SlideShare ist ein Scribd-Unternehmen logo

Auditoría del SGSI

Ramiro Cid
Ramiro Cid

Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).

Technologie
1 von 43
Downloaden Sie, um offline zu lesen
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ramiro Cid | @ramirocid Auditoría del SGSI
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría UNE 71502 El modelo del sistema está basado en el modelo PDCA El desarrollo de la seguridad se basa en un A.R. (Análisis de Riesgos) Incluye los requerimientos funcionales del sistema de gestión (SGSI) Incluye los requerimientos para verificar la efectividad del sistema Introduce indicadores de seguridad o métricas en el sistema Está alineado con ISO 9000 o ISO 14000
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Certificación de organizaciones ¿Cómo se puede aportar a… Nuestros clientes, Mercado, La sociedad … la confianza necesaria de que somos capaces de cumplir sus requisitos? Si un tercero independiente certifica que lo estamos haciendo bien, de acuerdo a un esquema con el que los dos estamos conformes, el problema está resuelto
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ventajas de la certificación EXTERNAS: Aumenta la credibilidad y confianza de clientes y administración Facilita el intercambio y acceso a mercados externos Evita o disminuye evaluaciones sobre nuestros productos o servicios Elemento diferenciador con la competencia Fidelización de clientes Facilitar la compra al consumidor
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ventajas de la certificación INTERNAS: Proporciona confianza a las personas de la organización Reduce costes Aumenta la motivación del personal Mejora de la satisfacción del cliente Mejora de la satisfacción del personal Mejora los procesos Mejora del producto o servicio
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría de Seguridad: Objetivos Evaluar la efectividad de la organización con respecto al uso de recursos Evaluar los sistemas y procesos que se desarrollan en la organización Detectar y prevenir posibles errores y fraudes Evaluar el riesgo y los sistemas de seguridad de las organizaciones Elaboración de planes de contingencia y recuperación en caso de desastres
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Equipo auditor: Requisitos EESSI • Calificaciones académicas necesarias • Los últimos cuatro años trabajando con las IT y de estos los dos últimos relacionados con la seguridad de las IT. • Conocimientos sobre procesos de análisis y gestión del riesgo. • Haber participado como mínimo en 3 auditorías a organizaciones como miembro de un equipo auditor • Cualidades para el proceso de asesoramiento a la organización que está evaluando. • Capacidad para comunicar los resultados obtenidos tanto vía oral como escrita. Equipo auditor Auditor líder Auditores
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Equipo auditor Para asegurar su imparcialidad, la entidad certificadora no puede: Preparar manuales, políticas o procedimientos. Participar en la toma de decisiones sobre el SGSI Dar recomendaciones específicas para el desarrollo del SGSI Si puede: Auditar y certificar Hacer seguimiento de las no conformidades Impartir formación genérica Publicar interpretaciones sobre la norma Realizar auditorías previas a la certificación
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Código de conducta del equipo auditor Actuar de forma veraz e imparcial Deben evitar cualquier tipo de asignación que pueda causar un conflicto de intereses No aceptarán ningún tipo de incentivo, comisión, descuento u otro tipo de provecho por parte de la organización auditada No revelarán las observaciones de la auditoría a terceros No actuarán de forma que pueda perjudicar a ninguna de las partes implicadas en la auditoría En caso de incumplimiento de este código se procederá a una investigación en que colaborarán para su esclarecimiento
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Están cualificados para: Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organización Discernir las áreas de actividad de la organización Verificar que la organización ha identificado correctamente sus riesgos Debe tener: Formación universitaria o experiencia profesional y formación que se considere equivalente Al menos 4 años de experiencia en Tecnologías de la Información 2 años de experiencia en seguridad de las Tecnología de la Información Haber realizado al menos un curso de 5 días de auditoría.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Deben: Haber realizado 4 auditorías y al menos 20 jornadas completas desarrollando: Revisión de la documentación Revisión del análisis de riesgos Auditoría de la implantación Desarrollo de informes de auditoría
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Deben ser: Maduros, profesionales e independientes Objetivo, analítico y persistente Realista, analizar e interpretar las situaciones en su justa medida Mente abierta ante nuevas situaciones Capaz de percibir situaciones y problemas no declarados Comprender las funciones de cada empleado Observar los requerimientos de confidencialidad del solicitante Mantenerse al día en temas de seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditor jefe El Auditor Jefe además debe: Conocer el proceso de certificación Haber realizado 3 auditorías como auditor Haber demostrado habilidades de comunicación
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría El jefe: Planifica y gestiona todas las fases de la misma Dirige la primera fase Colabora en la selección del equipo de auditores Controla los conflictos y maneja las situaciones difíciles Dirige las reuniones con el equipo auditor y el personal auditado Toma decisiones en materia de la auditoría y el SGSI El auditor: Apoya al auditor jefe Documenta y apoya todos los hallazgos Realiza el seguimiento de las acciones correctoras para corregir las no conformidades encontradas
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría Equipo auditor: Jefe y miembros del equipo: normalmente se trata de una o dos personas. Auditores en formación: personal en formación para convertirse en auditor. Observadores, auditor provisional: puede ser un observador, para supervisar la auditoría. Expertos, personal asesor: personal que asesora al auditor sobre temas técnicos o concretos del negocio a auditar. Testigos e invitados: Son simples observadores que no deben intervenir en la auditoría.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría Equipo del solicitante: Guía: persona de la empresa que acompaña al equipo auditor y le facilita la información solicitada. Normalmente será el Responsable del Sistema de Gestión de la Seguridad de la Información. Representante de la dirección: persona con autorización suficiente en la empresa para confirmar la implicación y compromiso de la dirección con las políticas de seguridad y aprobadas. Observadores, personal en formación: normalmente personal de la empresa en formación para auditor interno. Consultores: cuando la empresa contrata un consultor externo para asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría pero no debe intervenir en ningún momento.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Proceso de certificación SOLICITUD REVISION DOCUMENTACION DOC. Completa y adecuada auditoría INICIAL ¿ Acciones correctoras validas ?Petición de nuevas acciones correctoras y/o extraordinarias NO SI NO
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Proceso de certificación Concesión del certificado Auditoría de seguimiento (ANUAL) Petición de nuevas acciones correctoras y/o visita extraordinaria Validación del certificado auditoría renovación (trianual) ¿ Acciones correctoras validas ? SI NO
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Revisión documental Por parte del equipo auditor, en esta primera fase se revisa: 1. Política de seguridad de la organización 2. Alcance de la certificación 3. Análisis de riesgos de la organización 4. La selección de controles de acuerdo con la declaración de aplicabilidad 5. Revisión de la documentación de los controles seleccionados
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 1.- Política de seguridad Supone la declaración de intenciones sobre la que va a basar todo el desarrollo de la seguridad Debe reflejar que esta política afecta a todo el personal que de una forma u otra esté involucrada en el SGSI Debe estar aprobada por el comité de seguridad y formada por el más alto representante de la organización. Comprobar que son: Fácil comprensión Aplicables, Sencillas y concretas Revisables Coherentes con los objetivos de la organización
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 1.- Política de seguridad No se debe desarrollar en un único documento La política de alto nivel debería poder incluirse en un folio y estar distribuida a todo el personal. Las políticas más formales se distribuirán de acuerdo con las necesidades. A incorporar en ellas: Definición de la seguridad Declaración del soporte de la dirección Explicaciones breves sobre políticas, principios, practicas y cumplimientos de seguridad Definición de responsabilidades Referencias a otros documentos
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 2.- Alcance Condiciona la certificación y el desarrollo de las auditorías, ya que se limitan a lo que esté incluido. Puede ser toda la organización o una parte de ella. Si se modifica el alcance se debe modificar el certificado.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 3.- Análisis de riesgos El AR debe ser estructurado y estar documentado. La metodología empleada debe ser coherente con la complejidad y los niveles de protección requeridos. El AR permite que la implantación sea proporcional al nivel de riesgo y es un requisito para la certificación. El auditor determinará si el AR cubre el alcance y si es aceptable en función de los activos y la naturaleza de la organización. El auditor se asegura de que el AR y su gestión tiene en cuenta los cambios y está actualizado.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles Determina si se han seleccionado los controles adecuados. Todos reflejados en la Declaración de aplicabilidad. Si un control no se implementa puede ser por: No existe un riesgo que lo justifique Presupuesto No hay viabilidad tecnológica No se puede implantar por falta de tiempo No es aplicable La razones para excluir controles deben ser sólidas y coherentes.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles CONTROL SI/NO JUSTIFICACIÓN 6.3.1. Comunicación de las incidencias de seguridad SI Es imprescindible para detectar las incidencias en un estado temprano y una de las bases para el proceso de mejora continua 7.1.5. Áreas aisladas de carga y descarga NO No es aplicable, ya que la organización no dispone de áreas de carga y descarga 8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organización no envía soportes físicos con información sensible o confidencial DECLARACION DE APLICABILIDAD:
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles El documento relaciona el AR con la situación de la seguridad, tanto para los auditores externos como internos. Junto con el alcance y la política, constituye la base de la auditoría documental. El auditor comprueba la consistencia de los planteamientos referentes a la seguridad entre los tres documentos.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 5.- Revisión documentación Deben documentarse todos los controles seleccionados. Comprueba que la documentación: Está fechada y disponible Dispone de control de versiones Se retira si es obsoleta Aparecen reflejados los diferentes puntos de la normativa ISO 27002
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ El equipo auditor selecciona una muestra de controles que se van a auditar: Incluir todos los controles críticos Seleccionar controles que afecten a las actividades más importantes de la organización Seleccionar controles de todas las secciones Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI Dar prioridad a las áreas de mayor riesgo Si no se encuentras problemas serios, se auditarán un 20% de los controles aplicables.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Se elabora un Plan de auditoría, que incluye: Alcance y objetivo de la auditoría Equipo por parte de la entidad y del solicitante Personal del solicitante con responsabilidad dentro del área afectada Documentos de referencia Áreas o departamentos que se auditarán Muestras de controles a auditar Agenda para las reuniones Contenido y estructura de los informes Conformidad del solicitante al plan de auditoría
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Entre la auditoría documental y la in situ deben pasar entre 3 y 6 semanas Se realiza siempre en las instalaciones del solicitante Los objetivos de ésta son: Confirmar que la organización cumple con sus políticas y procedimientos Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma Verificar que el SGSI está logrando los objetivos que la organización se ha marcado
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Los auditores deben centrarse en: El Análisis de riesgos La declaración de aplicabilidad Los objetivos que persigue la organización Cómo se Monitoriza y mide Informa y mejora Las revisiones del SGSI y de la seguridad El grado de implicación de la dirección La coherencia entre Políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Buscan evidencias objetivas: Registro de actividad (logs) o información Basados en medidas, en pruebas o en la observación Pueden ser verificados!! Técnicas para obtenerlas: Preguntas a los empleados Observación Revisión de documentos o registros Muestreo Resumir, analizar o evaluar
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Los auditores visitarán las instalaciones de la organización. Comprueban que los controles que han seleccionado en la muestra cumple con lo exigido en el estándar No tocarán máquinas, pero solicitarán a los empleados de la organización que realicen las actividades que quieran evaluar. El objetivo de la auditoria no es detectar no conformidades (errores), sino determinar que el SGSI es conforme con la norma.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ El equipo auditor convocará reuniones con miembros seleccionados de la organización, elaborará informes sobre lo observado durante las entrevistas, y redactará documentos de recomendaciones –si procede-. Convocará a una reunión final a la dirección de la empresa para explicarles lo observado en esta segunda fase, y comunicarles los resultados de la Auditoría.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas La calidad de la entrevista de auditoría dependerá de la habilidad para realizar las preguntas del auditor. La forma de preguntar debe hacerle sentirse cómodo al solicitante. Las preguntas deben ser apropiadas al área que está siendo auditada.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas Preguntas abiertas Quién (lo hace)? - Cada cuanto (se hace)? Cómo (se hace)? - Muéstramelo Dónde (se hace)? - Cuéntamelo Cuándo (se hace)? Preguntas cerradas Se pueden responder con un SI o un NO Preguntas dirigidas Utilizadas para ver conseguir la respuesta buscada de una forma más rápida, guiando al auditado
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas Otro tipo de preguntas: Preguntas de opinión Preguntas de investigación Preguntas no-verbales (lenguaje corporal) Preguntas repetidas Preguntas sobre situaciones hipotéticas ?
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Al final de la auditoría la entidad debe mantener una reunión con el solicitante e informar del resultado de la misma: Agradecer la colaboración Recordar nuevamente el objetivo y alcance de la auditoria Dar un resumen del resultado de la auditoría Informar de las recomendaciones que va a dar el equipo de auditoría Preguntar si el solicitante tiene alguna cuestión que quiera aclarar Recoger la conformidad del solicitante Cierre de la reunión.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Informe de auditoría Las conclusiones y el informe deben basarse en: Las dos etapas de la auditoría conjuntamente Las no conformidades encontradas La documentación, implantación y efectividad del SGSI Fortaleza y debilidades de Los departamentos Las secciones de la ISO 27002 Existe un compromiso de la dirección con la mejora continua.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Informe de auditoría En función de lo anterior el equipo auditor debe emitir la recomendación: Se recomienda el registro si se considera que le SGSI es conforme con la norma Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en caso de que se hayan encontrado no conformidades Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Decisión sobre certificación La decisión de si se debe emitir o no el certificado la toma el Comité de Certificación basándose en la información recogida durante el proceso. Los miembros deben ser personal interno de la entidad, los miembros del equipo auditor no pueden participar en la toma de decisión. Si la recomendación es NO emitir el certificado, el Comité de Certificación no debería cambiar el criterio.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Decisión sobre certificación En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo: Nombre y dirección de la organización El alcance de la certificación La fecha de emisión del certificado y su periodo de validez La versión de la declaración de aplicabilidad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Empfohlen

SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & ComplianceAmazon Web Services
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
What is GRC – Governance, Risk and Compliance
What is GRC – Governance, Risk and Compliance What is GRC – Governance, Risk and Compliance
What is GRC – Governance, Risk and Compliance BOC Group
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfssuser44ff1b
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 

Empfohlen

SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & ComplianceAmazon Web Services
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
What is GRC – Governance, Risk and Compliance
What is GRC – Governance, Risk and Compliance What is GRC – Governance, Risk and Compliance
What is GRC – Governance, Risk and Compliance BOC Group
 
What We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyWhat We’ve Learned Building a Cyber Security Operation Center: du Case Study
What We’ve Learned Building a Cyber Security Operation Center: du Case StudyPriyanka Aash
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfssuser44ff1b
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Integrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity CollaborationIntegrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity CollaborationPriyanka Aash
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.360factors
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 
Security operation center (SOC)
Security operation center (SOC)Security operation center (SOC)
Security operation center (SOC)Ahmed Ayman
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosPedro Garcia Repetto
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director siROBERTH CHAVEZ
 
Modelos de control
Modelos de controlModelos de control
Modelos de controlTATIGOBRU81
 
Extending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT ManagementExtending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT ManagementOkta-Inc
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkChaitanya Bhatt
 
Isms
IsmsIsms
Ismspenetration Tester
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0Maganathin Veeraragaloo
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Chapter 3: Information Security Framework
Chapter 3: Information Security FrameworkChapter 3: Information Security Framework
Chapter 3: Information Security FrameworkNada G.Youssef
 
Security review using SABSA
Security review using SABSASecurity review using SABSA
Security review using SABSAMaganathin Veeraragaloo
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Magda CHELLY, Ph.D, S-CISO, CISSP®
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 

Weitere ähnliche Inhalte

Was ist angesagt?

Integrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity CollaborationIntegrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity CollaborationPriyanka Aash
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.360factors
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 
Security operation center (SOC)
Security operation center (SOC)Security operation center (SOC)
Security operation center (SOC)Ahmed Ayman
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director siROBERTH CHAVEZ
 
Modelos de control
Modelos de controlModelos de control
Modelos de controlTATIGOBRU81
 
Extending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT ManagementExtending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT ManagementOkta-Inc
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkChaitanya Bhatt
 
Information security management system
Information security management systemInformation security management system
Information security management systemArani Srinivasan
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Chapter 3: Information Security Framework
Chapter 3: Information Security FrameworkChapter 3: Information Security Framework
Chapter 3: Information Security FrameworkNada G.Youssef
 

Was ist angesagt? (20)

Integrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity CollaborationIntegrated Security Operations Center (ISOC) for Cybersecurity Collaboration
Integrated Security Operations Center (ISOC) for Cybersecurity Collaboration
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemas
 
Security operation center (SOC)
Security operation center (SOC)Security operation center (SOC)
Security operation center (SOC)
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director si
 
Modelos de control
Modelos de controlModelos de control
Modelos de control
 
Extending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT ManagementExtending Active Directory to Box for Seamless IT Management
Extending Active Directory to Box for Seamless IT Management
 
OWASP based Threat Modeling Framework
OWASP based Threat Modeling FrameworkOWASP based Threat Modeling Framework
OWASP based Threat Modeling Framework
 
Isms
IsmsIsms
Isms
 
Information security management system
Information security management systemInformation security management system
Information security management system
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de software
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Chapter 3: Information Security Framework
Chapter 3: Information Security FrameworkChapter 3: Information Security Framework
Chapter 3: Information Security Framework
 
Security review using SABSA
Security review using SABSASecurity review using SABSA
Security review using SABSA
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 

Andere mochten auch

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Procedimiento de Auditorias Internas
Procedimiento de Auditorias InternasProcedimiento de Auditorias Internas
Procedimiento de Auditorias InternasAndresJ08
 
08 seguridad de la informacion
08 seguridad de la informacion08 seguridad de la informacion
08 seguridad de la informacionNikoroso
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsijennycala
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacionpredeitor
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.peponlondon
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director siROBERTH CHAVEZ
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Mapa conceptual de gestion de la informacion
Mapa conceptual de gestion de la informacionMapa conceptual de gestion de la informacion
Mapa conceptual de gestion de la informacionsena
 
10 auditoria empresarial
10 auditoria empresarial10 auditoria empresarial
10 auditoria empresarialjose
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidadesAndresJ08
 
Semana 3 - Ejecución, Seguimiento y Control de Proyectos
Semana 3 - Ejecución, Seguimiento y Control de ProyectosSemana 3 - Ejecución, Seguimiento y Control de Proyectos
Semana 3 - Ejecución, Seguimiento y Control de ProyectosProf. Gladys Hernández
 
Nelsy miranda actividad1_2mapac
Nelsy miranda actividad1_2mapacNelsy miranda actividad1_2mapac
Nelsy miranda actividad1_2mapacnelsy miranda
 

Andere mochten auch (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Procedimiento de Auditorias Internas
Procedimiento de Auditorias InternasProcedimiento de Auditorias Internas
Procedimiento de Auditorias Internas
 
Cid
CidCid
Cid
 
08 seguridad de la informacion
08 seguridad de la informacion08 seguridad de la informacion
08 seguridad de la informacion
 
Clase 7 Fyp
Clase 7 FypClase 7 Fyp
Clase 7 Fyp
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsi
 
Sensibilizacion
SensibilizacionSensibilizacion
Sensibilizacion
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Sgsi vs plan director si
Sgsi vs plan director siSgsi vs plan director si
Sgsi vs plan director si
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Mapa conceptual de gestion de la informacion
Mapa conceptual de gestion de la informacionMapa conceptual de gestion de la informacion
Mapa conceptual de gestion de la informacion
 
Gestion integral riesgo
Gestion integral riesgoGestion integral riesgo
Gestion integral riesgo
 
10 auditoria empresarial
10 auditoria empresarial10 auditoria empresarial
10 auditoria empresarial
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidades
 
Semana 3 - Ejecución, Seguimiento y Control de Proyectos
Semana 3 - Ejecución, Seguimiento y Control de ProyectosSemana 3 - Ejecución, Seguimiento y Control de Proyectos
Semana 3 - Ejecución, Seguimiento y Control de Proyectos
 
Gerencia proyectos
Gerencia proyectosGerencia proyectos
Gerencia proyectos
 
Nelsy miranda actividad1_2mapac
Nelsy miranda actividad1_2mapacNelsy miranda actividad1_2mapac
Nelsy miranda actividad1_2mapac
 

Ähnlich wie Auditoría del SGSI

Auditorias internas sistemas de la calidad formacion auditores
Auditorias internas sistemas de la calidad formacion auditoresAuditorias internas sistemas de la calidad formacion auditores
Auditorias internas sistemas de la calidad formacion auditoresmixilupe
 
Instituto politécnico
Instituto politécnico Instituto politécnico
Instituto politécnico Ing Jose
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónHernan Huwyler, MBA CPA
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticaMarina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticamarimallol
 
Informe de acreditación cisa
Informe de acreditación cisaInforme de acreditación cisa
Informe de acreditación cisamatiascastro19
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumenfranyelis23
 

Ähnlich wie Auditoría del SGSI (20)

Auditorias internas sistemas de la calidad formacion auditores
Auditorias internas sistemas de la calidad formacion auditoresAuditorias internas sistemas de la calidad formacion auditores
Auditorias internas sistemas de la calidad formacion auditores
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
 
Instituto politécnico
Instituto politécnico Instituto politécnico
Instituto politécnico
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y Gestión
 
AUDITORIA INTERNA C.pptx
AUDITORIA INTERNA C.pptxAUDITORIA INTERNA C.pptx
AUDITORIA INTERNA C.pptx
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Irma iso
Irma isoIrma iso
Irma iso
 
Presentación 1
Presentación 1Presentación 1
Presentación 1
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informaticaMarina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
Marina mallol.-auditoria de-sistemas_de_informacion-auditoria_informatica
 
Certificación cisa
Certificación cisaCertificación cisa
Certificación cisa
 
Informe de acreditación cisa
Informe de acreditación cisaInforme de acreditación cisa
Informe de acreditación cisa
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
 

Mehr von Ramiro Cid

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridadRamiro Cid
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenRamiro Cid
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for saleRamiro Cid
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017Ramiro Cid
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodologyRamiro Cid
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500Ramiro Cid
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationRamiro Cid
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection RegulationRamiro Cid
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacksRamiro Cid
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysisRamiro Cid
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructureRamiro Cid
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyRamiro Cid
 
Space computing
Space computingSpace computing
Space computingRamiro Cid
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...Ramiro Cid
 
Internet of things
Internet of thingsInternet of things
Internet of thingsRamiro Cid
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityRamiro Cid
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security AwarenessRamiro Cid
 

Mehr von Ramiro Cid (20)

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for sale
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodology
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk Aggregation
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Payment fraud
Payment fraudPayment fraud
Payment fraud
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysis
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructure
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacy
 
Space computing
Space computingSpace computing
Space computing
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 

Kürzlich hochgeladen

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 

Kürzlich hochgeladen (20)

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 

Auditoría del SGSI

  • 1. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ramiro Cid | @ramirocid Auditoría del SGSI
  • 2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría UNE 71502 El modelo del sistema está basado en el modelo PDCA El desarrollo de la seguridad se basa en un A.R. (Análisis de Riesgos) Incluye los requerimientos funcionales del sistema de gestión (SGSI) Incluye los requerimientos para verificar la efectividad del sistema Introduce indicadores de seguridad o métricas en el sistema Está alineado con ISO 9000 o ISO 14000
  • 3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Certificación de organizaciones ¿Cómo se puede aportar a… Nuestros clientes, Mercado, La sociedad … la confianza necesaria de que somos capaces de cumplir sus requisitos? Si un tercero independiente certifica que lo estamos haciendo bien, de acuerdo a un esquema con el que los dos estamos conformes, el problema está resuelto
  • 4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ventajas de la certificación EXTERNAS: Aumenta la credibilidad y confianza de clientes y administración Facilita el intercambio y acceso a mercados externos Evita o disminuye evaluaciones sobre nuestros productos o servicios Elemento diferenciador con la competencia Fidelización de clientes Facilitar la compra al consumidor
  • 5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Ventajas de la certificación INTERNAS: Proporciona confianza a las personas de la organización Reduce costes Aumenta la motivación del personal Mejora de la satisfacción del cliente Mejora de la satisfacción del personal Mejora los procesos Mejora del producto o servicio
  • 6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría de Seguridad: Objetivos Evaluar la efectividad de la organización con respecto al uso de recursos Evaluar los sistemas y procesos que se desarrollan en la organización Detectar y prevenir posibles errores y fraudes Evaluar el riesgo y los sistemas de seguridad de las organizaciones Elaboración de planes de contingencia y recuperación en caso de desastres
  • 7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Equipo auditor: Requisitos EESSI • Calificaciones académicas necesarias • Los últimos cuatro años trabajando con las IT y de estos los dos últimos relacionados con la seguridad de las IT. • Conocimientos sobre procesos de análisis y gestión del riesgo. • Haber participado como mínimo en 3 auditorías a organizaciones como miembro de un equipo auditor • Cualidades para el proceso de asesoramiento a la organización que está evaluando. • Capacidad para comunicar los resultados obtenidos tanto vía oral como escrita. Equipo auditor Auditor líder Auditores
  • 8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Equipo auditor Para asegurar su imparcialidad, la entidad certificadora no puede: Preparar manuales, políticas o procedimientos. Participar en la toma de decisiones sobre el SGSI Dar recomendaciones específicas para el desarrollo del SGSI Si puede: Auditar y certificar Hacer seguimiento de las no conformidades Impartir formación genérica Publicar interpretaciones sobre la norma Realizar auditorías previas a la certificación
  • 9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Código de conducta del equipo auditor Actuar de forma veraz e imparcial Deben evitar cualquier tipo de asignación que pueda causar un conflicto de intereses No aceptarán ningún tipo de incentivo, comisión, descuento u otro tipo de provecho por parte de la organización auditada No revelarán las observaciones de la auditoría a terceros No actuarán de forma que pueda perjudicar a ninguna de las partes implicadas en la auditoría En caso de incumplimiento de este código se procederá a una investigación en que colaborarán para su esclarecimiento
  • 10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Están cualificados para: Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organización Discernir las áreas de actividad de la organización Verificar que la organización ha identificado correctamente sus riesgos Debe tener: Formación universitaria o experiencia profesional y formación que se considere equivalente Al menos 4 años de experiencia en Tecnologías de la Información 2 años de experiencia en seguridad de las Tecnología de la Información Haber realizado al menos un curso de 5 días de auditoría.
  • 11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Deben: Haber realizado 4 auditorías y al menos 20 jornadas completas desarrollando: Revisión de la documentación Revisión del análisis de riesgos Auditoría de la implantación Desarrollo de informes de auditoría
  • 12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Los auditores Deben ser: Maduros, profesionales e independientes Objetivo, analítico y persistente Realista, analizar e interpretar las situaciones en su justa medida Mente abierta ante nuevas situaciones Capaz de percibir situaciones y problemas no declarados Comprender las funciones de cada empleado Observar los requerimientos de confidencialidad del solicitante Mantenerse al día en temas de seguridad
  • 13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditor jefe El Auditor Jefe además debe: Conocer el proceso de certificación Haber realizado 3 auditorías como auditor Haber demostrado habilidades de comunicación
  • 14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría El jefe: Planifica y gestiona todas las fases de la misma Dirige la primera fase Colabora en la selección del equipo de auditores Controla los conflictos y maneja las situaciones difíciles Dirige las reuniones con el equipo auditor y el personal auditado Toma decisiones en materia de la auditoría y el SGSI El auditor: Apoya al auditor jefe Documenta y apoya todos los hallazgos Realiza el seguimiento de las acciones correctoras para corregir las no conformidades encontradas
  • 15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría Equipo auditor: Jefe y miembros del equipo: normalmente se trata de una o dos personas. Auditores en formación: personal en formación para convertirse en auditor. Observadores, auditor provisional: puede ser un observador, para supervisar la auditoría. Expertos, personal asesor: personal que asesora al auditor sobre temas técnicos o concretos del negocio a auditar. Testigos e invitados: Son simples observadores que no deben intervenir en la auditoría.
  • 16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Dentro de la auditoría Equipo del solicitante: Guía: persona de la empresa que acompaña al equipo auditor y le facilita la información solicitada. Normalmente será el Responsable del Sistema de Gestión de la Seguridad de la Información. Representante de la dirección: persona con autorización suficiente en la empresa para confirmar la implicación y compromiso de la dirección con las políticas de seguridad y aprobadas. Observadores, personal en formación: normalmente personal de la empresa en formación para auditor interno. Consultores: cuando la empresa contrata un consultor externo para asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría pero no debe intervenir en ningún momento.
  • 17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Proceso de certificación SOLICITUD REVISION DOCUMENTACION DOC. Completa y adecuada auditoría INICIAL ¿ Acciones correctoras validas ?Petición de nuevas acciones correctoras y/o extraordinarias NO SI NO
  • 18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Proceso de certificación Concesión del certificado Auditoría de seguimiento (ANUAL) Petición de nuevas acciones correctoras y/o visita extraordinaria Validación del certificado auditoría renovación (trianual) ¿ Acciones correctoras validas ? SI NO
  • 19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Revisión documental Por parte del equipo auditor, en esta primera fase se revisa: 1. Política de seguridad de la organización 2. Alcance de la certificación 3. Análisis de riesgos de la organización 4. La selección de controles de acuerdo con la declaración de aplicabilidad 5. Revisión de la documentación de los controles seleccionados
  • 20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 1.- Política de seguridad Supone la declaración de intenciones sobre la que va a basar todo el desarrollo de la seguridad Debe reflejar que esta política afecta a todo el personal que de una forma u otra esté involucrada en el SGSI Debe estar aprobada por el comité de seguridad y formada por el más alto representante de la organización. Comprobar que son: Fácil comprensión Aplicables, Sencillas y concretas Revisables Coherentes con los objetivos de la organización
  • 21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 1.- Política de seguridad No se debe desarrollar en un único documento La política de alto nivel debería poder incluirse en un folio y estar distribuida a todo el personal. Las políticas más formales se distribuirán de acuerdo con las necesidades. A incorporar en ellas: Definición de la seguridad Declaración del soporte de la dirección Explicaciones breves sobre políticas, principios, practicas y cumplimientos de seguridad Definición de responsabilidades Referencias a otros documentos
  • 22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 2.- Alcance Condiciona la certificación y el desarrollo de las auditorías, ya que se limitan a lo que esté incluido. Puede ser toda la organización o una parte de ella. Si se modifica el alcance se debe modificar el certificado.
  • 23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 3.- Análisis de riesgos El AR debe ser estructurado y estar documentado. La metodología empleada debe ser coherente con la complejidad y los niveles de protección requeridos. El AR permite que la implantación sea proporcional al nivel de riesgo y es un requisito para la certificación. El auditor determinará si el AR cubre el alcance y si es aceptable en función de los activos y la naturaleza de la organización. El auditor se asegura de que el AR y su gestión tiene en cuenta los cambios y está actualizado.
  • 24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles Determina si se han seleccionado los controles adecuados. Todos reflejados en la Declaración de aplicabilidad. Si un control no se implementa puede ser por: No existe un riesgo que lo justifique Presupuesto No hay viabilidad tecnológica No se puede implantar por falta de tiempo No es aplicable La razones para excluir controles deben ser sólidas y coherentes.
  • 25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles CONTROL SI/NO JUSTIFICACIÓN 6.3.1. Comunicación de las incidencias de seguridad SI Es imprescindible para detectar las incidencias en un estado temprano y una de las bases para el proceso de mejora continua 7.1.5. Áreas aisladas de carga y descarga NO No es aplicable, ya que la organización no dispone de áreas de carga y descarga 8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organización no envía soportes físicos con información sensible o confidencial DECLARACION DE APLICABILIDAD:
  • 26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 4.- Selección de controles El documento relaciona el AR con la situación de la seguridad, tanto para los auditores externos como internos. Junto con el alcance y la política, constituye la base de la auditoría documental. El auditor comprueba la consistencia de los planteamientos referentes a la seguridad entre los tres documentos.
  • 27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI 5.- Revisión documentación Deben documentarse todos los controles seleccionados. Comprueba que la documentación: Está fechada y disponible Dispone de control de versiones Se retira si es obsoleta Aparecen reflejados los diferentes puntos de la normativa ISO 27002
  • 28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ El equipo auditor selecciona una muestra de controles que se van a auditar: Incluir todos los controles críticos Seleccionar controles que afecten a las actividades más importantes de la organización Seleccionar controles de todas las secciones Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI Dar prioridad a las áreas de mayor riesgo Si no se encuentras problemas serios, se auditarán un 20% de los controles aplicables.
  • 29. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Se elabora un Plan de auditoría, que incluye: Alcance y objetivo de la auditoría Equipo por parte de la entidad y del solicitante Personal del solicitante con responsabilidad dentro del área afectada Documentos de referencia Áreas o departamentos que se auditarán Muestras de controles a auditar Agenda para las reuniones Contenido y estructura de los informes Conformidad del solicitante al plan de auditoría
  • 30. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Entre la auditoría documental y la in situ deben pasar entre 3 y 6 semanas Se realiza siempre en las instalaciones del solicitante Los objetivos de ésta son: Confirmar que la organización cumple con sus políticas y procedimientos Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma Verificar que el SGSI está logrando los objetivos que la organización se ha marcado
  • 31. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Los auditores deben centrarse en: El Análisis de riesgos La declaración de aplicabilidad Los objetivos que persigue la organización Cómo se Monitoriza y mide Informa y mejora Las revisiones del SGSI y de la seguridad El grado de implicación de la dirección La coherencia entre Políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad
  • 32. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Buscan evidencias objetivas: Registro de actividad (logs) o información Basados en medidas, en pruebas o en la observación Pueden ser verificados!! Técnicas para obtenerlas: Preguntas a los empleados Observación Revisión de documentos o registros Muestreo Resumir, analizar o evaluar
  • 33. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Los auditores visitarán las instalaciones de la organización. Comprueban que los controles que han seleccionado en la muestra cumple con lo exigido en el estándar No tocarán máquinas, pero solicitarán a los empleados de la organización que realicen las actividades que quieran evaluar. El objetivo de la auditoria no es detectar no conformidades (errores), sino determinar que el SGSI es conforme con la norma.
  • 34. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ El equipo auditor convocará reuniones con miembros seleccionados de la organización, elaborará informes sobre lo observado durante las entrevistas, y redactará documentos de recomendaciones –si procede-. Convocará a una reunión final a la dirección de la empresa para explicarles lo observado en esta segunda fase, y comunicarles los resultados de la Auditoría.
  • 35. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas La calidad de la entrevista de auditoría dependerá de la habilidad para realizar las preguntas del auditor. La forma de preguntar debe hacerle sentirse cómodo al solicitante. Las preguntas deben ser apropiadas al área que está siendo auditada.
  • 36. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas Preguntas abiertas Quién (lo hace)? - Cada cuanto (se hace)? Cómo (se hace)? - Muéstramelo Dónde (se hace)? - Cuéntamelo Cuándo (se hace)? Preguntas cerradas Se pueden responder con un SI o un NO Preguntas dirigidas Utilizadas para ver conseguir la respuesta buscada de una forma más rápida, guiando al auditado
  • 37. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Entrevistas Otro tipo de preguntas: Preguntas de opinión Preguntas de investigación Preguntas no-verbales (lenguaje corporal) Preguntas repetidas Preguntas sobre situaciones hipotéticas ?
  • 38. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Auditoría in situ Al final de la auditoría la entidad debe mantener una reunión con el solicitante e informar del resultado de la misma: Agradecer la colaboración Recordar nuevamente el objetivo y alcance de la auditoria Dar un resumen del resultado de la auditoría Informar de las recomendaciones que va a dar el equipo de auditoría Preguntar si el solicitante tiene alguna cuestión que quiera aclarar Recoger la conformidad del solicitante Cierre de la reunión.
  • 39. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Informe de auditoría Las conclusiones y el informe deben basarse en: Las dos etapas de la auditoría conjuntamente Las no conformidades encontradas La documentación, implantación y efectividad del SGSI Fortaleza y debilidades de Los departamentos Las secciones de la ISO 27002 Existe un compromiso de la dirección con la mejora continua.
  • 40. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Informe de auditoría En función de lo anterior el equipo auditor debe emitir la recomendación: Se recomienda el registro si se considera que le SGSI es conforme con la norma Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en caso de que se hayan encontrado no conformidades Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.
  • 41. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Decisión sobre certificación La decisión de si se debe emitir o no el certificado la toma el Comité de Certificación basándose en la información recogida durante el proceso. Los miembros deben ser personal interno de la entidad, los miembros del equipo auditor no pueden participar en la toma de decisión. Si la recomendación es NO emitir el certificado, el Comité de Certificación no debería cambiar el criterio.
  • 42. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI Decisión sobre certificación En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo: Nombre y dirección de la organización El alcance de la certificación La fecha de emisión del certificado y su periodo de validez La versión de la declaración de aplicabilidad
  • 43. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Auditoría del SGSI ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL