AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El perfil profesional
y la calificación de un auditor SGSI
sobre ISO...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
índice
• Marco normativo
• Perfil profesional del auditor
• Titulaci...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Marco normativo
• ISO/IEC 19011
• EA-7/03
• DIS ISO/IEC 27006:2006
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Ser auditor cualificado de ISO 27001
• Experiencia profesional:
– Te...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team training
7.2 DIS ISO 27006
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team competence
7.2 DIS ISO 27006
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to ISMS & audit
• Programar y pla...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to regulatory requirements
– Prop...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to
Management
requirements
• Re-e...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El arte de auditar un SGSI
AUDITORIAAUDITORIA
de SISTEMAS DE GESTIde...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El arte de auditar un SGSI
• Auditar el cumplimiento de la ISO 27001...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
“Auditar la ISO 27001”
Auditar el SGSIAuditar los controles
Evaluar ...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Reuniendo evidencias
• Entrevistar
• Examinar Documentos
• Observar ...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que Observar
• Escenarios
– Técnico (físico, lógico,sectorial)
– Leg...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que Observar
• Identidad del Personal
• Documentación
• Registros
• ...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Técnica de Preguntas
• ¿Qué?
• ¿Por qué?
• ¿Cuándo?
• ¿Cómo?
• ¿Dónd...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Desarrollo de Preguntas
• Muéstreme .... ?
• No comprendo .... ?
• Q...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El Arte de Auditar
• Ser objetivo / cortés
• Buscar no-conformidades...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que debe evitar el auditor
• Mostrarse enfadado
• Hablar demasiado
•...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Tácticas negativas en el auditado
• Soborno
• Engaño / deshonestidad...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Errores del Auditor
• Mal énfasis
• Falta de técnica
• Errores de se...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando el SGSI
•Revisión documental de cada unos de los procedimi...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando controles
•Procedimiento de implementación de controles
•S...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Con el objeto de auditar para conseguir un nivel aceptable en
materi...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Como auditar los controles
• Sobre todos/algunos de los controles de...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando controles
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El fenómeno campo “Observaciones”
• System Testing:
– Directo a la B...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Code of Professional Ethics
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El proceso de auditoría
de certificación del SGSI
AUDITORIAAUDITORIA...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
La certificación ISO 27001
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Petición de la organización, entrega presupuesto, aceptación
STAGE 1...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 0 Plan de auditoría
• Estudio de la complejidad de la
organiza...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Complejidad de la organización
• Dependiendo de la complejidad de la...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Tiempos de auditoría
• A según num.empleados
– (66-85) A=6 days
– (8...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 1. Reunión con dirección
• Plan de Auditoría
• Equipo auditor
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 1. Revisión documental
• Revisión documental
– Alcance
– Polít...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 2. Auditoría in-situ
• Auditoría según el plan
• Auditando el ...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
•Revisiones exclusiones de la Declaración de Aplicabilidad y
hallazg...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
•Evaluación del grado de conocimiento de seguridad de la
información...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Reunión de Cierre
• Introducción
• Reseña
• Impresión General
• Punt...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditorías de seguimiento
• A intervalos planeados desde el programa...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Factores de éxito de un SGSI
En la certificación
Obtener el compromi...
AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
ISO 27001
Sistema de Gestión de
Seguridad de la Información
Muchas g...
Upcoming SlideShare
Loading in …5
×

Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

757 views
646 views

Published on

Enric Nebot, ECA CERT - EXPOELEARNING 2007

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
757
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
43
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

  1. 1. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El perfil profesional y la calificación de un auditor SGSI sobre ISO 27001 Enric Nebot Teixidó Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN 22 de marzo 2007 AUDITORIAAUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN segsegúúnn ISO/IEC 27001:2005ISO/IEC 27001:2005
  2. 2. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 índice • Marco normativo • Perfil profesional del auditor • Titulaciones y certificados • El equipo auditor en la certificación • Audit team knowledge
  3. 3. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Marco normativo • ISO/IEC 19011 • EA-7/03 • DIS ISO/IEC 27006:2006
  4. 4. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Ser auditor cualificado de ISO 27001 • Experiencia profesional: – Tener al menos 4 años de experiencia en IT de los cuales al menos dos años en Seguridad de la Información • Haber cursado y aprobado un training de 5 días 40 horas organizado por una entidad de certificación acreditada • Experiencia de al menos 4 auditorias con 20 horas, incluyendo revisiones de documentación de análisis de activos, riesgos y reporting • Formación académica – Education at secondary level • Otros...
  5. 5. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team training 7.2 DIS ISO 27006
  6. 6. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team competence 7.2 DIS ISO 27006
  7. 7. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team knowledge
  8. 8. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team knowledge • In relation to ISMS & audit • Programar y planificar auditorías • Tipos de auditoría y metodologías • Information Security processes analysis • Ciclo Deming de mejora contínua • Auditorías internas de Seguridad de la Información
  9. 9. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team knowledge • In relation to regulatory requirements – Propiedad intelectual – Protecction organizational records – Data protection&privacy – Firma-e – E-commerce – Telecommunications interception & monitoring – Computer abuse – Electronic evidence collection – Penetration testing – National sector specific requirements (e.g. Banking)
  10. 10. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Audit team knowledge • In relation to Management requirements • Re-engineering of IS risks • ICT outsourcing security risks • Supply chain information security risks
  11. 11. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El arte de auditar un SGSI AUDITORIAAUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN segsegúúnn ISO/IEC 27001ISO/IEC 27001 Enric Nebot Teixidó Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN 22 de marzo 2007
  12. 12. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El arte de auditar un SGSI • Auditar el cumplimiento de la ISO 27001:2005 • Reuniendo evidencias • Que obtener • Técnicas de preguntas • Desarrollo de preguntas • El arte de auditar • Errores del auditor • Tácticas negativas en el auditado • Auditar el SGSI • Auditar los controles
  13. 13. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 “Auditar la ISO 27001” Auditar el SGSIAuditar los controles Evaluar el cumplimiento y plasmarlo en un informe de Auditoría que puede culminar en la consecución del certificado
  14. 14. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Reuniendo evidencias • Entrevistar • Examinar Documentos • Observar actividades / condiciones • Verificar Independientemente • Tomar Notas CAP.IV 7/20
  15. 15. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Que Observar • Escenarios – Técnico (físico, lógico,sectorial) – Legal – Organizacional • Equipo auditor coordinado desde el plan inicial CAP.IV 10/20
  16. 16. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Que Observar • Identidad del Personal • Documentación • Registros • Producto • Escenarios – Técnico (físico, lógico) – Legal – Organizacional • Planos / Diseños • Hallazgos Reales CAP.IV 10/20
  17. 17. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Técnica de Preguntas • ¿Qué? • ¿Por qué? • ¿Cuándo? • ¿Cómo? • ¿Dónde? • ¿Quién? CAP.IV 12/20
  18. 18. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Desarrollo de Preguntas • Muéstreme .... ? • No comprendo .... ? • Que pasa si .... ? • Suponga que .... ? • Usted está diciendo que .... ? • Entiendo que .... ? • Esto significa que .... ? • Acercamiento en Silencio CAP.IV 13/20
  19. 19. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El Arte de Auditar • Ser objetivo / cortés • Buscar no-conformidades • Ser persistente • Evitar críticas o discusiones • Evitar manifestar propias conclusiones • Mantener la independencia • Decidir “in situ” • Ser positivo
  20. 20. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Que debe evitar el auditor • Mostrarse enfadado • Hablar demasiado • Llegue tarde • Discutir • Ser negativo • Ser sarcástico • Ser demasiado amistoso • Ser reservado • Hacer de consultor
  21. 21. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Tácticas negativas en el auditado • Soborno • Engaño / deshonestidad • Excusas • Olvido • Interrupciones • “Pobre de mí...” • Pérdidas de tiempo, esperas • Ausencia de auditados • Súplicas • Falta de colaboración
  22. 22. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Errores del Auditor • Mal énfasis • Falta de técnica • Errores de semántica • Error de lectura • Errores de percepción • Mala comprensión • Distracción • ¡Tengo razón!
  23. 23. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Auditando el SGSI •Revisión documental de cada unos de los procedimientos de gestión del SGSI (clauses 4 to 8) • Clause 4 ISO 27001 • Management Responsabilities • Auditorías internas • Revisiones por parte de la dirección • Revisión documental de los registros del SGSI • Auditar RA, RE, RTP y selección de controles
  24. 24. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Auditando controles •Procedimiento de implementación de controles •SoA • Roles y propietarios de cada uno de ellos • Procedimientos propios de los controles •Revisión de cumplimiento
  25. 25. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Con el objeto de auditar para conseguir un nivel aceptable en materia de la seguridad de la información es condición indispensable determinar los controles específicos de la norma ISO 27001: 2005. Para ello es condición sine qua non disponer de la DECLARACIÓN DE APLICABILIDAD (en adelante SoA ,Statement of Applicability), declarada a partir del Análisis y tratamiento de riesgos. En este sentido cabe mencionar que la misma norma ISO específica que no es necesario aplicar todos los controles definidos y que además pueden ser aplicables nuevos controles según los requerimientos y el alcance de los trabajos. A partir de estos requerimientos de seguridad el proceso de Auditoría se centrará en la evaluación del tratamiento y gestión de riesgos relativos a la seguridad de la Información, la implementación de los controles ISO 27001 según el SoA, el cumplimiento legal, regulatorio y contractual relacionado con la Seguridad de la Información y el establecimiento del cumplimiento del ciclo de vida PDCA del Sistema de Gestión de Seguridad de la Información en la organización.
  26. 26. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Como auditar los controles • Sobre todos/algunos de los controles del SoA, la auditoría debe contemplar inspecciones del tipo: – Control organizacional • Revisión documental, entrevistas, observaciones e inspección física – Control técnico • Medir la efectividad mediantes system testing o mediante herramientas de audit/reporting – System testing – Inspección visual
  27. 27. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Auditando controles
  28. 28. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El fenómeno campo “Observaciones” • System Testing: – Directo a la BBDD (Ms Acess, Oracle, SQL Server) – “SELECT OBSERVACIONES FROM CLIENTES” • Riesgos de confidencialidad – VISA...teléfonos móviles, información de impagados, información de familiares • Riesgos de incumplimiento LOPD – Calidad, nivel de seguridad mayor que el definido • Observación en la auditoría
  29. 29. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Code of Professional Ethics
  30. 30. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 El proceso de auditoría de certificación del SGSI AUDITORIAAUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN segsegúún ISO 27001n ISO 27001 Enric Nebot Teixidó Director Comercial y de desarrollo ECA CERT CERTIFICACIÓN 22 de marzo 2007
  31. 31. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 La certificación ISO 27001
  32. 32. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Petición de la organización, entrega presupuesto, aceptación STAGE 1. REVISIÓN DOCUMENTAL para conocer la desviación del sistema con relación al estándar: Revisión de los documentos del SGSI para decidir si éstos se ajustan a la normativa y se recomienda la certificación, Activos, Declaración de aplicabilidad, Análisis de riesgos, Política de seguridad, Aspectos legales de la seguridad de la Información STAGE 2. AUDITORIA DEL SGSI Y DE CONTROLES Auditoria del SGSI, tratamiento del riesgo, implementación de controles, revisión de documentación, Plan de continuidad de negocio, Gestión de incidencias, Formación y sensibilización, etc. REUNIÓN DE CIERRE Y ENTREGA INFORME DE AUDITORIA Medidas correctivas, aspectos de mejora, EMISIÓN DEL CERTIFICADO para que pueda utilizarlo en sus relaciones con cliente y proveedores STAGE O. PLAN DE AUDITORÍA Estudio de la complejidad de la organización, elaboración del plan de auditoría, designación del equipo auditor.
  33. 33. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Stage 0 Plan de auditoría • Estudio de la complejidad de la organización • Tiempos de auditoría • Designación del equipo auditor • Elaboración del plan de auditoría • Envío a la organización del plan de auditoría
  34. 34. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Complejidad de la organización • Dependiendo de la complejidad de la organización: – Determinaremos el equipo auditor – Determinaremos el tiempo de auditoría (junto con otros factores) • La complejidad la determinan diversas circunstancias de la organización que determinarán un nivel (riesgo potencial) • Alto • Medio • Bajo
  35. 35. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Tiempos de auditoría • A según num.empleados – (66-85) A=6 days – (876-1175) A=13 days • +(1 -3) days document review • + 2 days audit control ISO 27002 • + 0.5 x # sites • + factor (si sector riesgo alto) • Valor ejemplo -> 25 días de auditoria en una empresa de 1200 empleados con nivel alto de riesgo
  36. 36. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Stage 1. Reunión con dirección • Plan de Auditoría • Equipo auditor
  37. 37. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Stage 1. Revisión documental • Revisión documental – Alcance – Política alto nivel – DML – Cumplimiento legal – Procedimientos de gestión del SGSI – Evaluación de riesgos – SoA – Proceso de implantación de controles – Gestión de incidencias – Comité de seguridad
  38. 38. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Stage 2. Auditoría in-situ • Auditoría según el plan • Auditando el sistema • Auditando los controles • Revisión técnica • Revisión documental • Mediante entrevistas • Mediante inspección física • Mediante testing/tools • A usuarios, responsables,externos • Por muestreo , a todos los sites
  39. 39. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 •Revisiones exclusiones de la Declaración de Aplicabilidad y hallazgos de la Revisión documental de la FASE I •Auditoría del proceso de Análisis de Riesgos, su tratamiento y los controles asociados •Entrevistas con los diversos departamentos o áreas de la empresa o empresas. •Evaluación del SGSI, establecimiento, monitorización, revisión y auditorías internas •Análisis de los sistemas, revisión de las instalaciones y de procedimientos. •Auditoría de implementación de los controles relacionados en los principales sistemas de información de procesos de negocio, comunicación, y almacenamiento de datos. •Evaluaciones y auditoría de los controles relacionados en los sistemas de teletrabajo, en el Centro de Datos y en la relación y procedimientos de trabajo relacionados con los mismos. Stage 2. Auditoría in-situ
  40. 40. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 •Evaluación del grado de conocimiento de seguridad de la información por parte de los usuarios, concienciación de seguridad y gestión de incidentes. •Auditoria de los procedimientos y actuaciones relacionados con la Gestión de incidencias •Auditoría de aspectos relacionados con Recursos Humanos (controles A8 ISO 27001:2006), Plan de Continuidad de negocio (controles A14 ISO 27001:2006) •Revisión del establecimiento del marco legal, regulatorio y contractual y del cumplimiento de las obligaciones legales establecidas en materia de Protección de datos personales, Propiedad intelectual e Internet, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico. Stage 2. Auditoría in-situ
  41. 41. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Reunión de Cierre • Introducción • Reseña • Impresión General • Puntos específicos • Conclusiones • Respuesta del Auditado • Recomendaciones de mejora • Firma de no-conformidades • Agradecimientos al Auditado • Despedida CAP.IV 20/20
  42. 42. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Auditorías de seguimiento • A intervalos planeados desde el programa de auditoría • Normalmente cada seis meses • En algunas auditorías del SGSI se audita el alcance parcialmente para conseguir la certificación al final del proceso • A los tres años se requiere una recertificación
  43. 43. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 Factores de éxito de un SGSI En la certificación Obtener el compromiso de la dirección en todo el proceso Adecuar el alcance inicial del SGSI con el objetivo de certificarlo posteriormente Contar con una ENTIDAD ACREDITADA con suficiente experiencia y conocimiento y que conozca su sector de negocio Preparar adecuadamente la auditoría, tener todo en regla, el equipo formado Adecuar el plan de auditoria y las auditorias de seguimiento a los objetivos de negocio obteniendo indicadores y métricas tangibles En la implantación del SGSI: … En la fase inicial se debe tener en cuenta: …
  44. 44. AUDITORIA SGSI ISO 27001 El auditor de SGSI ISO 27001 ISO 27001 Sistema de Gestión de Seguridad de la Información Muchas gracias por vuestra atención. ¿Nos vemos en la auditoria? Enric Nebot Teixidó Director Comercial y de Desarrollo ECA CERT

×