SlideShare una empresa de Scribd logo

Trabajo Auditoria

Christopher Ticeran Lopez
Christopher Ticeran Lopez

Auditoria de Sistemas Estandares ISO 27001

TecnologíaEmpresariales
1 de 10
Descargar para leer sin conexión
ESCUELA DE INGENIERÍA FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORIA DE SISTEMAS TITULO: “Estándares ISO 27001” Estándares 27001 ESTUDIANTE: Ticerán López, Christopher DOCENTE: ING.CIP CARLOS CHÁVEZ MONZÓN ING. CICLO: VIII CHIMBOTE-PERÚ CHIMBOTE 2009
Auditoria de Sistemas Estandares ISO 27001 implementado en Auditoria de Sistemas El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre ) de 2005 por International Organization for Stand Standardization y por la comisión International Electrotechnical Commission Commission. ISO 27001 es una norma internacional, que establece requisitos relacionados con los Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar sus riesgos e implantar los controles adecuados para mantener la confidencialidad, integridad y disponibilidad de sus activos de información. Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por 2:2002 auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición 2, para aquellas empresas certificadas en esta última. En su Anexo A, enumera en última. forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; s a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE ISO/IEC 27001:2007 y á UNE-ISO/IEC puede adquirirse online en AENOR. Otros países donde también está publicada . en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en Argentina inglés y la traducción al francés pueden adquirirse en ISO.org. Especifica los requisitos necesarios para establecer, implantar, mantener y implantar, mejorar un Sistema de Gestión de la Seguridad de la Información. INGENIERÍA DE SISTEMAS Página 2
Auditoria de Sistemas Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y a proporcionales. INGENIERÍA DE SISTEMAS Página 3
Auditoria de Sistemas Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que Datos hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de po todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías protección de datos (que hayan tecnologías, realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información información. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está garantizar protegida. El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. INGENIERÍA DE SISTEMAS Página 4
Auditoria de Sistemas Proporciona una ventaja competitiva al cumplir los requisitos contractuales na y demostrar a los clientes que la seguridad de su información es primordial. • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que gestionados formaliza los procesos, procedimientos y documentación de protección de la información. • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. • El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. ISO 27001 - un marco de Cumplimiento Normativo ISO 27001 también puede ayudar a crear un marco que ayuda a las ventas del crear Reino Unido y los departamentos de marketing cumplir con el Reglamento de Telecomunicaciones 1998 (protección de datos y de privacidad). Aparte de la Ley de Protección de Datos de 1998, todas las organizaciones del Reino Unido debe cumplir con la Ley de abuso de la informática 1990, la Ley de Derechos Humanos de 1998, el Reglamento de la Ley de Facultades Investigadora 2000 y el Derecho de Autor, Diseños y Patentes Ley 1988. Las organizaciones del sector público del Reino Unido que, además, cumplir con la Freedom of Information Act 2000. ISO 27001 es el paso esencial para efectuar y demostrar el cumplimiento de esta legislación. También hay relaciones claras entre la ISO 27001 y las recomendaciones de la elaciones Información de Seguridad de las Directrices de la OCDE de 2002 y el papel del Comité de Basilea "buenas prácticas para la Gestión y Supervisión del Riesgo Operativo". En los Estados Unidos, los requisitos reglamentarios y el cumplimiento de impuestos, por ejemplo, la Ley Gramm Gramm-Leach-Bliley Act (GLBA), la Health Bliley Insurance Portability and Availability (HIPAA), el californiano SB 1386 y la Ley de Protección en Línea personales como Bueno, por supuesto, como la Ley ínea Sarbanes-Oxley (SOX) y la Federal de Seguridad de Información de Gestión Ley, Oxley son mejor atendidas mediante el desarrollo de un sistema de información de gestión de seguridad que está integrado, global y ampliamente reconocido incorpora las mejores prácticas. Esto es precisamente lo que establece la ISO 27001. INGENIERÍA DE SISTEMAS Página 5
Auditoria de Sistemas Requisitos para la certificación ISO / IEC 27001 se escribe como una especificación formal de tal manera que están destinados los auditores de certificación acreditado para poder utilizar la norma como una descripción formal de los temas que sus clientes deben tener para ser certificadas conformes. Pues sí especificar ciertos documentos obligatorios de forma explícita . Sin embargo, en otros ámbitos es más vaga y, en la práctica, los documentos son comúnmente exigido, incluyendo algunos tica, elementos que proporcionan los auditores de las pruebas o la prueba de que el SGSI está en funcionamiento. El siguiente diagrama (tomado de la guía ISO27k) muestra en ¿Qué etapas del proceso de ISO27k implementación típica de la mayoría de los documentos que se producen normalmente: INGENIERÍA DE SISTEMAS Página 6
Auditoria de Sistemas ISO 27001: ¿Hacia un cumplimiento obligatorio? Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC BS 2 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el import ajetreado mundo de la certificación. Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de y exigente Seguridad de la Información (SGSI). No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de los Gestión de la Calidad: ISO 9001. Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo. 9001, Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la manera información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada. En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano. ablando Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas recordemos, prácticas y no el estándar certificable- es de uso obligatorio en todas las certificable instituciones públicas desde el año 2004, fijando así un estándar para la las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar. INGENIERÍA DE SISTEMAS Página 7
Auditoria de Sistemas Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede corresponde, desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere. Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Información, Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Hold Holdings Plc. La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta có actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas. Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy resul familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo. Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos ap aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados. Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott rnance, L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad cumplimiento de la Información. Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre. Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving del Business Results and Mitigating Financial Risk. Según los datos que recoge el INGENIERÍA DE SISTEMAS Página 8
Auditoria de Sistemas informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información superan la media de ingresos en un 17%, que Información- se traduce en un 13,8% más de beneficios. Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para mercado. entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información. Áudea Seguridad de la Información Manuel Díaz San Pedro Consultor de Seguridad. FASES INGENIERÍA DE SISTEMAS Página 9
Auditoria de Sistemas ISO / IEC 27001, por medio de certificaciones ~ 1.000 por año Un número de organismos de certificación acreditados por organismos nacionales de normalización (como la British Standards Institution y el Instituto Nacional de Ciencia y Tecnología) para examinar el cumplimiento de la norma ISO / IEC 27001 y expedir certificados. Más de 5.600 organizaciones en todo el mundo ya han sido certificados conformes con la norma ISO / IEC 27001 o equivalente variantes nacionales: El gráfico muestra el número cada vez mayor de la norma ISO / IEC 27001 certificados informado por el sitio Ted Humphrey ISO27001certificates.com de los últimos años. Ted rutinariamente recibe y recopila información sobre la norma ISO / IEC 27001 certificados expedidos por organismos de certificación en todo el mundo. INGENIERÍA DE SISTEMAS Página 10

Recomendados

ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoriaBilkys
 
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoriaAdrian Sigueñas Calderon
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 

Recomendados

ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoriaBilkys
 
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoriaAdrian Sigueñas Calderon
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadjosue hercules ayala
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión
Introducción a los sistemas de gestiónIntroducción a los sistemas de gestión
Introducción a los sistemas de gestióndavidrami2806
 
Iso 20000
Iso 20000Iso 20000
Iso 20000hperez-ti
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSIWiley Caceres
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17MARIA DEL CARMEN MARADIAGA SUAZO
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCRISTIAN FLORES
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)Anders Castellanos
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Samir Villalta
 
Articulo
ArticuloArticulo
ArticuloManu Mujica
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoDiego Cueva Córdova
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionJose Carlos Rojas
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacAlexander Velasque Rimac
 
Iso27001
Iso27001Iso27001
Iso27001guest4740865e
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010fasismateo
 

Más contenido relacionado

La actualidad más candente

Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión
Introducción a los sistemas de gestiónIntroducción a los sistemas de gestión
Introducción a los sistemas de gestióndavidrami2806
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSIWiley Caceres
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCRISTIAN FLORES
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Samir Villalta
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionJose Carlos Rojas
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 

La actualidad más candente (20)

Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión
Introducción a los sistemas de gestiónIntroducción a los sistemas de gestión
Introducción a los sistemas de gestión
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSI
 
Presentacion politicas-04-02-17
Presentacion politicas-04-02-17Presentacion politicas-04-02-17
Presentacion politicas-04-02-17
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)Sistemas de Gestión de Seguridad de la Información (SGSI)
Sistemas de Gestión de Seguridad de la Información (SGSI)
 
Articulo
ArticuloArticulo
Articulo
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacion
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Iso27001
Iso27001Iso27001
Iso27001
 

Destacado

Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010fasismateo
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicasespanol
 

Destacado (8)

Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010La seguridad del paciente quirúrgico. Hospital de Jerez 2010
La seguridad del paciente quirúrgico. Hospital de Jerez 2010
 
Programa 9's
Programa 9'sPrograma 9's
Programa 9's
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
 

Similar a Trabajo Auditoria

Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcelamarzeth
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 

Similar a Trabajo Auditoria (20)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Estandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo MarcelaEstandaresiso27001 Hinostroza Cirilo Marcela
Estandaresiso27001 Hinostroza Cirilo Marcela
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO / IEC 27001
ISO / IEC 27001 ISO / IEC 27001
ISO / IEC 27001
 

Último

#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y maslida630411
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 

Último (20)

#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y mas
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 

Trabajo Auditoria

  • 1. ESCUELA DE INGENIERÍA FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORIA DE SISTEMAS TITULO: “Estándares ISO 27001” Estándares 27001 ESTUDIANTE: Ticerán López, Christopher DOCENTE: ING.CIP CARLOS CHÁVEZ MONZÓN ING. CICLO: VIII CHIMBOTE-PERÚ CHIMBOTE 2009
  • 2. Auditoria de Sistemas Estandares ISO 27001 implementado en Auditoria de Sistemas El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre ) de 2005 por International Organization for Stand Standardization y por la comisión International Electrotechnical Commission Commission. ISO 27001 es una norma internacional, que establece requisitos relacionados con los Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar sus riesgos e implantar los controles adecuados para mantener la confidencialidad, integridad y disponibilidad de sus activos de información. Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por 2:2002 auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición 2, para aquellas empresas certificadas en esta última. En su Anexo A, enumera en última. forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; s a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE ISO/IEC 27001:2007 y á UNE-ISO/IEC puede adquirirse online en AENOR. Otros países donde también está publicada . en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en Argentina inglés y la traducción al francés pueden adquirirse en ISO.org. Especifica los requisitos necesarios para establecer, implantar, mantener y implantar, mejorar un Sistema de Gestión de la Seguridad de la Información. INGENIERÍA DE SISTEMAS Página 2
  • 3. Auditoria de Sistemas Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y a proporcionales. INGENIERÍA DE SISTEMAS Página 3
  • 4. Auditoria de Sistemas Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que Datos hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de po todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías protección de datos (que hayan tecnologías, realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información información. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está garantizar protegida. El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. INGENIERÍA DE SISTEMAS Página 4
  • 5. Auditoria de Sistemas Proporciona una ventaja competitiva al cumplir los requisitos contractuales na y demostrar a los clientes que la seguridad de su información es primordial. • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que gestionados formaliza los procesos, procedimientos y documentación de protección de la información. • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. • El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. ISO 27001 - un marco de Cumplimiento Normativo ISO 27001 también puede ayudar a crear un marco que ayuda a las ventas del crear Reino Unido y los departamentos de marketing cumplir con el Reglamento de Telecomunicaciones 1998 (protección de datos y de privacidad). Aparte de la Ley de Protección de Datos de 1998, todas las organizaciones del Reino Unido debe cumplir con la Ley de abuso de la informática 1990, la Ley de Derechos Humanos de 1998, el Reglamento de la Ley de Facultades Investigadora 2000 y el Derecho de Autor, Diseños y Patentes Ley 1988. Las organizaciones del sector público del Reino Unido que, además, cumplir con la Freedom of Information Act 2000. ISO 27001 es el paso esencial para efectuar y demostrar el cumplimiento de esta legislación. También hay relaciones claras entre la ISO 27001 y las recomendaciones de la elaciones Información de Seguridad de las Directrices de la OCDE de 2002 y el papel del Comité de Basilea "buenas prácticas para la Gestión y Supervisión del Riesgo Operativo". En los Estados Unidos, los requisitos reglamentarios y el cumplimiento de impuestos, por ejemplo, la Ley Gramm Gramm-Leach-Bliley Act (GLBA), la Health Bliley Insurance Portability and Availability (HIPAA), el californiano SB 1386 y la Ley de Protección en Línea personales como Bueno, por supuesto, como la Ley ínea Sarbanes-Oxley (SOX) y la Federal de Seguridad de Información de Gestión Ley, Oxley son mejor atendidas mediante el desarrollo de un sistema de información de gestión de seguridad que está integrado, global y ampliamente reconocido incorpora las mejores prácticas. Esto es precisamente lo que establece la ISO 27001. INGENIERÍA DE SISTEMAS Página 5
  • 6. Auditoria de Sistemas Requisitos para la certificación ISO / IEC 27001 se escribe como una especificación formal de tal manera que están destinados los auditores de certificación acreditado para poder utilizar la norma como una descripción formal de los temas que sus clientes deben tener para ser certificadas conformes. Pues sí especificar ciertos documentos obligatorios de forma explícita . Sin embargo, en otros ámbitos es más vaga y, en la práctica, los documentos son comúnmente exigido, incluyendo algunos tica, elementos que proporcionan los auditores de las pruebas o la prueba de que el SGSI está en funcionamiento. El siguiente diagrama (tomado de la guía ISO27k) muestra en ¿Qué etapas del proceso de ISO27k implementación típica de la mayoría de los documentos que se producen normalmente: INGENIERÍA DE SISTEMAS Página 6
  • 7. Auditoria de Sistemas ISO 27001: ¿Hacia un cumplimiento obligatorio? Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC BS 2 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el import ajetreado mundo de la certificación. Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de y exigente Seguridad de la Información (SGSI). No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de los Gestión de la Calidad: ISO 9001. Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo. 9001, Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la manera información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada. En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano. ablando Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas recordemos, prácticas y no el estándar certificable- es de uso obligatorio en todas las certificable instituciones públicas desde el año 2004, fijando así un estándar para la las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar. INGENIERÍA DE SISTEMAS Página 7
  • 8. Auditoria de Sistemas Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede corresponde, desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere. Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Información, Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Hold Holdings Plc. La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta có actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas. Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy resul familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo. Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos ap aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados. Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott rnance, L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad cumplimiento de la Información. Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre. Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving del Business Results and Mitigating Financial Risk. Según los datos que recoge el INGENIERÍA DE SISTEMAS Página 8
  • 9. Auditoria de Sistemas informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información superan la media de ingresos en un 17%, que Información- se traduce en un 13,8% más de beneficios. Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para mercado. entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información. Áudea Seguridad de la Información Manuel Díaz San Pedro Consultor de Seguridad. FASES INGENIERÍA DE SISTEMAS Página 9
  • 10. Auditoria de Sistemas ISO / IEC 27001, por medio de certificaciones ~ 1.000 por año Un número de organismos de certificación acreditados por organismos nacionales de normalización (como la British Standards Institution y el Instituto Nacional de Ciencia y Tecnología) para examinar el cumplimiento de la norma ISO / IEC 27001 y expedir certificados. Más de 5.600 organizaciones en todo el mundo ya han sido certificados conformes con la norma ISO / IEC 27001 o equivalente variantes nacionales: El gráfico muestra el número cada vez mayor de la norma ISO / IEC 27001 certificados informado por el sitio Ted Humphrey ISO27001certificates.com de los últimos años. Ted rutinariamente recibe y recopila información sobre la norma ISO / IEC 27001 certificados expedidos por organismos de certificación en todo el mundo. INGENIERÍA DE SISTEMAS Página 10