El Objetivo de los procesos de certificacion es verificar la correcta implantacion de las normativas relativas a la gestion de la seguridad de la informacion concretamente a la implantacion de la norma iso/iec
1.2. Proceso de Auditoria
El proceso de auditoria que aplica cada organización de certificación puede variar en ciertas faces y en la duración o importancia que se de a cada una.
El Modelo PDCA
Planificar: Desidir que medidas de seguridad han de implementarse
Hacer : Implementar las medidas en la Organizacion
Verificar: Trabajar Analizando que no sucedan incidentes de seguridad
Actuar: Realizar cambios en el SGSI en base a las evidencias generales
Auditoria documental
Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentacion que forma parte del sistema
Analisis de Riesgos
Recordar que el analisis de riesgos permiten identificar que controles de seguridad han de implementarse en una organizacion segun los riezgos antes que se encuentre expuesta
Tal y como se explico a la hora de las normativas de seguridad existen 2 visiones para realizar los cambios en el sistema de gestion de la seguridad
registros: evidencias de funcionamiento del SGSI
Metricas e indicadores: indices o valores que se pueden emplear para evaluar la evolucion del funcionamiento de SGSI
Ventajas de la certificacion
Conocer y analizar sus riesgos identificando amenazas, vulnerabilidad, e impactos en la actividad empresarial
Prevenir eliminar o reducir eficazmente el nivel de riezgo mediante la implementacion de los controles adecuados preparandose ante posibles emergencias
Planificar organizar y estructurar los recursos asiganados a seguridad de la informacion
Definir objetivos y metas que permiten aumentarel grado de confianza de la seguridad
Aportar un valor añadido de confianza en la proteccion de la informacion mejorando su imagen de cara a otras empresas y convirtiendose en un factor de distinction frente a la competencia.
Con estas certificaciones se obtiene las siguientes ventajas:
Externas
-Aumentar la credibilidad y confianza de clientes y administración
- Facilitar el intercambio y acceso a mercados externos.
- Facilitar la compra al consumidor
- Fidelizar a los clientes
Internas
-Reducir Costes
- Mejorar los procesos
- Mejorar la satisfacción personal
- Mejorar la satisfacción del cliente
La mínima documentacion que se va a revisar es la siguiente
1- Política de seguridad de la organización
2- Alcance de la certificación
3- Analicis de riesgos de la organización
4- Revisión de la documentacion de lso controles seleccionados
Política se desuridad de la organización:
Podra no estar desarrollada en un único documento E incluso el auditor verificara que la política de seguridad pueda estar resumida en un único folio
Auditoria in-situ
La segunda fase de la uditoria se desarrolla en las instalaciones de la organizacion auditada y en ella el audior se realizara entrevistas
Planificacion de la auditoria
El proceso de auditoria de los controles pueden no ser exhastivo y antes de inicar la auditoria presencial debera :
Incluir todos los controles criticos
Seleccionar controles de todas las secciones
seleccionar controles de forma que se auditen todos los departamentos involucrados
