Ses 04 - Auditoria SGSI

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERA DE SISTEMAS E INFORMTICA UNIDAD DE POSTGRADO
Curso: Gestin de Seguridad aplicado a los recursos de TI

SGSI (norma ISO 27001)
Sesin 4: Auditorias del SGSI
Lic. Eric Morn Aazco

MBA, PMP, Lead Auditor ISO 27001
Consulting Manager
Eric.moran@myt.com.pe
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE
Agenda
Auditorias internas del SGSI Requerimientos Procedimientos de la auditoria
Estructura de la norma ISO 27001

0. Introduccin
General Enfoque de procesos Compatibilidad con otros sistemas de gestin
1. Alcance
General Aplicacin
2. Referencias normativa
3. Trminos y definiciones
4. Sistema de gestin de seguridad de informacin
5. Responsabilidad de la gerencia
6. Auditorias internas del SGSI
7. Revisin por la direccin del SGSI
8. Mejora del SGSI
Anexo A: Objetivos de control y controles
Anexo B: Principios OECD y la Norma Internacional
Anexo C: Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional
Requisitos obligatorios de ISO 27001 Objetivos de control y controles (Desarrollado en ISO 17799)
Implementacin Gestin de seguridad de la NTP aplicado ISO/IEC a los 12207 recursos Procesos de TI del Ciclo de Vida del Software para FONAFE 3
Fases de Implementacin de un SGSI

0.0
Sistema de Gestin de Seguridad de Informacin (SGSI)
1.0 Gestin del Proyecto
2.0 (Planear) Planificacin del SGSI
3.0 (Hacer) Realizacin del SGSI
4.0 (Verificar) Verificacin del SGSI
5.0 (Actuar) Correccin del SGSI
1.1 Gestin del Alcance
2.1 Activos de Informacin
3.1 Controles Bsicos
4.1 Monitoreo del SGSI
5.1 No conformidades
1. 2 Gestin del Tiempo
2.2 Requerimiento de Seguridad
3.2 Controles Complementarios
4.2 Medicin del SGSI
5.2 Plan de Mejoras
1. 3 Gestin de la Calidad
2.3 Anlisis de Riesgos
3.3 Evidencia de Operacin
2.4 Declaracin de Aplicabilidad (SOA)
2.5 Plan de Tratamiento de Riesgos 2.6 Definir los controles del SGSI
Act Plan Do
Check
AUDITORIAS INTERNAS DEL SGSI
Auditora del SGSI Proceso sistemtico, documentado e independiente que se ejecuta con el fin de obtener evidencias de auditora y evaluarlas objetivamente para determinar si los requisitos y objetivos de control del SGSI son cumplidos o no.
6
Evidencia de Auditora Registros (logs, actas, libros) Presentacin de hechos Otras informaciones pertinentes La evidencia puede ser:
Cualitativa: declaraciones hechas por el personal Cuantitativas: registros, documentos, etc.
REQUERIMIENTOS
Realizar Auditoras Internas del SGSI La organizacin debe realizar auditoras internas del SGSI en intervalos programados para determinar si los objetivos, controles y procesos de su SGSI:
Cumplen con los requerimientos de la norma ISO 27001 y regulaciones relevantes Cumplen con los requerimientos de seguridad de informacin identificados
Estn implementados y mantenidos efectivamente
Se desempean segn lo esperado
Planear un Programa de Auditora
Estado e importancia de los procesos y reas a ser auditadas
Resultados de auditoras previas
PROGRAMA DE AUDITORA Define el criterio de auditora, alcance, frecuencia y mtodos
La seleccin de auditores y la conduccin de auditoras debe asegurar objetividad e imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo.
PROCEDIMIENTO DE AUDITORIAS
Definir un Procedimiento de Auditora del SGSI

Define responsabilidades y requerimientos para:
Planear y conducir auditoras Reportar resultados Mantener registros
PROCEDIMIENTO DOCUMENTADO
12
Tomar Accin
Auditora
AUDITORES
AUDITADOS
La gerencia responsable del rea auditada debe asegurar que las acciones se realizan sin demora para eliminar no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de verificacin
13
El Ciclo de la Auditora del SGSI
1. PLANIFICACION
2. EJECUCION
3. REGISTRO
4. CIERRE
14
1. PLANIFICACIN
15
Objetivos y Criterios de Auditoria

Evaluar la conformidad de la documentacin conforme a ISO 27001. Juzgar la conformidad de la implementacin de la documentacin Determinar la eficacia del SGSI Cumplir con los requisitos contractuales y regulatorios en seguridad Brindar una oportunidad de mejorar el SGSI Preparar al SGSI para una certificacin
16
Factores a considerar
Alcance del SGSI Complejidad del Sistema Nmero de locales involucrados
Tipos de informacin (papel, electrnica)
Nmero de empleados
Cultura de la empresa
Tamao y naturaleza de la organizacin
Planeamiento de la Auditora
Idioma
17
El Plan de Auditora
Es desarrollado al final de la fase 1 y antes del inicio de la fase 2. Debe reflejar el alcance del SGSI Debe minimizar las interrupciones a la organizacin Debe identificar si se requiere expertos tcnicos Es preparado por el Auditor Lder Es aprobado por el cliente
El cliente es quien solicita la auditora, puede ser el auditado o un tercero.
18
Responsabilidades del Auditor Lder

Planear y gerenciar todas las fases de la auditora Conducir la fase 1 de la auditora Asistir en la seleccin e instruccin del equipo
Controlar los conflictos y lidiar con situaciones difciles
Conducir y controlar todas las reuniones con el equipo y con el auditado Comunicar los principales obstculos encontrados
Tomar decisiones en temas de auditora y del SGSI
Comunicar los resultados de la auditora
Comunicar inmediatamente las no conformidades encontradas
19
Contenidos del Plan de Auditora
Objetivos y alcance
Responsabilidades
Documentos de referencia
Equipo de auditora
Idioma de la auditora
reas a ser auditadas
Tiempo y duracin de cada actividad
Programacin de reuniones
Requisitos de confidencialidad
Distribucin de informe y fechas de entrega
20
Fuentes de informacin para el Plan de Auditora

reas de alto riesgo Prioridades de la direccin Revisiones internas anteriores
Manual y procedimientos de seguridad
Informacin del servicio / producto
Resultados de la Fase 1
Plan de auditora
Experiencia de los auditores
21
2. EJECUCION
22
Fases de una Auditora en la etapa de Ejecucin:
Fase 1
Revisin de Documentacin
Fase 2
Auditora de Implementacin
23
Fase 1: Revisin de Documentacin
Objetivo: brindar un foco para el planeamiento de la auditora (fase 2) obteniendo un entendimiento del SGSI en el contexto de:
La poltica de seguridad de la organizacin y sus objetivos El estado de preparacin de la organizacin para una auditora
24
Fase 1: Revisin de Documentacin (continuacin) Actividades claves:

Revisar la estructura de gestin del SGSI Evaluar el alcance del SGSI Evaluacin y gestin del riesgo Declaracin de aplicabilidad Poltica de seguridad y procedimientos de apoyo clave Revisar informe de hallazgos Explicar la fase 2 a la organizacin
25
Fase 2: Auditora de Implementacin Objetivo:

Confirmar que la organizacin cumple la poltica, objetivos y procedimientos Confirmar que el SGSI se adecua a las exigencias de la norma y cumple con los objetivos de la poltica de la organizacin Probar la eficacia del SGSI
26
Fase 2: Auditora de Implementacin (continuacin) Actividades claves

Entrevistar a los responsables y usuarios del SGSI Revisar las reas de riesgo Evaluar cumplimiento de objetivos y metas de seguridad Documentar hallazgos y dar recomendaciones finales
27
No Conformidades a la Norma
No Conformidad
Menor Mayor
28
No Conformidad Menor
Falta de cumplimiento de un requerimiento

Ejemplos: Falla observada con la adecuacin de poltica de escritorio limpio Falta de aprobacin formal para uso del sistema de correo electrnico con acceso a Internet
29
No Conformidad Mayor
La ausencia de, o la falla repetitiva en la implantacin y mantenimiento de uno o ms requerimientos del SGSI
Ejemplo: Ninguna Poltica de Seguridad Ningun registro o evidencia requerida por un control del SGSI
3. REGISTRO
31
Informe de Auditora
Referencia de la Auditora (cdigo) Detalles de la Auditora Objetivo, alcance y criterio Nombre del equipo de Auditores Nombre de los principales auditados Plan de Auditora Informe de No Conformidades Recomendacin Aprobacin Circulacin
32
4. CIERRE
33
Reunin de Cierre
1. 2. 3. 4. 5. 6. 7. 8. 9. Lista de Asistencia Agradecimiento Objetivo y Alcance Sistema de Informes (Informe Principal) Limitaciones (muestras) Confidencialidad Resumen de Auditora (no conformidades) Acuerdos entre las partes Recomendacin (Certifica o no Recomienda su Certificacin) 10. Esclarecimientos (dudas, conclusiones) 11. Despedida (cierre final).
34
Beneficios de las Auditoras Internas

Fuente clave de informacin para la revisin por la direccin Demuestra el compromiso de la direccin Mejora la concientizacin, participacin y motivacin Brinda oportunidades para mejora continua Mejora la satisfaccin y confianza de los clientes Mejora el desempeo operacional
35
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERA DE SISTEMAS E INFORMTICA UNIDAD DE POSTGRADO
GRACIAS !!!
Lic. Eric Morn Aazco
MBA, PMP, Lead Auditor ISO 27001
Consulting Manager
Eric.moran@myt.com.pe
36

Ses 04 - Auditoria SGSI

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ses 04 - Auditoria SGSI

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERA DE SISTEMAS E INFORMTICA UNIDAD DE POSTGRADO

Curso: Gestin de Seguridad aplicado a los recursos de TI

Sesin 4: Auditorias del SGSI

Lic. Eric Morn Aazco

Auditorias internas del SGSI Requerimientos Procedimientos de la auditoria

Estructura de la norma ISO 27001

4. Sistema de gestin de seguridad de informacin

6. Auditorias internas del SGSI

7. Revisin por la direccin del SGSI

8. Mejora del SGSI

Anexo A: Objetivos de control y controles

Anexo B: Principios OECD y la Norma Internacional

Anexo C: Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional

Fases de Implementacin de un SGSI

Sistema de Gestin de Seguridad de Informacin (SGSI)

1.0 Gestin del Proyecto

2.0 (Planear) Planificacin del SGSI

3.0 (Hacer) Realizacin del SGSI

4.0 (Verificar) Verificacin del SGSI

5.0 (Actuar) Correccin del SGSI

1.1 Gestin del Alcance

2.1 Activos de Informacin

3.1 Controles Bsicos

4.1 Monitoreo del SGSI

1. 2 Gestin del Tiempo

2.2 Requerimiento de Seguridad

3.2 Controles Complementarios

4.2 Medicin del SGSI

5.2 Plan de Mejoras

2.3 Anlisis de Riesgos

3.3 Evidencia de Operacin

2.4 Declaracin de Aplicabilidad (SOA)

AUDITORIAS INTERNAS DEL SGSI

Estn implementados y mantenidos efectivamente

Se desempean segn lo esperado

Planear un Programa de Auditora

Estado e importancia de los procesos y reas a ser auditadas

Resultados de auditoras previas

PROGRAMA DE AUDITORA Define el criterio de auditora, alcance, frecuencia y mtodos

Definir un Procedimiento de Auditora del SGSI

El Ciclo de la Auditora del SGSI

Objetivos y Criterios de Auditoria

Tipos de informacin (papel, electrnica)

Tamao y naturaleza de la organizacin

Responsabilidades del Auditor Lder

Controlar los conflictos y lidiar con situaciones difciles

Tomar decisiones en temas de auditora y del SGSI

Comunicar los resultados de la auditora

Comunicar inmediatamente las no conformidades encontradas

Contenidos del Plan de Auditora

reas a ser auditadas

Tiempo y duracin de cada actividad

Distribucin de informe y fechas de entrega

Fuentes de informacin para el Plan de Auditora

Manual y procedimientos de seguridad

Informacin del servicio / producto

Experiencia de los auditores

Fases de una Auditora en la etapa de Ejecucin:

Fase 1: Revisin de Documentacin

Fase 1: Revisin de Documentacin (continuacin) Actividades claves:

Fase 2: Auditora de Implementacin Objetivo:

Fase 2: Auditora de Implementacin (continuacin) Actividades claves

Falta de cumplimiento de un requerimiento