RED SEGURIDAD N°.45 = Marzo 2010 Auditoria de los estdndares ISO en las TIC: una herramienta de la Direccién 2, Lr avorronia de los sistemas. de Informacién 6st proseso de reco fet, agupar y oval cfidoncias para determinar al un sistema. de ‘nlormacon salvaquarca los actvoe. ‘manione la itontiad do os datos, tea cabo fos ie 6 18 organ: z2000 y uilza eicentement tos racuraos. (Fuente: Ron Weber, sia antigua y esplncida defn coon de auctor en las TC. semore arte Carlos Manuel Fernandez eros do AEN an vigot, est en total consonance con I autora de rma ISO UntematonalStandord Organeation) fen este sector de lat Tecnologie latiormacen, La hoja de ruta 150 Para posicionanos an los sti dares: volintaries ISO en las TIC, {e rolerencin gan hema. eid HOJA de Ruta ISO en las TICs | 41’-BCM ~ BS25999_ AAT (ty 2) © Governance mecamtntaplmnenes | | gin 2-Procosos de Ingonria de Sonware— | i eee cr ror | [a AENOR \eaclo AENOR (Asociandén Espanola ‘0 Normalzacon y Coviicaion), ‘quo estamos apicando dese 2 ipreximademente cuatvo —snos, Este famowevi (Cher Executive Information Ooen une No pra realizar la gestion y direccion {8e os Cantos de Proceso de Dates (CPO) en relacion dcta con sus objetvos de negocio. (er toura gj de Rta ISO on as TC) “Teds fos sisters de. Gestion, desde al 7 Governance (5038500) hasta los Sistemas de Gestion de Sega do ia Informacion “SCSI (80 27001, Inekyon ot cite de ‘mejora continua. conacide por todos come POCA (Pan, Da, hk y Ac) DDentio co astos sistemas de gestion 6 incuyen dos proceeos fue, desde mi punto de vista, 200 senses pare ontondor cémo estes sstomas estén orentadas a los obfwos de las ocganizaco res: la rvisién por ia Dre y ka Paro Inter, ‘a xn proparcona ina iin ‘genera par attra stares 150, eestor cota 8 lapares ca gosta y areca de os ces prea do tsua) torte m opinion ™ Tanto la auditoria interna como la auditoria externa de certificacién tienen en comtn que son llevadas a cabo por personas independientes y el método de revision es el mismo, reconocido y revisado internacionalmente ‘ceniar eka Auli interna y en Ja Auditora’ de Certicacon ‘por una toro0ra parte roalzada por [AENOA (enti indepenconte sin tines tucratvos acreditaga por la Fridad Nacional de Acrectacion ENACS), (Ver Fgura 2: ejampio {8@ Motor-PDCA ISO 27001- y Canocimiento -base. de datos. de rivole-180 270024, ‘Auditoria Intorna y externa Las dos formas de ealzarauctoas on sistemas de gestion ao lovan ‘8 cabo de doe forma dlerenies "8 auotoia intena por parte de 1a propa empresa y ia axdtora ‘exema de catiicacion, on este ‘easo por ontidads do. coriica ‘con, 5 embargo, amber tenon fen comin dos cavactastias: la [evan cabo personas indepen denies y el meiodo de revs es fel mismo, Este metodo de reson ‘tiea, ent ota, las motodoingias efi por ISO en las norma ISO 17021, 180 27006, ee. yen el caso de las TIC, AENOR aps tambien ‘como eniad coricadora ot EDR Evauacion de Riesgos (Riosgos bjetos. de. Cant, Contras Prucbas do Cumolmiento). ‘i quisiéramos extabocsr un peo: ‘eso basic, ademas de considera las normas. 180, nos basariamos fn la deficiin de Ron Web, 8 reakzérames. una abstracoin, da ‘mos que fs Audiora do Sistemas, ‘de Gaston an is TIC 68 la reson independiente det ciclo de. mora Continua POCA y dc cot interno feformatico y de teecomunicaco- a Dein otis de segura y saint ol acarcs cid SSY Son sisi on un procnamerto "Pa Do. Cheek Ace de ‘pantea: aoa es: reaizando peusbas do com: Bliinto de lo procisos y de os ‘contoies y siempre teniendo en ‘cue tanto las norma ISO como os objatvas ola emoresa ‘Una vez estableodo este marco ‘con las norman ISO, que ayuda aos (CEO y GIO a ontandr como apes las best aractces de los estandros ‘convonsuiados por mis do 150 pa ‘25, e¢ momento do actu on base 2 los dlerenes ands de resg0s y ‘is coneipondenlos contre Es importante recaicar que le auctor interna y la autora exter fa de cerfcucion do estas norris ISO, venen como ee pencipal ke ‘dito onentada alos obetvos de las empresas y siemore consideran- 1 las norma do ISO y las mejores Practica internacionales (Value For ‘Auat Money !SACA Por sto moto, en AENOR ruosros procedimionios de auc tora siguen tas mamas que ratle- Jan la detncion de fon Weber ‘| EDR (Riesgo-Objativos de Gontrol-Controles-Pruebas de Curpimiena)y las normas 1S0. En tte seido, AENOR 08 in emg oe certiicacin de rayor recone: cimento por parts de todos los gan dol mercado. Podemas conckir que ol fa _mework do ts 180 an lag TIC (ver figura 1) tone como objetivo mordal 0 pancipal contre! que Pan Estategico de la empresa so caresponda con of Plan de TIC, La auctor itera y la de certtcacion 1 los sistemas do gestion do EO verica aue_se cumple wee pro taro contro, En detntva, comoboramas que by ia Direocin do las orpanizacionos ne ia autora ISO como era: Imenta de seguimionio y comprob Cen tanto de us abjetvos como do lacficienca y occa de sus tocn0 logis do fermen, Figura-2: SGSI-UNE ISO 27004 MODELO PDCA “Plan-Do-Check-Act”-MOTOR a re ei apna ti nm ier Siri wonavo