Professional Documents
Culture Documents
AUDITOR INTERNO
Sistemas de Gestin de la Seguridad de la Informacin ISO/IEC 27001:2005
AI 27001 REV.01-03-09
Introduccin
AI 27001 REV.01-03-09
Informacin
La informacin es un activo que, como otros activos importantes del negocio, tiene valor para una organizacin y, por lo tanto, necesita ser protegido adecuadamente
ISO 17799:2005
AI 27001 REV.01-03-09
Tipo de Informacin
Escrita / Impresa
Presentacione s
Electrnica
Enviada correo
AI 27001 REV.01-03-09
Verbal / Conversaciones
6
Ciclo de la Informacin
La informacin puede ser: Creada Almacenada
Transmitida Procesada
AI 27001 REV.01-03-09
Ciclo de la Informacin
La informacin puede ser:
Utilizada: Para propsitos correctos e incorrectos
AI 27001 REV.01-03-09
Informacin
Cualquier forma que tome la informacin, o los medios mediante los cuales es compartida o almacenada, debe ser siempre protegida de una forma apropiada
ISO 17799:2005
AI 27001 REV.01-03-09
Amenazas
Virus, Gusanos, Troyanos = Malware.
Mails annimos con informacin crtica o con agresiones, infectada Robo de informacin Captura del PC desde el exterior
Robo de contraseas
Hackers
Fraudes informticos.
Phishing
(pesca)
Intercepcin de comunicaciones
Software ilegal
AI 27001 REV.01-03-09
Falsificacin de documentos
Estadsticas
Perdidas cuantificadas de por lo menos $377 millones (USD), o $2 millones (USD) por encuestado
90%
85%
80% 40%
Fuente: Computer Crime and Security Survey 2006, del Computer Security Institute
AI 27001 REV.01-03-09
11
Seguridad de Informacin
La seguridad de informacin protege la informacin de las amenazas para asegurar la continuidad del negocio, minimizar el perjuicio para el negocio y maximizar el retorno de la inversin y de las oportunidades del negocio
AI 27001 REV.01-03-09
12
Seguridad de la Informacin
Procesos Tecnologa Equipos
Personas
INFORMACIN
Proteger la Informacin
AI 27001 REV.01-03-09
13
Seguridad de Informacin
Confidencialidad
Garantiza el acceso a la informacin de acuerdo con las funciones y autorizada
Principios de seguridad
Integridad
Asegura que la informacin no ha sido modificada protegiendo la
Disponibilidad
Asegura el acceso a la informacin cuando lo requieren las personas autorizadas
14
Seguridad de Informacin
En algunas organizaciones, la integridad y/o la disponibilidad puede ser ms importante que la confidencialidad. Confidencialidad
Integridad
Disponibilida d
AI 27001 REV.01-03-09
15
ISO 27002:2005 (17799:2005) Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
ISO 27001:2005 Tecnologa de la Informacin Tcnicas de seguridad sistemas de gestin de la seguridad de la informacin Requerimientos
AI 27001 REV.01-03-09
16
AI 27001 REV.01-03-09
AI 27001 REV.01-03-09
18
Propsitos
Proporcionar las mejores prcticas de seguridad de la informacin Permitir a las organizaciones desarrollar, implementar y medir prcticas efectivas de gestin de la seguridad Proporcionar confianza en el comercio entre organizaciones Aplicable a un amplio rango de organizaciones grandes, medianas y pequeas
AI 27001 REV.01-03-09
19
Tolerancia al riesgo
Valores sociales
Vecino
Competencia- Negocios Consumidor Exigencias del consumidor Accionistas Visin corporativa y polticas
20
Cultura corporativa
Empleados
Sindicatos
AI 27001 REV.01-03-09
21
22
ISO 17799:2005
ISO 19011
ISO 14001
AI 27001 REV.01-03-09
23
ISO 9001
IS0 14001 -
AI 27001 REV.01-03-09
24
ISO 19011
Directivas para la auditora de los sistemas de gestin de la calidad y/o el medio ambiente
Contiene informacin sobre: Trminos y definiciones
Principios de auditora
Gestin de un programa de auditora Actividades de auditora
AI 27001 REV.01-03-09
25
Plan-Do-Check-Act
Plan
Los procesos y el producto obtenido son monitorizados y medidos frente polticas, objetivos, requerimientos
Act
Se emprenden acciones para mejorar el proceso continuadamente
AI 27001 REV.01-03-09
26
Cadena de actuaciones
Definicin de Poltica y Objetivos Poltica Objetivos
Plan Do Check
Alcance
Act
Anlisis de Riesgos Gestin Organizacional Grado de Aseguramiento Controles ISO Controles adicionales Polticas Objetivos Procesos Procedimientos Instrucciones Controles Otros
Gestin de Riesgos
Objetivos Controles
Mtodos de Control Mtodos Implantacin y Operacin Prctica Acciones correctivas Acciones preventivas
Motorizacin y Revisin
AI 27001 REV.01-03-09
27
Act
Como mejorar la prxima vez?
Plan
Qu hacer? Como hacerlo
Check
Ha salido segn lo planeado?
Do
Hacer lo que se planific
AI 27001 REV.01-03-09
28
Partes Interesadas
Check
AI 27001 REV.01-03-09
29
Estructura de la ISO 27001 Alcance y aplicacin Clusula 4. Sistema de Gestin de la Seguridad de la Informacin
Clusula 4.1 Requisitos generales Clusula 4.2 Establecer y gestionar el SGSI Clusula 4.3 Requerimientos de documentacin
AI 27001 REV.01-03-09
30
2
3 4
Referencias normativas
Trminos y definiciones Sistema de gestin de la seguridad de la informacin
4.1
4.2 4.3
Requisitos generales
Establecer y gestionar el SGSI Requerimientos de documentacin
31
AI 27001 REV.01-03-09
6 7.
AI 27001 REV.01-03-09
32
Anexo A
(normativo)
Anexo B
(informativo)
Anexo C
(informativo)
AI 27001 REV.01-03-09
33
Alcance
Requerimientos para
Establecer Implementar Ejecutar Monitorizar Revisar Mantener y Mejorar Un SGSI documentado dentro del contexto de los riesgos generales de negocio de la organizacin
AI 27001 REV.01-03-09
34
Aplicacin de la norma
Genrica Aplicable a todas las organizaciones Exclusiones:
No afecten a la capacidad o a la responsabilidad de proporcionar seguridad de la informacin que cumpla con los requisitos de seguridad determinados por la evaluacin de riesgos y los requerimientos reguladores Deben ser justificadas y se deben proporcionar evidencias de que los riesgos asociados son admisibles Los requisitos de las clusulas 4, 5, 6, 7 y 8 no pueden excluirse
AI 27001 REV.01-03-09
35
La organizacin debe : Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado Establecer el proceso segn el modelo PDCA
AI 27001 REV.01-03-09
36
4.3.1 General
AI 27001 REV.01-03-09
38
AI 27001 REV.01-03-09
39
La direccin evidenciar el compromiso de la direccin: Comunicar la importancia de los objetivos de seguridad, requerimientos legales y regulatorios, la mejora continua Establecer un objetivo, planes y la poltica de seguridad
Solicitar revisiones
Decidir el nivel de riesgo residual
AI 27001 REV.01-03-09
40
5.2.1 Proporcionar recursos para: Configurar y mantener el SGSI Establecer procedimientos de seguridad Identificar requerimientos legales, regulatorios y contractuales Adecuar la seguridad de los controles implantados Llevar a cabo revisiones
Mejorar el proceso
AI 27001 REV.01-03-09
41
AI 27001 REV.01-03-09
42
AI 27001 REV.01-03-09
43
7.1 General
44
AI 27001 REV.01-03-09
45
SGSI
Inicio
Pre auditoria
Acciones correctivas
CERTIFICACIN
Establecer el SGSI
Auditoria de certificacin
AI 27001 REV.01-03-09
46
Certificacin
Es un reconocimiento por parte de una empresa independiente del cumplimiento y eficiencia de un Sistema de Gestin de la Calidad de una empresa. Es una ventaja competitiva.
AI 27001 REV.01-03-09
47
SGSI
Inicio
Pre auditoria
Acciones correctivas
Auditorias de seguimiento
Ao 1
Ao 2
Ao 3
Establecer el SGSI
Auditoria de certificacin
AI 27001 REV.01-03-09
48
Anexo A
(normativa)
Objetivos de control y controles Derivados de, y alineados con los de BS ISO/IEC 17799
Proporcionan ayuda en la implementacin y orientacin sobre las mejores prcticas en los controles para cumplir con los objetivos especificados
Referenciados durante la auditora para identificar no-conformidades y acciones correctivas
AI 27001 REV.01-03-09
49
AI 27001 REV.01-03-09
50
Seguridad al 100%
AI 27001 REV.01-03-09
51
Definiciones
Riesgo:
Correr un riesgo:
Incurrir en una accin sin considerar la posibilidad de dao que conlleva Arriesgar: Exponer a dao o prdida
AI 27001 REV.01-03-09
52
Riesgo de Seguridad
Un riesgo de seguridad es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin o grupo de ellos
AI 27001 REV.01-03-09
53
Metodologa
Riesgo residual
Alta Direccin
Identificacin y Clasificacin
Accin
Resultado y Recomendacin
54
Clasificacin de activos
Activos de informacin
AI 27001 REV.01-03-09
Personas
Personal Clientes Suscriptores
Base de datos Procedimientos Material de formacin Inventarios Contratos Aplicaciones software Software de sistema Herramientas Case Ordenadores Fax Aparatos de aire acondicionado Edificios Dispositivos de red Bienes
Documentos en papel
Servicio
Calefaccin Red Telecomunicaciones Energa Aire acondicionado Agua corriente
Activos de Software
Activos fsicos
Intangibles
Buena voluntad / reputacin Confianza en la organizacin Imagen corporativa
Dinero
55
Establecer el Contexto
Identificar riesgos
Valorar Riesgos
AI 27001 REV.01-03-09
56
Muy Alta
Evitar
Reducir
Muy Baja
Muy Alta
Probabilidad
AI 27001 REV.01-03-09
57
Y1
Nivel de Control
Muy Bajo
AI 27001 REV.01-03-09
tem Riesgo
58
#4
Y1
Nivel de Control
Muy Bajo
AI 27001 REV.01-03-09
T1
T2
T3
T4
Tiempo
59
(1)
(9) 3K
(10)
AI 27001 REV.01-03-09
60
softwar e
(1)X(2)X( 3) 18 1. Comprobar antecedentes 2. Gestin de contraseas 3. Entornos aislados 4. Control de cambios 5. Vacaciones forzosas 6. Aumentar la frecuencia de backup 7. Definicin de funciones
1
3
3. E02-2
4. P32-1 5. P02-3
AI 27001 REV.01-03-09
61
Fallo de Backup
Media
Cuestin IPR
Fallo del cortafuegos
Fallo UPS
Empleado resentido
Actos de Dis
Baja
Media
Alta
Consecuencia
AI 27001 REV.01-03-09
62
Auditoria
AI 27001 REV.01-03-09
63
AUDITORIA
Proceso sistemtico, independiente y documentado para obtener evidencias de auditoria y evaluarlas de manera objetiva con el fin de determinar la extensin en que se cumplen los criterios de auditoria.
ISO 19011
AI 27001 REV.01-03-09
64
Principios de Auditoria
Integridad
Presentacin Ecunime
Debido Cuidado Profesional Confidencialidad Independencia Enfoque basado en la Evidencia
AI 27001 REV.01-03-09
65
AUDITORIA EXTERNA
De 2 parte: ejecutada por el cliente De 3 parte: ejecutada por Organismos de Certificacin
AI 27001 REV.01-03-09
66
Trminos y Definiciones
3.2 3.3 3.4 3.8 criterios de auditora evidencia de auditora hallazgos de la auditora auditor
Conjunto de polticas, procedimientos o requisitos utilizados como referencia Registros, declaraciones de hecho o cualquier otra informacin que son pertinentes para los criterios de auditoria y que son verificables Resultado de la evaluacin de la evidencia de la auditoria recopilada frente a los criterios de la auditoria
3.9
equipo auditor
Uno a ms auditores que llevan a cabo una auditoria, con el apoyo de expertos tcnicos, si es necesario.
3.10
experto tcnico
Persona que aporta conocimientos especficos o su experiencia al equipo auditor Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propsito especfico Descripcin de las actividades in situ y de los preparativos de una auditoria Extensin y lmites de una auditora
67
3.11
programa de auditora
3.12 3.13
AI 27001 REV.01-03-09
AI 27001 REV.01-03-09
68
Plan
Act
Mejorar el Programa
Do
Check
69
Actividades de auditora
Inicio de la auditora
Revisin de la documentacin
Preparacin de las actividades de auditora in situ Realizacin de las actividades de auditora in situ Preparacin, aprobacin y distribucin del informe de la auditora Finalizacin de la auditora Realizacin de las actividades de seguimiento de una auditora
AI 27001 REV.01-03-09
70
71
Inicio de la Auditoria
Designacin del lder de equipo auditor Definicin de los objetivos, el alcance y los criterios de auditoria Determinacin de la viabilidad de la auditoria Seleccin del equipo auditor
AI 27001 REV.01-03-09
72
Revisin de la documentacin
Documentos: documentos y registros relevantes del SGSI reportes de auditoras anteriores Propsito: informar a los auditores de los procesos a ser auditados disear un plan de auditora desarrollar una lista de verificacin o checklist
AI 27001 REV.01-03-09
73
Para:
Proporcionar informacin al equipo auditor, al auditado y al cliente; Permitir la programacin y coordinacin de las actividades de auditora.
AI 27001 REV.01-03-09
74
AI 27001 REV.01-03-09
75
Auditor Lder
Posee experiencia adicional en auditorias Responsable de: Todas las fases de la auditora. La seleccin de los miembros del equipo. La preparacin del plan de auditora. Representar al equipo auditor ante la gerencia. La preparacin y entrega del informe de auditora La direccin de las actividades de seguimiento.
AI 27001 REV.01-03-09
76
Auditor
Posee experiencia adicional en auditorias Responsable de: Apoya al equipo auditor durante la auditoria Realizar toda la planificacin asignada Documenta el 100% de la evidencia revisada En caso de existir no conformidades, ests deben estar sustentada en evidencias y criterios de auditoria Entrega informe de auditoria al auditor lder. Realiza actividades de seguimiento.
AI 27001 REV.01-03-09
77
Experto Tcnico
Si el conocimiento y habilidades necesarios no se encuentran cubiertos en su totalidad por los auditores del equipo auditor, se pueden satisfacer incluyendo expertos tcnicos.
Los expertos tcnicos actan bajo la direccin de un auditor. No auditan slo son el complemento tcnico de la auditora y apoyan en estos temas al equipo auditor.
AI 27001 REV.01-03-09
78
Formularios para registrar informacin, tal como evidencias de apoyo, hallazgos de auditoria y registros de las reuniones
El uso de listas de verificacin y formularios no debera restringir la extensin de las actividades de auditoria, que pueden cambiarse como resultado de la informacin recopilada durante la auditoria.
AI 27001 REV.01-03-09
79
Asegurar la profundidad y la continuidad de la investigacin. Ayuda a mantener la marcha de la auditora con una rpida referencia de las reas auditadas. Ayuda al auditor lder a hacer reasignaciones rpidas cuando se necesiten Provee registro de ejecucin de la auditora.
AI 27001 REV.01-03-09
80
Lista de Verificacin
Preparadas para cada actividad / proceso del sistema de gestin de calidad Registrar el cumplimiento o incumplimiento Oportunidad de resumir y sintetizar las observaciones VENTAJAS: Despersonaliza la auditora Administracin de tiempo Uniformidad al proceso de auditora
AI 27001 REV.01-03-09
81
AI 27001 REV.01-03-09
82
Reunin de Apertura
Requiere la asistencia de:
Conducida por el auditor lder Presentacin del equipo auditor Revisin del Itinerario de auditora Mtodo de auditora Alcance y criterio de Auditora Canales de comunicacin Oportunidad para realizar preguntas
AI 27001 REV.01-03-09
83
AI 27001 REV.01-03-09
84
El proceso de Auditoria
Fuentes de informacin
Informacin
Evidencia de auditora
Hallazgos de la auditora
Conclusiones de la auditora
AI 27001 REV.01-03-09
85
Observacin de actividades
Revisin de documentos
AI 27001 REV.01-03-09
86
Los hallazgos de auditoria pueden indicar tanto conformidad como no conformidad con los criterios de auditoria.
Los hallazgos de auditoria pueden identificar una oportunidad para la mejora. El equipo auditor debe reunirse cuando sea necesario para revisar los hallazgos de la auditoria en etapas adecuadas durante la misma.
AI 27001 REV.01-03-09
87
Tcnicas
Tcnicas de Verificacin:
Entrevista. Muestreo. Rastreo. Comprobacin.
Listas de verificacin Tcnicas que requieren ser desarrolladas por el auditor hasta conseguir habilidad y experiencia.
AI 27001 REV.01-03-09
88
b) Actividades no rutinarias.
c) Mtodos que estn relacionados con estos trabajos y con sus errores.
AI 27001 REV.01-03-09
89
AI 27001 REV.01-03-09
90
AI 27001 REV.01-03-09
91
Prdida de tiempo
Querer manejar al auditor Probar la fortaleza de carcter del auditor Respuestas limitadas Situaciones inesperadas
AI 27001 REV.01-03-09
92
AI 27001 REV.01-03-09
93
AI 27001 REV.01-03-09
94
AI 27001 REV.01-03-09
95
Hallazgos de la auditora
No conformidad
Oportunidad de mejora
AI 27001 REV.01-03-09
96
No conformidad
El no cumplimiento de un requisito.
(ISO 9000:2005)
AI 27001 REV.01-03-09
97
Una No Conformidad
Puede ser una falla en:
Cumplimiento de la norma
Implementacin de un proceso u otros requisitos documentados Implementacin de requisitos legales o contractuales No requisito = No es no conformidad
AI 27001 REV.01-03-09
98
Incluye: 1. Visin general del hallazgo 2. Descripcin de la no conformidad 3. Ejemplo de evidencia objetiva 4. Resumen del requisito
AI 27001 REV.01-03-09
99
EJEMPLO
1 Se evidencia que la organizacin ha definido poltica de control de visitantes mediante credenciales con nmero de identificacin; sin embargo,
2
no se evidencia que tal poltica no se cumple cuando la visita olvida devolver la credencial y regresa al siguiente da a continuar trabajando con la misma credencial sin ser registrados en recepcin. 3
Casos:
Instaladores de la fibra ptica en el rea de almacenamiento credenciales 1324, 1325. Estas credenciales corresponden a la secuencia del da de ayer (23/03/200x) que fue de 1312 hasta 1329. 4 Incumpliendo el requisito del anexo A.9.1.1 Permetro de seguridad fsica Control: Los permetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta, o puesto de recepcin manual) deben utilizarse para proteger las reas que contienen la informacin y las instalaciones de procesamiento de la informacin..
AI 27001 REV.01-03-09
100
incumplimiento total de un proceso, procedimiento u operacin del sistema de calidad ausencia total de un requisito nmero de fallas menores indicando una ruptura total del sistema Riesgo inminente para la calidad del producto MENOR: Fallas menos severas en un proceso, procedimiento u operacin del sistema de calidad
AI 27001 REV.01-03-09
101
No es esencial El propsito es la mejora del sistema Acciones correctivas eficaces son ms importantes
AI 27001 REV.01-03-09
102
AI 27001 REV.01-03-09
103
Reunin de Cierre
Objetivo y alcance.
Muestreo.
Presentacin de hallazgos. Detallar hallazgos con soporte de evidencia. Entrega de SACs y obtener firma. Tiempo de respuesta de SACs. Evitar abuso de su posicin como auditor. Informe de Auditora y seguimiento.
AI 27001 REV.01-03-09
104
105
Indicar el motivo por el cual se lleg a omitir algn elemento. Cuando aplique.
Resumen con declaracin del equipo auditor sobre el cumplimiento del Sistema hacia los objetivos. Detalle de las acciones de seguimiento.
AI 27001 REV.01-03-09
106
No incluir en el Informe de Auditoria los siguientes aspectos: Opiniones subjetivas. Informacin confidencial. Crtica hacia individuos. Declaraciones ambiguas. Detalles triviales. Hallazgos no mencionados en la reunin de cierre.
AI 27001 REV.01-03-09
107
AI 27001 REV.01-03-09
108
Finalizacin y Seguimiento
Una auditoria finaliza cuando todas las actividades descritas en el plan de auditoria se hayan realizado y el informe de auditoria aprobado se haya distribuido. Actividades de seguimiento de una auditoria segn las conclusiones (acciones correctivas, preventivas o de mejora). Verificacin de implementacin de acciones y su eficacia.
AI 27001 REV.01-03-09
109
AI 27001 REV.01-03-09
AI 27001 REV.01-03-09
111
Atributos personales
tico.- imparcial, honesto y discreto Mentalidad abierta.- dispuesto a considerar ideas o puntos de vista alternativos Diplomtico.- con tacto en las relaciones con las personas Observador .-activamente consciente y capaz de entender las situaciones Verstil.- se adapta fcilmente a diferentes situaciones Tenaz.- alcanza conclusiones oportunas basadas en el anlisis y razonamiento lgicos,
Seguro de si mismo.-acta y funciona de forma independiente a la vez que se relaciona eficazmente con otros.
AI 27001 REV.01-03-09
112
Conocimientos y habilidades
Aplicar principios y tcnicas de auditoria Planificar y organizar el trabajo eficazmente Llevar a cabo la auditoria dentro del horario acordado Establecer prioridades y centrarse en los asuntos de importancia Conocimientos genricos y habilidades de los lderes de equipos auditores Conocimientos especficos y habilidades de auditores de Sistemas de Gestin de la calidad
AI 27001 REV.01-03-09
113
Auditores
Puntos a ser considerados en la calificacin: Educacin Experiencia Participacin en auditoras Adiestramiento a) Tcnicas de auditora b) Sistemas de Calidad Registros de calificacin
AI 27001 REV.01-03-09
114
Ya en la prctica
AI 27001 REV.01-03-09
115
REUNIN DE APERTURA
Saludar y realizar la presentacin del equipo auditor
Explicar que la auditoria busca evidenciar que el SGGI est implementado y se mantenga de manera eficaz
Hacer nfasis en la necesidad de apertura de parte de los auditados as como el aporte de los auditores
Explicar al auditado que la informacin que se maneje durante la auditoria ser confidencial y que los auditores hemos firmado acuerdo de confidencialidad
AI 27001 REV.01-03-09
116
REUNIN DE APERTURA
117
REUNIN DE CIERRE
Saludar y dar las gracias por la asistencia a la reunin de cierre, tanto a auditados como auditores. Dar a conocer en resumen el resultado de la auditoria (Procesos revisados, fortalezas y debilidades (no conformidades)). Dar a conocer el tratamiento que se le tiene que dar a las no conformidades y las actividades de seguimiento de las mismas. Estar dispuesto a resolver consultas por parte de los auditados Dar las gracias y despedirse
AI 27001 REV.01-03-09
118
SGS del Ecuador S.A. Km. 5.5 Va a Daule (Junto al Colegio Dolores Sucre) Guayaquil, Ecuador
AI 27001 REV.01-03-09
Repblica del Salvador N35 182 y Suecia Edif. Almirante Coln ,Piso 3 Quito, Ecuador