nombre del equipo de Auditores• Nombre de los principales auditados• Plan de Auditoría• Informe de No Conformidades• Recomendación• Aprobación• Circulación
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 33Gestión de seguridad aplicado a los recursos de TI 33
4. CIERRE
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 34Gestión de seguridad aplicado a los recursos de TI 34
Reunión de Cierre
1. Lista de Asistencia2. Agradecimiento3. Objetivo y Alcance4. Sistema de Informes (Informe Principal)5. Limitaciones (muestras)6. Confidencialidad7. Resumen de Auditoría (no conformidades)8. Acuerdos entre las partes9. Recomendación (Certifica o no Recomienda su
Certificación)10. Esclarecimientos (dudas, conclusiones)11. Despedida (cierre final).
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 35Gestión de seguridad aplicado a los recursos de TI 35
Beneficios de las Auditorías Internas
• Fuente clave de información para la revisión por la dirección
• Demuestra el compromiso de la dirección• Mejora la concientización, participación y motivación• Brinda oportunidades para mejora continua• Mejora la satisfacción y confianza de los clientes• Mejora el desempeño operacional
Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 36Gestión de seguridad aplicado a los recursos de TI 36
GRACIAS !!!
Lic. Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001Consulting [email protected]
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
UNIDAD DE POSTGRADO