Auditoras de Seguridad de la Informacin

La revisin del SGSI y de los

controles de SI

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
Antecedentes la Seguridad de la
Informacin

2004: Creacin del

comit UNIT para la
seguridad de la
informacin

Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
Antecedentes la Seguridad de la
Informacin
El corazn
de la serie
27000:
27002 y
27001

Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
Antecedentes la Seguridad de la
Informacin

Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Antecedentes la auditora de la
Seguridad de la Informacin
Obtener el apoyo de la direccin
Definir el alcance del SGSI, fronteras y poltica del SGSI
Anlisis de requerimientos de seguridad de la informacin
Realizar la evaluacin y el tratamiento de riesgos
Redactar la Declaracin de aplicabilidad
Definir cmo medir la efectividad de los controles y de su SGSI
Seleccionar e Implementar los controles necesarios
Realizar las operaciones diarias establecidas en el SGSI
Monitorear y medir el SGSI
Realizar la auditora interna
Realizar la revisin por parte de la direccin
Implementar medidas correctivas
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
UNIT-ISO/IEC 27007

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC 27007
Foco en:
auditora de un sistema de gestin de
seguridad de la informacin (SGSI)

Alineada con las normas: leerlas juntas!

UNIT-ISO 19011 (Directrices para la

auditora de sistemas de gestin)
UNIT-ISO/IEC 27001 (Requisitos para un
Sistema de gestin de Seguridad de la
Informacin)
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC 27007
gestin de un programa de auditora
Establecer objetivos
Alcance
Establecer el programa Riesgos! identificarlos, evaluarlos
Procedimientos a realizar
Recursos necesarios
Inicio, Preparacin y Realizacin
Implementacin de actividades de auditora,
informe, fin de la auditora

Seguimiento

Revisin y mejora

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 ISO/IEC17021 ISO/IEC27006

Requisitosparalos Requisitosparalosorganismos
organismosquerealizanla querealizanlaauditorayla
certificacindelossistemas certificacindelosSGSI
degestin
UNIT-ISO/IEC UNTISO/IEC
UNITISO/IEC 27007 27001
27005 Sistemasdegestindelaseguridad
delainformacin.Requisitos
Gestindelriesgo
deseguridaddela UNITISO/IEC
informacin UNITISO
19011 27002
Guaparalaauditora Cdigodebuenasprcticaspara
desistemasdegestin lagestindelaseguridaddela
informacin
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC 27007
UNIT-ISO 19011:
Directrices para la auditora de un sistema
de gestin

Ambiental, de Calidad, de Seguridad, etc.

Se concentra en las auditoras internas (de
1 parte) y auditoras realizadas por
clientes a sus proveedores (de 2 parte)

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
UNIT-ISO 19011 y UNIT-ISO/IEC 27007

UNIT-ISO/IEC 27007 ISO 19011

4 Principios de auditora 4 - Principios de auditora
Aplican los principios de a) Integridad
auditora del Captulo 4 de la b) Presentacin imparcial
ISO 19011:2011 c) Debido cuidado profesional

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO 19011 y UNIT-ISO/IEC 27007
UNIT-ISO/IEC 27007 ISO 19011
5.3.3 Determinacin del alcance del 5.3.3 Determinacin del alcance del
programa de auditora programa de auditora
Aplican las directrices de la Norma La persona responsable de la
ISO 19011:2011, Apartado 5 .3.3. gestin del programa de auditora
Adicionalmente, aplica la debera determinar el alcance del
siguiente gua especfica para SGSI. programa de auditora, que puede
5.3.3.1 IS 5.3.3 Determinacin del variar dependiendo del tamao y la
alcance del programa de auditora naturaleza del auditado, as como
a) El tamao del SGSI de la naturaleza, funcionalidad,
b) la complejidad del SGSI. complejidad y el nivel de madurez
c) qu tan significativos son los del sistema de gestin que se va a
riesgos de seguridad . auditar

Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO 27001 y UNIT-ISO/IEC 27007

UNIT-ISO/IEC 27007
6.4.3.1 IS 6.4.3 Realizacin de la SGSI
revisin de la documentacin durante requisitos
la auditora documentos
Los auditores deberan verificar que
los documentos requeridos por la
Norma UNIT-ISO/IEC 27001 existen y
se encuentran en conformidad con
sus requisitos.

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
UNIT-ISO/IEC TR 27008

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC TR 27008
Foco en:
verificacin de los controles de seguridad de
la informacin - implementacin y
operacin
Dirigida principalmente a auditores de
seguridad de la informacin que necesitan
verificar el cumplimiento tcnico de los
controles comparados con UNIT-ISO/IEC
27002 u otras normas utilizadas por la
organizacin
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC TR 27008 - Utilidad
Cul es el alcance de los potenciales
problemas y deficiencias de los controles
de seguridad de la informacin?

Cules son los potenciales impactos

organizacionales de amenazas y
vulnerabilidades mitigadas en forma
inadecuada?

Cules son los riesgos ms importantes y

cmo los mitigamos?
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC TR 27008 - Utilidad
Confirmar que hemos tratado en forma
adecuada las debilidades o deficiencias
previamente identificadas o emergentes

Respaldar las decisiones presupuestales

dentro del proceso de inversiones y otras
decisiones gerenciales referentes a la
mejora de la gestin de la seguridad de la
informacin de la organizacin

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT-ISO/IEC TR 27008
revisin de los controles
Cmo revisamos los controles?
Objetivo: definir qu queremos revisar
Mtodos: Clasificacinexhaustiva
delosmtodosde
Examinar revisindecontrolesde
acuerdoa
Entrevistar atributos yvalores
Probar
generalizada, focalizada,
profundidad
detallada

representativa,
cobertura especfica, amplia
Pza. Independencia 812 Piso 2 Montevideo Uruguay
Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 UNIT- ISO/IEC TR 27008
revisin de los controles
Preparativos
Desarrollar el plan
Realizar la revisiones
Objetivos
Canales de comunicacin
Costo, cronograma, desempeo
Alcance
Procedimientos a realizar
Seleccin de mtodos y objetos
Hallazgos previos
Recursos necesarios
Hallazgos: satisfecho,
parcialmente satisfecho,
Insatisfecho

Anlisis e Informe

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
LAS GUAS PRCTICAS

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la auditora del SGSI
UNIT- ISO/IEC 27007

Alcance, poltica y enfoque de UNIT ISO/IEC270014.1.&

evaluacin de riesgos del SGSI 4.2.1(a)a(c)

Riesgos: Identificacin, anlisis y UNIT ISO/IEC270014.2.1(d)

evaluacin, opciones de tratamiento a(f)

Seleccin de objetivos de control y

controles, aprobacin de riesgos UNIT ISO/IEC2700014.2.1
residuales, autorizacin de la direccin (g)a(j)
y Declaracin Aplicabilidad

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la auditora del SGSI
UNIT-ISO/IEC 27007
Riesgos: Identificacin, anlisis y
evaluacin, opciones de tratamiento

Criterios de Normas Evidencia Gua prctica de

auditora relevantes de auditora auditora
Identificacin:
UNITISO/IEC Inventarioactivos revisarinventario
UNIT ISO/IEC
27001 Documentosde deactivosy
27005
4.2.1 metodologade confirmarqueestn
8.2,8.3,9,10
(d),(e),(f) evaluacinde incluidosenel
riesgos alcancedelSGSIlos
Informes activosimportantes
evaluacinriesgos .

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la auditora del SGSI
UNIT-ISO/IEC 27007

Cuidado!
Tener en cuenta los requisitos especficos del
SGSI de la organizacin

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la verificacin del
cumplimiento tcnico UNIT-ISO/IEC TR 27008
BasadaenUNITISO/IEC27002
Control tcnico
Norma de implementacin de seguridad

Nota Tcnica sobre la norma de

implementacin de seguridad

Guaprctica EvidenciaEsperada Mtodo

Guaprctica EvidenciaEsperada Mtodo

. . .

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la verificacin del
cumplimiento tcnico UNIT-ISO/IEC TR 27008
BasadaenUNITISO/IEC27002

Control tcnico: Deberan implementarse controles de deteccin,

prevencin y recuperacin para protegerse ante para el cdigo malicioso

Norma de implementacin de seguridad: comprobacin de

1) archivos de soporte electrnico y los recibidos a travs de las redes antes de su uso
2) archivos adjuntos del correo electrnico y de las descargas
3) pginas web

Nota Tcnica: el sistema de deteccin debera funcionar para una

variedad de servicios o protocolos a travs de redes como www, mail
y ftp

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Gua prctica para la verificacin del
cumplimiento tcnico UNIT-ISO/IEC TR 27008
BasadaenUNITISO/IEC27002

EvidenciaEsperada Mtodo
Guaprctica
.Especificacindel Examinar/Revisar
Verificarqueelsistemade
sistema
deteccinyreparacinde
.Diagramadered
cdigomaliciososeestablece
enformaintegralyeficazpara:
.Todoslosarchivo:
recibidosyalmacenadosen
medioelectrnico
adjuntosdecorreos
.Laspginasweb

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Conclusiones
Beneficios del uso de estas normas:
Pueden aplicarse a cualquier tipo y tamao
de organizacin
Son adaptables a la realidad de cada
organizacin
Demuestran el cumplimiento con un proceso
estndar, probado y que reflejan el estado
del arte en metodologas de auditora

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy
 Conclusiones
Ambas normas asisten en el proceso de
auditora de seguridad de la informacin,
pero con diferente enfoque:
El sistema de gestin
Los controles
Ambas normas apoyan el proceso de gestin de
riesgos del Sistema de Gestin de Seguridad de
la Informacin

Pza. Independencia 812 Piso 2 Montevideo Uruguay

Tel.: 2901 20 48 * - Fax: 2902 16 81
e-mail:unit-iso@unit.org.uy website: www.unit.org.uy