SlideShare una empresa de Scribd logo

Auditoria de certificacion

Alexander Cruz
Alexander Cruz

Este documento describe el proceso de auditoría de certificación de sistemas de gestión de seguridad de la información. Explica que el objetivo de la auditoría es verificar que la organización ha implantado correctamente los controles de seguridad basados en un análisis de riesgos y de acuerdo con las normas ISO/IEC 27001 y ISO/IEC 17799. El proceso de auditoría consta de dos fases, una auditoría documental para revisar la documentación del sistema, y una auditoría in situ para comprobar la implementación práctica.

Educación
1 de 19
Descargar para leer sin conexión
Auditoría de certificación Ing. Edwyn Sanders
© FUOC • XP07/92089/00001 Auditoría de certificación Índice 1. Proceso de auditoría de certificación ..................................... 5 1.1. Ventajas de la certificación ....................................................... 8 1.2. Proceso de auditoría .................................................................. 9 1.2.1. Auditoría documental .................................................... 11 1.2.2. Auditoría in-situ ............................................................. 14
© FUOC • XP07/92089/00001 5 Auditoría de certificación 1. Proceso de auditoría de certificación El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a la gestión de la seguridad de la información, con- cretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502. La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas de gestión de la seguridad de la información. Es decir, indica todos los requisi- tos que ha de tener el sistema de gestión que una organización establece para gestionar la seguridad mediante la implantación de controles. Estos controles, que son un elemento más dentro del sistema de gestión, están recogidos en la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente en esa norma ISO. Si la organización estima más útil emplear otro catálogo de controles como referencia, el SGSI implantado seguiría siendo certificable. Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC 17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad de la información y no son auditables. Las organizaciones pueden utilizar es- tas normas como el marco de referencia con el que diseñar los controles de seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas prácticas, contienen toda una serie de controles que puede o no ser necesario implantar en una organización concreta. únicamente tras un proceso de aná- lisis y gestión del riesgo, la organización realizará una selección de los contro- les aplicables. Por tanto, no es posible auditar la implantación de catálogos de controles como la norma ISO/IEC 17799. Son un elemento más, eso sí funda- mental, de los sistemas de gestión de la seguridad. De todas formas, las normas que dan los requisitos de los SGSI están basadas en lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar las características de seguridad que se pueden implantar, aportan los aspectos fundamentales que ha de cumplir el sistema de gestión de la seguridad de la información para poder dictaminar que es correcto, que cumple con sus especificaciones y que, por tanto, al estar correctamente implantado, podrán ayudar a la organización a mantener un nivel de seguridad óptimo. Los sistemas de gestión de la seguridad de la información de cada organización no tienen por qué ser iguales, sino que dependerán de las características pro- pias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada configuración para los aspectos de seguridad. La norma indica los requisitos que el sistema de gestión deberá poseer, y con posterioridad cada organización determinará cómo tienen que implantar dicho control.
© FUOC • XP07/92089/00001 6 Auditoría de certificación Durante el proceso de certificación, el auditor tratará de verificar que la orga- nización que posee el sistema de gestión de la seguridad de la información ha implantado el modelo PDCA. El modelo PDCA Recordemos que el modelo PDCA consiste en: • Planificar. Decidir qué medidas de seguridad han de implantarse. • Hacer. Implantar las medidas en la organización. • Verificar. Trabajar analizando que no sucedan incidentes de seguridad. • Actuar. Realizar cambios en el SGSI en base a las evidencias generadas. Modelo de sistema PDCA Es importante que quede claro que el certificador no pretenderá decir si una organización es más o menos segura, sino que pretende verificar que la orga- nización realiza una gestión de la seguridad de la información y que posee las herramientas adecuadas para efectuarla de manera correcta. El auditor podría dictaminar si un determinado aspecto de la seguridad de una organización es correcto o incorrecto, pero lo que principalmen- te querrá verificar es que se han dispuesto las medidas para poder cum- plir el modelo PDCA. Como punto de partida de la revisión del auditor, y también de la implanta- ción de un SGSI, la fase de planificación resulta esencial, tanto por la defini- ción del alcance del SGSI como por el análisis de riesgos. Al igual que toda la gestión de la seguridad está basada en el análisis de riesgos, toda la revisión que hace el auditor se fundamentará en el análisis de riesgos que haya reali- zado la organización. Análisis de riesgos Recordad que el análisis de riesgos permite identificar qué controles de seguridad han de implantarse en una organiza- ción según los riesgos ante los que se encuentra expuesta.
© FUOC • XP07/92089/00001 7 Auditoría de certificación Lo que pretende el auditor no es tanto analizar si el análisis de riesgos se ha hecho correctamente, sino comprobar que se ha realizado metodológicamente de manera correcta, y asume que los riesgos que ha detectado la organización son los correctos. Partiendo de estos riesgos, el auditor tratará de verificar que se han implantado las medidas de seguridad necesarias para reducirlos. En el caso de que este análisis de riesgos sea muy inadecuado, o que se haya utilizado una metodología incorrecta (por ejemplo, que no se corresponda con el alcance del SGSI, o que no se fundamente en "activos", "amenazas" y "vulne- rabilidades") podrá dictaminar que el análisis de riesgos es incorrecto. Pero en circunstancias normales el auditor asumirá que los riesgos que la organización ha considerado son los que realmente le afectan. La organización tendrá que mostrar y defender delante del auditor la implantación de unas determinadas medidas de seguridad en base a los riesgos detectados. Volviendo al modelo PDCA, el auditor querrá verificar que la organización mejora o actúa en base a los indicadores que haya establecido su sistema de gestión de la seguridad de la información. Tal y como se explicó, a la hora de las normativas de seguridad, existen dos visiones para realizar los cambios en el sistema de gestión de la seguridad de la información, en base a: • Registros: evidencias de funcionamiento del SGSI. • Métricas e indicadores: índices o valores que se pueden emplear para eva- luar la evolución del funcionamiento del SGSI. Concretamente, los SGSI que están basados en la Normativa ISO/IEC 27001 se fundamentan en la creación tanto de registros, como de métricas e indi- cadores. Por lo tanto, la organización ha de definir una serie de indicadores que determinan en qué momento el sistema de gestión de la seguridad de la información no cumple con las expectativas creadas por la dirección de la or- ganización, y deberá establecer las métricas, o formas de cálculo, que se con- frontarán con los indicadores. Durante este proceso de auditoría, se tratará de verificar que existen estos in- dicadores, que son conocidos por la organización y que se utilizan para la rea- lización de los cambios en la seguridad.
© FUOC • XP07/92089/00001 8 Auditoría de certificación 1.1. Ventajas de la certificación De manera general, la implantación de un sistema de gestión de seguridad de la información según alguna de las normas (UNE 71502 o ISO/IEC 27001) da a las organizaciones, independientemente de su tamaño o sector económico en el que realicen su actividad, las siguientes ventajas: • Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. • Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la im- plantación de los controles adecuados, preparándose ante posibles emer- gencias y garantizando la continuidad del negocio. • Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general, con aquélla relacionada con la seguridad de la información. • Planificar, organizar y estructurar los recursos asignados a seguridad de la información. • Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad. • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información. • Integrar la gestión de la seguridad de la información con el resto de siste- mas de gestión implantados en la empresa. • Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia. Las anteriores ventajas al implantar un SGSI repercuten directamente en el funcionamiento interno de las organizaciones; sin embargo, existe el proble- ma de transmitir al mercado la mejora que supone esta nueva forma de ges- tionar de la seguridad. La necesidad de certificar la seguridad surge de la dificultad de responder a la pregunta de en qué manera las organizaciones pueden aportar a los clientes, proveedores, y a la sociedad en general, la confianza necesaria de que son ca- paces de cumplir sus requisitos de forma segura. Esto es especialmente crucial cuando el servicio o el bien que las organizaciones se intercambian no es ma- terial sino que se trata de simple y pura información.
© FUOC • XP07/92089/00001 9 Auditoría de certificación La única forma que la organización tiene de contestar esta pregunta es supe- rando una revisión independiente de las medidas de seguridad que tiene im- plantadas y que certifica que lo está haciendo bien, de acuerdo a un esquema con el que todos están conformes. Con estas certificaciones se obtienen las siguientes ventajas: • Externas – Aumentar la credibilidad y confianza de clientes y administración. – Facilitar el intercambio y acceso a mercados externos. – Evitar o disminuir evaluaciones sobre nuestros productos o servicios. – Ser un elemento diferenciador con la competencia. – Fidelizar a los clientes. – Facilitar la compra al consumidor. • Internas – Proporcionar confianza a las personas de la organización. – Reducir costes. – Aumentar la motivación del personal. – Mejorar la satisfacción del cliente interno. – Mejorar la satisfacción del personal. – Mejorar los procesos. – Mejorar el producto o servicio. Durante el proceso de auditoría lo que pretende el auditor no es encontrar incumplimientos en las medidas de seguridad implantadas, sino: • Tratar de evaluar la efectividad de la organización con respecto al uso de los recursos. • Evaluar los sistemas y procesos que se desarrollan en la organización. • Detectar y prevenir posibles errores y fraudes. • Evaluar el riesgo y los sistemas de seguridad de las organizaciones. • Evaluar los planes de contingencia y recuperación en caso de desastres. 1.2. Proceso de auditoría El proceso de auditoría que aplica cada organización de certificación puede variar en ciertas fases y en la duración o importancia que se dé a cada una. Sin embargo, podemos asegurar que el proceso completo para realizar una auditoría de certificación incluye las fases que se muestran en el diagrama siguiente:
© FUOC • XP07/92089/00001 10 Auditoría de certificación Proceso de auditoría de certificación en España
© FUOC • XP07/92089/00001 11 Auditoría de certificación Tal y como se ha comentado repetidamente, la auditoría certificará la situa- ción del SGSI en un momento dado, por lo que todas las organizaciones de certificaciones otorgan su sello de certificación con una validez definida en el tiempo (habitualmente 3 años). Durante este periodo de validez, la organi- zación certificada deberá pasar auditorías de seguimiento para demostrar que su SGSI sigue cumpliendo con la norma de referencia. Pasado el tiempo de validez de la certificación, se deberá someter a una auditoría de renovación. El alcance de las auditorías de seguimiento es mucho más reducido que el de la de certificación o renovación, mientras que la de certificación y de renovación tienen un alcance idéntico o al menos muy similar. Como hemos visto en el anterior diagrama, todas las auditorías de los sistemas de gestión de la seguridad de la información se dividen en dos etapas secuen- ciales, es decir, que si no se supera la primera no se puede empezar la segunda. El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización. 1.2.1. Auditoría documental Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información. El objetivo es verificar que la organización ha implantado los controles en base a los riesgos que ésta posee y que además estos controles están de acuerdo con lo que se indica en las normas: ISO/IEC 17799:2005 y la ISO/IEC 27001. La mínima documentación que se va revisar es la siguiente: • Política de seguridad de la organización • Alcance de la certificación • Análisis de riesgos de la organización • La selección de controles de acuerdo con la declaración de aplicabilidad • Revisión de la documentación de los controles seleccionados Política de seguridad de la organización Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumi- da en un único folio. Sí que se verificará que esté a disposición de todos los trabajadores de la organización.
© FUOC • XP07/92089/00001 12 Auditoría de certificación El auditor querrá verificar que se hace mención a la existencia de otra docu- mentación relativa al SGSI y que ésta se distribuye en base a la necesidad de conocimiento de los trabajadores. En pocas palabras, se revisará: • La definición de la seguridad • El soporte de la dirección a la implantación del SGSI • Las explicaciones breves sobre políticas, principios, prácticas y cumpli- mientos de seguridad • La definición de responsabilidades • Las referencias a otros documentos Alcance de la certificación Este alcance condiciona la certificación y el desarrollo de las auditorías; el au- ditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado. En el caso de que se realice un cambio en el alcance de la certificación, se tendría que rehacer totalmente la auditoría. Análisis de riesgos de la organización El auditor prestará especial atención al análisis de riesgos. Para empezar ten- drá que estar formalmente aceptado por la dirección de la organización y es obligatorio que esté documentada tanto la metodología utilizada, que debe ser coherente con la complejidad de la organización, como los resultados de dicho análisis de riesgos. El auditor ha de determinar si el análisis de riesgos cubre todo el alcance defi- nido por la organización y si es aceptable en función de los activos y la natu- raleza de la organización. También tiene que revisar que el análisis de riesgos y la gestión del mismo tiene en cuenta los cambios y si está actualizado. La selección de controles de acuerdo con la declaración de aplica- bilidad El auditor, en base a los riesgos analizados, determinará si se han seleccionado los controles adecuados para reducirlos. Asimismo, también tendrá que verifi- car que todos esos controles de seguridad quedan reflejados en la declaración de aplicabilidad y que la dirección aprueba el riesgo residual resultante de im- plantar estos controles. En este sentido, se tendrá que defender, ante el auditor, la no implementación de un control; los motivos pueden ser: • No existe un riesgo que lo justifique • Falta de presupuesto Alcance limitado Tal y como se ha comentado, es posible que un SGSI no in- cluya la totalidad de la organi- zación, sino que podría definir- se un alcance de un determi- nado proceso o un área con- creta de la organización.
© FUOC • XP07/92089/00001 13 Auditoría de certificación • No hay viabilidad tecnológica • No se puede implantar por falta de tiempo • No es aplicable Las razones para excluir controles deben ser sólidas y coherentes. Ejemplo de extracto de una declaración de aplicabilidad Control Sí/ No Justificación 6.3.1. Comunicación de las incidencias de seguridad SÍ Es imprescindible para detectar las inci- dencias en un estado temprano y una de las bases para el proceso de mejora conti- nua. 7.1.5. áreas aisladas de carga y descarga NO No es aplicable, ya que la organización no dispone de áreas de carga y descarga. 8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organización no envía soportes físicos con información sensible o confidencial. El documento de declaración de aplicabilidad relaciona el análisis de riesgos con la situación de la seguridad, tanto para los auditores externos como in- ternos. Junto con el alcance y la política, constituye la base de la auditoría documental. El auditor comprueba la consistencia de los planteamientos referentes a la se- guridad entre los tres documentos. Revisión de la documentación de los controles seleccionados Deben documentarse todos los controles seleccionados por parte de la organi- zación, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones: • Está fechada y disponible. • Dispone de control de versiones. • Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799. En base a esta revisión de la documentación, podrían llegar a proponerse tres situaciones: • Elauditordetectagrandesnoconformidades.En este caso, el auditor rechaza la certificación y propone a la empresa auditada que rehaga la documentación del SGSI y que, pasado un tiempo, vuelva a requerir el proceso de auditoría. • Elauditordetectanoconformidadesmenores.En estos casos, el auditor propone a la organización auditada que exponga una serie de soluciones
© FUOC • XP07/92089/00001 14 Auditoría de certificación para estas no conformidades. Será el auditor quien se encargue de decidir si estas soluciones previstas resolverán estas no conformidades. El auditado tendrá que proponer no sólo la solución, sino también un tiempo en el que se resolverá dicha no conformidad. En el caso de que el auditor decline estas soluciones, se indicará que tendrá que volver a solicitar la auditoría y, en el caso de que las soluciones que plantea la organización sean aceptadas por el auditor, procederá a requerir el paso a la segunda fase de la auditoría. • Elauditornodetectanoconformidades.En estos casos, el auditor pro- pone a la organización que pase a la segunda fase de la auditoría. La revisión de la documentación se realiza en las instalaciones del equipo au- ditor y en ningún momento tendrá que estar presencialmente en las instala- ciones y en contacto con la organización auditada. El informe de auditoría de esta primera fase se enviará a la organización para que la reciba y actúe en consecuencia. 1.2.2. Auditoría in-situ La segunda fase de la auditoría se desarrolla en las instalaciones de la organi- zación auditada y en ella el auditor realizará entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación real de la or- ganización. Entre la revisión documental y esta segunda fase deben pasar obligatoriamente entre tres y seis semanas, y el objetivo es: • Confirmar que la organización cumple con sus políticas y procedimientos. • Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma. • Verificar que el SGSI está logrando los objetivos que la organización se ha marcado. Planificación de la auditoría El proceso de auditoría de los controles puede no ser exhaustivo y, antes de iniciar la auditoría presencial, el equipo auditor podrá realizar una selección de los controles que van a ser auditados. En este sentido, la muestra deberá: • Incluir todos los controles críticos. • Seleccionar controles que afecten a las actividades más importantes de la organización. • Seleccionar controles de todas las secciones. • Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI.
© FUOC • XP07/92089/00001 15 Auditoría de certificación • Dar prioridad a las áreas de mayor riesgo. • Si no se encuentran problemas serios, se auditarán un 20% de los controles aplicables. Una vez se ha realizado la muestra de controles, el equipo auditor elaborará un plan de auditoría que deberá incluir: • Alcance y objetivo de la auditoría. • Equipo por parte de la entidad y del solicitante. • Personal del solicitante con responsabilidad dentro del área afectada. • Documentos de referencia. • Áreas o departamentos que se auditarán. • Muestras de controles que se auditarán. • Agenda para las reuniones. • Contenido y estructura de los informes. Con anterioridad al desarrollo de la auditoría in-situ, el plan de auditoría será presentado al auditado para solicitar su conformidad. Realización de la auditoría Una vez aprobado por el solicitante el plan de auditoría, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solici- tante. En estas revisiones, el equipo auditor se deberá centrar en los siguientes aspectos: • El análisis de riesgos. • La declaración de aplicabilidad. • Los objetivos que persigue la organización. • Cómo se monitoriza/mide, y se informa y mejora. • Las revisiones del SGSI y de la seguridad. • El grado de implicación de la dirección. • La coherencia entre políticas, análisis de riesgos, objetivos, responsabili- dades, normas, procedimientos, datos de rendimiento y revisiones de se- guridad. Durante esta segunda fase de la auditoría el equipo auditor deberá realizar una visita a las instalaciones de la organización (por lo menos del alcance a certificar) y comprobará que los controles que ha seleccionado en la muestra cumplen con lo exigido en el estándar. Durante la realización de estas auditorías, los miembros del equipo auditor no podrán tocar ninguna máquina, pero podrán solicitar a los empleados de la organización que realicen las actividades que quieren evaluar para buscar evidencias que permitan decidir si un control está correctamente implantado o no.
© FUOC • XP07/92089/00001 16 Auditoría de certificación Hay que tener en cuenta que el objetivo del auditor no es encontrar no conformidades (errores) en la organización, sino tratar de determinar si el sistema de gestión de la seguridad de la información cumple con lo establecido en la norma. Para la ejecución de estos procesos, el equipo auditor convocará reuniones con los miembros seleccionados por la organización para extraer la información necesaria y verificar la correcta o incorrecta implantación de los controles de seguridad establecidos por la organización. Finalmente, el equipo auditor elaborará informes sobre lo observado durante las entrevistas y redactará documentos de recomendaciones –si procede. Por último, convocará una reunión con la dirección de la organización para expli- car y comunicar lo observado durante esta segunda fase, y comunicarles los resultados de la auditoría. Entrevistas En esta segunda fase, el auditor busca evidencias objetivas sobre la implanta- ción y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. Estas evidencias pueden ser información obtenida a partir de los registros de actividad (logs), lo importante es que se base en medidas, en pruebas o en la observación y que sea verificable. El auditor está capacitado para solicitar al personal de la organización que le muestre cómo se han generado las evidencias. Estudio de las evidencias Para comprobar cómo se han generado las evidencias, el equipo auditor puede utilizar las siguientes técnicas: • Preguntas a los empleados • Observación • Revisión de documentos o registros • Muestreo • Resumen, análisis o evaluación La calidad de la entrevista de auditoría dependerá de la habilidad del auditor para realizar buenas preguntas. En este caso debe hacerse sentir cómodo al auditable para que no se sienta interrogado.
© FUOC • XP07/92089/00001 17 Auditoría de certificación El tipo de preguntas que se hagan deben ser abiertas de forma que el auditado tenga que explicar ampliamente cómo realiza las diferentes acciones. Sólo pa- ra verificar aspectos muy concretos pueden hacerse preguntas cerradas cuya respuesta sea un sí o un no. Otro tipo de preguntas son las dirigidas, que buscan respuestas rápidas por parte del auditado: se le guía en la respuesta. Otros tipos de preguntas Las siguientes son otros tipos de preguntas que se pueden hacer: • Preguntas de opinión • Preguntas de investigación • Preguntas no-verbales (lenguaje corporal) • Preguntas repetidas • Preguntas sobre situaciones hipotéticas El objetivo de las entrevistas es extraer todas las evidencias necesarias para verificar que la documentación entregada al auditor en la primera fase refleja cómo está actuando la organización. Cierre de la auditoría Al final de la auditoría, el equipo auditor debe mantener una reunión con el solicitante para: • Agradecer su colaboración. • Recordar nuevamente el objetivo y alcance de la auditoría. • Dar un resumen del resultado de la auditoría. • Informar de las recomendaciones que va a dar el equipo de auditoría. • Preguntar si el solicitante tiene alguna cuestión que quiera aclarar. • Recoger la conformidad del solicitante. • Cerrar la auditoría. Las conclusiones y el informe de auditoría deberán basarse en: • Las dos etapas de la auditoría conjuntamente. • Las no conformidades encontradas. • La documentación, implantación y efectividad del SGSI. • Las fortalezas y debilidades de los departamentos respecto de las secciones de la norma ISO/IEC 17799:2005. • El compromiso de la dirección con la mejora continua. Ejemplos de preguntas • ¿Quién (lo hace)? • ¿Cada cuánto (se hace)? • ¿Cómo (se hace)? Muéstre- melo • ¿Dónde (se hace)? Mués- tremelo • ¿Cuándo (se hace)?
© FUOC • XP07/92089/00001 18 Auditoría de certificación En este punto, al igual que al final de la primera fase de la auditoría se pueden producir tres decisiones: • Elauditordetectagrandesnoconformidades.En este caso, el auditor rechaza la certificación. Informa de las no conformidades graves que justi- fica el rechazo. Propone a la empresa auditada que mejore la implantación del SGSI y que pasado un tiempo vuelva a requerir el proceso de auditoría. • Elauditordetectanoconformidadesmenores.En este caso, el auditor solicita a la organización auditada que proponga una serie de soluciones para estas no conformidades. Será el auditor quien se encargue de decidir si estas soluciones previstas solucionarían las no conformidades. El auditado tendrá que proponer no sólo la solución, sino también un tiempo en el que se resolverá la no conformidad. En el caso de que el auditor rechace estas soluciones, se le indicará que tendrá que volver a solicitar la auditoría. En el caso de que las soluciones que plantea la organización sean aceptadas, el auditor procederá a requerir el paso nuevamente a la segunda fase de la auditoría. • Elauditornodetectanoconformidades.En este caso, el auditor propone la concesión de la certificación a la organización. En función de lo anterior el equipo auditor debe emitir la recomendación: • Se recomienda el registro si se considera que el SGSI es conforme con la norma. • Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en el caso de que se hayan encontrado no conformidades. • Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta. • Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área. La decisión de la certificación la toma el Comité de Certificación, que se basará en la información recogida durante las dos etapas del proceso de auditoría. Los miembros del Comité de Certificación pertenecen a la organización auditora, pero los integrantes del equipo auditor no pue- den participar en la toma de decisión final. En el caso de que la recomendación realizada por el equipo de auditoría sea el rechazo de la certificación, el Comité de Certificación no deberá cambiar su criterio; en cambio, si la recomendación es la aprobación de la certificación, el Comité puede denegarla.
© FUOC • XP07/92089/00001 19 Auditoría de certificación En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo: • Nombre y dirección de la organización • Alcance de la certificación • Fecha de emisión del certificado y su periodo de validez • Versión de la declaración de aplicabilidad Una vez que se ha obtenido la certificación, se entregará el certificado y se entrará en un ciclo de revisión de la certificación: de forma anual se realizará una auditoría parcial (seleccionando controles concretos). Esta certificación estará vigente durante 3 años. En el caso de que durante una de las revisiones el auditor detecte que existen graves problemas de seguridad o no conformidades importantes, puede llegar a retirar el certificado.

Recomendados

Informe auditoria
Informe auditoriaInforme auditoria
Informe auditoriaLina Gc
 
ensayo de las normas iso
ensayo de las normas isoensayo de las normas iso
ensayo de las normas isoandreinamariin
 
Iso 19011 esta es la buena
Iso 19011 esta es la buenaIso 19011 esta es la buena
Iso 19011 esta es la buenaJesus Guadalupe Benitez Cabuto
 
Capitulo 7 y 8 - ISO 9001:2015
Capitulo 7 y 8 - ISO 9001:2015Capitulo 7 y 8 - ISO 9001:2015
Capitulo 7 y 8 - ISO 9001:2015D Rincon
 
Ejemplo informe auditoria-interna
Ejemplo informe auditoria-internaEjemplo informe auditoria-interna
Ejemplo informe auditoria-internaJonathan Levy
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAAdrian Zaragoza Tapia
 
La familia de las normas ISO
La familia de las normas ISOLa familia de las normas ISO
La familia de las normas ISOCristhian Hilasaca Zea
 

Recomendados

Informe auditoria
Informe auditoriaInforme auditoria
Informe auditoriaLina Gc
 
ensayo de las normas iso
ensayo de las normas isoensayo de las normas iso
ensayo de las normas isoandreinamariin
 
Iso 19011 esta es la buena
Iso 19011 esta es la buenaIso 19011 esta es la buena
Iso 19011 esta es la buenaJesus Guadalupe Benitez Cabuto
 
Capitulo 7 y 8 - ISO 9001:2015
Capitulo 7 y 8 - ISO 9001:2015Capitulo 7 y 8 - ISO 9001:2015
Capitulo 7 y 8 - ISO 9001:2015D Rincon
 
Ejemplo informe auditoria-interna
Ejemplo informe auditoria-internaEjemplo informe auditoria-interna
Ejemplo informe auditoria-internaJonathan Levy
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAAdrian Zaragoza Tapia
 
La familia de las normas ISO
La familia de las normas ISOLa familia de las normas ISO
La familia de las normas ISOCristhian Hilasaca Zea
 
Norma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyoNorma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyoUniversidad Nacional Experimental Francisco de Miranda
 
Auditorias de calidad
Auditorias de calidadAuditorias de calidad
Auditorias de calidadNational University of Catamarca
 
Taller informedeauditoria
Taller informedeauditoriaTaller informedeauditoria
Taller informedeauditoriaLina Gc
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Presentación norma-14011
Presentación norma-14011Presentación norma-14011
Presentación norma-14011jhonathan
 
Reunión de cierre
Reunión de cierreReunión de cierre
Reunión de cierrelady oscar
 
Auditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditoresAuditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditores123 aprende
 
Iso 9000 - 9001-14000-17000
Iso 9000 - 9001-14000-17000Iso 9000 - 9001-14000-17000
Iso 9000 - 9001-14000-17000Kharina Manjarres Palencia
 
unidad 1 principios y tipos de auditorias
unidad 1 principios y tipos de auditorias unidad 1 principios y tipos de auditorias
unidad 1 principios y tipos de auditorias Ing Angela Pichardo Paredes
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicioncostosyauditorias
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Iso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisIso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisPrimala Sistema de Gestion
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de LeyAuditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de LeyIgor Suzaño Mercado
 
Implementación de un sgsst
Implementación de un sgsstImplementación de un sgsst
Implementación de un sgsstjeshuadiegobarriento1
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
El auditor 2018 (2)
El auditor 2018 (2)El auditor 2018 (2)
El auditor 2018 (2)Carlos Aldana
 
Auditorias internas
Auditorias internasAuditorias internas
Auditorias internasCarlos Roque
 
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdfETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdfPedroDaz59
 
Plan de Auditoria
Plan de AuditoriaPlan de Auditoria
Plan de Auditoriarinerporlles
 
AUDITORIA INTERNA
AUDITORIA INTERNA AUDITORIA INTERNA
AUDITORIA INTERNA WILSON VELASTEGUI
 

Más contenido relacionado

La actualidad más candente

Taller informedeauditoria
Taller informedeauditoriaTaller informedeauditoria
Taller informedeauditoriaLina Gc
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Presentación norma-14011
Presentación norma-14011Presentación norma-14011
Presentación norma-14011jhonathan
 
Reunión de cierre
Reunión de cierreReunión de cierre
Reunión de cierrelady oscar
 
Auditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditoresAuditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditores123 aprende
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicioncostosyauditorias
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de LeyAuditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de LeyIgor Suzaño Mercado
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Auditorias internas
Auditorias internasAuditorias internas
Auditorias internasCarlos Roque
 
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdfETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdfPedroDaz59
 

La actualidad más candente (20)

Norma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyoNorma ISO 9001: 2015. Requisito 7. apoyo
Norma ISO 9001: 2015. Requisito 7. apoyo
 
Auditorias de calidad
Auditorias de calidadAuditorias de calidad
Auditorias de calidad
 
Taller informedeauditoria
Taller informedeauditoriaTaller informedeauditoria
Taller informedeauditoria
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Presentación norma-14011
Presentación norma-14011Presentación norma-14011
Presentación norma-14011
 
Reunión de cierre
Reunión de cierreReunión de cierre
Reunión de cierre
 
Auditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditoresAuditor interno. Selección del equipo de auditores
Auditor interno. Selección del equipo de auditores
 
Iso 9000 - 9001-14000-17000
Iso 9000 - 9001-14000-17000Iso 9000 - 9001-14000-17000
Iso 9000 - 9001-14000-17000
 
unidad 1 principios y tipos de auditorias
unidad 1 principios y tipos de auditorias unidad 1 principios y tipos de auditorias
unidad 1 principios y tipos de auditorias
 
Plan de auditoría distribuicion
Plan de auditoría distribuicionPlan de auditoría distribuicion
Plan de auditoría distribuicion
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
Iso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisisIso 12 norma iso 45001 analisis
Iso 12 norma iso 45001 analisis
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Auditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de LeyAuditoria Ambiental Cumplimiento de Ley
Auditoria Ambiental Cumplimiento de Ley
 
Implementación de un sgsst
Implementación de un sgsstImplementación de un sgsst
Implementación de un sgsst
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
El auditor 2018 (2)
El auditor 2018 (2)El auditor 2018 (2)
El auditor 2018 (2)
 
Auditorias internas
Auditorias internasAuditorias internas
Auditorias internas
 
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdfETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
ETAPAS DE LA AUDITORIA ADMINISTRATIVA.pdf
 

Destacado

PLAN DE AUDITORIA
PLAN DE AUDITORIAPLAN DE AUDITORIA
PLAN DE AUDITORIAyazari19
 
Auditorias internas y externas
Auditorias internas y externasAuditorias internas y externas
Auditorias internas y externaswapo5
 
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...Maribel Sanchez Calli
 
2. curso de auditoria mbc mejorado
2. curso de auditoria mbc mejorado2. curso de auditoria mbc mejorado
2. curso de auditoria mbc mejoradoMANUEL GARCIA
 
Auditoria calidad
Auditoria calidadAuditoria calidad
Auditoria calidadanpilo1980
 
Seis sigma para la reduccion de la variacion
Seis sigma para la reduccion de la variacionSeis sigma para la reduccion de la variacion
Seis sigma para la reduccion de la variacionJesus Sanchez
 
Auditoria de Calidad
Auditoria de CalidadAuditoria de Calidad
Auditoria de Calidadmodelosadmg1
 
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIA
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIAPRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIA
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIAfabiancamargoalarcon1225
 
Prestación del servicio de auditoría
Prestación del servicio de auditoríaPrestación del servicio de auditoría
Prestación del servicio de auditoríaselgonzalez
 
La norma cero defectos de Crosby y Los 14 Principios de calidad de Deming
La norma cero defectos de Crosby y Los 14 Principios de calidad de DemingLa norma cero defectos de Crosby y Los 14 Principios de calidad de Deming
La norma cero defectos de Crosby y Los 14 Principios de calidad de DemingOscar Daniel Naranjo Davila
 

Destacado (20)

Plan de Auditoria
Plan de AuditoriaPlan de Auditoria
Plan de Auditoria
 
AUDITORIA INTERNA
AUDITORIA INTERNA AUDITORIA INTERNA
AUDITORIA INTERNA
 
PLAN DE AUDITORIA
PLAN DE AUDITORIAPLAN DE AUDITORIA
PLAN DE AUDITORIA
 
Auditorias internas y externas
Auditorias internas y externasAuditorias internas y externas
Auditorias internas y externas
 
Auditoria de calidad
Auditoria de calidadAuditoria de calidad
Auditoria de calidad
 
Auditoria plan
Auditoria planAuditoria plan
Auditoria plan
 
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...
Plan de accion para conformar, fortalecer o consolidar una comunidad práctica...
 
Instalacion SIPRED 2012
Instalacion SIPRED 2012Instalacion SIPRED 2012
Instalacion SIPRED 2012
 
Guia SIPRED 2012
Guia SIPRED 2012Guia SIPRED 2012
Guia SIPRED 2012
 
2. curso de auditoria mbc mejorado
2. curso de auditoria mbc mejorado2. curso de auditoria mbc mejorado
2. curso de auditoria mbc mejorado
 
Auditoria calidad
Auditoria calidadAuditoria calidad
Auditoria calidad
 
Seis sigma para la reduccion de la variacion
Seis sigma para la reduccion de la variacionSeis sigma para la reduccion de la variacion
Seis sigma para la reduccion de la variacion
 
Plan anual de Auditoria Interna
Plan anual de Auditoria InternaPlan anual de Auditoria Interna
Plan anual de Auditoria Interna
 
Auditoria de Calidad
Auditoria de CalidadAuditoria de Calidad
Auditoria de Calidad
 
Proceso de licitación
Proceso de licitaciónProceso de licitación
Proceso de licitación
 
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIA
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIAPRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIA
PRUEBAS, SEGUIMIENTO Y SUPERVION DE AUDITORIA
 
Prestación del servicio de auditoría
Prestación del servicio de auditoríaPrestación del servicio de auditoría
Prestación del servicio de auditoría
 
Verificación y Validación del Diseño
Verificación y Validación del DiseñoVerificación y Validación del Diseño
Verificación y Validación del Diseño
 
Auditoria externa
Auditoria externaAuditoria externa
Auditoria externa
 
La norma cero defectos de Crosby y Los 14 Principios de calidad de Deming
La norma cero defectos de Crosby y Los 14 Principios de calidad de DemingLa norma cero defectos de Crosby y Los 14 Principios de calidad de Deming
La norma cero defectos de Crosby y Los 14 Principios de calidad de Deming
 

Similar a Auditoria de certificacion

JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)WilliamalbertoArroya
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...Community Manager Full Audit
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 

Similar a Auditoria de certificacion (20)

JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...
La auditoría, reglamentaria o voluntaria, como pieza clave para diagnosticar ...
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
SGSI
SGSISGSI
SGSI
 

Último

Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresJonathanCovena1
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primariaWilian24
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalJonathanCovena1
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
Linea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxLinea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxEnriqueLineros1
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxEliaHernndez7
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfJonathanCovena1
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIAFabiolaGarcia751855
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOluismii249
 
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...JoseMartinMalpartida1
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfpatriciaines1993
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfRosabel UA
 

Último (20)

Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Linea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxLinea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docx
 
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigosLecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 

Auditoria de certificacion

  • 2.
  • 3. © FUOC • XP07/92089/00001 Auditoría de certificación Índice 1. Proceso de auditoría de certificación ..................................... 5 1.1. Ventajas de la certificación ....................................................... 8 1.2. Proceso de auditoría .................................................................. 9 1.2.1. Auditoría documental .................................................... 11 1.2.2. Auditoría in-situ ............................................................. 14
  • 4.
  • 5. © FUOC • XP07/92089/00001 5 Auditoría de certificación 1. Proceso de auditoría de certificación El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a la gestión de la seguridad de la información, con- cretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502. La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas de gestión de la seguridad de la información. Es decir, indica todos los requisi- tos que ha de tener el sistema de gestión que una organización establece para gestionar la seguridad mediante la implantación de controles. Estos controles, que son un elemento más dentro del sistema de gestión, están recogidos en la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente en esa norma ISO. Si la organización estima más útil emplear otro catálogo de controles como referencia, el SGSI implantado seguiría siendo certificable. Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC 17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad de la información y no son auditables. Las organizaciones pueden utilizar es- tas normas como el marco de referencia con el que diseñar los controles de seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas prácticas, contienen toda una serie de controles que puede o no ser necesario implantar en una organización concreta. únicamente tras un proceso de aná- lisis y gestión del riesgo, la organización realizará una selección de los contro- les aplicables. Por tanto, no es posible auditar la implantación de catálogos de controles como la norma ISO/IEC 17799. Son un elemento más, eso sí funda- mental, de los sistemas de gestión de la seguridad. De todas formas, las normas que dan los requisitos de los SGSI están basadas en lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar las características de seguridad que se pueden implantar, aportan los aspectos fundamentales que ha de cumplir el sistema de gestión de la seguridad de la información para poder dictaminar que es correcto, que cumple con sus especificaciones y que, por tanto, al estar correctamente implantado, podrán ayudar a la organización a mantener un nivel de seguridad óptimo. Los sistemas de gestión de la seguridad de la información de cada organización no tienen por qué ser iguales, sino que dependerán de las características pro- pias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada configuración para los aspectos de seguridad. La norma indica los requisitos que el sistema de gestión deberá poseer, y con posterioridad cada organización determinará cómo tienen que implantar dicho control.
  • 6. © FUOC • XP07/92089/00001 6 Auditoría de certificación Durante el proceso de certificación, el auditor tratará de verificar que la orga- nización que posee el sistema de gestión de la seguridad de la información ha implantado el modelo PDCA. El modelo PDCA Recordemos que el modelo PDCA consiste en: • Planificar. Decidir qué medidas de seguridad han de implantarse. • Hacer. Implantar las medidas en la organización. • Verificar. Trabajar analizando que no sucedan incidentes de seguridad. • Actuar. Realizar cambios en el SGSI en base a las evidencias generadas. Modelo de sistema PDCA Es importante que quede claro que el certificador no pretenderá decir si una organización es más o menos segura, sino que pretende verificar que la orga- nización realiza una gestión de la seguridad de la información y que posee las herramientas adecuadas para efectuarla de manera correcta. El auditor podría dictaminar si un determinado aspecto de la seguridad de una organización es correcto o incorrecto, pero lo que principalmen- te querrá verificar es que se han dispuesto las medidas para poder cum- plir el modelo PDCA. Como punto de partida de la revisión del auditor, y también de la implanta- ción de un SGSI, la fase de planificación resulta esencial, tanto por la defini- ción del alcance del SGSI como por el análisis de riesgos. Al igual que toda la gestión de la seguridad está basada en el análisis de riesgos, toda la revisión que hace el auditor se fundamentará en el análisis de riesgos que haya reali- zado la organización. Análisis de riesgos Recordad que el análisis de riesgos permite identificar qué controles de seguridad han de implantarse en una organiza- ción según los riesgos ante los que se encuentra expuesta.
  • 7. © FUOC • XP07/92089/00001 7 Auditoría de certificación Lo que pretende el auditor no es tanto analizar si el análisis de riesgos se ha hecho correctamente, sino comprobar que se ha realizado metodológicamente de manera correcta, y asume que los riesgos que ha detectado la organización son los correctos. Partiendo de estos riesgos, el auditor tratará de verificar que se han implantado las medidas de seguridad necesarias para reducirlos. En el caso de que este análisis de riesgos sea muy inadecuado, o que se haya utilizado una metodología incorrecta (por ejemplo, que no se corresponda con el alcance del SGSI, o que no se fundamente en "activos", "amenazas" y "vulne- rabilidades") podrá dictaminar que el análisis de riesgos es incorrecto. Pero en circunstancias normales el auditor asumirá que los riesgos que la organización ha considerado son los que realmente le afectan. La organización tendrá que mostrar y defender delante del auditor la implantación de unas determinadas medidas de seguridad en base a los riesgos detectados. Volviendo al modelo PDCA, el auditor querrá verificar que la organización mejora o actúa en base a los indicadores que haya establecido su sistema de gestión de la seguridad de la información. Tal y como se explicó, a la hora de las normativas de seguridad, existen dos visiones para realizar los cambios en el sistema de gestión de la seguridad de la información, en base a: • Registros: evidencias de funcionamiento del SGSI. • Métricas e indicadores: índices o valores que se pueden emplear para eva- luar la evolución del funcionamiento del SGSI. Concretamente, los SGSI que están basados en la Normativa ISO/IEC 27001 se fundamentan en la creación tanto de registros, como de métricas e indi- cadores. Por lo tanto, la organización ha de definir una serie de indicadores que determinan en qué momento el sistema de gestión de la seguridad de la información no cumple con las expectativas creadas por la dirección de la or- ganización, y deberá establecer las métricas, o formas de cálculo, que se con- frontarán con los indicadores. Durante este proceso de auditoría, se tratará de verificar que existen estos in- dicadores, que son conocidos por la organización y que se utilizan para la rea- lización de los cambios en la seguridad.
  • 8. © FUOC • XP07/92089/00001 8 Auditoría de certificación 1.1. Ventajas de la certificación De manera general, la implantación de un sistema de gestión de seguridad de la información según alguna de las normas (UNE 71502 o ISO/IEC 27001) da a las organizaciones, independientemente de su tamaño o sector económico en el que realicen su actividad, las siguientes ventajas: • Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. • Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la im- plantación de los controles adecuados, preparándose ante posibles emer- gencias y garantizando la continuidad del negocio. • Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general, con aquélla relacionada con la seguridad de la información. • Planificar, organizar y estructurar los recursos asignados a seguridad de la información. • Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad. • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información. • Integrar la gestión de la seguridad de la información con el resto de siste- mas de gestión implantados en la empresa. • Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia. Las anteriores ventajas al implantar un SGSI repercuten directamente en el funcionamiento interno de las organizaciones; sin embargo, existe el proble- ma de transmitir al mercado la mejora que supone esta nueva forma de ges- tionar de la seguridad. La necesidad de certificar la seguridad surge de la dificultad de responder a la pregunta de en qué manera las organizaciones pueden aportar a los clientes, proveedores, y a la sociedad en general, la confianza necesaria de que son ca- paces de cumplir sus requisitos de forma segura. Esto es especialmente crucial cuando el servicio o el bien que las organizaciones se intercambian no es ma- terial sino que se trata de simple y pura información.
  • 9. © FUOC • XP07/92089/00001 9 Auditoría de certificación La única forma que la organización tiene de contestar esta pregunta es supe- rando una revisión independiente de las medidas de seguridad que tiene im- plantadas y que certifica que lo está haciendo bien, de acuerdo a un esquema con el que todos están conformes. Con estas certificaciones se obtienen las siguientes ventajas: • Externas – Aumentar la credibilidad y confianza de clientes y administración. – Facilitar el intercambio y acceso a mercados externos. – Evitar o disminuir evaluaciones sobre nuestros productos o servicios. – Ser un elemento diferenciador con la competencia. – Fidelizar a los clientes. – Facilitar la compra al consumidor. • Internas – Proporcionar confianza a las personas de la organización. – Reducir costes. – Aumentar la motivación del personal. – Mejorar la satisfacción del cliente interno. – Mejorar la satisfacción del personal. – Mejorar los procesos. – Mejorar el producto o servicio. Durante el proceso de auditoría lo que pretende el auditor no es encontrar incumplimientos en las medidas de seguridad implantadas, sino: • Tratar de evaluar la efectividad de la organización con respecto al uso de los recursos. • Evaluar los sistemas y procesos que se desarrollan en la organización. • Detectar y prevenir posibles errores y fraudes. • Evaluar el riesgo y los sistemas de seguridad de las organizaciones. • Evaluar los planes de contingencia y recuperación en caso de desastres. 1.2. Proceso de auditoría El proceso de auditoría que aplica cada organización de certificación puede variar en ciertas fases y en la duración o importancia que se dé a cada una. Sin embargo, podemos asegurar que el proceso completo para realizar una auditoría de certificación incluye las fases que se muestran en el diagrama siguiente:
  • 10. © FUOC • XP07/92089/00001 10 Auditoría de certificación Proceso de auditoría de certificación en España
  • 11. © FUOC • XP07/92089/00001 11 Auditoría de certificación Tal y como se ha comentado repetidamente, la auditoría certificará la situa- ción del SGSI en un momento dado, por lo que todas las organizaciones de certificaciones otorgan su sello de certificación con una validez definida en el tiempo (habitualmente 3 años). Durante este periodo de validez, la organi- zación certificada deberá pasar auditorías de seguimiento para demostrar que su SGSI sigue cumpliendo con la norma de referencia. Pasado el tiempo de validez de la certificación, se deberá someter a una auditoría de renovación. El alcance de las auditorías de seguimiento es mucho más reducido que el de la de certificación o renovación, mientras que la de certificación y de renovación tienen un alcance idéntico o al menos muy similar. Como hemos visto en el anterior diagrama, todas las auditorías de los sistemas de gestión de la seguridad de la información se dividen en dos etapas secuen- ciales, es decir, que si no se supera la primera no se puede empezar la segunda. El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización. 1.2.1. Auditoría documental Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información. El objetivo es verificar que la organización ha implantado los controles en base a los riesgos que ésta posee y que además estos controles están de acuerdo con lo que se indica en las normas: ISO/IEC 17799:2005 y la ISO/IEC 27001. La mínima documentación que se va revisar es la siguiente: • Política de seguridad de la organización • Alcance de la certificación • Análisis de riesgos de la organización • La selección de controles de acuerdo con la declaración de aplicabilidad • Revisión de la documentación de los controles seleccionados Política de seguridad de la organización Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumi- da en un único folio. Sí que se verificará que esté a disposición de todos los trabajadores de la organización.
  • 12. © FUOC • XP07/92089/00001 12 Auditoría de certificación El auditor querrá verificar que se hace mención a la existencia de otra docu- mentación relativa al SGSI y que ésta se distribuye en base a la necesidad de conocimiento de los trabajadores. En pocas palabras, se revisará: • La definición de la seguridad • El soporte de la dirección a la implantación del SGSI • Las explicaciones breves sobre políticas, principios, prácticas y cumpli- mientos de seguridad • La definición de responsabilidades • Las referencias a otros documentos Alcance de la certificación Este alcance condiciona la certificación y el desarrollo de las auditorías; el au- ditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado. En el caso de que se realice un cambio en el alcance de la certificación, se tendría que rehacer totalmente la auditoría. Análisis de riesgos de la organización El auditor prestará especial atención al análisis de riesgos. Para empezar ten- drá que estar formalmente aceptado por la dirección de la organización y es obligatorio que esté documentada tanto la metodología utilizada, que debe ser coherente con la complejidad de la organización, como los resultados de dicho análisis de riesgos. El auditor ha de determinar si el análisis de riesgos cubre todo el alcance defi- nido por la organización y si es aceptable en función de los activos y la natu- raleza de la organización. También tiene que revisar que el análisis de riesgos y la gestión del mismo tiene en cuenta los cambios y si está actualizado. La selección de controles de acuerdo con la declaración de aplica- bilidad El auditor, en base a los riesgos analizados, determinará si se han seleccionado los controles adecuados para reducirlos. Asimismo, también tendrá que verifi- car que todos esos controles de seguridad quedan reflejados en la declaración de aplicabilidad y que la dirección aprueba el riesgo residual resultante de im- plantar estos controles. En este sentido, se tendrá que defender, ante el auditor, la no implementación de un control; los motivos pueden ser: • No existe un riesgo que lo justifique • Falta de presupuesto Alcance limitado Tal y como se ha comentado, es posible que un SGSI no in- cluya la totalidad de la organi- zación, sino que podría definir- se un alcance de un determi- nado proceso o un área con- creta de la organización.
  • 13. © FUOC • XP07/92089/00001 13 Auditoría de certificación • No hay viabilidad tecnológica • No se puede implantar por falta de tiempo • No es aplicable Las razones para excluir controles deben ser sólidas y coherentes. Ejemplo de extracto de una declaración de aplicabilidad Control Sí/ No Justificación 6.3.1. Comunicación de las incidencias de seguridad SÍ Es imprescindible para detectar las inci- dencias en un estado temprano y una de las bases para el proceso de mejora conti- nua. 7.1.5. áreas aisladas de carga y descarga NO No es aplicable, ya que la organización no dispone de áreas de carga y descarga. 8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organización no envía soportes físicos con información sensible o confidencial. El documento de declaración de aplicabilidad relaciona el análisis de riesgos con la situación de la seguridad, tanto para los auditores externos como in- ternos. Junto con el alcance y la política, constituye la base de la auditoría documental. El auditor comprueba la consistencia de los planteamientos referentes a la se- guridad entre los tres documentos. Revisión de la documentación de los controles seleccionados Deben documentarse todos los controles seleccionados por parte de la organi- zación, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones: • Está fechada y disponible. • Dispone de control de versiones. • Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799. En base a esta revisión de la documentación, podrían llegar a proponerse tres situaciones: • Elauditordetectagrandesnoconformidades.En este caso, el auditor rechaza la certificación y propone a la empresa auditada que rehaga la documentación del SGSI y que, pasado un tiempo, vuelva a requerir el proceso de auditoría. • Elauditordetectanoconformidadesmenores.En estos casos, el auditor propone a la organización auditada que exponga una serie de soluciones
  • 14. © FUOC • XP07/92089/00001 14 Auditoría de certificación para estas no conformidades. Será el auditor quien se encargue de decidir si estas soluciones previstas resolverán estas no conformidades. El auditado tendrá que proponer no sólo la solución, sino también un tiempo en el que se resolverá dicha no conformidad. En el caso de que el auditor decline estas soluciones, se indicará que tendrá que volver a solicitar la auditoría y, en el caso de que las soluciones que plantea la organización sean aceptadas por el auditor, procederá a requerir el paso a la segunda fase de la auditoría. • Elauditornodetectanoconformidades.En estos casos, el auditor pro- pone a la organización que pase a la segunda fase de la auditoría. La revisión de la documentación se realiza en las instalaciones del equipo au- ditor y en ningún momento tendrá que estar presencialmente en las instala- ciones y en contacto con la organización auditada. El informe de auditoría de esta primera fase se enviará a la organización para que la reciba y actúe en consecuencia. 1.2.2. Auditoría in-situ La segunda fase de la auditoría se desarrolla en las instalaciones de la organi- zación auditada y en ella el auditor realizará entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación real de la or- ganización. Entre la revisión documental y esta segunda fase deben pasar obligatoriamente entre tres y seis semanas, y el objetivo es: • Confirmar que la organización cumple con sus políticas y procedimientos. • Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma. • Verificar que el SGSI está logrando los objetivos que la organización se ha marcado. Planificación de la auditoría El proceso de auditoría de los controles puede no ser exhaustivo y, antes de iniciar la auditoría presencial, el equipo auditor podrá realizar una selección de los controles que van a ser auditados. En este sentido, la muestra deberá: • Incluir todos los controles críticos. • Seleccionar controles que afecten a las actividades más importantes de la organización. • Seleccionar controles de todas las secciones. • Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI.
  • 15. © FUOC • XP07/92089/00001 15 Auditoría de certificación • Dar prioridad a las áreas de mayor riesgo. • Si no se encuentran problemas serios, se auditarán un 20% de los controles aplicables. Una vez se ha realizado la muestra de controles, el equipo auditor elaborará un plan de auditoría que deberá incluir: • Alcance y objetivo de la auditoría. • Equipo por parte de la entidad y del solicitante. • Personal del solicitante con responsabilidad dentro del área afectada. • Documentos de referencia. • Áreas o departamentos que se auditarán. • Muestras de controles que se auditarán. • Agenda para las reuniones. • Contenido y estructura de los informes. Con anterioridad al desarrollo de la auditoría in-situ, el plan de auditoría será presentado al auditado para solicitar su conformidad. Realización de la auditoría Una vez aprobado por el solicitante el plan de auditoría, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solici- tante. En estas revisiones, el equipo auditor se deberá centrar en los siguientes aspectos: • El análisis de riesgos. • La declaración de aplicabilidad. • Los objetivos que persigue la organización. • Cómo se monitoriza/mide, y se informa y mejora. • Las revisiones del SGSI y de la seguridad. • El grado de implicación de la dirección. • La coherencia entre políticas, análisis de riesgos, objetivos, responsabili- dades, normas, procedimientos, datos de rendimiento y revisiones de se- guridad. Durante esta segunda fase de la auditoría el equipo auditor deberá realizar una visita a las instalaciones de la organización (por lo menos del alcance a certificar) y comprobará que los controles que ha seleccionado en la muestra cumplen con lo exigido en el estándar. Durante la realización de estas auditorías, los miembros del equipo auditor no podrán tocar ninguna máquina, pero podrán solicitar a los empleados de la organización que realicen las actividades que quieren evaluar para buscar evidencias que permitan decidir si un control está correctamente implantado o no.
  • 16. © FUOC • XP07/92089/00001 16 Auditoría de certificación Hay que tener en cuenta que el objetivo del auditor no es encontrar no conformidades (errores) en la organización, sino tratar de determinar si el sistema de gestión de la seguridad de la información cumple con lo establecido en la norma. Para la ejecución de estos procesos, el equipo auditor convocará reuniones con los miembros seleccionados por la organización para extraer la información necesaria y verificar la correcta o incorrecta implantación de los controles de seguridad establecidos por la organización. Finalmente, el equipo auditor elaborará informes sobre lo observado durante las entrevistas y redactará documentos de recomendaciones –si procede. Por último, convocará una reunión con la dirección de la organización para expli- car y comunicar lo observado durante esta segunda fase, y comunicarles los resultados de la auditoría. Entrevistas En esta segunda fase, el auditor busca evidencias objetivas sobre la implanta- ción y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. Estas evidencias pueden ser información obtenida a partir de los registros de actividad (logs), lo importante es que se base en medidas, en pruebas o en la observación y que sea verificable. El auditor está capacitado para solicitar al personal de la organización que le muestre cómo se han generado las evidencias. Estudio de las evidencias Para comprobar cómo se han generado las evidencias, el equipo auditor puede utilizar las siguientes técnicas: • Preguntas a los empleados • Observación • Revisión de documentos o registros • Muestreo • Resumen, análisis o evaluación La calidad de la entrevista de auditoría dependerá de la habilidad del auditor para realizar buenas preguntas. En este caso debe hacerse sentir cómodo al auditable para que no se sienta interrogado.
  • 17. © FUOC • XP07/92089/00001 17 Auditoría de certificación El tipo de preguntas que se hagan deben ser abiertas de forma que el auditado tenga que explicar ampliamente cómo realiza las diferentes acciones. Sólo pa- ra verificar aspectos muy concretos pueden hacerse preguntas cerradas cuya respuesta sea un sí o un no. Otro tipo de preguntas son las dirigidas, que buscan respuestas rápidas por parte del auditado: se le guía en la respuesta. Otros tipos de preguntas Las siguientes son otros tipos de preguntas que se pueden hacer: • Preguntas de opinión • Preguntas de investigación • Preguntas no-verbales (lenguaje corporal) • Preguntas repetidas • Preguntas sobre situaciones hipotéticas El objetivo de las entrevistas es extraer todas las evidencias necesarias para verificar que la documentación entregada al auditor en la primera fase refleja cómo está actuando la organización. Cierre de la auditoría Al final de la auditoría, el equipo auditor debe mantener una reunión con el solicitante para: • Agradecer su colaboración. • Recordar nuevamente el objetivo y alcance de la auditoría. • Dar un resumen del resultado de la auditoría. • Informar de las recomendaciones que va a dar el equipo de auditoría. • Preguntar si el solicitante tiene alguna cuestión que quiera aclarar. • Recoger la conformidad del solicitante. • Cerrar la auditoría. Las conclusiones y el informe de auditoría deberán basarse en: • Las dos etapas de la auditoría conjuntamente. • Las no conformidades encontradas. • La documentación, implantación y efectividad del SGSI. • Las fortalezas y debilidades de los departamentos respecto de las secciones de la norma ISO/IEC 17799:2005. • El compromiso de la dirección con la mejora continua. Ejemplos de preguntas • ¿Quién (lo hace)? • ¿Cada cuánto (se hace)? • ¿Cómo (se hace)? Muéstre- melo • ¿Dónde (se hace)? Mués- tremelo • ¿Cuándo (se hace)?
  • 18. © FUOC • XP07/92089/00001 18 Auditoría de certificación En este punto, al igual que al final de la primera fase de la auditoría se pueden producir tres decisiones: • Elauditordetectagrandesnoconformidades.En este caso, el auditor rechaza la certificación. Informa de las no conformidades graves que justi- fica el rechazo. Propone a la empresa auditada que mejore la implantación del SGSI y que pasado un tiempo vuelva a requerir el proceso de auditoría. • Elauditordetectanoconformidadesmenores.En este caso, el auditor solicita a la organización auditada que proponga una serie de soluciones para estas no conformidades. Será el auditor quien se encargue de decidir si estas soluciones previstas solucionarían las no conformidades. El auditado tendrá que proponer no sólo la solución, sino también un tiempo en el que se resolverá la no conformidad. En el caso de que el auditor rechace estas soluciones, se le indicará que tendrá que volver a solicitar la auditoría. En el caso de que las soluciones que plantea la organización sean aceptadas, el auditor procederá a requerir el paso nuevamente a la segunda fase de la auditoría. • Elauditornodetectanoconformidades.En este caso, el auditor propone la concesión de la certificación a la organización. En función de lo anterior el equipo auditor debe emitir la recomendación: • Se recomienda el registro si se considera que el SGSI es conforme con la norma. • Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en el caso de que se hayan encontrado no conformidades. • Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta. • Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área. La decisión de la certificación la toma el Comité de Certificación, que se basará en la información recogida durante las dos etapas del proceso de auditoría. Los miembros del Comité de Certificación pertenecen a la organización auditora, pero los integrantes del equipo auditor no pue- den participar en la toma de decisión final. En el caso de que la recomendación realizada por el equipo de auditoría sea el rechazo de la certificación, el Comité de Certificación no deberá cambiar su criterio; en cambio, si la recomendación es la aprobación de la certificación, el Comité puede denegarla.
  • 19. © FUOC • XP07/92089/00001 19 Auditoría de certificación En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo: • Nombre y dirección de la organización • Alcance de la certificación • Fecha de emisión del certificado y su periodo de validez • Versión de la declaración de aplicabilidad Una vez que se ha obtenido la certificación, se entregará el certificado y se entrará en un ciclo de revisión de la certificación: de forma anual se realizará una auditoría parcial (seleccionando controles concretos). Esta certificación estará vigente durante 3 años. En el caso de que durante una de las revisiones el auditor detecte que existen graves problemas de seguridad o no conformidades importantes, puede llegar a retirar el certificado.