Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web
1. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El perfil profesional
y la calificación de un auditor SGSI
sobre ISO 27001
Enric Nebot Teixidó
Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007
AUDITORIAAUDITORIA
de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE
SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN
segsegúúnn ISO/IEC 27001:2005ISO/IEC 27001:2005
2. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
índice
• Marco normativo
• Perfil profesional del auditor
• Titulaciones y certificados
• El equipo auditor en la certificación
• Audit team knowledge
3. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Marco normativo
• ISO/IEC 19011
• EA-7/03
• DIS ISO/IEC 27006:2006
4. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Ser auditor cualificado de ISO 27001
• Experiencia profesional:
– Tener al menos 4 años de experiencia en IT de los
cuales al menos dos años en Seguridad de la
Información
• Haber cursado y aprobado un training de 5 días
40 horas organizado por una entidad de
certificación acreditada
• Experiencia de al menos 4 auditorias con 20
horas, incluyendo revisiones de documentación
de análisis de activos, riesgos y reporting
• Formación académica
– Education at secondary level
• Otros...
5. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team training
7.2 DIS ISO 27006
6. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team competence
7.2 DIS ISO 27006
7. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
8. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to ISMS & audit
• Programar y planificar auditorías
• Tipos de auditoría y metodologías
• Information Security processes analysis
• Ciclo Deming de mejora contínua
• Auditorías internas de Seguridad de la
Información
9. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to regulatory requirements
– Propiedad intelectual
– Protecction organizational records
– Data protection&privacy
– Firma-e
– E-commerce
– Telecommunications interception &
monitoring
– Computer abuse
– Electronic evidence collection
– Penetration testing
– National sector specific requirements (e.g.
Banking)
10. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Audit team knowledge
• In relation to
Management
requirements
• Re-engineering of IS
risks
• ICT outsourcing security
risks
• Supply chain information
security risks
11. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El arte de auditar un SGSI
AUDITORIAAUDITORIA
de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE
SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN
segsegúúnn ISO/IEC 27001ISO/IEC 27001
Enric Nebot Teixidó
Director Comercial y de Desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007
12. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El arte de auditar un SGSI
• Auditar el cumplimiento de la ISO 27001:2005
• Reuniendo evidencias
• Que obtener
• Técnicas de preguntas
• Desarrollo de preguntas
• El arte de auditar
• Errores del auditor
• Tácticas negativas en el auditado
• Auditar el SGSI
• Auditar los controles
13. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
“Auditar la ISO 27001”
Auditar el SGSIAuditar los controles
Evaluar el cumplimiento y
plasmarlo en un informe de
Auditoría que puede culminar en
la consecución del certificado
14. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Reuniendo evidencias
• Entrevistar
• Examinar Documentos
• Observar actividades / condiciones
• Verificar Independientemente
• Tomar Notas
CAP.IV 7/20
15. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que Observar
• Escenarios
– Técnico (físico, lógico,sectorial)
– Legal
– Organizacional
• Equipo auditor coordinado desde el plan
inicial
CAP.IV 10/20
16. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que Observar
• Identidad del Personal
• Documentación
• Registros
• Producto
• Escenarios
– Técnico (físico, lógico)
– Legal
– Organizacional
• Planos / Diseños
• Hallazgos Reales
CAP.IV 10/20
17. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Técnica de Preguntas
• ¿Qué?
• ¿Por qué?
• ¿Cuándo?
• ¿Cómo?
• ¿Dónde?
• ¿Quién?
CAP.IV 12/20
18. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Desarrollo de Preguntas
• Muéstreme .... ?
• No comprendo .... ?
• Que pasa si .... ?
• Suponga que .... ?
• Usted está diciendo que .... ?
• Entiendo que .... ?
• Esto significa que .... ?
• Acercamiento en Silencio
CAP.IV 13/20
19. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El Arte de Auditar
• Ser objetivo / cortés
• Buscar no-conformidades
• Ser persistente
• Evitar críticas o discusiones
• Evitar manifestar propias conclusiones
• Mantener la independencia
• Decidir “in situ”
• Ser positivo
20. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Que debe evitar el auditor
• Mostrarse enfadado
• Hablar demasiado
• Llegue tarde
• Discutir
• Ser negativo
• Ser sarcástico
• Ser demasiado amistoso
• Ser reservado
• Hacer de consultor
21. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Tácticas negativas en el auditado
• Soborno
• Engaño / deshonestidad
• Excusas
• Olvido
• Interrupciones
• “Pobre de mí...”
• Pérdidas de tiempo, esperas
• Ausencia de auditados
• Súplicas
• Falta de colaboración
22. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Errores del Auditor
• Mal énfasis
• Falta de técnica
• Errores de semántica
• Error de lectura
• Errores de percepción
• Mala comprensión
• Distracción
• ¡Tengo razón!
23. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando el SGSI
•Revisión documental de cada unos de los procedimientos
de gestión del SGSI (clauses 4 to 8)
• Clause 4 ISO 27001
• Management Responsabilities
• Auditorías internas
• Revisiones por parte de la dirección
• Revisión documental de los registros del SGSI
• Auditar RA, RE, RTP y selección de controles
24. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando controles
•Procedimiento de implementación de controles
•SoA
• Roles y propietarios de cada uno de ellos
• Procedimientos propios de los controles
•Revisión de cumplimiento
25. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Con el objeto de auditar para conseguir un nivel aceptable en
materia de la seguridad de la información es condición
indispensable determinar los controles específicos de la norma ISO
27001: 2005. Para ello es condición sine qua non disponer de la
DECLARACIÓN DE APLICABILIDAD (en adelante SoA ,Statement
of Applicability), declarada a partir del Análisis y tratamiento de
riesgos. En este sentido cabe mencionar que la misma norma ISO
específica que no es necesario aplicar todos los controles definidos
y que además pueden ser aplicables nuevos controles según los
requerimientos y el alcance de los trabajos.
A partir de estos requerimientos de seguridad el proceso de
Auditoría se centrará en la evaluación del tratamiento y gestión de
riesgos relativos a la seguridad de la Información, la
implementación de los controles ISO 27001 según el SoA, el
cumplimiento legal, regulatorio y contractual relacionado con la
Seguridad de la Información y el establecimiento del cumplimiento
del ciclo de vida PDCA del Sistema de Gestión de Seguridad de la
Información en la organización.
26. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Como auditar los controles
• Sobre todos/algunos de los controles del SoA,
la auditoría debe contemplar inspecciones del
tipo:
– Control organizacional
• Revisión documental, entrevistas,
observaciones e inspección física
– Control técnico
• Medir la efectividad mediantes system
testing o mediante herramientas de
audit/reporting
– System testing
– Inspección visual
27. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditando controles
28. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El fenómeno campo “Observaciones”
• System Testing:
– Directo a la BBDD (Ms Acess, Oracle, SQL
Server)
– “SELECT OBSERVACIONES FROM CLIENTES”
• Riesgos de confidencialidad
– VISA...teléfonos móviles, información de
impagados, información de familiares
• Riesgos de incumplimiento LOPD
– Calidad, nivel de seguridad mayor que el
definido
• Observación en la auditoría
29. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Code of Professional Ethics
30. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
El proceso de auditoría
de certificación del SGSI
AUDITORIAAUDITORIA
de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DE
SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN
segsegúún ISO 27001n ISO 27001
Enric Nebot Teixidó
Director Comercial y de desarrollo ECA CERT CERTIFICACIÓN
22 de marzo 2007
31. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
La certificación ISO 27001
32. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Petición de la organización, entrega presupuesto, aceptación
STAGE 1. REVISIÓN DOCUMENTAL
para conocer la desviación del sistema con relación al estándar: Revisión de los
documentos del SGSI para decidir si éstos se ajustan a la normativa y se recomienda
la certificación, Activos, Declaración de aplicabilidad, Análisis de riesgos, Política de
seguridad, Aspectos legales de la seguridad de la Información
STAGE 2. AUDITORIA DEL SGSI Y DE CONTROLES
Auditoria del SGSI, tratamiento del riesgo, implementación de controles,
revisión de documentación, Plan de continuidad de negocio, Gestión de
incidencias, Formación y sensibilización, etc.
REUNIÓN DE CIERRE Y ENTREGA INFORME DE AUDITORIA
Medidas correctivas, aspectos de mejora,
EMISIÓN DEL CERTIFICADO
para que pueda utilizarlo en sus relaciones con cliente y
proveedores
STAGE O. PLAN DE AUDITORÍA
Estudio de la complejidad de la organización, elaboración del plan de
auditoría, designación del equipo auditor.
33. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 0 Plan de auditoría
• Estudio de la complejidad de la
organización
• Tiempos de auditoría
• Designación del equipo auditor
• Elaboración del plan de auditoría
• Envío a la organización del plan de
auditoría
34. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Complejidad de la organización
• Dependiendo de la complejidad de la
organización:
– Determinaremos el equipo auditor
– Determinaremos el tiempo de auditoría
(junto con otros factores)
• La complejidad la determinan diversas
circunstancias de la organización que
determinarán un nivel (riesgo potencial)
• Alto
• Medio
• Bajo
35. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Tiempos de auditoría
• A según num.empleados
– (66-85) A=6 days
– (876-1175) A=13 days
• +(1 -3) days document review
• + 2 days audit control ISO 27002
• + 0.5 x # sites
• + factor (si sector riesgo alto)
• Valor ejemplo -> 25 días de auditoria en una
empresa de 1200 empleados con nivel alto de
riesgo
36. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 1. Reunión con dirección
• Plan de Auditoría
• Equipo auditor
37. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 1. Revisión documental
• Revisión documental
– Alcance
– Política alto nivel
– DML
– Cumplimiento legal
– Procedimientos de gestión del SGSI
– Evaluación de riesgos
– SoA
– Proceso de implantación de controles
– Gestión de incidencias
– Comité de seguridad
38. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Stage 2. Auditoría in-situ
• Auditoría según el plan
• Auditando el sistema
• Auditando los controles
• Revisión técnica
• Revisión documental
• Mediante entrevistas
• Mediante inspección física
• Mediante testing/tools
• A usuarios, responsables,externos
• Por muestreo , a todos los sites
39. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
•Revisiones exclusiones de la Declaración de Aplicabilidad y
hallazgos de la Revisión documental de la FASE I
•Auditoría del proceso de Análisis de Riesgos, su tratamiento y los
controles asociados
•Entrevistas con los diversos departamentos o áreas de la empresa
o empresas.
•Evaluación del SGSI, establecimiento, monitorización, revisión y
auditorías internas
•Análisis de los sistemas, revisión de las instalaciones y de
procedimientos.
•Auditoría de implementación de los controles relacionados en
los principales sistemas de información de procesos de
negocio, comunicación, y almacenamiento de datos.
•Evaluaciones y auditoría de los controles relacionados en los
sistemas de teletrabajo, en el Centro de Datos y en la relación
y procedimientos de trabajo relacionados con los mismos.
Stage 2. Auditoría in-situ
40. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
•Evaluación del grado de conocimiento de seguridad de la
información por parte de los usuarios, concienciación de
seguridad y gestión de incidentes.
•Auditoria de los procedimientos y actuaciones relacionados
con la Gestión de incidencias
•Auditoría de aspectos relacionados con Recursos Humanos
(controles A8 ISO 27001:2006), Plan de Continuidad de
negocio (controles A14 ISO 27001:2006)
•Revisión del establecimiento del marco legal, regulatorio y
contractual y del cumplimiento de las obligaciones legales
establecidas en materia de Protección de datos personales,
Propiedad intelectual e Internet, Ley de Servicios de la
Sociedad de la Información y del Comercio Electrónico.
Stage 2. Auditoría in-situ
41. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Reunión de Cierre
• Introducción
• Reseña
• Impresión General
• Puntos específicos
• Conclusiones
• Respuesta del Auditado
• Recomendaciones de mejora
• Firma de no-conformidades
• Agradecimientos al Auditado
• Despedida
CAP.IV 20/20
42. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Auditorías de seguimiento
• A intervalos planeados desde el programa de
auditoría
• Normalmente cada seis meses
• En algunas auditorías del SGSI se audita el
alcance parcialmente para conseguir la
certificación al final del proceso
• A los tres años se requiere una recertificación
43. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
Factores de éxito de un SGSI
En la certificación
Obtener el compromiso de la dirección en todo el proceso
Adecuar el alcance inicial del SGSI con el objetivo de certificarlo
posteriormente
Contar con una ENTIDAD ACREDITADA con suficiente experiencia y
conocimiento y que conozca su sector de negocio
Preparar adecuadamente la auditoría, tener todo en regla, el equipo
formado
Adecuar el plan de auditoria y las auditorias de seguimiento a los
objetivos de negocio obteniendo indicadores y métricas tangibles
En la implantación del SGSI: …
En la fase inicial se debe tener en cuenta: …
44. AUDITORIA SGSI ISO 27001
El auditor de SGSI ISO 27001
ISO 27001
Sistema de Gestión de
Seguridad de la Información
Muchas gracias por vuestra
atención.
¿Nos vemos en la auditoria?
Enric Nebot Teixidó
Director Comercial y de Desarrollo
ECA CERT