Professional Documents
Culture Documents
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Certificacin de organizaciones
Cmo se puede aportar a
Nuestros clientes,
Mercado,
La sociedad
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Ventajas de la certificacin
EXTERNAS:
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Ventajas de la certificacin
INTERNAS:
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Equipo auditor
Auditor lder
Auditores
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Equipo auditor
Para asegurar su imparcialidad, la entidad certificadora no puede:
Preparar manuales, polticas o procedimientos.
Participar en la toma de decisiones sobre el SGSI
Dar recomendaciones especficas para el desarrollo del SGSI
Si puede:
Auditar y certificar
Hacer seguimiento de las no conformidades
Impartir formacin genrica
Publicar interpretaciones sobre la norma
Realizar auditoras previas a la certificacin
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramiro@ramirocid.com
Twitter: @ramirocid
Los auditores
Estn cualificados para:
Identificar las amenazas, vulnerabilidades e impactos
que puedan comprometer los activos de la organizacin
Discernir las reas de actividad de la organizacin
Verificar que la organizacin ha identificado correctamente sus riesgos
Debe tener:
Formacin universitaria o experiencia profesional y formacin que se
considere equivalente
Al menos 4 aos de experiencia en Tecnologas de la Informacin
2 aos de experiencia en seguridad de las Tecnologa
de la Informacin
Haber realizado al menos un curso de 5 das de auditora.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Los auditores
Deben:
Haber realizado 4 auditoras y al menos 20 jornadas completas desarrollando:
Revisin de la documentacin
Revisin del anlisis de riesgos
Auditora de la implantacin
Desarrollo de informes de auditora
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Los auditores
Deben ser:
Maduros, profesionales e independientes
Objetivo, analtico y persistente
Realista, analizar e interpretar las situaciones
en su justa medida
Mente abierta ante nuevas situaciones
Capaz de percibir situaciones y problemas no declarados
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditor jefe
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Dentro de la auditora
El jefe:
El auditor:
Apoya al auditor jefe
Documenta y apoya todos los hallazgos
Realiza el seguimiento de las acciones
correctoras para corregir las no
conformidades encontradas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Dentro de la auditora
Equipo auditor:
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Dentro de la auditora
Equipo del solicitante:
Gua: persona de la empresa que acompaa al equipo
auditor y le facilita la informacin solicitada.
Normalmente ser el Responsable del Sistema
de Gestin de la Seguridad de la Informacin.
Representante de la direccin: persona con autorizacin suficiente en la
empresa para confirmar la implicacin y compromiso de la direccin con las
polticas de seguridad y aprobadas.
Observadores, personal en formacin: normalmente personal de la empresa
en formacin para auditor interno.
Consultores: cuando la empresa contrata un consultor externo para
asesorarle en el desarrollo del SGSI, este puede asistir a la auditora pero no
debe intervenir en ningn momento.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Proceso de certificacin
SOLICITUD
REVISION
DOCUMENTACION
NO
DOC. Completa
y adecuada
auditora INICIAL
Acciones
correctoras validas ?
NO
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
SI
Proceso de certificacin
Auditora de seguimiento
(ANUAL)
Acciones
correctoras validas ?
SI
Validacin del
certificado
auditora renovacin
(trianual)
NO
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Revisin documental
Por parte del equipo auditor, en esta primera fase se revisa:
1.
2.
3.
4.
5.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Debe reflejar que esta poltica afecta a todo el personal que de una forma
u otra est involucrada en el SGSI
Fcil comprensin
Aplicables,
Sencillas y concretas
Revisables
Coherentes con los objetivos de la organizacin
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
A incorporar en ellas:
Definicin de la seguridad
Declaracin del soporte de la direccin
Explicaciones breves sobre polticas, principios, practicas y cumplimientos
de seguridad
Definicin de responsabilidades
Referencias a otros documentos
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
2.- Alcance
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
CONTROL
SI/NO
SI
JUSTIFICACIN
Es imprescindible para detectar las incidencias en un
incidencias de seguridad
NO
descarga
NO
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
El Anlisis de riesgos
La declaracin de aplicabilidad
Los objetivos que persigue la organizacin
Cmo se
Monitoriza y mide
Informa y mejora
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Entrevistas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Entrevistas
Preguntas abiertas
Preguntas cerradas
Se pueden responder con un SI o un NO
Preguntas dirigidas
Utilizadas para ver conseguir la respuesta
buscada de una forma ms rpida, guiando al auditado
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Entrevistas
Preguntas de opinin
Preguntas de investigacin
Preguntas no-verbales (lenguaje corporal)
Preguntas repetidas
Preguntas sobre situaciones hipotticas
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora in situ
Agradecer la colaboracin
Recordar nuevamente el objetivo y alcance de la auditoria
Dar un resumen del resultado de la auditora
Informar de las recomendaciones que va a dar el equipo de auditora
Preguntar si el solicitante tiene alguna cuestin que quiera aclarar
Recoger la conformidad del solicitante
Cierre de la reunin.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Informe de auditora
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Informe de auditora
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Los miembros deben ser personal interno de la entidad, los miembros del
equipo auditor no pueden participar en la toma de decisin.
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Dudas? preguntas?
Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.com
http://www.linkedin.com/in/ramirocid
http://ramirocid.com
http://es.slideshare.net/ramirocid
@ramirocid
http://www.youtube.com/user/cidramiro
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid