Auditoria de Certificación

Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.

• Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.

• Asegurar su compromiso con el cumplimiento de la legislación vigente sobre proteccion de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general con aquella relacionada con la seguridad de la información.

• Planificar, organizar y estructurar los recursos asignados a seguridad de la información.

• Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.

• Establecer procesos y actividades de revisión, mejora continua y auditoria de la gestión y tratamiento de la información.

• Integrar la gestión añadido de confianza en la proteccion de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia.

Planificar: decidir que medidas de seguridad han de implantarse

• Hacer: implantar estas medidas en la organización

• Verificar: Trabajar analizando que no sucedan incidentes de seguridad.

• Actuar: Realizar cambio en el SGSI en base a las evidencia generadas.

Tipos de Visiones

Registros: Evidencias de funcionamiento del SGSI

Métricas e indicadores: Índices o valores que se pueden emplear para evaluar la evolución del funcionamiento del SGSI.

El proceso de auditoría que aplica cada organización de certificación puede varias en ciertas fases y en la duración o importancia que se dé a cada una.

Objetivo

El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización

Auditoría documental

Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información

Política de Seguridad de la Organización

Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único folio. Sí que se verificara que esté a disposición de todos los trabajadores de la organización.

Alcance de la certificación

Este alcance condiciona la certificación y el desarrollo de las autoridades; el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado.

Análisis de riesgos de la organización

El auditor ha de determinar si el análisis riesgos. Para empezar, tendrá que estar formalmente aceptado por la dirección de la organización y es obligatorio que este documentado tanto la metodología utilizada, que debe ser coherente con la complejidad de la organización, como los resultados de dicho análisis de riesgos.

Revisión de la documentación de los controles seleccionados

Deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones

Está fechada y disponible.

• Dispones de control de versiones.

• Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799

Auditoria in-situ

La segunda fase de la auditoria se desarrolla en las instalaciones de la organización auditada y en ella el auditor realizara entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación de la organización.

Objetivos

Confirmar que la organización cumple con sus políticas y procedimientos.

• Comprobar que el SGSI es conforme con las especificaciones de la norma.

• Verificar que el SGSI está logrando los objetivos que la organización se ha marcado.

Planificación de la auditoría

El proceso de auditoría de los controles puede no se exhaustivo y antes de iniciar la auditoria presencial el equipo auditor podrá realizar una selección de los controles que van a ser auditados

Realización de la auditoría

Una vez aprobado por el solicitante el plan de auditoria, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante

Aspectos a Cumplir

El análisis de riesgos.

• La declaración de aplicabilidad.

• Los objetivos que persigue la organización.

• Como se monitoriza/mide, y se informa y mejora.

• Las revisiones del SGSI y de la seguridad.

• El grado de implicación de la dirección.

• La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.

Entrevistas

En esta segunda fase, el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. El auditor está capacitado para solicitar al personal de la organización que le muestre como se han generado las evidencias.

Estudio de Evidencias

Técnicas

Preguntas a los empleados

• Observación

• Revisión de documentos o registros

• Muestreo

• Resumen, análisis o evaluación

Cierre de Auditoría

• Al final de la auditoria, el equipo auditor debe mantener una reunión con el solicitante para

• Agradecer su colaboración

• Recordar nuevamente el objetivo y alcance de la auditoria.

• Dar un resumen del resultado de la auditoria

• Informar de las recomendaciones que va dar el equipo de auditoria.

• Preguntar si el solicitante tiene alguna cuestión que le quiera aclarar.

• Recoger la conformidad del solicitante.

• Cerrar la auditoria.