Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades.
Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades.
Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
Un análisis del proceso de responsabilidad y autoridad en la seguridad de la información en las empresas.
Vamos a cubrir:
• Como establecer la organización de la seguridad de la información en las empresas.
• Asignación de roles, responsabilidades y autoridad en los procesos del SGSI.
• Asignación de roles, responsabilidades y autoridad en los controles de la seguridad de la información.
Presentador:
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Certificados ISO 27001 Master, consultor, auditor e instructor internacional en Sistemas de Gestión de Riesgos.
Organizador: Ardian Berisha
Data: November 16, 2016
Link of the recorded session published on YouTube: https://youtu.be/OF3l_9QeJAA
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
http://sg.com.mx/sgce/2013/sessions/introducci%C3%B3n-cobit-5
En 2012 ISACA emitió la versión número cinco de COBIT, poniendo a disposición de las empresas un marco de referencia que integra de manera holística las mejores prácticas de gobierno y gestión de TI, facilitando un entendimiento armonizado del enredado mundo de los estándares y marcos de referencia internacionales. COBIT 5 construye y consolida la experiencia de más de 15 años de uso práctico y aplicación por las comunidades internacionales de usuarios del negocio, tecnologías de la información, seguridad, riesgos y auditoría. En esta conferencia se presentarán los principios y herramientas que aporta COBIT 5 y como usarlos en una empresa para obtener un valor óptimo de la información y las tecnologías relacionadas, asegurando la obtención de beneficios en tanto se optimizan los niveles de riesgo y uso de recursos.
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI07 Auditoria proceso desarrollo software
Building an effective Information Security RoadmapElliott Franklin
As company information security functions continue to grow each year with increasing attacks and regulations, how are you handling the
pressure? Are you constantly battling to run the business projects and reacting to customer requests? Have you blocked off a few hours each week
on your calendar to close your email, turn off your phone and try to build, assess and maintain an effective vision for your security team? This
presentation will discuss a cascading approach to creating such a roadmap that is easily understood by executives and has helped gain quick buy
in for multiple enterprise wide security projects.
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
Un análisis del proceso de responsabilidad y autoridad en la seguridad de la información en las empresas.
Vamos a cubrir:
• Como establecer la organización de la seguridad de la información en las empresas.
• Asignación de roles, responsabilidades y autoridad en los procesos del SGSI.
• Asignación de roles, responsabilidades y autoridad en los controles de la seguridad de la información.
Presentador:
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Certificados ISO 27001 Master, consultor, auditor e instructor internacional en Sistemas de Gestión de Riesgos.
Organizador: Ardian Berisha
Data: November 16, 2016
Link of the recorded session published on YouTube: https://youtu.be/OF3l_9QeJAA
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
http://sg.com.mx/sgce/2013/sessions/introducci%C3%B3n-cobit-5
En 2012 ISACA emitió la versión número cinco de COBIT, poniendo a disposición de las empresas un marco de referencia que integra de manera holística las mejores prácticas de gobierno y gestión de TI, facilitando un entendimiento armonizado del enredado mundo de los estándares y marcos de referencia internacionales. COBIT 5 construye y consolida la experiencia de más de 15 años de uso práctico y aplicación por las comunidades internacionales de usuarios del negocio, tecnologías de la información, seguridad, riesgos y auditoría. En esta conferencia se presentarán los principios y herramientas que aporta COBIT 5 y como usarlos en una empresa para obtener un valor óptimo de la información y las tecnologías relacionadas, asegurando la obtención de beneficios en tanto se optimizan los niveles de riesgo y uso de recursos.
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI07 Auditoria proceso desarrollo software
Building an effective Information Security RoadmapElliott Franklin
As company information security functions continue to grow each year with increasing attacks and regulations, how are you handling the
pressure? Are you constantly battling to run the business projects and reacting to customer requests? Have you blocked off a few hours each week
on your calendar to close your email, turn off your phone and try to build, assess and maintain an effective vision for your security team? This
presentation will discuss a cascading approach to creating such a roadmap that is easily understood by executives and has helped gain quick buy
in for multiple enterprise wide security projects.
La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI
La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI
Cómo considerar el riesgo legal y quién debe medirlo: claves para el análisis y la repartición de responsabilidades en cuanto al control seguimiento y reporting. Cómo establecer una política para la evaluación del riesgo legal: Hasta dónde valorar y qué nivel de riesgo tolerar. Claves para establecer Medidas Mitigadoras (PTA/deadline) para la gestión Integral del riesgo Legal
PERITAJE CIVIL DE DIFRENTES TIPO DE AUDITORIOA LOS CUALES LOS PUEDE PLICAR DESARROLLANDO LOS DIFERENTES TEMAS DE PERITAJ EN DETERMINAS EMPPRESAS AYA SEAN DEL SECTOR PUBLICO O PRIVADO
Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...
No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de
una manera ordenada y metódica, mediante un proceso.
Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.
Cybersecurity seminar which include a long list of topics like introduction to cybersecurity, logic and physical control, digital threats, social engineering, tehnical and non-technical cyber solutions/controls, IT assets best practices, confidential information management, password management, etc.
Captación y registro de comunicaciones orales y de imagenRamiro Cid
La presentación detalla los conceptos principales de la Ley Orgánica 13/2005 que regula en España la captación de comunicaciones orales y de imagen - Registros remotos de dispositivos informáticos. Una de las características principales de modificación de la Ley de Enjuiciamiento Criminal (LECrim) para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica permite a la Policía Judicial la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos y la utilización de dispositivos técnicos de captación de la imagen, seguimiento y de localización.
In the last years we are reading more and more news about massive (millions) breach of passwords in web services as communities, emails services, cloud services and others.
Hackers simply are obtaining money stealing passwords and selling or misusing them.
This presentation is focus on how to protect our accounts and with this also keep sure our digital identity, our image and also our money safe from hackers businesses.
The current presentation is based on different Cyber Security Threats for 2017 published in Internet. All threats are explained at a high level but at the end of this presentation all references URL are present if you want to investigate deeply any threat.
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
Cada vez es mayor el reto que supone proteger nuestros activos TI frente a las crecientes amenazas y ataques.
Una vez que alguna aplicación maliciosa entra en nuestras redes, puede desplazarse rápidamente con el tráfico y causar estragos en toda la red.
Lean Six Sigma is a process improvement methodology that relies on a collaborative team effort to improve performance by systematically removing waste, combining Lean and Six Sigma to eliminate the eight kinds of waste
Lean Six Sigma projects comprise aspects of Lean's waste elimination and the Six Sigma focus on reducing defects
IT Governance or Corporate governance of information technology is a subset discipline of corporate
governance, focused on information and technology (IT) and its performance and risk management.
The interest in IT Governance is due to the ongoing need within organizations to focus value creation efforts
on an organization's strategic objectives and to better manage the performance of those responsible for creating this value in the best interest of all stakeholders.
This presentation talks about the relation between Cyber Security Resilience & risk aggregation. Both concepts have a near relationship because Risk aggregation refers to efforts done by firms to develop quantitative risk measures that incorporate multiple types or sources of risk.
Cyber Security Resilience is the capacity to have different Cyber controls which can provide the organization an adequate resilience according the organization risk appetite by doing risk management of the aggregation of multiple types or sources of risk.
On 14/4/2016 EU Data Privacy had been approved the regulation which is, nowadays, mandatory. However companies have 2 years to carry out its suitability before receiving an economic penalty for not having completed it - deadline: 25/05/2016
Nowadays the payment fraud landscape is changing quite fast. Changing from classic schemes as bank cheque fraud, faked manual payment orders to organized crime with corporates as targets
Currently, market has a wide range of systems, products and services focused on computer security services: Antivirus, Antispyware, Firewalls, IPS, WAF, SIEM systems, etc.
All these measures are indispensable and have become a priority for any company or organization towards ensuring its assets, but social engineering plays with the advantage that you can use techniques that violate own vulnerabilities inherent in human beings and, as is well known, for this there is no patch or upgrade that provides effective protection against such attacks.
People is normally “the weak link in the chain”.
Some of you maybe made some risk analysis in the past, and maybe some others use to do risk analysis in a regular basis.
Some people use Octave, CRAMM, NIST or other risk analysis methodologies, but… Have you ever though if you have a GAP in the way you use to do your analysis?
Have you ever thought that you may have a lack of visibility in the way it makes your analysis?
This presentation if focuses on the last question.
Drones and their use on critical infrastructureRamiro Cid
The use of unmanned aerial vehicles (drones) is increasing for both leisure and commercial purposes, so it is more and more an extended practice.
The different uses are many and the list continue growing, thus some issues started to appear which need regulations and best practices to try to control the use in a correct way.
Internet of things, big data & mobility vs privacyRamiro Cid
Relationship between Internet of things, big data & mobility vs privacy.
How to protect ourselves against a misuse of our private data and protect our privacy?
Until now, when people talk about cloud computing, it’s usually understood that the cloud is a metaphor for groups of remote, networked servers. Now “space computing” means it literally: physical servers operating in outer space.
Internet of Things ( IoT ) will be all in the future, are we ready for this 4th revolution ? My presentation will show the main topics regarging IoT, including the history, the applications and some arguments behind it, including criticism and controversies.
Cyber Security introduction. Cyber security definition. Vulnerabilities. Social engineering and human error. Financial cost of security breaches. Computer protection. The cyber security job market
Cyber Security Awareness introduction. Why is Cyber Security important? What do I have to do to protect me from Cyber attacks? How to create a IT Security Awareness Plan ?
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría UNE 71502
El modelo del sistema está basado en el modelo PDCA
El desarrollo de la seguridad se basa en un A.R.
(Análisis de Riesgos)
Incluye los requerimientos funcionales del sistema de gestión (SGSI)
Incluye los requerimientos para verificar la efectividad del sistema
Introduce indicadores de seguridad o métricas en el sistema
Está alineado con ISO 9000 o ISO 14000
3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Certificación de organizaciones
¿Cómo se puede aportar a…
Nuestros clientes,
Mercado,
La sociedad
… la confianza necesaria de que somos capaces de cumplir sus
requisitos?
Si un tercero independiente certifica que lo estamos haciendo bien, de
acuerdo a un esquema con el que los dos estamos conformes, el
problema está resuelto
4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Ventajas de la certificación
EXTERNAS:
Aumenta la credibilidad y confianza de clientes y administración
Facilita el intercambio y acceso a mercados externos
Evita o disminuye evaluaciones sobre nuestros productos o servicios
Elemento diferenciador con la competencia
Fidelización de clientes
Facilitar la compra al consumidor
5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Ventajas de la certificación
INTERNAS:
Proporciona confianza a las personas de la organización
Reduce costes
Aumenta la motivación del personal
Mejora de la satisfacción del cliente
Mejora de la satisfacción del personal
Mejora los procesos
Mejora del producto o servicio
6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría de Seguridad: Objetivos
Evaluar la efectividad de la organización con respecto al uso de recursos
Evaluar los sistemas y procesos que se desarrollan en la organización
Detectar y prevenir posibles errores y fraudes
Evaluar el riesgo y los sistemas de seguridad de las organizaciones
Elaboración de planes de contingencia y recuperación
en caso de desastres
7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Equipo auditor: Requisitos EESSI
• Calificaciones académicas necesarias
• Los últimos cuatro años trabajando con las IT y de
estos los dos últimos relacionados con la seguridad
de las IT.
• Conocimientos sobre procesos de análisis y gestión
del riesgo.
• Haber participado como mínimo en 3 auditorías a
organizaciones como miembro de un equipo auditor
• Cualidades para el proceso de asesoramiento a la
organización que está evaluando.
• Capacidad para comunicar los resultados obtenidos
tanto vía oral como escrita.
Equipo auditor
Auditor líder
Auditores
8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Equipo auditor
Para asegurar su imparcialidad, la entidad certificadora no puede:
Preparar manuales, políticas o procedimientos.
Participar en la toma de decisiones sobre el SGSI
Dar recomendaciones específicas para el desarrollo del SGSI
Si puede:
Auditar y certificar
Hacer seguimiento de las no conformidades
Impartir formación genérica
Publicar interpretaciones sobre la norma
Realizar auditorías previas a la certificación
9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Código de conducta del equipo auditor
Actuar de forma veraz e imparcial
Deben evitar cualquier tipo de asignación que
pueda causar un conflicto de intereses
No aceptarán ningún tipo de incentivo, comisión, descuento
u otro tipo de provecho por parte de la organización auditada
No revelarán las observaciones de la auditoría a terceros
No actuarán de forma que pueda perjudicar a ninguna de las partes
implicadas en la auditoría
En caso de incumplimiento de este código se procederá a una
investigación en que colaborarán para su esclarecimiento
10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Los auditores
Están cualificados para:
Identificar las amenazas, vulnerabilidades e impactos
que puedan comprometer los activos de la organización
Discernir las áreas de actividad de la organización
Verificar que la organización ha identificado correctamente sus riesgos
Debe tener:
Formación universitaria o experiencia profesional y formación que se
considere equivalente
Al menos 4 años de experiencia en Tecnologías de la Información
2 años de experiencia en seguridad de las Tecnología
de la Información
Haber realizado al menos un curso de 5 días de auditoría.
11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Los auditores
Deben:
Haber realizado 4 auditorías y al menos 20 jornadas completas desarrollando:
Revisión de la documentación
Revisión del análisis de riesgos
Auditoría de la implantación
Desarrollo de informes de auditoría
12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Los auditores
Deben ser:
Maduros, profesionales e independientes
Objetivo, analítico y persistente
Realista, analizar e interpretar las situaciones
en su justa medida
Mente abierta ante nuevas situaciones
Capaz de percibir situaciones y problemas no declarados
Comprender las funciones de cada empleado
Observar los requerimientos de confidencialidad del solicitante
Mantenerse al día en temas de seguridad
13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditor jefe
El Auditor Jefe además debe:
Conocer el proceso de certificación
Haber realizado 3 auditorías como auditor
Haber demostrado habilidades de comunicación
14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Dentro de la auditoría
El jefe:
Planifica y gestiona todas las fases de la misma
Dirige la primera fase
Colabora en la selección del equipo de auditores
Controla los conflictos y maneja las situaciones difíciles
Dirige las reuniones con el equipo auditor y el personal auditado
Toma decisiones en materia de la auditoría y el SGSI
El auditor:
Apoya al auditor jefe
Documenta y apoya todos los hallazgos
Realiza el seguimiento de las acciones
correctoras para corregir las no
conformidades encontradas
15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Dentro de la auditoría
Equipo auditor:
Jefe y miembros del equipo: normalmente se trata de una o dos personas.
Auditores en formación: personal en formación para convertirse en auditor.
Observadores, auditor provisional: puede ser un observador, para supervisar
la auditoría.
Expertos, personal asesor: personal que asesora al auditor sobre temas
técnicos o concretos del negocio a auditar.
Testigos e invitados: Son simples observadores que no deben intervenir en la
auditoría.
16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Dentro de la auditoría
Equipo del solicitante:
Guía: persona de la empresa que acompaña al equipo
auditor y le facilita la información solicitada.
Normalmente será el Responsable del Sistema
de Gestión de la Seguridad de la Información.
Representante de la dirección: persona con autorización suficiente en la
empresa para confirmar la implicación y compromiso de la dirección con las
políticas de seguridad y aprobadas.
Observadores, personal en formación: normalmente personal de la empresa
en formación para auditor interno.
Consultores: cuando la empresa contrata un consultor externo para
asesorarle en el desarrollo del SGSI, este puede asistir a la auditoría pero no
debe intervenir en ningún momento.
17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Proceso de certificación
SOLICITUD
REVISION
DOCUMENTACION
DOC. Completa
y adecuada
auditoría INICIAL
¿ Acciones
correctoras validas ?Petición de nuevas acciones
correctoras y/o extraordinarias
NO
SI
NO
18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Proceso de certificación
Concesión del certificado
Auditoría de seguimiento
(ANUAL)
Petición de nuevas acciones correctoras y/o
visita extraordinaria
Validación del
certificado
auditoría renovación
(trianual)
¿ Acciones
correctoras validas ?
SI
NO
19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Revisión documental
Por parte del equipo auditor, en esta primera fase se revisa:
1. Política de seguridad de la organización
2. Alcance de la certificación
3. Análisis de riesgos de la organización
4. La selección de controles de acuerdo con la declaración de aplicabilidad
5. Revisión de la documentación de los controles seleccionados
20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
1.- Política de seguridad
Supone la declaración de intenciones sobre la que va a basar todo el
desarrollo de la seguridad
Debe reflejar que esta política afecta a todo el personal que de una forma
u otra esté involucrada en el SGSI
Debe estar aprobada por el comité de seguridad y formada por el más
alto representante de la organización.
Comprobar que son:
Fácil comprensión
Aplicables,
Sencillas y concretas
Revisables
Coherentes con los objetivos de la organización
21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
1.- Política de seguridad
No se debe desarrollar en un único documento
La política de alto nivel debería poder incluirse en un folio y estar
distribuida a todo el personal.
Las políticas más formales se distribuirán de acuerdo con las
necesidades.
A incorporar en ellas:
Definición de la seguridad
Declaración del soporte de la dirección
Explicaciones breves sobre políticas, principios, practicas y cumplimientos
de seguridad
Definición de responsabilidades
Referencias a otros documentos
22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
2.- Alcance
Condiciona la certificación y el desarrollo de las auditorías, ya que se
limitan a lo que esté incluido.
Puede ser toda la organización o una parte de ella.
Si se modifica el alcance se debe modificar el certificado.
23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
3.- Análisis de riesgos
El AR debe ser estructurado y estar documentado.
La metodología empleada debe ser coherente con la complejidad y los
niveles de protección requeridos.
El AR permite que la implantación sea proporcional al nivel de riesgo y es
un requisito para la certificación.
El auditor determinará si el AR cubre el alcance y si es aceptable en
función de los activos y la naturaleza de la organización.
El auditor se asegura de que el AR y su gestión tiene en cuenta los
cambios y está actualizado.
24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
4.- Selección de controles
Determina si se han seleccionado los controles adecuados.
Todos reflejados en la Declaración de aplicabilidad.
Si un control no se implementa puede ser por:
No existe un riesgo que lo justifique
Presupuesto
No hay viabilidad tecnológica
No se puede implantar por falta de tiempo
No es aplicable
La razones para excluir controles deben ser sólidas y coherentes.
25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
4.- Selección de controles
CONTROL SI/NO JUSTIFICACIÓN
6.3.1. Comunicación de las
incidencias de seguridad
SI Es imprescindible para detectar las incidencias en un
estado temprano y una de las bases para el proceso de
mejora continua
7.1.5. Áreas aisladas de carga y
descarga
NO No es aplicable, ya que la organización no dispone de
áreas de carga y descarga
8.7.2. Seguridad de soportes en
tránsito
NO No es aplicable, ya que la organización no envía soportes
físicos con información sensible o confidencial
DECLARACION DE APLICABILIDAD:
26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
4.- Selección de controles
El documento relaciona el AR con la situación de la seguridad, tanto para
los auditores externos como internos.
Junto con el alcance y la política, constituye la base de la auditoría
documental.
El auditor comprueba la consistencia de los planteamientos referentes a la
seguridad entre los tres documentos.
27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
5.- Revisión documentación
Deben documentarse todos los controles seleccionados.
Comprueba que la documentación:
Está fechada y disponible
Dispone de control de versiones
Se retira si es obsoleta
Aparecen reflejados los diferentes puntos de la normativa ISO 27002
28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
El equipo auditor selecciona una muestra de controles que se van a
auditar:
Incluir todos los controles críticos
Seleccionar controles que afecten a
las actividades más importantes de la organización
Seleccionar controles de todas las secciones
Seleccionar los controles de forma que se auditen todos los departamentos
involucrados en el SGSI
Dar prioridad a las áreas de mayor riesgo
Si no se encuentras problemas serios, se auditarán un 20% de los controles
aplicables.
29. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Se elabora un Plan de auditoría, que incluye:
Alcance y objetivo de la auditoría
Equipo por parte de la entidad y del solicitante
Personal del solicitante con responsabilidad dentro del área afectada
Documentos de referencia
Áreas o departamentos que se auditarán
Muestras de controles a auditar
Agenda para las reuniones
Contenido y estructura de los informes
Conformidad del solicitante al plan de auditoría
30. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Entre la auditoría documental y la in situ deben pasar entre 3 y 6
semanas
Se realiza siempre en las instalaciones del solicitante
Los objetivos de ésta son:
Confirmar que la organización cumple con sus
políticas y procedimientos
Comprobar que el SGSI desarrollado es conforme
con las especificaciones de la norma
Verificar que el SGSI está logrando los objetivos
que la organización se ha marcado
31. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Los auditores deben centrarse en:
El Análisis de riesgos
La declaración de aplicabilidad
Los objetivos que persigue la organización
Cómo se
Monitoriza y mide
Informa y mejora
Las revisiones del SGSI y de la seguridad
El grado de implicación de la dirección
La coherencia entre
Políticas, análisis de riesgos, objetivos, responsabilidades, normas,
procedimientos, datos de rendimiento y revisiones de seguridad
32. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Buscan evidencias objetivas:
Registro de actividad (logs) o información
Basados en medidas, en pruebas o en la
observación
Pueden ser verificados!!
Técnicas para obtenerlas:
Preguntas a los empleados
Observación
Revisión de documentos o registros
Muestreo
Resumir, analizar o evaluar
33. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Los auditores visitarán las instalaciones de la organización.
Comprueban que los controles que han seleccionado en la muestra
cumple con lo exigido en el estándar
No tocarán máquinas, pero solicitarán a los empleados de la organización
que realicen las actividades que quieran evaluar.
El objetivo de la auditoria no es detectar no conformidades (errores), sino
determinar que el SGSI es conforme con la norma.
34. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
El equipo auditor convocará reuniones con miembros seleccionados de la
organización, elaborará informes sobre lo observado durante las
entrevistas, y redactará documentos de recomendaciones –si procede-.
Convocará a una reunión final a la dirección de la empresa para
explicarles lo observado en esta segunda fase, y comunicarles los
resultados de la Auditoría.
35. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Entrevistas
La calidad de la entrevista de auditoría dependerá
de la habilidad para realizar las preguntas del auditor.
La forma de preguntar debe hacerle sentirse cómodo al solicitante.
Las preguntas deben ser apropiadas al área
que está siendo auditada.
36. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Entrevistas
Preguntas abiertas
Quién (lo hace)? - Cada cuanto (se hace)?
Cómo (se hace)? - Muéstramelo
Dónde (se hace)? - Cuéntamelo
Cuándo (se hace)?
Preguntas cerradas
Se pueden responder con un SI o un NO
Preguntas dirigidas
Utilizadas para ver conseguir la respuesta
buscada de una forma más rápida, guiando al auditado
37. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Entrevistas
Otro tipo de preguntas:
Preguntas de opinión
Preguntas de investigación
Preguntas no-verbales (lenguaje corporal)
Preguntas repetidas
Preguntas sobre situaciones hipotéticas
?
38. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Auditoría in situ
Al final de la auditoría la entidad debe mantener una reunión con el
solicitante e informar del resultado de la misma:
Agradecer la colaboración
Recordar nuevamente el objetivo y alcance de la auditoria
Dar un resumen del resultado de la auditoría
Informar de las recomendaciones que va a dar el equipo de auditoría
Preguntar si el solicitante tiene alguna cuestión que quiera aclarar
Recoger la conformidad del solicitante
Cierre de la reunión.
39. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Informe de auditoría
Las conclusiones y el informe deben basarse en:
Las dos etapas de la auditoría conjuntamente
Las no conformidades encontradas
La documentación, implantación y efectividad del SGSI
Fortaleza y debilidades de
Los departamentos
Las secciones de la ISO 27002
Existe un compromiso de la dirección con
la mejora continua.
40. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Informe de auditoría
En función de lo anterior el equipo auditor debe emitir la recomendación:
Se recomienda el registro si se considera que le
SGSI es conforme con la norma
Se recomienda revisión a la espera de recibir un plan
aceptable de acciones correctoras en caso de que se hayan encontrado no
conformidades
Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no
conformidades mayores en un área concreta
Se recomienda volver a auditar si se han encontrado no conformidades
mayores en más de un área.
41. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Decisión sobre certificación
La decisión de si se debe emitir o no el certificado la toma el Comité de
Certificación basándose en la información recogida durante el proceso.
Los miembros deben ser personal interno de la entidad, los miembros del
equipo auditor no pueden participar en la toma de decisión.
Si la recomendación es NO emitir el certificado, el Comité de Certificación
no debería cambiar el criterio.
42. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Auditoría del SGSI
Decisión sobre certificación
En caso de que se emita el certificado, la entidad remitirá al solicitante
una carta o diploma indicando como mínimo:
Nombre y dirección de la organización
El alcance de la certificación
La fecha de emisión del certificado y su periodo de validez
La versión de la declaración de aplicabilidad