Categorieën: Alle - objetivo - cierre - realización - planificación

door Elias Nahum Lainfiesta Castro 7 jaren geleden

177

Auditoría de Certificación

La auditoría de certificación es un proceso esencial para evaluar la eficacia y efectividad de un Sistema de Gestión de Seguridad de la Información (SGSI). Cada organización de certificación puede tener variaciones en las fases y la importancia de cada una.

Auditoría de Certificación

El objetivo de los procesos de certificación e s verificar la correcta implantación de las normativas a la gestión de la seguridad de la información, concretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502

Auditoria de Certificación

Proceso

Auditoria in-situ
Cierre de Auditoría

• Cerrar la auditoria.

• Recoger la conformidad del solicitante.

• Preguntar si el solicitante tiene alguna cuestión que le quiera aclarar.

• Informar de las recomendaciones que va dar el equipo de auditoria.

• Dar un resumen del resultado de la auditoria

• Recordar nuevamente el objetivo y alcance de la auditoria.

• Agradecer su colaboración

• Al final de la auditoria, el equipo auditor debe mantener una reunión con el solicitante para

Estudio de Evidencias

Técnicas

• Resumen, análisis o evaluación

• Muestreo

• Revisión de documentos o registros

• Observación

Preguntas a los empleados

Entrevistas

En esta segunda fase, el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. El auditor está capacitado para solicitar al personal de la organización que le muestre como se han generado las evidencias.

Realización de la auditoría

Aspectos a Cumplir

• La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.

• El grado de implicación de la dirección.

• Las revisiones del SGSI y de la seguridad.

• Como se monitoriza/mide, y se informa y mejora.

• Los objetivos que persigue la organización.

• La declaración de aplicabilidad.

El análisis de riesgos.

Una vez aprobado por el solicitante el plan de auditoria, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante

Planificación de la auditoría

El proceso de auditoría de los controles puede no se exhaustivo y antes de iniciar la auditoria presencial el equipo auditor podrá realizar una selección de los controles que van a ser auditados

Objetivos

• Verificar que el SGSI está logrando los objetivos que la organización se ha marcado.

• Comprobar que el SGSI es conforme con las especificaciones de la norma.

Confirmar que la organización cumple con sus políticas y procedimientos.

La segunda fase de la auditoria se desarrolla en las instalaciones de la organización auditada y en ella el auditor realizara entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación de la organización.
Auditoría documental
Revisión de la documentación de los controles seleccionados

Deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones

• Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799

• Dispones de control de versiones.

Está fechada y disponible.

Análisis de riesgos de la organización

El auditor ha de determinar si el análisis riesgos. Para empezar, tendrá que estar formalmente aceptado por la dirección de la organización y es obligatorio que este documentado tanto la metodología utilizada, que debe ser coherente con la complejidad de la organización, como los resultados de dicho análisis de riesgos.

Alcance de la certificación

Este alcance condiciona la certificación y el desarrollo de las autoridades; el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado.

Política de Seguridad de la Organización

Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único folio. Sí que se verificara que esté a disposición de todos los trabajadores de la organización.

Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información
Objetivo
El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización
El proceso de auditoría que aplica cada organización de certificación puede varias en ciertas fases y en la duración o importancia que se dé a cada una.

El modelo PDCA

Tipos de Visiones
Métricas e indicadores: Índices o valores que se pueden emplear para evaluar la evolución del funcionamiento del SGSI.
Registros: Evidencias de funcionamiento del SGSI
• Actuar: Realizar cambio en el SGSI en base a las evidencia generadas.
• Verificar: Trabajar analizando que no sucedan incidentes de seguridad.
• Hacer: implantar estas medidas en la organización
Planificar: decidir que medidas de seguridad han de implantarse

Ventajas

• Integrar la gestión añadido de confianza en la proteccion de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia.
• Establecer procesos y actividades de revisión, mejora continua y auditoria de la gestión y tratamiento de la información.
• Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.
• Planificar, organizar y estructurar los recursos asignados a seguridad de la información.
• Asegurar su compromiso con el cumplimiento de la legislación vigente sobre proteccion de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general con aquella relacionada con la seguridad de la información.
• Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.
Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.