Ses 04 - Auditoria SGSI

Implementación de la NTP ISO/IEC 12207 “Procesos del Ciclo de Vida del Software” para FONAFE 1Gestión de seguridad aplicado a los recursos de TI 1

Curso: Gestión de Seguridad aplicado a los recursos de TI

SGSI (norma ISO 27001)

Sesión 4: Auditorias del SGSI

Lic. Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001Consulting [email protected]

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

UNIDAD DE POSTGRADO


Agenda

1• Auditorias internas del SGSI

2• Requerimientos

3• Procedimientos de la auditoria


Estructura de la norma ISO 27001

0. Introducción• General• Enfoque de procesos• Compatibilidad con otros

sistemas de gestión

1. Alcance• General• Aplicación

2. Referencias normativa

3. Términos y definiciones

4. Sistema de gestión de seguridad de

información5. Responsabilidad de

la gerencia6. Auditorias internas

del SGSI7. Revisión por la

dirección del SGSI

8. Mejora del SGSI Anexo A: Objetivos de control y controles

Anexo B: Principios OECD y la Norma

Internacional

Anexo C: Correspondencia

entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional

Requisitos obligatorios de ISO 27001Objetivos de control y controles (Desarrollado en ISO 17799)


0.0Sistema de Gestión de

Seguridad de Información (SGSI)

2.0 (Planear)Planificación del SGSI

1.0Gestión del Proyecto

3.0 (Hacer) Realización del SGSI

4.0 (Verificar)Verificación del SGSI

5.0 (Actuar)Corrección del SGSI

1.1 Gestión del Alcance

1. 2 Gestión del Tiempo

1. 3 Gestión de la Calidad

2.1 Activos de Información

2.2 Requerimiento de Seguridad

2.3 Análisis de Riesgos

2.4 Declaración de Aplicabilidad (SOA)

2.5 Plan de Tratamiento de Riesgos

3.1 Controles Básicos

3.2 Controles Complementarios

3.3 Evidencia de Operación

4.1 Monitoreo del SGSI

4.2 Medición del SGSI

2.6 Definir los controles del SGSI

5.1 No conformidades

5.2 Plan de Mejoras

PlanAct

Check Do

Fases de Implementación de un SGSI


AUDITORIAS INTERNAS DEL SGSI


Auditoría del SGSI

• Proceso sistemático, documentado e independiente que se ejecuta con el fin de obtener evidencias de auditoría y evaluarlas objetivamente para determinar si los requisitos y objetivos de control del SGSI son cumplidos o no.


Evidencia de Auditoría

• Registros (logs, actas, libros)• Presentación de hechos• Otras informaciones pertinentesLa evidencia puede ser:

– Cualitativa: declaraciones hechas por el personal

– Cuantitativas: registros, documentos, etc.


REQUERIMIENTOS


Realizar Auditorías Internas del SGSI

• La organización debe realizar auditorías internas del SGSI en intervalos programados para determinar si los objetivos, controles y procesos de su SGSI:

Cumplen con los requerimientos

de la norma ISO 27001 y

regulaciones relevantes

Cumplen con los requerimientos de

seguridad de información identificados

Están implementados y

mantenidos efectivamente

Se desempeñan según lo esperado


Planear un Programa de Auditoría

PROGRAMA DE AUDITORÍADefine el criterio de auditoría, alcance, frecuencia y métodos

Estado e importancia de los procesos y

áreas a ser auditadas

Resultados de auditorías previas

La selección de auditores y la conducción de auditorías debe asegurar objetividad e imparcialidad del proceso de auditoría. Los auditores no deben

auditar su propio trabajo.


PROCEDIMIENTO DE AUDITORIAS


Definir un Procedimiento de Auditoría del SGSI

• Define responsabilidades y requerimientos para:– Planear y conducir

auditorías– Reportar resultados– Mantener registros

PROCEDIMIENTO DOCUMENTADO


Tomar Acción

La gerencia responsable del área auditada debe asegurar que las acciones se realizan sin demora para eliminar no conformidades detectadas y sus causas.

Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de los resultados de verificación

AUDITORES AUDITADOS

Auditoría


El Ciclo de la Auditoría del SGSI

1. PLANIFICACION

2. EJECUCION

3. REGISTRO

4. CIERRE


1. PLANIFICACIÓN


Objetivos y Criterios de Auditoria

Evaluar la conformidad de la documentación conforme a ISO 27001.

Juzgar la conformidad de la implementación de la documentación

Determinar la eficacia del SGSI

Cumplir con los requisitos contractuales y regulatorios en seguridad

Brindar una oportunidad de mejorar el SGSI

Preparar al SGSI para una certificación


Factores a considerar

Planeamiento de la

Auditoría

Tamaño y naturaleza de

la organización

Número de empleados

Complejidad del Sistema

Alcance del SGSI

Número de locales

involucradosTipos de

información (papel,

electrónica)

Cultura de la empresa

Idioma


El Plan de Auditoría

• Es desarrollado al final de la fase 1 y antes del inicio de la fase 2.

• Debe reflejar el alcance del SGSI• Debe minimizar las interrupciones a la organización• Debe identificar si se requiere expertos técnicos• Es preparado por el Auditor Líder• Es aprobado por el cliente

– El cliente es quien solicita la auditoría, puede ser el auditado o un tercero.


Responsabilidades del Auditor Líder

Planear y gerenciartodas las fases de la

auditoríaConducir la fase 1

de la auditoría

Asistir en la selección e

instrucción del equipo

Controlar los conflictos y lidiar con situaciones

difíciles

Conducir y controlar todas las reuniones con el equipo y con

el auditado

Tomar decisiones en temas de auditoría y

del SGSI

Comunicar los resultados de la

auditoría

Comunicar los principales obstáculos

encontrados

Comunicar inmediatamente las no conformidades

encontradas


Contenidos del Plan de Auditoría

Objetivos y alcance Responsabilidades Documentos de

referenciaEquipo de auditoría

Idioma de la auditoría

Áreas a ser auditadas

Tiempo y duración de cada

actividadProgramación de

reuniones

Requisitos de confidencialidad

Distribución de informe y fechas

de entrega


Fuentes de información para el Plan de Auditoría

Plan de auditoría

Resultados de la Fase 1

Manual y procedimientos

de seguridad

Prioridades de la dirección

Áreas de alto riesgo

Revisiones internas

anteriores

Información del servicio / producto

Experiencia de los auditores


2. EJECUCION


Fases de una Auditoría en la etapa de Ejecución:

Fase 1• Revisión de

Documentación

Fase 2• Auditoría de

Implementación


Fase 1: Revisión de Documentación

• Objetivo: brindar un foco para el planeamiento de la auditoría (fase 2) obteniendo un entendimiento del SGSI en el contexto de:– La política de seguridad de la organización y sus

objetivos– El estado de preparación de la organización para

una auditoría


Fase 1: Revisión de Documentación (continuación)

• Actividades claves:– Revisar la estructura de gestión del SGSI– Evaluar el alcance del SGSI– Evaluación y gestión del riesgo– Declaración de aplicabilidad– Política de seguridad y procedimientos de apoyo

clave– Revisar informe de hallazgos– Explicar la fase 2 a la organización


Fase 2: Auditoría de Implementación

• Objetivo:– Confirmar que la organización cumple la política,

objetivos y procedimientos– Confirmar que el SGSI se adecua a las exigencias

de la norma y cumple con los objetivos de la política de la organización

– Probar la eficacia del SGSI


Fase 2: Auditoría de Implementación (continuación)

• Actividades claves– Entrevistar a los responsables y usuarios del SGSI– Revisar las áreas de riesgo– Evaluar cumplimiento de objetivos y metas de

seguridad– Documentar hallazgos y dar recomendaciones

finales


No Conformidades a la Norma

• No Conformidad– Menor– Mayor


No Conformidad Menor

• Falta de cumplimiento de un requerimiento

Ejemplos:– Falla observada con la adecuación de política de

escritorio limpio– Falta de aprobación formal para uso del sistema

de correo electrónico con acceso a Internet


No Conformidad Mayor

• La ausencia de, o la falla repetitiva en la implantación y mantenimiento de uno o más requerimientos del SGSI

Ejemplo:– Ninguna Política de Seguridad– Ningun registro o evidencia requerida por un

control del SGSI


3. REGISTRO


Informe de Auditoría

• Referencia de la Auditoría (código)• Detalles de la Auditoría• Objetivo, alcance y criterio• Nombre del equipo de Auditores• Nombre de los principales auditados• Plan de Auditoría• Informe de No Conformidades• Recomendación• Aprobación• Circulación


4. CIERRE


Reunión de Cierre

1. Lista de Asistencia2. Agradecimiento3. Objetivo y Alcance4. Sistema de Informes (Informe Principal)5. Limitaciones (muestras)6. Confidencialidad7. Resumen de Auditoría (no conformidades)8. Acuerdos entre las partes9. Recomendación (Certifica o no Recomienda su

Certificación)10. Esclarecimientos (dudas, conclusiones)11. Despedida (cierre final).


Beneficios de las Auditorías Internas

• Fuente clave de información para la revisión por la dirección

• Demuestra el compromiso de la dirección• Mejora la concientización, participación y motivación• Brinda oportunidades para mejora continua• Mejora la satisfacción y confianza de los clientes• Mejora el desempeño operacional


GRACIAS !!!

Lic. Eric Morán AñazcoMBA, PMP, Lead Auditor ISO 27001Consulting [email protected]

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

UNIDAD DE POSTGRADO

Ses 04 - Auditoria SGSI

Documents

Transcript of Ses 04 - Auditoria SGSI