Certificación de Sistemas de Gestión de Seguridad de la Información según ISO 27001 en entornos web

AUDITORIA SGSI ISO 27001El auditor de SGSI ISO 27001

El perfil profesional y la calificación de un auditor SGSI

sobre ISO 27001

Enric Nebot TeixidóDirector Comercial y de Desarrollo ECA CERT CERTIFICACIÓN

22 de marzo 2007

AUDITORIA AUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DE N DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓN N

segsegúún n ISO/IEC 27001:2005ISO/IEC 27001:2005


índice

• Marco normativo• Perfil profesional del auditor• Titulaciones y certificados• El equipo auditor en la certificación• Audit team knowledge


Marco normativo

• ISO/IEC 19011• EA-7/03

• DIS ISO/IEC 27006:2006


Ser auditor cualificado de ISO 27001

• Experiencia profesional:– Tener al menos 4 años de experiencia en IT de los cuales al menos dos años en Seguridad de la Información

• Haber cursado y aprobado un training de 5 días 40 horas organizado por una entidad de certificación acreditada

• Experiencia de al menos 4 auditorias con 20 horas, incluyendo revisiones de documentación de análisis de activos, riesgos y reporting

• Formación académica– Education at secondary level

• Otros...


Audit team training

7.2 DIS ISO 27006


Audit team competence

7.2 DIS ISO 27006


Audit team knowledge



• In relation to ISMS & audit• Programar y planificar auditorías• Tipos de auditoría y metodologías• Information Security processes analysis• Ciclo Deming de mejora contínua• Auditorías internas de Seguridad de la Información



• In relation to regulatory requirements– Propiedad intelectual– Protecction organizational records– Data protection&privacy– Firma-e– E-commerce– Telecommunications interception & monitoring– Computer abuse– Electronic evidence collection– Penetration testing– National sector specific requirements (e.g. Banking)



• In relation toManagementrequirements

• Re-engineering of IS risks• ICT outsourcing securityrisks• Supply chain informationsecurity risks


El arte de auditar un SGSI

AUDITORIA AUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DE N DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓN N

segsegúún n ISO/IEC 27001ISO/IEC 27001

Enric Nebot TeixidóDirector Comercial y de Desarrollo ECA CERT CERTIFICACIÓN

22 de marzo 2007


El arte de auditar un SGSI

• Auditar el cumplimiento de la ISO 27001:2005• Reuniendo evidencias• Que obtener• Técnicas de preguntas• Desarrollo de preguntas• El arte de auditar• Errores del auditor• Tácticas negativas en el auditado• Auditar el SGSI• Auditar los controles


“Auditar la ISO 27001”

Auditar el SGSIAuditar los controles

Evaluar el cumplimiento y plasmarlo en un informe de Auditoría que puede culminar en la consecución del certificado


Reuniendo evidencias

• Entrevistar• Examinar Documentos• Observar actividades / condiciones• Verificar Independientemente• Tomar Notas

CAP.IV 7/20


Que Observar

• Escenarios– Técnico (físico, lógico,sectorial)– Legal– Organizacional

• Equipo auditor coordinado desde el plan inicial

CAP.IV 10/20


Que Observar

• Identidad del Personal• Documentación• Registros• Producto• Escenarios– Técnico (físico, lógico)– Legal– Organizacional

• Planos / Diseños• Hallazgos Reales

CAP.IV 10/20


Técnica de Preguntas

• ¿Qué?• ¿Por qué?• ¿Cuándo?• ¿Cómo?• ¿Dónde?• ¿Quién?

CAP.IV 12/20


Desarrollo de Preguntas

• Muéstreme .... ?• No comprendo .... ?• Que pasa si .... ?• Suponga que .... ?• Usted está diciendo que .... ?• Entiendo que .... ?• Esto significa que .... ?• Acercamiento en Silencio

CAP.IV 13/20


El Arte de Auditar

• Ser objetivo / cortés• Buscar no-conformidades• Ser persistente• Evitar críticas o discusiones• Evitar manifestar propias conclusiones• Mantener la independencia• Decidir “in situ”• Ser positivo


Que debe evitar el auditor

• Mostrarse enfadado• Hablar demasiado• Llegue tarde• Discutir• Ser negativo• Ser sarcástico• Ser demasiado amistoso• Ser reservado• Hacer de consultor


Tácticas negativas en el auditado

• Soborno• Engaño / deshonestidad• Excusas• Olvido• Interrupciones• “Pobre de mí...”• Pérdidas de tiempo, esperas• Ausencia de auditados• Súplicas• Falta de colaboración


Errores del Auditor

• Mal énfasis• Falta de técnica• Errores de semántica• Error de lectura• Errores de percepción• Mala comprensión• Distracción• ¡Tengo razón!


Auditando el SGSI

•Revisión documental de cada unos de los procedimientos de gestión del SGSI (clauses 4 to 8)

• Clause 4 ISO 27001

• Management Responsabilities

• Auditorías internas

• Revisiones por parte de la dirección

• Revisión documental de los registros del SGSI

• Auditar RA, RE, RTP y selección de controles


Auditando controles

•Procedimiento de implementación de controles

•SoA

• Roles y propietarios de cada uno de ellos

• Procedimientos propios de los controles

•Revisión de cumplimiento


Con el objeto de auditar para conseguir un nivel aceptable en materia de la seguridad de la información es condición indispensable determinar los controles específicos de la norma ISO 27001: 2005. Para ello es condición sine qua non disponer de la DECLARACIÓN DE APLICABILIDAD (en adelante SoA ,Statementof Applicability), declarada a partir del Análisis y tratamiento de riesgos. En este sentido cabe mencionar que la misma norma ISO específica que no es necesario aplicar todos los controles definidos y que además pueden ser aplicables nuevos controles según los requerimientos y el alcance de los trabajos.A partir de estos requerimientos de seguridad el proceso de Auditoría se centrará en la evaluación del tratamiento y gestión de riesgos relativos a la seguridad de la Información, la implementación de los controles ISO 27001 según el SoA, el cumplimiento legal, regulatorio y contractual relacionado con la Seguridad de la Información y el establecimiento del cumplimiento del ciclo de vida PDCA del Sistema de Gestión de Seguridad de la Información en la organización.


Como auditar los controles

• Sobre todos/algunos de los controles del SoA, la auditoría debe contemplar inspecciones del tipo:– Control organizacional• Revisión documental, entrevistas, observaciones e inspección física

– Control técnico•Medir la efectividad mediantes systemtesting o mediante herramientas de audit/reporting

– System testing– Inspección visual


Auditando controles


El fenómeno campo “Observaciones”

• System Testing:– Directo a la BBDD (Ms Acess, Oracle, SQL Server)– “SELECT OBSERVACIONES FROM CLIENTES”

• Riesgos de confidencialidad– VISA...teléfonos móviles, información de impagados, información de familiares

• Riesgos de incumplimiento LOPD– Calidad, nivel de seguridad mayor que el definido

• Observación en la auditoría


Code of Professional Ethics


El proceso de auditoríade certificación del SGSI

AUDITORIA AUDITORIA de SISTEMAS DE GESTIde SISTEMAS DE GESTIÓÓN DEN DESEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓN N

segsegúún ISO 27001n ISO 27001

Enric Nebot TeixidóDirector Comercial y de desarrollo ECA CERT CERTIFICACIÓN

22 de marzo 2007


La certificación ISO 27001


Petición de la organización, entrega presupuesto, aceptación

STAGE 1. REVISIÓN DOCUMENTALpara conocer la desviación del sistema con relación al estándar: Revisión de los documentos del SGSI para decidir si éstos se ajustan a la normativa y se recomienda la certificación, Activos, Declaración de aplicabilidad, Análisis de riesgos, Política de seguridad, Aspectos legales de la seguridad de la Información

STAGE 2. AUDITORIA DEL SGSI Y DE CONTROLESAuditoria del SGSI, tratamiento del riesgo, implementación de controles, revisión de documentación, Plan de continuidad de negocio, Gestión de incidencias, Formación y sensibilización, etc.

REUNIÓN DE CIERRE Y ENTREGA INFORME DE AUDITORIAMedidas correctivas, aspectos de mejora,

EMISIÓN DEL CERTIFICADO para que pueda utilizarlo en sus relaciones con cliente y proveedores

STAGE O. PLAN DE AUDITORÍAEstudio de la complejidad de la organización, elaboración del plan de auditoría, designación del equipo auditor.


Stage 0 Plan de auditoría

• Estudio de la complejidad de la organización• Tiempos de auditoría• Designación del equipo auditor• Elaboración del plan de auditoría• Envío a la organización del plan de auditoría


Complejidad de la organización

• Dependiendo de la complejidad de la organización:– Determinaremos el equipo auditor– Determinaremos el tiempo de auditoría(junto con otros factores)

• La complejidad la determinan diversas circunstancias de la organización que determinarán un nivel (riesgo potencial)• Alto•Medio• Bajo


Tiempos de auditoría

• A según num.empleados– (66-85) A=6 days– (876-1175) A=13 days

• +(1 -3) days document review• + 2 days audit control ISO 27002• + 0.5 x # sites• + factor (si sector riesgo alto)• Valor ejemplo -> 25 días de auditoria en una empresa de 1200 empleados con nivel alto de riesgo


Stage 1. Reunión con dirección

• Plan de Auditoría• Equipo auditor


Stage 1. Revisión documental

• Revisión documental– Alcance– Política alto nivel– DML– Cumplimiento legal– Procedimientos de gestión del SGSI– Evaluación de riesgos– SoA– Proceso de implantación de controles– Gestión de incidencias– Comité de seguridad


Stage 2. Auditoría in-situ

• Auditoría según el plan• Auditando el sistema• Auditando los controles• Revisión técnica• Revisión documental• Mediante entrevistas• Mediante inspección física• Mediante testing/tools• A usuarios, responsables,externos• Por muestreo , a todos los sites


•Revisiones exclusiones de la Declaración de Aplicabilidad y hallazgos de la Revisión documental de la FASE I•Auditoría del proceso de Análisis de Riesgos, su tratamiento y los controles asociados•Entrevistas con los diversos departamentos o áreas de la empresa o empresas.•Evaluación del SGSI, establecimiento, monitorización, revisión y auditorías internas•Análisis de los sistemas, revisión de las instalaciones y de procedimientos.

•Auditoría de implementación de los controles relacionados en los principales sistemas de información de procesos de negocio, comunicación, y almacenamiento de datos.•Evaluaciones y auditoría de los controles relacionados en los sistemas de teletrabajo, en el Centro de Datos y en la relación y procedimientos de trabajo relacionados con los mismos.



•Evaluación del grado de conocimiento de seguridad de la información por parte de los usuarios, concienciación de seguridad y gestión de incidentes.•Auditoria de los procedimientos y actuaciones relacionados con la Gestión de incidencias•Auditoría de aspectos relacionados con Recursos Humanos (controles A8 ISO 27001:2006), Plan de Continuidad de negocio (controles A14 ISO 27001:2006)•Revisión del establecimiento del marco legal, regulatorio y contractual y del cumplimiento de las obligaciones legales establecidas en materia de Protección de datos personales, Propiedad intelectual e Internet, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.



Reunión de Cierre

• Introducción• Reseña• Impresión General• Puntos específicos• Conclusiones• Respuesta del Auditado• Recomendaciones de mejora• Firma de no-conformidades• Agradecimientos al Auditado• Despedida

CAP.IV 20/20


Auditorías de seguimiento

• A intervalos planeados desde el programa de auditoría

• Normalmente cada seis meses• En algunas auditorías del SGSI se audita el alcance parcialmente para conseguir la certificación al final del proceso

• A los tres años se requiere una recertificación


Factores de éxito de un SGSI

En la certificación� Obtener el compromiso de la dirección en todo el proceso � Adecuar el alcance inicial del SGSI con el objetivo de certificarlo posteriormente� Contar con una ENTIDAD ACREDITADA con suficiente experiencia y conocimiento y que conozca su sector de negocio � Preparar adecuadamente la auditoría, tener todo en regla, el equipo formado � Adecuar el plan de auditoria y las auditorias de seguimiento a los objetivos de negocio obteniendo indicadores y métricas tangibles

En la implantación del SGSI: …

En la fase inicial se debe tener en cuenta: …


ISO 27001Sistema de Gestión de

Seguridad de la Información

Muchas gracias por vuestra atención.

¿Nos vemos en la auditoria?

Enric Nebot Teixidó

Director Comercial y de Desarrollo

ECA CERT