av Alwin David Pineda Donaire för 1 år sedan
259
Mer av detta
Las organizaciones de certificación son independientes, es decir, no ofrecen servidos de consultoría sino que son expresamente auditoras.
La certificación únicamente la pueden otorgar aquellas organizaciones que cumplen con una serie de requisitos comprobados (auditados) por un tercero de confianza (el organismo de acreditación).
Las Auditorías Externas
Son las que se realizan por empresas externas, totalmente independientes de la organización y con conocimientos acreditados en seguridad.
Las Auditorías Internas
Dictaminan si las medidas de seguridad son suficientes y si están correctamente configuradas.
Podrán realizarse siempre que las organizaciones posean un grupo de auditoría independiente.
Equipo del Auditado:
Consultores:
Puede asistir a la auditoría pero no debe intervenir en ningún momento.
Consultor externo que la empresa ha contratado para asesorarle en el desarrollo del SGSI.
Observadores, Personal en Formación:
Es el personal de la empresa en formación como Auditor Interno.
Representante de la Dirección:
Persona autorizada por la empresa para confirmar la implicación y compromiso de la dirección con las políticas de seguridad aprobadas.
Guía:
Es el responsable del sistema de gestión de la seguridad de la información.
Persona de la empresa que acompaña al equipo auditor y le facilita la información solicitada.
Equipo Auditor:
Testigos e invitados.
Expertos, Personal Asesor:
Personal que asesora al auditor sobre temas técnicos o concretos del negocio o las tecnologías que se auditan.
Observadores, Auditor Provisional:
Puede ser un observador del organismo de acreditación, por ejemplo: ENAC, para supervisar la auditoría.
Auditores en Formación:
Personal en formación para convertirse en auditor.
Jefe y Miembros del Equipo:
Normalmente se trata de una o dos personas.
• Realizar el seguimiento de las soluciones establecidas para corregir las no conformidades encontradas.
• Documentar y apoyar todos los hallazgos.
• Apoyar al auditor jefe.
• Toma decisiones sobre la auditoría y el SGSI.
• Dirige las reuniones con el equipo auditor y el personal auditado.
• Controla los conflictos y maneja las situaciones difíciles.
• Colabora en la selección del equipo de auditores.
• Dirige la primera fase.
• Planifica y gestiona todas las fases de la auditoría.
Los auditores han de estar actualizados en los diferentes aspectos relacionados con la seguridad de la información, a través de la participación en cursos, seminarios y demás vías de formación.
• Haber demostrado habilidades de comunicación.
• Haber realizado o participado en 3 auditorías como miembro de un equipo de auditoría.
• Ser conocedor del proceso de certificación.
Los auditores deben ser capaces de comprender las diferentes funciones que tienen los empleados de la organización auditada, para que durante las entrevistas que realicen, se ajusten al nivel y la autoridad que éstos posean.
Es aconsejable que los auditores hayan participado en 4 auditorías y al menos en 20 jornadas completas.
• Capaces de percibir situaciones y problemas no declarados.
• Flexibles ante nuevas situaciones.
• Realistas y capaces de analizar e interpretar las situaciones en su justa medida.
• Objetivos, analíticos y persistentes.
• Maduros, profesionales e independientes.
• Haber desarrollado los informes relativos a la auditoría en la que participó.
• Haber auditado la implantación de un sistema de gestión de la seguridad de la información.
• Haber revisado el análisis de riesgos de una organización.
• Haber revisado la documentación del sistema de gestión de la seguridad de la información.
Haber realizado un curso de auditoría de 5 días.
Deben tener por lo menos 2 años de experiencia en seguridad de las tecnologías de la información.
Ha de tener suficiente experiencia, al menos de 4 años, en tecnologías de la información.
Los miembros del equipo auditor deben tener una formación universitaria o experiencia profesional y formación que se considere equivalente.
• Verificar que la organización ha identificado correctamente sus riesgos.
• Discernir las áreas de actividad de la organización.
• Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organización.
• En caso de incumplimiento de este código, se procederá a una investigación en la que colaborarán para su esclarecimiento.
• No actuarán de forma que puedan perjudicar a ninguna de las partes implicadas en la auditoría.
• No podrán revelar las observaciones de las auditorías a terceros.
• No aceptarán ningún tipo de incentivo, comisión, descuento u otro tipo de provecho por parte de la organización auditada.
• Deben evitar cualquier tipo de asignación que pueda causar un conflicto de intereses.
• Deben actuar de forma veraz e imparcial.
Es un error en la creación del SGSI al respecto de la normativa ISO/IEC 27001 o cualquier otro marco que se tome como referencia contra el que se está auditando.
Puede realizar auditorías previas a la certificación para verificar el estado del sistema de gestión de la seguridad de la información.
Puede realizar publicaciones sobre interpretaciones relativas a la normativa.
Tiene capacidad de impartir formación genérica sobre estas normativas o sobre aspectos de seguridad.
Está obligado a hacer el seguimiento de las no conformidades detectadas.
Está obligado a auditar y certificar el cumplimiento de las especificaciones del sistema de gestión de la seguridad de la información.
Una vez finalizada la auditoría, si puede emitir las recomendaciones que considere oportunas.
No puede dar recomendaciones específicas para el desarrollo del SGSI.
No puede formar parte del grupo que toma decisiones sobre el estado del sistema de gestión de la seguridad de la información.
No debe formar parte de las políticas o procedimientos de una organización.
No debe participar en la elaboración de manuales.
• Conocimientos sobre procesos de análisis y gestión del riesgo.
• Los últimos cuatro años trabajando con las IT y de éstos, los dos últimos relacionados con la seguridad de las IT.
• Calificaciones académicas necesarias.
• Capacidad para comunicar los resultados obtenidos tanto vía oral como escrita.
• Cualidades para el proceso de asesoramiento a la organización que está evaluando.
• Haber participado como mínimo en tres auditorías a organizaciones como miembro de un equipo auditor.