Informe Auditoria Interna de Un SGSI - -27001

El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology Security techniques - Information security management systems - Requirements) fue
aprobado y publicado como estndar internacional en Octubre de 2005 por International
Organization for Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de
Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es
consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y
tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin
britnica, la [British Standards Institution] (BSI).
* 1 Evolucin
* 2 Implantacin
* 3 Certificacin
* 4 La Serie 27000
* 5 Referencias
* 6 Para quin es significativo?
* 7 Ejemplos de auditorias realizadas con esta ISO.
* 8 BIBLIOGRAFIA
1Evolucion
Espaa En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas
de Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el comit
tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica British Standard BS
7799-2:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de
estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
2-Implantacion
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una
duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a
estar sometido al Sistema de Gestin de la Seguridad de la Informacin ( en adelante SGSI)
elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de
informacin y sus procesos de trabajo a las exigencias de las normativas legales de
proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el
ms importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley
Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la
seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de todas las
reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y
asesorado por consultores externos especializados en seguridad informtica, derecho de las
nuevas tecnologas, proteccin de datos (que hayan realizado un mster o curso de
especializacin en la materia) y sistemas de gestin de seguridad de la informacin (que
hayan realizado un curso de implantador de SGSI).
3- Certificacion

La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin

externa, independiente y acreditada audita el sistema, determinando su conformidad con
ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el
correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran
certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001
en su primera certificacin con xito o mediante su recertificacin trienal, puesto que la
certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad
de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO 9001:2000 y con
el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el
punto de poder llegar a certificar una organizacin en varias normas y en base a un sistema
de gestin comn.
4- La Serie 27000
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares
ISO/IEC:
* ISO 27000: Actualmente en fase de desarrollo. Contendr trminos y definiciones que se
emplean en toda la serie 27000.
* UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos. Fecha de la de la versin espaola 29 Noviembre de 2007. Es la norma principal
de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los SGSIs debern
ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una
lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente
denominada ISO17799).
* ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin con 11 dominios, 39 objetivos de control y 133 controles.
* ISO 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de
implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requisitos de
sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de
documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de
implantacin.
* ISO 27004: En fase de desarrollo; probable publicacin en 2009. Especificar las mtricas
y las tcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantacin
de un SGSI y de los controles relacionados.
* ISO 27005: Publicada en Junio de 2008. Consiste en una gua para la gestin del riesgo
de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Incluye partes de la ISO 13335.
* ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
Para quin es significativo?
ISO/IEC 27001 es una norma adecuada para cualquier organizacin, grande o pequea, de
cualquier sector o parte del mundo. La norma es particularmente interesante si la proteccin
de la informacin es crtica, como en finanzas, sanidad sector pblico y tecnologa de la
informacin (TI).
ISO/IEC 27001 tambin es muy eficaz para organizaciones que gestionan la informacin por
encargo de otros, por ejemplo, empresas de subcontratacin de TI. Puede utilizarse para
garantizar a los clientes que su informacin est protegida

7- Ejemplos de auditorias realizadas con esta ISO.

Auditoria interna de un SGSI ISO 27001.
Jos Manuel Fernndez publica en su blog unas incesantes reflexiones sobre la Auditora
interna de un SGSI segn la norma ISO 27001. En este trabajo cuenta de qu trata la
Auditora Interna de un SGSI desde dos puntos de vista: de un lado analiza qu requisitos
pide ISO 27001 respecto de la misma; de otro cul es la metodologa a aplicar en la ejecucin
del proceso completo de stas y diferencias con auditora tradicional de sistemas de forma
estricta.
Acaba el trabajo con la diferencia entre la Auditoria tradicional de Sistemas y la de un SGSI:

En la tradicional auditora de sistemas, el auditor aplica directamente a los mismos sus

herramientas de auditora o sus prcticas cerebrales para comprobar la solidez de dicho
sistema. Incide de forma clara sobre el mismo en la bsqueda de agujeros de seguridad que
explotar de cara a incluirlos en su informe final. Se utilizan tcnicas de hacking tico u otras
de ingeniera social en muchos de los casos. Aqu podramos hablar largo y tendido, pero
simplemente es captar la diferencia con la Auditora Interna del SGSI.
Respecto de la Auditora del SGSI, son cosas distintas. En un instante dado, la Auditora de
Sistemas, Hacking tico, , pueden ser actividades que aporten hallazgos para la mejora de
nuestro SGSI sin ningn gnero de dudas. Requiere de personal altamente cualificado en
sistemas informticos y en el anlisis de vulnerabilidades y amenazas a los que se ven
sometidos los sistemas. La especializacin aplica tambin, incluso, a la tipologa de mquinas
que tengamos que auditar (mainframes, equipos normales, ).
Por sintetizar, la Auditora de Sistemas Informticos tiene una vertiente ms tcnica y se
centra en la verificacin de controles en el procesado de informacin en sistemas
informticos, incidiendo sobre los mismos para poder evaluar su eficacia y poder presentar el
correspondiente informe a la alta direccin. Este auditor verifica informacin en trminos de
confidencialidad, integridad, disponibilidad, no repudio, Durante las actuaciones de
auditora, procede a examinar y evaluar los procesos dentro del rea de Procesado de Datos,
analizando los recursos aplicados al procesado y tomar conclusiones sobre los sistemas
computerizados, con la consecuente toma de evidencias que respalden sus juicios sobre los
sistemas.
Bien es cierto que, dada la situacin actual en cuanto al desarrollo de normas como ISO
17799, ISO 27001, etc., tanto los auditores de SGSI como de Sistemas, tienden a ser
auditores de todo, crendose la nube que actualmente tienen muchas personas.
Lo ideal para un auditor en estas lneas de negocio es disponer de conocimientos solventes
en sistemas informticos y de informacin, as como solvencia contrastada en las tcnicas de
gestin que se vienen imponiendo en todo el mundo en los ltimos aos.
8- BIBLIOGRAFIA
LINKS:
www.bsigroup.es/...auditoria/Sistemas.../ISOIEC-27001
www.todocursosgratis.com/.../master-auditoria-sistemas-gestion-seguridadinformacion-iso--iec-17799--iso-27001-cursos
www.slideshare.net/.../auditoria-interna-de-un-sgsi-segun-iso-27001 - Estados
Unidos
www.todomaster.com/.../auditoria-sistemas-gestion-seguridad-informacion-iso-iec17799-iso-27001-cursos-subvencionados_6086166