Auditorias

Auditora del SGSI
Auditora del SGSI
Ramiro Cid | @ramirocid
ramirocid.com
ramiro@ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora UNE 71502

El modelo del sistema est basado en el modelo PDCA
El desarrollo de la seguridad se basa en un A.R.

(Anlisis de Riesgos)
Incluye los requerimientos funcionales del sistema de gestin (SGSI)
Incluye los requerimientos para verificar la efectividad del sistema
Introduce indicadores de seguridad o mtricas en el sistema
Est alineado con ISO 9000 o ISO 14000
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Certificacin de organizaciones
Cmo se puede aportar a
Nuestros clientes,
Mercado,
La sociedad
la confianza necesaria de que somos capaces de cumplir sus

requisitos?
Si un tercero independiente certifica que lo estamos haciendo bien, de

acuerdo a un esquema con el que los dos estamos conformes, el
problema est resuelto
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Ventajas de la certificacin
EXTERNAS:

Aumenta la credibilidad y confianza de clientes y administracin

Facilita el intercambio y acceso a mercados externos
Evita o disminuye evaluaciones sobre nuestros productos o servicios
Elemento diferenciador con la competencia
Fidelizacin de clientes
Facilitar la compra al consumidor
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Ventajas de la certificacin
INTERNAS:

Proporciona confianza a las personas de la organizacin

Reduce costes
Aumenta la motivacin del personal
Mejora de la satisfaccin del cliente
Mejora de la satisfaccin del personal
Mejora los procesos
Mejora del producto o servicio
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora de Seguridad: Objetivos
Evaluar la efectividad de la organizacin con respecto al uso de recursos
Evaluar los sistemas y procesos que se desarrollan en la organizacin
Detectar y prevenir posibles errores y fraudes
Evaluar el riesgo y los sistemas de seguridad de las organizaciones
Elaboracin de planes de contingencia y recuperacin

en caso de desastres
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Equipo auditor: Requisitos EESSI
Haber participado como mnimo en 3 auditoras a

organizaciones como miembro de un equipo auditor
Cualidades para el proceso de asesoramiento a la
organizacin que est evaluando.
Equipo auditor
Capacidad para comunicar los resultados obtenidos

tanto va oral como escrita.
Auditor lder
Auditores
Calificaciones acadmicas necesarias

Los ltimos cuatro aos trabajando con las IT y de
estos los dos ltimos relacionados con la seguridad
de las IT.
Conocimientos sobre procesos de anlisis y gestin
del riesgo.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Equipo auditor
Para asegurar su imparcialidad, la entidad certificadora no puede:
Preparar manuales, polticas o procedimientos.
Participar en la toma de decisiones sobre el SGSI
Dar recomendaciones especficas para el desarrollo del SGSI
Si puede:

Auditar y certificar
Hacer seguimiento de las no conformidades
Impartir formacin genrica
Publicar interpretaciones sobre la norma
Realizar auditoras previas a la certificacin
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Cdigo de conducta del equipo auditor
Actuar de forma veraz e imparcial
Deben evitar cualquier tipo de asignacin que

pueda causar un conflicto de intereses
No aceptarn ningn tipo de incentivo, comisin, descuento

u otro tipo de provecho por parte de la organizacin auditada
No revelarn las observaciones de la auditora a terceros
No actuarn de forma que pueda perjudicar a ninguna de las partes

implicadas en la auditora
En caso de incumplimiento de este cdigo se proceder a una

investigacin en que colaborarn para su esclarecimiento
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Los auditores
Estn cualificados para:
Identificar las amenazas, vulnerabilidades e impactos
que puedan comprometer los activos de la organizacin
Discernir las reas de actividad de la organizacin
Verificar que la organizacin ha identificado correctamente sus riesgos
Debe tener:
Formacin universitaria o experiencia profesional y formacin que se
considere equivalente
Al menos 4 aos de experiencia en Tecnologas de la Informacin
2 aos de experiencia en seguridad de las Tecnologa
de la Informacin
Haber realizado al menos un curso de 5 das de auditora.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Los auditores
Deben:
Haber realizado 4 auditoras y al menos 20 jornadas completas desarrollando:

Revisin de la documentacin
Revisin del anlisis de riesgos
Auditora de la implantacin
Desarrollo de informes de auditora
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Los auditores
Deben ser:
Maduros, profesionales e independientes
Objetivo, analtico y persistente
Realista, analizar e interpretar las situaciones
en su justa medida
Mente abierta ante nuevas situaciones
Capaz de percibir situaciones y problemas no declarados
Comprender las funciones de cada empleado
Observar los requerimientos de confidencialidad del solicitante
Mantenerse al da en temas de seguridad
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditor jefe
El Auditor Jefe adems debe:

Conocer el proceso de certificacin
Haber realizado 3 auditoras como auditor
Haber demostrado habilidades de comunicacin
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Dentro de la auditora
El jefe:

Planifica y gestiona todas las fases de la misma

Dirige la primera fase
Colabora en la seleccin del equipo de auditores
Controla los conflictos y maneja las situaciones difciles
Dirige las reuniones con el equipo auditor y el personal auditado
Toma decisiones en materia de la auditora y el SGSI
El auditor:
Apoya al auditor jefe
Documenta y apoya todos los hallazgos
Realiza el seguimiento de las acciones
correctoras para corregir las no
conformidades encontradas
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Equipo auditor:
Jefe y miembros del equipo: normalmente se trata de una o dos personas.

Auditores en formacin: personal en formacin para convertirse en auditor.
Observadores, auditor provisional: puede ser un observador, para supervisar
la auditora.
Expertos, personal asesor: personal que asesora al auditor sobre temas
tcnicos o concretos del negocio a auditar.
Testigos e invitados: Son simples observadores que no deben intervenir en la
auditora.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Equipo del solicitante:
Gua: persona de la empresa que acompaa al equipo
auditor y le facilita la informacin solicitada.
Normalmente ser el Responsable del Sistema
de Gestin de la Seguridad de la Informacin.
Representante de la direccin: persona con autorizacin suficiente en la
empresa para confirmar la implicacin y compromiso de la direccin con las
polticas de seguridad y aprobadas.
Observadores, personal en formacin: normalmente personal de la empresa
en formacin para auditor interno.
Consultores: cuando la empresa contrata un consultor externo para
asesorarle en el desarrollo del SGSI, este puede asistir a la auditora pero no
debe intervenir en ningn momento.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Proceso de certificacin
SOLICITUD
REVISION
DOCUMENTACION
NO
DOC. Completa
y adecuada
auditora INICIAL
Peticin de nuevas acciones

correctoras y/o extraordinarias
Acciones
correctoras validas ?
NO
ramirocid.com
Twitter: @ramirocid
SI
Auditora del SGSI
Proceso de certificacin
Concesin del certificado
Auditora de seguimiento
(ANUAL)
Acciones
correctoras validas ?
SI
Validacin del
certificado
Peticin de nuevas acciones correctoras y/o

visita extraordinaria
auditora renovacin
(trianual)
NO
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Revisin documental
Por parte del equipo auditor, en esta primera fase se revisa:
1.
2.
3.
4.
5.
Poltica de seguridad de la organizacin

Alcance de la certificacin
Anlisis de riesgos de la organizacin
La seleccin de controles de acuerdo con la declaracin de aplicabilidad
Revisin de la documentacin de los controles seleccionados
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
1.- Poltica de seguridad

Supone la declaracin de intenciones sobre la que va a basar todo el

desarrollo de la seguridad
Debe reflejar que esta poltica afecta a todo el personal que de una forma
u otra est involucrada en el SGSI
Debe estar aprobada por el comit de seguridad y formada por el ms

alto representante de la organizacin.
Comprobar que son:

Fcil comprensin
Aplicables,
Sencillas y concretas
Revisables
Coherentes con los objetivos de la organizacin
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
1.- Poltica de seguridad

No se debe desarrollar en un nico documento
La poltica de alto nivel debera poder incluirse en un folio y estar

distribuida a todo el personal.
Las polticas ms formales se distribuirn de acuerdo con las

necesidades.
A incorporar en ellas:
Definicin de la seguridad
Declaracin del soporte de la direccin
Explicaciones breves sobre polticas, principios, practicas y cumplimientos
de seguridad
Definicin de responsabilidades
Referencias a otros documentos
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
2.- Alcance
Condiciona la certificacin y el desarrollo de las auditoras, ya que se

limitan a lo que est incluido.
Puede ser toda la organizacin o una parte de ella.
Si se modifica el alcance se debe modificar el certificado.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
3.- Anlisis de riesgos

El AR debe ser estructurado y estar documentado.
La metodologa empleada debe ser coherente con la complejidad y los

niveles de proteccin requeridos.
El AR permite que la implantacin sea proporcional al nivel de riesgo y es

un requisito para la certificacin.
El auditor determinar si el AR cubre el alcance y si es aceptable en

funcin de los activos y la naturaleza de la organizacin.
El auditor se asegura de que el AR y su gestin tiene en cuenta los

cambios y est actualizado.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
4.- Seleccin de controles

Determina si se han seleccionado los controles adecuados.
Todos reflejados en la Declaracin de aplicabilidad.
Si un control no se implementa puede ser por:

No existe un riesgo que lo justifique

Presupuesto
No hay viabilidad tecnolgica
No se puede implantar por falta de tiempo
No es aplicable
La razones para excluir controles deben ser slidas y coherentes.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI

DECLARACION DE APLICABILIDAD:
CONTROL
SI/NO
6.3.1. Comunicacin de las
SI
JUSTIFICACIN
Es imprescindible para detectar las incidencias en un
incidencias de seguridad
estado temprano y una de las bases para el proceso de

mejora continua
7.1.5. reas aisladas de carga y
NO
descarga
No es aplicable, ya que la organizacin no dispone de

reas de carga y descarga
8.7.2. Seguridad de soportes en

trnsito
NO
No es aplicable, ya que la organizacin no enva soportes

fsicos con informacin sensible o confidencial
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI

El documento relaciona el AR con la situacin de la seguridad, tanto para
los auditores externos como internos.
Junto con el alcance y la poltica, constituye la base de la auditora

documental.
El auditor comprueba la consistencia de los planteamientos referentes a la

seguridad entre los tres documentos.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
5.- Revisin documentacin
Deben documentarse todos los controles seleccionados.
Comprueba que la documentacin:

Est fechada y disponible
Dispone de control de versiones
Se retira si es obsoleta
Aparecen reflejados los diferentes puntos de la normativa ISO 27002
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
El equipo auditor selecciona una muestra de controles que se van a

auditar:
Incluir todos los controles crticos

Seleccionar controles que afecten a
las actividades ms importantes de la organizacin
Seleccionar controles de todas las secciones
Seleccionar los controles de forma que se auditen todos los departamentos
involucrados en el SGSI
Dar prioridad a las reas de mayor riesgo
Si no se encuentras problemas serios, se auditarn un 20% de los controles
aplicables.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Se elabora un Plan de auditora, que incluye:

Alcance y objetivo de la auditora

Equipo por parte de la entidad y del solicitante
Personal del solicitante con responsabilidad dentro del rea afectada
Documentos de referencia
reas o departamentos que se auditarn
Muestras de controles a auditar
Agenda para las reuniones
Contenido y estructura de los informes
Conformidad del solicitante al plan de auditora
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Entre la auditora documental y la in situ deben pasar entre 3 y 6

semanas
Se realiza siempre en las instalaciones del solicitante
Los objetivos de sta son:

Confirmar que la organizacin cumple con sus
polticas y procedimientos
Comprobar que el SGSI desarrollado es conforme
con las especificaciones de la norma
Verificar que el SGSI est logrando los objetivos
que la organizacin se ha marcado
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Los auditores deben centrarse en:

El Anlisis de riesgos
La declaracin de aplicabilidad
Los objetivos que persigue la organizacin
Cmo se
Monitoriza y mide
Informa y mejora
Las revisiones del SGSI y de la seguridad

El grado de implicacin de la direccin
La coherencia entre
Polticas, anlisis de riesgos, objetivos, responsabilidades, normas,
procedimientos, datos de rendimiento y revisiones de seguridad
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Buscan evidencias objetivas:

Registro de actividad (logs) o informacin
Basados en medidas, en pruebas o en la
observacin
Pueden ser verificados!!
Tcnicas para obtenerlas:

Preguntas a los empleados

Observacin
Revisin de documentos o registros
Muestreo
Resumir, analizar o evaluar
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Los auditores visitarn las instalaciones de la organizacin.
Comprueban que los controles que han seleccionado en la muestra

cumple con lo exigido en el estndar
No tocarn mquinas, pero solicitarn a los empleados de la organizacin

que realicen las actividades que quieran evaluar.
El objetivo de la auditoria no es detectar no conformidades (errores), sino

determinar que el SGSI es conforme con la norma.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
El equipo auditor convocar reuniones con miembros seleccionados de la

organizacin, elaborar informes sobre lo observado durante las
entrevistas, y redactar documentos de recomendaciones si procede-.
Convocar a una reunin final a la direccin de la empresa para

explicarles lo observado en esta segunda fase, y comunicarles los
resultados de la Auditora.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Entrevistas
La calidad de la entrevista de auditora depender

de la habilidad para realizar las preguntas del auditor.
La forma de preguntar debe hacerle sentirse cmodo al solicitante.
Las preguntas deben ser apropiadas al rea

que est siendo auditada.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Entrevistas
Preguntas abiertas

Quin (lo hace)?

Cmo (se hace)?
Dnde (se hace)?
Cundo (se hace)?
- Cada cuanto (se hace)?

- Mustramelo
- Cuntamelo
Preguntas cerradas
Se pueden responder con un SI o un NO
Preguntas dirigidas
Utilizadas para ver conseguir la respuesta
buscada de una forma ms rpida, guiando al auditado
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Entrevistas
Otro tipo de preguntas:

Preguntas de opinin
Preguntas de investigacin
Preguntas no-verbales (lenguaje corporal)
Preguntas repetidas
Preguntas sobre situaciones hipotticas
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Auditora in situ
Al final de la auditora la entidad debe mantener una reunin con el

solicitante e informar del resultado de la misma:

Agradecer la colaboracin
Recordar nuevamente el objetivo y alcance de la auditoria
Dar un resumen del resultado de la auditora
Informar de las recomendaciones que va a dar el equipo de auditora
Preguntar si el solicitante tiene alguna cuestin que quiera aclarar
Recoger la conformidad del solicitante
Cierre de la reunin.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Informe de auditora
Las conclusiones y el informe deben basarse en:

Las dos etapas de la auditora conjuntamente

Las no conformidades encontradas
La documentacin, implantacin y efectividad del SGSI
Fortaleza y debilidades de
Los departamentos
Las secciones de la ISO 27002
Existe un compromiso de la direccin con

la mejora continua.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Informe de auditora
En funcin de lo anterior el equipo auditor debe emitir la recomendacin:

Se recomienda el registro si se considera que le
SGSI es conforme con la norma
Se recomienda revisin a la espera de recibir un plan
aceptable de acciones correctoras en caso de que se hayan encontrado no
conformidades
Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no
conformidades mayores en un rea concreta
Se recomienda volver a auditar si se han encontrado no conformidades
mayores en ms de un rea.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Decisin sobre certificacin

La decisin de si se debe emitir o no el certificado la toma el Comit de

Certificacin basndose en la informacin recogida durante el proceso.
Los miembros deben ser personal interno de la entidad, los miembros del
equipo auditor no pueden participar en la toma de decisin.
Si la recomendacin es NO emitir el certificado, el Comit de Certificacin

no debera cambiar el criterio.
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Decisin sobre certificacin

En caso de que se emita el certificado, la entidad remitir al solicitante

una carta o diploma indicando como mnimo:

Nombre y direccin de la organizacin

El alcance de la certificacin
La fecha de emisin del certificado y su periodo de validez
La versin de la declaracin de aplicabilidad
ramirocid.com
Twitter: @ramirocid
Auditora del SGSI
Dudas? preguntas?
Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
http://www.linkedin.com/in/ramirocid
http://ramirocid.com
http://es.slideshare.net/ramirocid
@ramirocid
http://www.youtube.com/user/cidramiro
ramirocid.com
Twitter: @ramirocid

Auditorias

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditorias

Uploaded by

Copyright:

Available Formats

Auditora del SGSI

Auditora del SGSI

Ramiro Cid | @ramirocid

Auditora del SGSI

Auditora UNE 71502

El modelo del sistema est basado en el modelo PDCA

El desarrollo de la seguridad se basa en un A.R.

Incluye los requerimientos funcionales del sistema de gestin (SGSI)

Incluye los requerimientos para verificar la efectividad del sistema

Introduce indicadores de seguridad o mtricas en el sistema

Est alineado con ISO 9000 o ISO 14000

Auditora del SGSI

la confianza necesaria de que somos capaces de cumplir sus

Si un tercero independiente certifica que lo estamos haciendo bien, de

Auditora del SGSI

Aumenta la credibilidad y confianza de clientes y administracin

Auditora del SGSI

Proporciona confianza a las personas de la organizacin

Auditora del SGSI

Auditora de Seguridad: Objetivos

Evaluar la efectividad de la organizacin con respecto al uso de recursos

Evaluar los sistemas y procesos que se desarrollan en la organizacin

Detectar y prevenir posibles errores y fraudes

Evaluar el riesgo y los sistemas de seguridad de las organizaciones

Elaboracin de planes de contingencia y recuperacin

Auditora del SGSI

Equipo auditor: Requisitos EESSI

Haber participado como mnimo en 3 auditoras a

Capacidad para comunicar los resultados obtenidos

Calificaciones acadmicas necesarias

Auditora del SGSI

Auditora del SGSI

Cdigo de conducta del equipo auditor

Actuar de forma veraz e imparcial

Deben evitar cualquier tipo de asignacin que

No aceptarn ningn tipo de incentivo, comisin, descuento

No revelarn las observaciones de la auditora a terceros

No actuarn de forma que pueda perjudicar a ninguna de las partes

En caso de incumplimiento de este cdigo se proceder a una

Auditora del SGSI

Auditora del SGSI

Auditora del SGSI

Comprender las funciones de cada empleado

Observar los requerimientos de confidencialidad del solicitante

Mantenerse al da en temas de seguridad

Auditora del SGSI

El Auditor Jefe adems debe:

Auditora del SGSI

Planifica y gestiona todas las fases de la misma

Auditora del SGSI

Jefe y miembros del equipo: normalmente se trata de una o dos personas.

Auditora del SGSI

Auditora del SGSI

Peticin de nuevas acciones

Auditora del SGSI

Concesin del certificado

Peticin de nuevas acciones correctoras y/o

Auditora del SGSI

Poltica de seguridad de la organizacin

Auditora del SGSI

1.- Poltica de seguridad

Supone la declaracin de intenciones sobre la que va a basar todo el

Debe estar aprobada por el comit de seguridad y formada por el ms

Comprobar que son: