Está en la página 1de 262

CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 3

AUDITORÍA DE SISTEMAS
DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN (SGSI)

CRISTINA MERINO BADA


RICARDO CAÑIZARES SALES
CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 4

AUDITORÍA DE SISTEMAS DE GESTIÓN DE SEGURIDAD


DE LA INFORMACIÓN (SGSI)

Autores: Cristina Merino Bada


Ricardo Cañizares Sales

Edita:
© FUNDACIÓN CONFEMETAL
Príncipe de Vergara, 74 – 28006 Madrid
Tel.: 91 782 36 30. Fax: 91 563 17 41
editorial@fundacionconfemetal.es
www.fundacionconfemetal.com

ISBN: 978-84-15683-97-1
Depósito Legal: M-8603-2014

Impreso en España – Printed in Spain

QUEDA PROHIBIDA TODA REPRODUCCIÓN TOTAL O PARCIAL DE LA OBRA POR CUALQUIER MEDIO
O PROCEDIMIENTO SIN AUTORIZACIÓN PREVIA.
CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 5

ÍNDICE

Capítulo 1.
Sistema de Gestión de Seguridad de la Información ............... 9

1.1. ¿Qué es un SGSI? ........................................................ 11


1.2. Ciclo básico de implantación de un SGSI ........................ 15
1.3. Beneficios de un SGSI ................................................... 19

Capítulo 2.
Conceptos Generales de Auditoría de Tecnologías
de la Información .................................................................. 23

2.1. Introducción .................................................................. 25


2.2. Generalidades .............................................................. 26

2.2.1. Objetivo de la auditoría ...................................... 27


2.2.2. Limitaciones ...................................................... 28
2.2.3. El auditor .......................................................... 28
2.2.4. Tipos de auditoría .............................................. 29

Capítulo 3.
Auditoría de Sistemas de Gestión .......................................... 33

3.1. Introducción .................................................................. 35

3.1.1. Principios de la auditoría .................................... 35

3.2. Programa de auditoría ................................................... 38


3.3. Actividades de la auditoría ............................................. 40

3.3.1. Inicio de la auditoría .......................................... 40


3.3.2. Preparación ....................................................... 41
3.3.3. Realización de las actividades ............................ 44
CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 6

3.3.4. Preparación, aprobación y distribución del informe


de auditoría ....................................................... 44
3.3.5. Finalización de la auditoría ................................. 45
3.3.6. Actividades de seguimiento de la auditoría .......... 45

3.4. Auditoría de sistemas de gestión integrados ................... 45

3.4.1. Introducción a los sistemas de gestión integrados 45


3.4.2. Auditoría de los sistemas de gestión integrados .. 48

Capítulo 4.
Proyecto de Auditoría de un SGSI .......................................... 51

4.1. Definición del proyecto de auditoría ................................ 53


4.2. Planificación de la auditoría del SGSI ............................. 55
4.3. Ejecución de la auditoría ............................................... 59

4.3.1. Introducción ...................................................... 59


4.3.2. Fase I ............................................................... 60
4.3.3. Fase II ............................................................... 127

4.4. Cierre de la auditoría del SGSI ....................................... 216


4.5. Particularidades de la auditoría interna .......................... 217

4.5.1. La auditoría interna desde el punto de vista de la


Organización ...................................................... 217
4.5.2. La auditoría interna desde el punto de vista del
auditor externo .................................................. 222

4.6. Particularidades de la auditoría externa .......................... 224

4.6.1. Auditoría de certificación .................................... 224


CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 7

4.7. Registro y certificación .................................................. 226

4.7.1. Mantenimiento de la certificación ....................... 227

Capítulo 5.
Técnicas de auditoría ............................................................ 229

5.1. El informe de auditoría .................................................. 231

5.1.1. Preparación del informe de auditoría ................... 233


5.1.2. Aprobación del informe ...................................... 234
5.1.3. Finalización de la auditoría ................................. 234

5.2. Las entrevistas ............................................................. 234


5.3. Muestreo ...................................................................... 238

5.3.1. Muestreo basado en juicios ................................ 240


5.3.2. Muestreo estadístico ......................................... 241

Capítulo 6.
Anexos ................................................................................. 243

6.1. Planificación fase I ........................................................ 245


6.2. Planificación fase II ....................................................... 251
6.3. Informe de auditoría interna .......................................... 258
6.4. Informe fase I ............................................................... 259
6.5. Informe fase II .............................................................. 261
CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 8
CAP 01_CAP 1 24/03/14 19:12 Página 9

CAPÍTULO 1.

SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
CAP 01_CAP 1 24/03/14 19:12 Página 10
CAP 01_CAP 1 24/03/14 19:12 Página 11

Sistema de Gestión de Seguridad de la Información

1.1. ¿QUÉ ES UN SGSI?

Las siglas SGSI son el acrónimo de Sistema de Gestión de Seguridad


de la Información.

Antes de avanzar en la auditoría de un SGSI, es necesario dejar claro


qué entendemos por un SGSI y para ello debemos definir el significado
de ciertos términos en los que habitualmente suele haber cierta discre-
pancia.

Según el diccionario de la Real Academia Española, un sistema es un


“conjunto de cosas que relacionadas entre sí ordenadamente contribu-
yen a determinado objeto” y como estamos hablando de un sistema de
gestión “conjunto de cosas que relacionadas entre sí ordenadamente
contribuyen a gestionar y administrar una Organización”.

Si consultamos las definiciones que figuran en la norma ISO 9000,


Sistemas de gestión de la calidad. Fundamentos y vocabulario, un siste-
ma de gestión es un “sistema para establecer la política y los objetivos
y para lograr dichos objetivos”, entendiendo por sistema un “conjunto de
elementos mutuamente relacionados o que interactúan”.

Por otra parte, el modelo de excelencia EFQM, de la Fundación


Europea para la Gestión de Calidad, define un sistema de gestión como
un “Esquema general de procesos y procedimientos que se emplea para
garantizar que la Organización realiza todas las tareas necesarias para
alcanzar sus objetivos”.

En resumen, un sistema de gestión no es otra cosa, que el marco de


funcionamiento de una Organización en el que se integran tanto la
misión, visión, valores, objetivos principales y secundarios de la misma,
como las políticas, procedimientos, registros e indicadores, que dan
forma al sistema. Disponer del marco de trabajo que proporciona un sis-
tema de gestión le permite a una Organización incrementar la eficacia y
eficiencia de sus procesos.

11
CAP 01_CAP 1 24/03/14 19:12 Página 12

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Para desarrollar e implementar el sistema de gestión de una


Organización, es necesario realizar las siguientes actividades y tareas:

• Determinar las necesidades y expectativas de todas las partes inte-


resadas.
• Establecer la política y objetivos de la Organización.
• Determinar los procesos y las responsabilidades necesarias para
alcanzar sus objetivos de negocio.
• Determinar y proporcionar los recursos necesarios para alcanzar sus
objetivos de negocio.
• Establecer los métodos para medir la eficacia y eficiencia de cada pro-
ceso.
• Aplicar estas medidas para determinar la eficacia y eficiencia de cada
proceso.
• Determinar los medios para prevenir las no conformidades y eliminar
sus causas.
• Establecer y aplicar un proceso para la mejora continua del sistema de
gestión.

Una Organización que adopta un modelo de gestión adecuado genera


confianza en la capacidad de sus procesos, y lo que es lo mismo, gene-
ra confianza en que la Organización será capaz de alcanzar sus objetivos,
proporcionándole igualmente una base para la mejora continua, lo que es
un paso muy importante para mejorar el grado de satisfacción de todas
las partes interesadas y facilita el éxito de la Organización.

12
CAP 01_CAP 1 24/03/14 19:12 Página 13

Sistema de Gestión de Seguridad de la Información

Para que una Organización sea eficiente necesita disponer de un sis-


tema de gestión, y para ello la alta dirección debe, por medio de su lide-
razgo y sus acciones, crear un ambiente de trabajo en el cual todo el per-
sonal de la Organización se encuentre completamente involucrado y en el
que el sistema de gestión suponga una mejora continua de los procesos
de la Organización aumentando su eficiencia y eficacia. Para ello la alta
dirección debe:

• Establecer y mantener la política y los objetivos la Organización.


• Promover la política y los objetivos de la Organización a todos los nive-
les de su estructura para aumentar la concienciación, la motivación y
la participación de todo el personal.
• Asegurarse de que la Organización trabaja con un enfoque de cumpli-
miento de requisitos.
• Asegurarse de que se implementan los procesos apropiados para
cumplir con los requisitos de todas las partes interesadas y para
alcanzar los objetivos de Organización.

13
CAP 01_CAP 1 24/03/14 19:12 Página 14

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Asegurarse de que se ha establecido, implementado y se mantiene un


sistema de gestión eficaz y eficiente que permite alcanzar los objeti-
vos de la Organización.
• Asegurarse de que están disponibles los recursos necesarios.
• Revisar periódicamente el sistema de gestión.
• Tomar decisiones sobre las acciones a tomar en relación con la políti-
ca y con los objetivos de la calidad.
• Tomar decisiones sobre las acciones a tomar en relación con la mejo-
ra del sistema de gestión.

El objetivo de la mejora continua del sistema de gestión de la


Organización es aumentar la eficacia y eficiencia de los procesos de la
misma, lo que implica el aumento de la satisfacción de todas las partes
interesadas. Para ello es necesario realizar una serie de actividades
como:

• El análisis y la evaluación de la situación existente para identificar las


áreas para la mejora.
• El establecimiento de los objetivos para la mejora.
• La búsqueda de posibles soluciones para alcanzar los objetivos.
• La evaluación de dichas soluciones y su selección.
• La implementación de la solución seleccionada.
• La medición, verificación, análisis y evaluación de los resultados de la
implementación para determinar que se han alcanzado los objetivos.
• La formalización de los cambios.

La mejora es una actividad continua, por ello es necesario revisar la


información que proporciona el sistema de gestión para determinar opor-
tunidades de mejora. También se debe utilizar la información provenien-
te de las partes interesadas, de las auditorías, y de la revisión del siste-
ma de gestión para identificar otras oportunidades adicionales para la
mejora.

Como resumen, al implantar un SGSI se busca gestionar la seguridad de


la información de una Organización bajo un modelo basado en la mejora

14
CAP 01_CAP 1 24/03/14 19:12 Página 15

Sistema de Gestión de Seguridad de la Información

continua, donde la Organización que decide implementarlo adopta un enfo-


que por procesos para la creación, implementación, operación, supervi-
sión, revisión y mantenimiento de la seguridad de su información.

1.2. CICLO BÁSICO DE IMPLANTACIÓN DE UN SGSI

Los Sistemas de Gestión de la Seguridad de la Información desarro-


llados según la norma ISO 27001, igual que muchos otros sistemas de
gestión, se basan, como se ha indicado anteriormente, en el concepto de
mejora continua.

El “círculo de Deming” (de Edwards Deming), también conocido como


modelo o ciclo PDCA es una estrategia de mejora continua de la calidad
en cuatro fases, basada en un concepto ideado por Walter A. Shewhart.

Las siglas PDCA son el acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Comprobar, Actuar).

15
CAP 01_CAP 1 24/03/14 19:12 Página 16

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación, se describen las fases de este ciclo de mejora conti-


nua, nombre con el que también se le conoce al ciclo PDCA, que como
se puede comprobar son de aplicación a cualquier proyecto de mejora de
procesos sean del tipo que sean.

PLANIFICAR

• Identificar el proceso que se quiere mejorar.


• Recopilar datos para profundizar en el conocimiento del proceso.
• Analizar e interpretar los datos.
• Establecer los objetivos de mejora.
• Detallar las especificaciones de los resultados esperados.
• Definir los procesos necesarios para conseguir estos objetivos, verifi-
cando las especificaciones.

HACER

• Ejecutar los procesos definidos en el paso anterior.


• Documentar las acciones realizadas.

COMPROBAR

• Pasado un periodo de tiempo previsto de antemano, volver a recopilar


datos de control y analizarlos, comparándolos con los objetivos y espe-
cificaciones iniciales, para evaluar si se ha producido la mejora espe-
rada.
• Documentar las conclusiones.

ACTUAR

• Modificar los procesos según las conclusiones del paso anterior para
alcanzar los objetivos con las especificaciones iniciales, si fuese
necesario.
• Aplicar nuevas mejoras, si se han detectado errores en el paso anterior.
• Documentar el proceso.

16
CAP 01_CAP 1 24/03/14 19:12 Página 17

Sistema de Gestión de Seguridad de la Información

A continuación vemos las tareas que se realizan en cada una de fases


del ciclo PDCA en el caso de un Sistema de Gestión de Seguridad de la
Información:

PLANIFICAR

• Estudio de la situación de la Organización (desde el punto de vista de


la seguridad), para estimar las medidas que se van a implantar en fun-
ción de las necesidades detectadas.
• Realización de un Análisis de Riesgos que ofrezca una valoración de
los activos de información y las vulnerabilidades a las que están
expuestos.
• Elaboración del plan de gestión de riesgos.

17
CAP 01_CAP 1 24/03/14 19:12 Página 18

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

HACER

• Ejecución del plan de acción e implantación de los controles.


• Revisión de la documentación (políticas, procedimientos, instruccio-
nes y registros).
• Concienciación y formación.

COMPROBAR

• Evaluación de la eficacia y eficiencia de los controles implantados.


• Verificación de registros e indicadores.
• Verificación del correcto funcionamiento del SGSI.

ACTUAR

• Mantenimiento del sistema.


• Realización de tareas de mejora y de corrección.

18
CAP 01_CAP 1 24/03/14 19:12 Página 19

Sistema de Gestión de Seguridad de la Información

Como resumen de lo anterior, Planificar se refiere a la creación: com-


prender los requisitos de seguridad de la información de una
Organización y la necesidad de establecer una política de seguridad de la
información y sus objetivos. Hacer se refiere a la implementación y ope-
ración de los controles para gestionar los riesgos de seguridad de la infor-
mación de una Organización en el marco de sus riesgos empresariales
generales. Comprobar se refiere a la supervisión y revisión el rendimien-
to y la eficacia del SGSI, y Actuar se refiere al aseguramiento de la mejo-
ra continua sobre la base de la medición objetiva.

En definitiva, con un SGSI, la Organización lo que busca es conocer y


gestionar riesgos a los que está expuesta la información de la
Organización, lo que le permitirá gestionar la seguridad y actuar median-
te una sistemática definida, documentada y conocida por todos, que se
revisa y mejora en cada vuelta del ciclo PCDA.

La seguridad al 100% no existe, por lo que garantizar un nivel de pro-


tección total es imposible, incluso en el hipotético caso de que la
Organización que decidiera implantarlo dispusiera de un presupuesto ili-
mitado. Por lo tanto, el propósito de un SGSI no es garantizar que una
Organización es segura, si no que esta gestiona la seguridad y garantiza,
eso sí, que los riesgos de la seguridad de la información sean conocidos,
gestionados y tratados en base a los criterios definidos por la propia
Organización de acuerdo a su estrategia de seguridad. Todo este proce-
so de gestión debe realizarse de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se pro-
duzcan en los riesgos, el entorno y las tecnologías. Además de esto, se
deben dejar evidencias de las acciones y que se pueda realizar una tra-
zabilidad clara.

1.3. BENEFICIOS DE UN SGSI

Para entender el sentido o la motivación de la implantación de un sis-


tema de gestión de seguridad de la información, hay que tener en cuenta

19
CAP 01_CAP 1 24/03/14 19:12 Página 20

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

que el origen de una gestión inadecuada de la seguridad puede estar en


una o varias de las siguientes causas:

• Errores humanos.
• Acciones malintencionadas.
• Falta de control.
• Fallo de los sistemas.
• Carencia de formación y concienciación.
• Incidentes externos.
• Incumplimiento legal.

Estas causas pueden desembocar en una serie de graves conse-


cuencias, entre las que se encuentran:

• Pérdida documental.
• Pérdida de confidencialidad.
• Indisponibilidad de la información.
• Alto tiempo de recuperación.
• Baja productividad.
• Aumento de los costes.
• Disminución del nivel de servicio.
• Pérdida reputacional.
• Pérdida de oportunidades de negocio.
• Pérdida de clientes.

La implantación de un sistema de gestión de seguridad de la informa-


ción, proporciona una serie de beneficios y puede considerarse como una
buena alternativa a tener en cuenta para que una Organización pueda
establecer una metodología y una serie de medidas con las que ordenar,
sintetizar y simplificar de manera continua el esfuerzo que ya realiza o
que debería realizar para garantizar la seguridad de su información. Esta
mejora en el nivel de seguridad se verá reflejada en una serie de venta-
jas que se describen a continuación:

20
CAP 01_CAP 1 24/03/14 19:12 Página 21

Sistema de Gestión de Seguridad de la Información

• Reducción de riesgos
Esto se consigue realizando un análisis de riesgos, y elaborando un
conjunto de planes de acción derivado del mismo, que contemplará la
implementación de un conjunto de salvaguardas, lo que reducirá los
riesgos hasta el nivel asumible por la Organización, este proceso esta-
rá alineado los objetivos de negocio de esta.
• Aumento del retorno sobre la inversión en seguridad (ROSI)
La implantación de un SGSI permite una optimización de recursos y un
incremento de la eficacia y eficiencia en el empleo de los mismos, lo
que supone una mejora en el retorno de la inversión. Además de que
la toma de decisiones podrá estar basada en prioridades y datos cuan-
titativos, no sólo cualitativos, lo que permite gestionar mejor la inver-
sión en seguridad, evitándose gastos innecesarios, inesperados, y
sobredimensionados.
• Aumenta la madurez en la gestión de la seguridad
La implementación de un SGSI transforma la seguridad en una activi-
dad de gestión, como cualquier otro proceso de la Organización. Este
concepto es importante dado que la seguridad deja de ser un conjun-
to de actividades técnicas organizadas, para transformarse en un pro-
ceso con un ciclo de vida metódico y controlado. De este modo va
aumentando el nivel de madurez de la Organización en cuanto a la
seguridad y mejorando en cada vuelta de ciclo.
• Cumplimiento legal
Durante la implementación de un SGSI se evalúa el cumplimiento de
la legislación vigente y se verifica la adecuación y el cumplimiento. Por
lo tanto, se crea un marco legal en evaluación continua.
• Generación de valor y factor diferenciador
Es en un importante factor diferenciador con la competencia, por las
ventajas derivadas de la mejora de la imagen y de otras ventajas com-
petitivas en el mercado.

21
CAP 01_CAP 1 24/03/14 19:12 Página 22

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Entre estas ventajas competitivas podemos citar las siguientes:

• Aumento de la seguridad de:


— La información.
— Los sistemas de información.
— Las tecnologías de la información y las comunicaciones.
— Las personas.
— Las infraestructuras.
• Mejor gestión del presupuesto.
• Adecuación al cumplimiento legal (LOPD, LSSI...).
• Aumento de la eficiencia y productividad.
• Permite la continuidad del negocio.
• Nuevas oportunidades de negocio.
• Garantía frente a terceros: confianza.
• Imagen de excelencia.

22
CAP 02_CAP 1 24/03/14 19:14 Página 23

CAPÍTULO 2.

CONCEPTOS GENERALES
DE AUDITORÍA DE TECNOLOGÍAS
DE LA INFORMACIÓN
CAP 02_CAP 1 24/03/14 19:14 Página 24
CAP 02_CAP 1 24/03/14 19:14 Página 25

Conceptos Generales de Auditoría de Tecnologías de la Información

2.1. INTRODUCCIÓN

La primera cuestión es determinar a qué nos referimos cuando habla-


mos de auditoría, las definiciones de auditoría que nos encontramos tie-
nen pequeñas diferencias dependiendo del autor y área de aplicación.

“Proceso sistemático para evaluar y obtener de manera objetiva las


evidencias relacionadas con informes sobre actividades económicas y
otros acontecimientos relacionados”.

“Es una actividad que consiste en la emisión de una opinión profesional


sobre si el objeto sometido a análisis presenta adecuadamente la realidad
que pretende reflejar y/o cumple las condiciones que le han sido prescritas”.

“Proceso sistemático, independiente y documentado para obtener evi-


dencias y evaluarlas de manera objetiva con el fin de determinar si cumplen
con las disposiciones previamente establecidas, y si estas disposiciones se
han aplicado efectivamente y son adecuadas para alcanzar los objetivos”.

“Se entiende por Auditoría Informática una serie de exámenes perió-


dicos o esporádicos de un sistema informático cuya finalidad es analizar
y evaluar la planificación, el control, la eficacia, la seguridad, la economía
y la adecuación de la infraestructura informática de la empresa”.

“La Auditoría Informática comprende la revisión y la evaluación inde-


pendiente y objetiva, por parte de personas independientes y teórica-
mente competentes del entorno informático de una entidad, abarcando
todo o algunas de sus áreas, los estándares y procedimientos en vigor,
su idoneidad y el cumplimiento de estos, de los objetivos fijados, los con-
tratos y las normas legales aplicables, el grado de satisfacción de usua-
rios y directivos, los controles existentes y el análisis de riesgos”.

“Proceso sistemático, independiente y documentado para obtener evi-


dencias de la auditoría y evaluarlas de manera objetiva con el fin de deter-
minar el grado en que se cumplen los criterios de auditoría”.

25
CAP 02_CAP 1 24/03/14 19:14 Página 26

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

2.2. GENERALIDADES

Al comenzar una auditoría, hay que establecer una serie de criterios


que se van a aplicar durante la misma:

• Ámbito: es la definición que determina los límites de la auditoría e


identifica los elementos, procesos, servicios y/o actividades que van
a auditarse. La definición del ámbito de auditoría sirve además para
hacer un uso más eficiente de los recursos que van a utilizarse duran-
te la auditoría, incluyendo el tiempo que debe estar disponible las per-
sonas implicadas en la auditoría.
• Proceso revisión: proceso mediante el cual el equipo auditor obtiene
evidencias del cumplimiento o incumplimiento de la norma auditada.
• Proyecto: es un proceso único consistente en un conjunto de activida-
des coordinadas y controladas con fechas de inicio y de finalización,
llevadas a cabo para conseguir un objetivo conforme con requisitos
específicos, incluyendo las limitaciones de tiempo, costes y recursos.
• Cumplimiento: se refiere a la conformidad de los requisitos de la
norma auditada.
• Objetivos de negocio: objetivos estratégicos.
• Opinión: juicio del auditor basado en las evidencias obtenidas y anali-
zadas.
• Informe de auditoría: producto final del proyecto de auditoría, es la
herramienta utilizada por el auditor para informar de sus hallazgos,
conclusiones y recomendaciones.
• Auditor: persona que lleva a cabo una auditoría.
• Equipo auditor: uno o más auditores que llevan a cabo una auditoría,
con el apoyo, si es necesario, de expertos técnicos1.
• Cliente de auditoría: organización o persona que solicita una auditoría.
• Organización auditada: organización que es auditada.

1
Durante el libro nos referiremos al Equipo auditor independientemente de si la auditoría se planifica
con una o más personas.

26
CAP 02_CAP 1 24/03/14 19:14 Página 27

Conceptos Generales de Auditoría de Tecnologías de la Información

Uno de los puntos clave de auditoría es la obtención de evidencias,


pero hay que definir qué entendemos por evidencia:

Una evidencia es cualquier información utilizada por el auditor para


determinar si se están cumpliendo los criterios establecidos. La Real
Academia de la Lengua en su vigésima segunda edición define la evi-
dencia como: “certeza clara y manifiesta de la que no se puede dudar”.

Las evidencias obtenidas deben ser competentes y suficientes, para


que una evidencia sea competente debe ser válida y relevante, esta
característica fija la calidad de las evidencias obtenidas, por otra parte
se deben obtener un número (cantidad) de evidencias que permita garan-
tizar la suficiencia de las mismas.

2.2.1. Objetivo de la auditoría

Los objetivos de una auditoría de TI pueden ser de protección, de ges-


tión o de cumplimiento, y hablamos de Auditoría de Seguridad, Auditoría
de Gestión o de Auditoría de Cumplimiento.

Una auditoría tiene un objetivo de protección, cuando se realiza para


verificar el grado de seguridad de un sistema, en sus tres aspectos
Confidencialidad, Integridad y Disponibilidad.

Cuando el objetivo de una auditoría es determinar el nivel de la efi-


ciencia y eficacia de los procesos de TI, decimos que la auditoría tiene
un objetivo de gestión.

Por otra parte, cuando hablamos de una auditoría de cumplimiento,


nos referimos a que su objetivo es verificar el cumplimiento por parte de
la Organización de lo dispuesto en la legislación vigente, en normas y
estándares o en acuerdos contractuales.

27
CAP 02_CAP 1 24/03/14 19:14 Página 28

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

2.2.2. Limitaciones

Al planificar una auditoría uno de los puntos clave es lograr el equilibrio


necesario entre los recursos disponibles para la realización de la audito-
ría, con el objetivo y alcance de la misma y las actividades y tareas que
se considera necesario realizar.

Al elaborar el plan se deben tener en cuenta los requisitos del pro-


yecto de auditoría, recursos de personal y otras restricciones, y en base
a él establecer las limitaciones a la auditoría, previas al inicio del pro-
yecto de auditoría.

Igualmente durante la ejecución del proyecto pueden surgir limitacio-


nes a la auditoría como pueden ser: la no disponibilidad de determinada
información, la dificultad de conservación de las evidencias y otras.

Todas las limitaciones a la auditoría tanto iniciales como sobrevenidas


deben figurar en el informe de auditoría.

2.2.3. El auditor

Una de las principales cualidades que debe tener un auditor es su inde-


pendencia, en dos vertientes, la primera de ellas, su independencia profe-
sional, lo que implica que en todos los asuntos que tengan relación con el
proyecto de auditoría, el auditor debe ser independiente la
Organización/departamento auditado tanto en actitud como en apariencia.

En la segunda vertiente, la independencia organizacional, implica que


la Organización/departamento al que pertenece el auditor no debe man-
tener ninguna relación de interdependencia con la Organización/departa-
mento objeto de la auditoría, que pueda comprometer su independencia.

El auditor debe realizar su trabajo con la más absoluta objetividad y


con el debido cuidado profesional.

28
CAP 02_CAP 1 24/03/14 19:14 Página 29

Conceptos Generales de Auditoría de Tecnologías de la Información

El auditor además de ser independiente y objetivo, debe ser profesio-


nalmente competente, para ello debe poseer una serie de conocimientos
y habilidades que le permitan desarrollar su trabajo con la calidad y pro-
fesionalidad necesaria, por ello tiene que conocer:

• Los estándares y procedimientos de auditoría generalmente acep-


tados.
• Las buenas prácticas y técnicas empleadas en los procesos de
auditoría.
• Las técnicas y procedimientos para recopilar información y preservar
la evidencia.
• El ciclo de vida de la evidencia y los procedimientos para su protec-
ción y mantenimiento de la cadena de custodia.
• Los objetivos de control y de los controles relacionados con la mate-
ria a auditar.
• Las metodologías, procedimientos y técnicas de análisis y gestión de
riesgos.
• Los procedimientos y técnicas de planificación y gestión de los pro-
yectos de la auditoría.
• Los procedimientos y técnicas de informe y comunicación, así como
de negociación y resolución de conflictos.

Para mantener la competencia profesional y el nivel de conocimientos


necesarios, el auditor debe estar sujeto a un proceso de formación y
capacitación profesional continua.

2.2.4. Tipos de auditoría

Las auditorías se pueden agrupar de diferentes formas, pero uno de


los criterios que permiten clasificarlas independientemente de su obje-
tivo, es si la realiza personal de la propia Organización auditada o se
trata de personal externo, así hablamos de auditoría interna y auditoría
externa.

29
CAP 02_CAP 1 24/03/14 19:14 Página 30

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Auditoría interna

La auditoría interna la realiza un auditor interno, que es un profesio-


nal que trabaja en el ámbito interno de la empresa, y que debe realizar
sus funciones con la mayor eficacia y eficiencia posible, recomendando
para ello las medidas preventivas o correctivas a su desempeño dentro
de la dependencia o entidad a la que pertenece.

Para desempeñar adecuadamente sus funciones un auditor interno


debe conocer y cumplir las normas profesionales de conducta, poseer los
conocimientos técnicos y disciplinarios necesarios para la realización de
las auditorías internas, por lo que está obligado a una formación conti-
nua, sin olvidar que debe tener facilidad para las relaciones humanas y
la comunicación y actuar siempre con el debido cuidado profesional.

El trabajo de auditoría interna comprende el examen y evaluación de


la idoneidad y efectividad del sistema de control interno y de su eficacia
para alcanzar los objetivos encomendados y tiene por objetivo verificar
el cumplimiento de las políticas, planes y procedimientos de la
Organización así como de la normativa legal de aplicación y los compro-
misos contractuales.

La auditoría interna forma parte del control interno, y tiene como uno
de sus objetivos fundamentales el perfeccionamiento y protección de
dicho control interno.

30
CAP 02_CAP 1 24/03/14 19:14 Página 31

Conceptos Generales de Auditoría de Tecnologías de la Información

Auditoría externa

La auditoría externa la realiza un auditor externo que es un profesio-


nal que no tiene una relación laboral con la Organización que audita.

Las características de auditor externo, que influyen decisivamente en


su trabajo son: la independencia, la experiencia, la visión global del mer-
cado y un limitado conocimiento de la Organización a auditar.

31
CAP 02_CAP 1 24/03/14 19:14 Página 32
CAP 03_CAP 1 24/03/14 19:16 Página 33

CAPÍTULO 3.

AUDITORÍA DE SISTEMAS DE GESTIÓN


CAP 03_CAP 1 24/03/14 19:16 Página 34
CAP 03_CAP 1 24/03/14 19:16 Página 35

Auditoría de Sistemas de Gestión

3.1. INTRODUCCIÓN

Este capítulo está basado en la norma ISO 19011 Directrices para la


auditoría de los sistemas de gestión. (ISO 19011:2011). Respecto a la
versión anterior de esta norma (ISO 19011:2002), se han producido cam-
bios sustanciales debido a la publicación de nuevas normas de sistemas
de gestión y a la necesidad de generalizar y ofrecer un alcance más
amplio en cuanto al proceso de auditoría sin centrarse de una forma con-
creta en normas tan conocidas como son la ISO 9001 o ISO 14001.

Si bien es cierto que existe una norma más específica en auditoría de


sistemas de gestión de seguridad de la información, la norma ISO 27007,
y en la que nos apoyamos en otro capítulo de este libro, ambas normas,
ISO 19011 e ISO 27007 se complementan, la primera de ellas estable-
ciendo principios generales y la segunda haciendo foco en el proceso de
auditoría de un sistema de gestión de seguridad de la información.

La norma ISO 19011 define una auditoría como un “Proceso siste-


mático, independiente y documentado para obtener evidencias de la
auditoría y evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios de auditoría”.

3.1.1. Principios de la auditoría

La auditoría se basa en un número de principios fundamentales que


se definen en la ISO 19011 y que aseguran que la auditoría es una herra-
mienta eficiente y fiable, en base a sus políticas y controles de gestión,
proporcionando información para la mejora del desempeño de la
Organización. La comprensión y seguimiento de estos principios asegu-
ran que las conclusiones de la auditoría sean relevantes y suficientes, y
permite a los auditores que, trabajando independientemente, alcancen
conclusiones parecidas en circunstancias similares.

35
CAP 03_CAP 1 24/03/14 19:16 Página 36

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

1. Integridad:

Se refiere a la profesionalidad. Los auditores deben:

• Desempeñar su trabajo con honestidad, diligencia y responsabilidad.


• Observar y cumplir todos los requisitos legales aplicables.
• Demostrar su competencia al desempeñar su trabajo.
• Desempeñar su trabajo de manera imparcial, es decir, permanecer
ecuánime y sin sesgo en todas sus acciones.
• Ser sensible a cualquier influencia que se pueda ejercer sobre su
juicio mientras lleva a cabo una auditoría.

2. Presentación imparcial:

Se refiere a la obligación de informar con veracidad y exactitud.

Los hallazgos, conclusiones e informes de la auditoría deben reflejar


con veracidad y exactitud las actividades de auditoría. Se debe infor-
mar de los obstáculos significativos encontrados durante la auditoría
y de las opiniones divergentes sin resolver entre el equipo auditor y el
auditado. La comunicación debería ser veraz, exacta, objetiva, oportu-
na, clara y completa.

3. Debido cuidado profesional:

Se refiere a la aplicación de diligencia y juicio al auditar.

Los auditores deben proceder con el debido cuidado, de acuerdo con


la importancia de la tarea que desempeñan y la confianza depositada
en ellos por el cliente de la auditoría y por otras partes interesadas.
Un factor importante al realizar su trabajo con el debido cuidado pro-
fesional es tener la capacidad de hacer juicios razonados en todas las
situaciones de la auditoría.

36
CAP 03_CAP 1 24/03/14 19:16 Página 37

Auditoría de Sistemas de Gestión

4. Confidencialidad:

Se refiere a la seguridad de la información.

Los auditores deben proceder con discreción en el uso y la protección


de la información adquirida en el curso de sus tareas. La información
de la auditoría no debe usarse inapropiadamente para beneficio per-
sonal del auditor o del cliente de la auditoría, o de modo que perjudi-
que el interés legítimo del auditado. Este concepto incluye el trata-
miento apropiado de la información sensible o confidencial.

5. Independencia:

Se refiere a la base para la imparcialidad de la auditoría y la objetivi-


dad de las conclusiones de la auditoría.

Los auditores deben ser independientes de la actividad que se audita


siempre que sea posible, y en todos los casos deben actuar de forma
que todas sus acciones estén libres de sesgo y no supongan ningún
conflicto de intereses.

Para las auditorías internas, los auditores deben ser independientes


de los responsables operativos de la función que se audita. Los audi-
tores deben mantener la objetividad a lo largo del proceso de audito-
ría para asegurarse de que los hallazgos y conclusiones de la audito-
ría estarán basados sólo en la evidencia de la auditoría.

6. Enfoque basado en la evidencia:

Se refiere al método racional utilizado en un proceso de auditoría sis-


temático que permita alcanzar conclusiones de auditoría fiables y
reproducibles.

Al llevarse a cabo las auditorías durante un periodo delimitado y con recur-


sos finitos, la obtención de evidencias se suele realizar habitualmente

37
CAP 03_CAP 1 24/03/14 19:16 Página 38

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

sobre la muestra de toda la información disponible. El uso de las técnicas


de muestreo debe ser el apropiado, ya que su selección y aplicación está
estrechamente relacionado con la confianza que puede depositarse en las
conclusiones de la auditoría.

3.2. PROGRAMA DE AUDITORÍA

Toda Organización que necesita realizar auditorías debe establecer un


programa de auditoría que ayude a la determinación de la eficacia del sis-
tema de gestión auditado. El programa de auditoría puede incluir audito-
rías que tengan en consideración una o más normas de sistemas de ges-
tión, llevadas a cabo de manera individual o integrada.

El alcance de un programa de auditoría debe basarse en el tamaño y


la naturaleza o sector de la Organización que se audita, así como en la
naturaleza, funcionalidad, complejidad y nivel de madurez del sistema de
gestión que se va a auditar. Lógicamente no es lo mismo auditar un sis-
tema recién implantado cuya madurez aún estará probablemente en un
nivel bajo, que auditar un sistema que ya lleva varios años enmarcado en
una mejora continua y, por lo tanto, el sistema tendrá un alto nivel de
madurez.

Para conseguir que las auditorías se realicen de una forma eficaz y efi-
ciente, el programa de auditoría debe incluir la información y los recursos
necesarios para llevarla a cabo.

Podemos resumir que la gestión de un programa de auditoría debe


estar a su vez enmarcado dentro de un modelo PDCA, que nos permita
gestionarlo dentro de un proceso de mejora continua.

PLAN

• Definición de funciones y responsabilidades.


• Definición del alcance:

38
CAP 03_CAP 1 24/03/14 19:16 Página 39

Auditoría de Sistemas de Gestión

— Número de personas.
— Unidades organizacionales.
— Actividades y procesos a ser auditados.
— Duración de la auditoría.
— Ubicaciones físicas.

• Identificación y evaluación de los riesgos relacionados con el progra-


ma de auditoría.
• Procedimientos del programa de auditoría.
• Identificación de recursos.

DO

• Definición de objetivos generales e individuales.


• Selección de los métodos de auditoría.
• Selección del equipo auditor.
• Asignación de responsabilidades.
• Gestión de los resultados del programa de auditoría.
• Gestión y mantenimiento de los registros.

CHECK

• Seguimiento del programa de auditoría.

ACT

• Revisión y mejora del programa de auditoría.

A continuación vemos las actividades que se indican en la ISO 19011


para la gestión de un programa de auditoría.

39
CAP 03_CAP 1 24/03/14 19:16 Página 40

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

3.3. ACTIVIDADES DE LA AUDITORÍA

Una vez se ha definido el marco de gestión del programa de auditoría


ya podemos centrarnos en la realización de la auditoría en sí. Aunque las
actividades y tareas de una auditoría pueden variar en función del siste-
ma que se vaya a auditar, todas las auditorías siguen un esquema gene-
ral con unas actividades que siempre deben estar presentes y que se
describen a continuación.

3.3.1. Inicio de la auditoría

El inicio de la auditoría consta básicamente de dos actividades: la pri-


mera es el contacto inicial con el auditado y después la valoración de la
viabilidad para la realización de la auditoría.

40
CAP 03_CAP 1 24/03/14 19:16 Página 41

Auditoría de Sistemas de Gestión

El contacto inicial con el auditado puede realizarse tanto de manera


formal como informal, y con él se persiguen distintos propósitos, entre
los que citaremos:

• Proporcionar información sobre los objetivos de la auditoría, el alcan-


ce, los métodos y la composición del equipo auditor, incluyendo los
expertos técnicos.
• Solicitar acceso a los documentos y registros pertinentes con propó-
sitos de planificación.
• Llevar a cabo los preparativos para la auditoría incluyendo la progra-
mación de las fechas.
• Acordar la asistencia de observadores y la necesidad de guías para el
equipo auditor.
• Determinar cualquier área de interés o preocupación para el auditado
en relación con la auditoría específica.

Con la actividad de analizar la viabilidad de la auditoría se pretende


conocer si existe la garantía de que se alcanzarán los objetivos fijados
para la misma. Para confirmar la viabilidad de una auditoría se pueden
tener en cuenta, entre otros, los siguientes aspectos:

• Que la información sea suficiente y apropiada para planificar y llevar a


cabo la auditoría.
• La cooperación del auditado.
• El tiempo y los recursos adecuados para llevar a cabo la auditoría.

3.3.2. Preparación

Las auditorías de los sistemas de gestión habitualmente se realizan


en dos fases. La primera es la que debe entenderse como el proceso de
preparación y comprende una revisión de la documentación y definición
formal de la planificación de la auditoría en su segunda fase.

41
CAP 03_CAP 1 24/03/14 19:16 Página 42

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

1. Preparación del plan de auditoría: el auditor jefe debe preparar un plan


de auditoría para facilitar la información necesaria que sirva de base y
guía para las partes (Organización auditada y equipo auditor). Debe
incluir la agenda y la coordinación de las actividades de la auditoría.

El nivel de detalle del plan se deberá adaptar tanto al alcance como a


la complejidad de la auditoría. Como es lógico, los detalles pueden ser
diferentes entre auditorías iniciales y de seguimiento y entre auditorías
internas y externas.

El plan de auditoría debe ser lo suficientemente flexible como para que se


pueden realizar cambios que puedan ser necesarios durante el transcur-
so de la auditoría. Cualquier modificación en la planificación debe ser acor-
dada entre las partes interesadas antes de continuar con la auditoría.

En cualquier caso, el plan de auditoría debe incluir entre otros:

— Los objetivos de la auditoría.


— El alcance de la auditoría incluyendo las unidades funcionales,
organizativas y los procesos a ser auditados.
— Los criterios de la auditoría y los documentos de referencia.
— Las fechas y lugares donde se realizarán las actividades de la
auditoría in situ.
— El tiempo y duración estimado para las actividades de la auditoría
in situ, incluyendo reuniones con la dirección y las reuniones del
equipo auditor.
— Las funciones y responsabilidades de los miembros del equipo
auditor.
— La asignación de los recursos que pudieran necesitarse en las
áreas críticas de la auditoría.

Además de lo anterior, en ocasiones puede ser necesario que el plan


de auditoría incluya:

— La identificación de los lugares, actividades y procesos del

42
CAP 03_CAP 1 24/03/14 19:16 Página 43

Auditoría de Sistemas de Gestión

sistema de gestión que son esenciales para alcanzar los obje-


tivos de la auditoría.
— La identificación de los participantes claves en la auditoría.
— El idioma de trabajo y de informe de la auditoría cuando sea dife-
rente del idioma del auditor y/o del auditado.
— La identificación de las funciones y responsabilidades del equipo
auditor y de cualquier persona acompañante.
— Los puntos del informe de la auditoría (incluyendo cualquier méto-
do de clasificación de las no conformidades), formato y estructu-
ra, la fecha esperada de su edición y distribución.
— Temas logísticos (viajes, facilidades in situ, etc.).
— Asuntos relacionados a la confidencialidad.
— Cualquier tema relacionado con las acciones del seguimiento de
la auditoría.

El plan debe ser revisado y aceptado por las partes antes del comien-
zo de la auditoría.

2. Asignación de tareas al equipo auditor: el auditor jefe debe asignar a


cada miembro del equipo responsabilidades específicas que deben
realizar durante la auditoría.

3. Preparación de los documentos de trabajo: los documentos de traba-


jo son los documentos que utiliza el equipo auditor como referencia
y/o registro del desarrollo de la auditoría. Estos documentos pueden
incluir:

— Procedimientos de auditoría, checklists y planes de muestreo de


auditoría.
— Formatos para archivo de información y soporte de evidencias.
— Registros de reuniones.
— Hallazgos de auditoría y formatos para informar de no conformi-
dades.

El uso de estos documentos, tales como los planes de auditoría, las

43
CAP 03_CAP 1 24/03/14 19:16 Página 44

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

listas de verificación y los registros, no deben restringir la extensión


de las actividades de auditoría.

Los documentos de trabajo deben guardarse hasta la finalización de


la auditoría. Los miembros del equipo auditor deben proteger la confi-
dencialidad, privacidad o propiedad de la información y aplicar las
medidas de seguridad apropiadas a esta.

3.3.3. Realización de las actividades

Durante esta actividad se llevan a cabo todas las tareas planificadas


durante la preparación y planificación de la auditoría.

3.3.4. Preparación, aprobación y distribución del informe de


auditoría

El auditor jefe es el responsable de la preparación y contenido del


informe de auditoría. Todo informe de auditoría debe contener:

• La identificación del cliente, el auditor jefe y el equipo auditor.


• La fecha y ubicación de las instalaciones donde se realiza la auditoría.
• Los objetivos, el alcance y los criterios de la auditoría.
• Los hallazgos y conclusiones de la auditoría.

Además de lo anterior, el informe de auditoría podría incluir:

• Plan de auditoría.
• Lista de representantes del auditado.
• Resumen de la auditoría y confirmación de que se han cumplido los
objetivos planificados inicialmente.
• Las áreas no cubiertas durante la auditoría.
• Los planes de acción acordados si los hubiera.
• Lista de distribución de dicho informe.

44
CAP 03_CAP 1 24/03/14 19:16 Página 45

Auditoría de Sistemas de Gestión

Una vez realizado el informe, fechado, revisado y aprobado, debe dis-


tribuirse a las personas acordadas en el periodo de tiempo estimado.
Habitualmente el informe de auditoría es emitido el mismo día que fina-
liza la auditoría.

3.3.5. Finalización de la auditoría

Una vez que han finalizado todas las actividades descritas en el plan
de auditoría y el informe es aprobado y distribuido, la auditoría se puede
dar por finalizada.

3.3.6. Actividades de seguimiento de la auditoría

Si las conclusiones de la auditoría indican la necesidad de acciones


correctivas, preventivas o de mejora, estas deberán ser realizadas en
un tiempo acordado, sin embargo, no se consideran como par te de la
auditoría.

Debe verificarse si las acciones correctivas, preventivas o de mejora


se han implementado, esta verificación puede realizarse en auditorías
posteriores.

3.4. AUDITORÍA DE SISTEMAS DE GESTIÓN INTEGRADOS

3.4.1. Introducción a los sistemas de gestión integrados

Hoy en día las Organizaciones pueden llegar a tener implantados múl-


tiples sistemas de gestión, como pueden ser:

• ISO 9001 – Sistema de Gestión de la Calidad.


• ISO 14001 – Sistema de Gestión Medioambiental.
• ISO 22000 – Sistema de Gestión de Seguridad Alimentaria.

45
CAP 03_CAP 1 24/03/14 19:16 Página 46

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• ISO 27001 – Sistema de Gestión de Seguridad de la Información.


• ISO 28000 – Sistema de Gestión de Seguridad de la Cadena de
Suministro.
• OHSAS 18001 – Sistema de Gestión de Seguridad y Salud Laboral.

Tener implantados estos sistemas de gestión de forma independien-


te, provoca:

• Ausencia de visión global de la dirección.


• Desperdicio en los esfuerzos de gestión.
• Ineficiente utilización de los recursos.
• Incremento de burocracia y costes.
• Ineficacia de los sistemas de control.
• Pérdida de motivación de los trabajadores.

46
CAP 03_CAP 1 24/03/14 19:16 Página 47

Auditoría de Sistemas de Gestión

Si se adopta la estrategia de implantar un sistema de gestión inte-


grado, que cubra todos los requisitos que son necesarios para cada uno
de los sistemas de gestión que se van a integrar, se obtienen una serie
de beneficios como:

• Uso eficiente de los recursos de la dirección.


• Logro coherente y fiable de los objetivos:

— Requisitos del cliente.


— Requisitos legales y reglamentarios.
— Requisitos internos de la Organización.

• Promueve la confianza entre las partes interesadas.


• Documentación reducida debido a procedimientos comunes:

— Mejor coordinación de objetivos relacionados con los tres temas.


— Más fiabilidad en la aplicación de los procedimientos.
— Facilita el desarrollo de las auditorías.

• Implantación y mantenimiento más eficaz y eficiente:

— Procesos comunes de formación, auditorías, revisión por la


dirección, etc.
— Mejora la participación e implicación del personal.
— Facilita el seguimiento, medición y análisis.

• Entorno con cultura global:

— Todos los sistemas que se integran, calidad, medio ambiente,


seguridad de la información, riesgos laborales, etc., se perciben
de igual importancia.
— Mejora la aceptación por el personal.
— Mejora la imagen externa de la Organización.

47
CAP 03_CAP 1 24/03/14 19:16 Página 48

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El objetivo de un sistema de gestión integrado es la obtención de un


mejor resultado empresarial gestionando todos los procesos bajo un
único prisma que contemple todos los aspectos de las diferentes áreas
o disciplinas de forma integrada, es decir, integrando los sistemas que
las gestionan, los procesos que los soportan y las actividades que com-
ponen los procesos.

Existen dos publicaciones que pueden ayudar en el proceso de inte-


gración, la PAS-99 Especificación de los requisitos comunes del sistema
de gestión como un marco para la integración y la UNE-66177 Guía para
la integración de los sistemas de gestión.

3.4.2. Auditoría de los sistemas de gestión integrados

La auditoría conjunta de un sistema integrado, es la auditoría que per-


mite comprobar si se cumplen en la Organización las prácticas estable-
cidas relativas a los sistemas que ha implantado, la alineación entre
ellos y con los objetivos de negocio.

Tal como se describe en el apartado anterior, aunque existen normas


que ayudan a la integración de distintos sistemas de gestión, estos no
son certificables. No obstante esto no es un problema a la hora de hacer
una auditoría conjunta e integrada. Las empresas certificadoras ofrecen
a las empresas la posibilidad de realizar auditorías integradas, aunque el
certificado sea para cada norma de las que componen el sistema inte-
grado. De este modo, una Organización que por ejemplo tenga 4 siste-
mas implantados e integrados, obtendría 4 certificados.

Las normas ISO a las que nos referimos, se basan en el ciclo PDCA y
por lo tanto existen nexos comunes que se integran completamente y se
relacionan entre sí, lo que además de facilitar su implantación también
facilita la auditoría.

48
CAP 03_CAP 1 24/03/14 19:16 Página 49

Auditoría de Sistemas de Gestión

Para la integración de dos o más normas en su implementación las


Organizaciones pueden ayudarse de las compatibilidades definidas en el
anexo SL de la ISO/IEC Directives Part 1 – Consolidated ISO Supplement
– Procedures specific to ISO.

Del mismo modo que la integración de varios sistemas de gestión faci-


lita el proceso de implementación, la auditoría conjunta e integrada de
estos sistemas también conlleva varias ventajas:

• Un único equipo auditor.


• Una única auditoría.
• Un único informe.
• Optimización de los tiempos dedicados a las auditorías, dado que exis-
te un aparte común que se revisa una única vez.

El equipo auditor, debe ser multidisciplinar. Cada miembro del equipo


tendrá unas responsabilidades específicas en las que es experto (cali-
dad, medio ambiente, seguridad de la información, seguridad de la cade-
na de suministro, etc.), y en conjunto dominarán los elementos básicos
e imprescindibles del sistema integrado.

En este tipo de auditorías la planificación de la auditoría por el equipo


auditor es un aspecto fundamental para que todos los elementos de cada
uno de los sistemas se revisen, no se pase nada por alto y se optimice
la duración de la auditoría. De nada serviría auditar cada sistema como
una suma de todos ellos dado que al final sería como auditar cada sis-
tema por separado pero seguidos en el tiempo. La planificación debe
comenzar por los puntos comunes de todos los sistemas y después cada
experto deberá auditar su parte específica para recabar toda la informa-
ción y evidencias necesarias. Al final el equipo auditor se reúne y sinteti-
zan toda la información para elaborar un informe donde se indiquen los
aspectos detectados.

49
CAP 03_CAP 1 24/03/14 19:16 Página 50
CAP 04_CAP 1 24/03/14 19:19 Página 51

CAPÍTULO 4.

PROYECTO DE AUDITORÍA DE UN SGSI


CAP 04_CAP 1 24/03/14 19:19 Página 52
CAP 04_CAP 1 24/03/14 19:19 Página 53

Proyecto de Auditoría de un SGSI

Un proyecto es un “esfuerzo temporal emprendido para crear un único


producto o servicio”, por lo tanto podemos considerar que la realización
de una auditoría de SGSI es un proyecto, ya que está perfectamente defi-
nido el esfuerzo temporal, las fechas de inicio y finalización, y el produc-
to que se va a producir, el informe de auditoría.

La gestión de un proyecto de auditoría, igual que la gestión de cual-


quier otro proyecto, incluye un conjunto de herramientas, técnicas, meto-
dologías, recursos y procedimientos para la correcta gestión del mismo.

La gestión de un proyecto de auditoría tiene como finalidad ayudar al


equipo auditor a gestionar de forma eficaz todo el ciclo de vida de la audi-
toría, desde su inicio hasta su finalización.

4.1. DEFINICIÓN DEL PROYECTO DE AUDITORÍA

Para definir un proyecto de auditoría de un SGSI, debemos utilizar una


metodología que nos ayude a ejecutarlo de la forma más óptima. Esta
metodología no difiere de la que podemos utilizar para otro tipo de pro-
yectos y estará formada por un conjunto de procesos y sus correspon-
dientes funciones de control, que se consolidarán y combinarán en un
todo funcional y unificado.

El proyecto de auditoría debe estar encuadrado dentro del programa


de auditoría que deben establecer todas las Organizaciones que nece-
sitan llevar a cabo auditorías de su SGSI, este programa se debe ela-
borar de forma que contribuya a determinar la eficacia y eficiencia del
SGSI.

El alcance del programa de auditoría del SGSI de una Organización


debe estar desarrollado de acuerdo a la naturaleza y tamaño de la
misma, al nivel de riesgo al que se encuentra expuesta la información de
la Organización, así como a la complejidad y nivel de madurez del SGSI
que se va a auditar. Por ello el proyecto de ejecución de una auditoría de

53
CAP 04_CAP 1 24/03/14 19:19 Página 54

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

dicho programa se debe elaborar teniendo en cuenta los mismos condi-


cionantes, naturaleza, tamaño, nivel de riesgo, complejidad y nivel de
madurez.

El programa de auditoría debe incluir tanto la información como los


recursos necesarios para gestionar dicho programa y realizar las auditorías
previstas en el mismo, por ello debe incluir como mínimo lo siguiente:

• Los objetivos del programa de auditoría y de cada una de las auditorías


contempladas en el mismo.
• La planificación de las auditorías, que contendrá como mínimo, el
alcance, el tipo, la duración, y fecha de cada una de ellas.
• Los procedimientos de auditoría.
• Los criterios de auditoría.
• Los métodos de auditoría.
• Los equipos de auditores.
• Los recursos necesarios, incluyendo viajes y alojamientos.
• Los requisitos de confidencialidad y los procedimientos aplicables.

Los objetivos del programa de auditoría deben fijarse de forma que


den soporte a la política de seguridad de la información y a los objetivos
del SGSI.

En el establecimiento de estos objetivos de auditoría se deben tener


en cuenta, entre otros:

• Las prioridades de la dirección.


• Los objetivos comerciales y de negocio.
• Las características de los procesos, productos y proyectos.
• Los requisitos de seguridad de la información de la Organización.
• Los requisitos del SGSI establecidos por la norma ISO 27001.
• Los requisitos legales y contractuales.
• La necesidad de evaluar a los proveedores.
• Las necesidades y expectativas de las partes interesadas.
• El número de incidentes de seguridad registrados.

54
CAP 04_CAP 1 24/03/14 19:19 Página 55

Proyecto de Auditoría de un SGSI

• El nivel de riesgos al que se encuentra expuesta la Organización.


• Los resultados de las auditorías previas.
• El nivel de madurez del SGSI.

El proyecto de auditoría de un SGSI debe desarrollarse de acuerdo a


unos objetivos, un alcance y unos criterios de auditoría claramente esta-
blecidos y documentados, que deben estar alineados con los objetivos
globales del programa de auditoría.

Los objetivos de la auditoría de un SGSI pueden contemplar lo siguiente:

• Determinar el grado de conformidad del SGSI o parte de él.


• Determinar el grado de conformidad de las actividades, los procesos
y los productos con los requisitos y los procedimientos del SGSI.
• Evaluar la capacidad del SGSI para asegurar el cumplimiento de los
requisitos legales y contractuales y de otros requisitos con los que la
Organización está comprometida.
• Evaluar la eficacia del SGSI para alcanzar sus objetivos específicos.
• Identificar las áreas de mejora potencial del SGSI.

Un proyecto de auditoría de un SGSI, se divide en tres fases:

• Planificación.
• Ejecución.
• Cierre.

4.2. PLANIFICACIÓN DE LA AUDITORÍA DEL SGSI

El auditor jefe es el responsable de preparar la planificación de proyec-


to de auditoría, de acuerdo a la información contenida en el programa de
auditoría y en la documentación adicional que se le proporcione por parte
de la Organización auditada. Esta planificación se plasmará en el plan de
auditoría. El plan de auditoría debe tener en cuenta el efecto de las activi-
dades de auditoría en los procesos de la Organización y proporcionar la

55
CAP 04_CAP 1 24/03/14 19:19 Página 56

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

base para la coordinación entre el cliente de la auditoría (el departamento


de la Organización responsable del SGSI, por ejemplo en algunos casos
puede ser el departamento encargado de la gestión y mantenimiento del
sistema informático y en otros el departamento responsable de todos los
sistemas de gestión implantados en la Organización), el equipo auditor y el
auditado u Organización auditada (los departamentos de la Organización
cuyos procesos van a ser auditados como parte del SGSI o la Organización
completa, incluyendo todos sus departamentos) en todas las actividades
necesarias para la realización de la auditoría.

El plan de auditoría del SGSI debe contemplar y facilitar la programa-


ción temporal de las actividades de auditoría, así como los elementos de
coordinación que permitan cumplir los objetivos fijados.

El nivel de detalle del plan de auditoría debe estar fijado en función del
alcance de esta y de la complejidad del SGSI a auditar. En la elaboración
del plan de auditoría hay que tener en consideración, entre otras cosas,
al menos lo siguiente:

• Las técnicas de muestreo que se van a emplear.


• La composición del equipo auditor y su competencia profesional.
• Los riesgos para la Organización derivados de la realización de la audi-
toría.

Por otra parte, tanto el nivel de detalle como el contenido del plan de
auditoría de un SGSI, también deben fijarse en función del tipo de audi-
toría que se trate, y por lo tanto existirán diferencias entre la auditoría ini-
cial y las posteriores, así como entre las auditorías internas y externas.
El plan de auditoría debe ser lo suficientemente flexible para permitir dar
cabida a los cambios que sea necesario efectuar en función de los resul-
tados de las actividades de auditoría que se vayan realizando.

El plan de auditoría de un SGSI debe contemplar:

• Los objetivos de la auditoría.

56
CAP 04_CAP 1 24/03/14 19:19 Página 57

Proyecto de Auditoría de un SGSI

• El alcance de la auditoría, incluyendo la identificación de las unidades


de la Organización y unidades funcionales, así como los procesos que
van a ser auditados.
• Los criterios de auditoría y cualquier documento de referencia.
• Las localizaciones, las fechas, el horario y la duración previstos de las
actividades de auditoría que se van a llevar a cabo, incluyendo las reu-
niones con la dirección del auditado.
• Los métodos de auditoría que se van a utilizar, y si está previsto utili-
zar técnicas de muestro se deben incluir el diseño del programa de
muestreo y el tamaño mínimo de las muestras para obtener las evi-
dencias de auditoría suficientes.
• Las funciones y responsabilidades de los miembros del equipo audi-
tor, así como las personas que pueden participar en la auditoría como
guías o como observadores.
• La asignación de los recursos apropiados para las áreas críticas de la
auditoría.

Otros puntos que puede que sea necesario contemplar en el plan de


auditoría de un SGSI, según las circunstancias son:

• La identificación del representante del auditado (los departamentos


de la Organización cuyos procesos van a ser auditados como parte del
SGSI) en la auditoría.
• El idioma de trabajo durante la realización de la auditoría y en el que
se va a redactar el informe de auditoría, cuando el equipo auditor y el
auditado, habitualmente se expresen en idiomas diferentes.
• Los puntos específicos que debe contemplar el informe de auditoría.
• Las necesidades logísticas y de comunicaciones específicas para las
diferentes localizaciones geográficas que se van a auditar.
• Las medidas específicas que se deben tomar en cada caso para mini-
mizar el efecto de la incertidumbre en el logro de los objetivos de la
auditoría.
• Los procedimientos y medidas que garanticen la seguridad de la infor-
mación (confidencialidad, integridad y disponibilidad) relativa a la audi-
toría del SGSI.

57
CAP 04_CAP 1 24/03/14 19:19 Página 58

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Las acciones de seguimiento de las auditorías previas.


• Las actividades de seguimiento de la auditoría planificada.
• La coordinación con otras actividades de auditoría, en el caso de una
auditoría conjunta que cubra varios sistemas de gestión.

El plan de auditoría del SGSI debe ser aprobado y aceptado formal-


mente por el cliente de la auditoría (el departamento de la Organización
responsable del SGSI), y debe informarse al auditado (los departamen-
tos de la Organización cuyos procesos van a ser auditados como parte
del SGSI) de su contenido. Las posibles objeciones al plan de auditoría
por parte del auditado y la solución a las mismas, deben resolverse y
consensuarse entre el líder del equipo auditor, el auditado y el cliente de
la auditoría.

Una vez aprobado y aceptado el plan de auditoría del SGSI, el auditor


jefe, teniendo en cuenta la opinión de los miembros del equipo de audi-
toría, debe elaborar un plan de trabajo en el que se asigne a cada miem-
bro del equipo la responsabilidad concreta de auditar una serie de pro-
cesos, actividades, funciones, localizadas en lugares específicos. Esta
asignación se realizará teniendo en cuenta tanto la independencia y la
competencia profesional de cada uno de los miembros del equipo de
auditoría, como el uso eficaz y eficiente de los recursos asignados al pro-
yecto de auditoría, así como las diferentes responsabilidades y funciones
que deben desempeñar los miembros del equipo de auditoría, auditores,
auditores en formación y expertos técnicos.

El auditor jefe convocará reuniones del equipo auditor tanto para dis-
tribuir las asignaciones de trabajo previstas en el plan de auditoría, como
cuando sea necesario introducir cambios a las asignaciones iniciales.
Los cambios en las asignaciones de trabajo iniciales pueden surgir a
medida que la auditoría se va llevando a cabo, y pueden ser necesarias
para lograr el cumplimiento de los objetivos de la auditoría.

Como última actividad de la fase de planificación de auditoría, los


miembros del equipo de auditoría, deben recopilar y revisar toda la

58
CAP 04_CAP 1 24/03/14 19:19 Página 59

Proyecto de Auditoría de un SGSI

información disponible en relación a las tareas de auditoría asignadas


y preparar los documentos de trabajo, que utilizarán durante el desa-
rrollo de la auditoría, como pueden ser listas de comprobación, planes
de muestreo y formularios para registrar toda la información que se
vaya recabando y generando durante la auditoría, tales como eviden-
cias, hallazgos de la auditoría y actas de las reuniones.

4.3. EJECUCIÓN DE LA AUDITORÍA

4.3.1. Introducción

La visión de la ejecución de una auditoría de un SGSI y de las tareas que


se deben realizar durante dicha ejecución, que se exponen en este capítulo
están basadas tanto en las denominadas prácticas generales reales de
auditoría de las Organizaciones, que no son otra cosa que los procesos y
tareas que habitualmente llevan a cabo las Organizaciones durante la
realización de una auditoría, como en las orientaciones contenidas en la
norma ISO/IEC 27007 Information technology —Security techniques—
Guidelines for information security management systems auditing. Esta
norma proporciona orientación para la realización del programa de auditoría
de un sistema de gestión de seguridad de la información (SGSI), sobre la
realización de las auditorías, y la competencia de los auditores.

Cabe destacar que mientras que la norma ISO / IEC 27007 se centra
en la auditoría de los elementos del sistema de gestión de un SGSI según
se describe en la norma ISO / IEC 27001, existe otra norma, la ISO / IEC
TR 27008 Information technology —Security techniques— Guidelines for
auditors on information security controls que se centra en la comprobación
de algunos de los controles de seguridad de la información, tales como
pueden ser los que se indica en el Anexo A de la norma ISO / IEC 27001
y se describen en la norma ISO / IEC 27002.

La auditoría de un SGSI habitualmente se realiza en dos fases clara-


mente diferenciadas.

59
CAP 04_CAP 1 24/03/14 19:19 Página 60

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

La necesidad de auditar un SGSI en dos fases diferenciadas surge por


la conveniencia de obtener evidencias en la primera fase de que un SGSI
está implantado y es lo suficientemente maduro como para afrontar y
superar con éxito la siguiente fase. La norma ISO 27001 exige cumplir
ciertos requisitos que en caso de no cumplirse o de no estar documen-
tados, sería absurdo continuar auditando porque ya no cumpliría con la
norma. Por ello, una vez superada la fase I, durante la fase II, ya se veri-
fica que “lo que se dice que se hace” en los documentos analizados
durante la fase I, efectivamente “se está realizando”.

Cabe destacar que, dependiendo de la Organización que se vaya a


auditar, el tipo específico de auditoría (interna o externa), el equipo audi-
tor y otros factores, puede programarse la auditoría con otras divisiones
por fases diferentes, y que en cada una de ellas se auditen distintos con-
troles, de los que se indican a continuación.

A continuación vemos con más detalle cada una de estas dos fases.

4.3.2. Fase I

Durante la fase I de la auditoría se realiza una revisión que podríamos


denominar como documental. Esto quiere decir que se comprueba que el
SGSI está implantado y se opera dentro de un proceso de mejora conti-
nua, analizando la documentación, manuales y registros del mismo. En
esta fase el equipo auditor adquiere el conocimiento suficiente de la
Organización que está auditando y de cómo se ha implantado el SGSI,
adquirir este conocimiento es necesario dado que lógicamente existen
distintas formas de gestionar e implantar un SGSI, ya que no hay dos
Organizaciones exactamente iguales aunque pertenezcan al mismo sec-
tor. A modo de ejemplo, el equipo auditor debe analizar cuál es la estruc-
tura documental que está utilizando la Organización porque en función de
la características de esta puede utilizar una u otras, y a un documento
que en unas Organizaciones por su nivel de concreción y detalle pueden
como una norma, en otras para pueden clasificarlo como procedimiento.

60
CAP 04_CAP 1 24/03/14 19:19 Página 61

Proyecto de Auditoría de un SGSI

Por lo tanto, esta primera toma de contacto es fundamental para que la


auditoría se desarrolle con normalidad, y el equipo auditor conozca el
cuerpo documental sobre el que se sustenta el SGSI. Si en esta fase el
equipo auditor detectara algo “grave”, es decir, que falta algún requisito
fundamental y obligatorio que impidiera la certificación podría decidir
aplazar la fase II de la auditoría hasta que estuviera resuelto. De este
modo podemos decir que durante esta fase se analiza que el SGSI cubre
a nivel documental todo el ciclo PDCA que es indispensable como requi-
sito de la norma 27001.

Los objetivos de esta fase I de la auditoría son:

• Comprobar que la documentación del sistema de gestión es la ade-


cuada y cumple de manera suficiente los requisitos de la norma de
referencia.
• Auditar los requisitos relacionados con los aspectos horizontales del
sistema de gestión: control de la documentación y de los registros, de
las no conformidades, y de las acciones correctivas y preventivas.
Asimismo, se debe comprobar y evaluar con detalle que tanto las audi-
torías internas como las actividades de revisión por la dirección se pla-
nifican y se realizan de forma adecuada.
• Comprobar que el SGSI cumple con una serie de requisitos mínimos y
que estos están formalmente documentados como pueden ser los
siguientes:

— Requerimientos generales.
— Establecimiento y mantenimiento del SGSI:
* Establecimiento del SGSI.
* Implementación y operación del SGSI.
* Monitorización y revisión del SGSI.
* Mantenimiento y mejora del SGSI.
* Requisitos documentales: procedimientos generales, control
de documentación, control de objetivos…).
— Auditorías internas.
— Revisión por la dirección:

61
CAP 04_CAP 1 24/03/14 19:19 Página 62

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

* Aspectos generales.
* Entradas de la revisión.
* Salidas de la revisión.
— Mejora del SGSI:
* Establecimiento de la mejora continua.
* Acciones correctivas.
* Acciones preventivas.

La selección de los requisitos a comprobar debe realizarse en función


del alcance, la Organización y sus características específicas.

• Evaluar de forma general los restantes requisitos aplicables al SGSI


mediante una visita a las distintas instalaciones, áreas y departa-
mentos de la Organización con el fin de:

— Recopilar la información que se considere oportuna respecto


tanto al alcance del sistema de gestión, a los procesos y a las ins-
talaciones de la Organización que se encuentren dentro del
mismo, así como del cumplimiento de los aspectos legales, regla-
mentarios y contractuales que sean de aplicación para la
Organización auditada.
— Determinar el grado de implantación del sistema y si la
Organización está suficientemente preparada para acometer la
fase II de la auditoría, obteniendo la información suficiente para
realizar la planificación de dicha fase II.

Además de todo lo que se ha indicado anteriormente se debe tener en


cuenta que cada Organización es diferente, por lo que las actividades que
se van a describir a continuación pueden variar en función de la planifi-
cación específica que realice el equipo auditor, para una Organización
concreta, en un contexto externo e interno específico y bajo unas condi-
ciones determinadas.

A continuación describiremos las actividades y tareas concretas que habi-


tualmente desarrollará el equipo auditor durante la fase I de una auditoría.

62
CAP 04_CAP 1 24/03/14 19:19 Página 63

Proyecto de Auditoría de un SGSI

A.1. Actividad 1. Revisión del contexto de la Organización para el SGSI

Durante esta primera actividad se debe comprobar que la Organización


auditada ha identificado el contexto interno y externo al que está sujeto.
Durante esta actividad se pueden realizar las siguientes tareas:

1.1. Tarea 1: Revisión del contexto interno de la Organización: El equi-


po auditor debe comprobar que la Organización auditada ha identi-
ficado el entorno interno donde ha establecido sus objetivos de
seguridad de la información. En este contexto interno interviene la
cultura, los procesos, la estrategia de seguridad, etc. En definitiva,
son aquellos aspectos que pueden influir para el logro de los resul-
tados del SGSI y, por lo tanto, en cómo la Organización gestionará
el riesgo. El equipo auditor puede verificar que la Organización audi-
tada ha identificado su contexto interno a través de:

63
CAP 04_CAP 1 24/03/14 19:19 Página 64

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• El gobierno, la estructura, funciones y responsabilidades definidas.


• Las políticas, objetivos y estrategias para conseguirlas.
• Los recursos y conocimientos aportados al SGSI.
• La propia cultura en materia de seguridad de la Organización.
• Otros que ayuden a definir en qué entorno se ha establecido el
SGSI.

1.2. Tarea 2: Revisión del contexto externo de la Organización: El equi-


po auditor debe comprobar que la Organización auditada ha identi-
ficado el entorno externo donde ha establecido sus objetivos de
seguridad de la información. El contexto externo se basa en el con-
texto a escala de la Organización, pero con detalles específicos de
requisitos legales y reglamentarios, con la percepción de las partes
interesadas y otros aspectos específicos del alcance. El equipo
auditor puede verificar que la Organización auditada ha identificado
su contexto externo a través de:

• El entorno social y cultural, político, legal y reglamentario, finan-


ciero, tecnológico, competitivo y a nivel local, regional, nacional
y/o internacional.
• Los factores y tendencias que pueden tener impacto en la
Organización.
• Las relaciones con las partes interesadas externas.
• Otros que ayuden a definir en qué entorno se ha establecido el
SGSI.

1.3. Tarea 3: Revisión de las necesidades de las partes interesadas:


El equipo auditor debe comprobar que la Organización auditada
ha identificado cuáles son las par tes interesadas que se benefi-
cian del SGSI y cuáles son sus necesidades tanto en su contexto
interno como externo. En su contexto externo pueden incluir por
ejemplo los requisitos legales y reglamentarios u obligaciones
contractuales. A nivel interno podrían ser las necesidades de otra
par te de la Organización que, sin estar incluida en el alcance del
SGSI, sí se beneficia de este.

64
CAP 04_CAP 1 24/03/14 19:19 Página 65

Proyecto de Auditoría de un SGSI

1.4. Tarea 4: Revisión del alcance del SGSI: El equipo auditor debe
comprobar que la Organización dispone de un documento donde se
especifica claramente cuál es el alcance del SGSI. Es muy impor-
tante que el equipo auditor entienda perfectamente qué incluye el
alcance definido por la Organización auditada, para poder asegurar
que se comprueba y analiza exactamente todo lo que se debe, ni
más, ni menos. Independientemente de dónde se encuentre defini-
do el alcance, en un documento específico o incluido como parte
de un documento más amplio, este debe incluir al menos:

• Descripción de la Organización en cuanto a la actividad empre-


sarial que desarrolla y que es la que determina sus actividades
de negocio.
• La identificación del contexto interno y externo.
• Ubicación geográfica de los locales e instalaciones donde se
desarrollan los procesos de negocio que se encuentran dentro
del alcance del SGSI y se localizan los activos que intervienen
en dichos procesos.
• Los procesos de negocio que cubre el alcance que se ha esta-
blecido para el SGSI.
• Los activos que se encuentran dentro del alcance. Normalmente
se hace referencia al inventario de activos y se describe un
breve esquema de la plataforma tecnológica. Es necesario iden-
tificar los activos que se encuentran dentro del alcance para así
poder asegurar que todos los activos relevantes se tienen en
cuenta en el proceso de análisis de riesgos.
• Cualquier limitación al alcance del SGSI debe estar perfecta-
mente indicada. Si por ejemplo, en el alcance se excluye algún
proceso concreto, parte de él, o se excluyen los procesos que
se realicen en alguna localización concreta, esta exclusión se
debe detallar completamente, de forma que no quede ninguna
duda de si el proceso se encuentra dentro del alcance o no, y
que todas las partes interesadas, incluido el equipo auditor, lo
entienden y no hay forma de que esta limitación pueda inducir a
error.

65
CAP 04_CAP 1 24/03/14 19:19 Página 66

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 1. Revisión del contexto de la
Organización para el SGSI:

A.2. Actividad 2. Revisión del compromiso y liderazgo de la alta


dirección

Durante esta actividad se debe comprobar que la alta dirección de


la Organización auditada demuestra su liderazgo y compromiso con
respecto al sistema de gestión de seguridad de la información. De
forma general, el quipo auditor puede comprobar este compromiso
y liderazgo durante toda la auditoría y a través de muchas tareas
que verifiquen que:

• La política de seguridad de la información y los objetivos de


seguridad de la información están establecidos y son compati-
bles con la dirección estratégica de la Organización.
• Se han integrado los requisitos del sistema de gestión de segu-
ridad de la información en los procesos de la Organización.
• Se han asignado los recursos necesarios para el SGSI.

66
CAP 04_CAP 1 24/03/14 19:19 Página 67

Proyecto de Auditoría de un SGSI

• Se están alcanzando los resultados previstos.


• El SGSI está enmarcado en una mejora continua.

Específicamente durante esta actividad se pueden realizar las


siguientes tareas:

2.1. Tarea 1: Revisión de la política de seguridad de la información: El


equipo auditor debe comprobar que la Organización dispone una
política de seguridad de la información, en la que se declaran las
intenciones de la Organización en materia de seguridad de la infor-
mación, y que además cubre el alcance definido y que está descri-
ta en términos de las características del negocio. Dicha política
puede plasmarse tanto en un documento independiente, como en
un documento que forme parte de un subconjunto dentro de un
catálogo de políticas de la Organización, o puede formar parte de
una política integral de seguridad, o estar integrado dentro de una
política empresarial. Independientemente del tipo y características
del documento donde se defina y se establezca la política de segu-
ridad de la información, este debe estar aprobado formalmente por
la dirección como muestra inequívoca de su apoyo y patrocinio. Es
un requisito indispensable que la Organización auditada disponga
de una política de seguridad de la información. El equipo auditor
además debe asegurarse de que la política contemple al menos lo
siguiente:

• Es apropiada para el propósito de la Organización auditada.


• El compromiso y apoyo de la alta dirección.
• El marco en el que se establecen los objetivos del SGSI.
• Los requisitos de negocio necesarios, los requisitos legales y
contractuales, así como otros requisitos relacionados con la
Organización auditada.
• La forma en que la gestión de los riesgos de seguridad de la
información está alineada con los objetivos de negocio de la
Organización.

67
CAP 04_CAP 1 24/03/14 19:19 Página 68

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La identificación de los aspectos de seguridad que se han teni-


do en cuenta a la hora de analizar los riesgos de los principales
activos de la Organización. Por ejemplo, la disponibilidad, confi-
dencialidad e integridad.
• La asignación de responsabilidades en materia de seguridad de
la información.
• El enfoque en la mejora continua y la medición de objetivos.

En ocasiones, y aunque la política de seguridad de la información


sea un documento en sí mismo, además de la firma de la política,
el equipo auditor puede obtener más evidencias del compromiso y
patrocinio de la dirección y las intenciones de la Organización al
implantar un SGSI, por otros medios como pueden ser:

• Actas de reunión.
• Actas de revisiones de la dirección.
• Entrevistas con la dirección.
• Entrevistas con el personal para saber si ha entendido y com-
prendido la política.
• Cómo se ha implantado, difundido o se está desarrollando la
política.
• Cómo se ha realizado la comunicación de la política a la
Organización (intranet, correo electrónico, formación…).

En cualquier caso, el equipo auditor debe comprobar que la política


de seguridad de la de la información de la Organización auditada:

• Está disponible como información documentada.


• Ha sido comunicada dentro de la Organización.
• Está a disposición de las partes interesadas, según corresponda.

2.2. Tarea 2: Revisión de las funciones y responsabilidades: Otro de los


aspectos fundamentales donde una Organización demuestra su
compromiso y apoyo al SGSI es con la formalización de funciones
y responsabilidades a diferentes actores involucrados y que tienen

68
CAP 04_CAP 1 24/03/14 19:19 Página 69

Proyecto de Auditoría de un SGSI

parte activa en un SGSI. Por eso el equipo auditor debe comprobar


que la alta dirección de la Organización auditada ha asignado y
comunicado formalmente las distintas funciones relacionadas con
la seguridad de la información y así:

• Garantizar que el sistema de gestión de seguridad de la infor-


mación se ajusta a los requisitos establecidos en la propia
norma ISO 27001.
• Está al corriente sobre el desempeño del SGSI.

Estos aspectos se verán más en profundidad durante la fase II.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 2. Revisión del compromiso y liderazgo de la alta
dirección:

A.3. Actividad 3. Revisión de la planificación del SGSI

Durante esta actividad el quipo auditor debe comprobar la secuencia


de actividades y tareas que la Organización auditada ha llevado a cabo

69
CAP 04_CAP 1 24/03/14 19:19 Página 70

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

para la creación del SGSI. Un aspecto fundamental en la creación de


un SGSI, además de lo indicado anteriormente sobre la definición del
contexto de la Organización, es la realización de un análisis de ries-
gos donde la Organización planifica en su SGSI la determinación del
riesgo y oportunidades.

3.1. Tarea 1: Revisión del enfoque del análisis de riesgos: El equipo


auditor debe comprobar que el enfoque por el que ha optado la
Organización auditada para realizar el análisis de riesgos es con-
forme a lo establecido en la norma ISO 27001. El enfoque del aná-
lisis de riesgos se refiere a la metodología de análisis y gestión de
riesgos. El equipo auditor debe comprobar que la Organización audi-
tada ha establecido una metodología o proceso de análisis de ries-
gos, y que todo ello está documentado.

Se debe comprobar que dicha metodología es adecuada para la


Organización y que se identifican los riesgos en los procesos y acti-
vidades de esta. Además, la metodología debe ser útil para espe-
cificar, ayudar y orientar a la Organización auditada a la hora de
implantar las medidas o controles adecuados contra los riesgos
identificados para el alcance definido.

Dado que en el mercado existen una gran variedad de metodologías


que utilizan diferentes aproximaciones, cuantitativa, cualitativa o una
combinación de ambos, por las que puede optar la Organización audi-
tada para realizar el análisis y gestión de los riesgos, el equipo audi-
tor debe tener la mente abierta, ya que existe la posibilidad de que la
metodología de análisis y gestión de riesgos elegida no se ajuste exac-
tamente a una metodología concreta del mercado en concreto, si no
que podría tratarse de una metodología ad hoc que ha elaborado la
Organización auditada, y que sea un compendio de diversas metodo-
logías. Si bien es cierto que la norma ISO 27001 no establece la obli-
gatoriedad de utilizar una metodología concreta y, por lo tanto, es
aceptable el uso de cualquier metodología, el enfoque para la evalua-
ción de riesgos de la metodología seleccionada al menos debe:

70
CAP 04_CAP 1 24/03/14 19:19 Página 71

Proyecto de Auditoría de un SGSI

• Cumplir con la política de seguridad de la Organización.


• Definir los criterios con los que se evaluará el riesgo.
• Permitir que los resultados sean comparables.
• Permitir que los resultados sean reproducibles.

Habitualmente la metodología de análisis y gestión de riesgos se


desarrolla en un documento específico y no forma parte de otros
documentos con contenido más genérico.

Al final, durante esta tarea, el equipo auditor debe comprobar que


la metodología adoptada permite que los resultados del análisis
de riesgos sean repetibles, esto significa que si el proceso de aná-
lisis de riesgos es repetido por una persona o equipo distinto al
que lo realizó inicialmente, y este sigue los procesos y procedi-
mientos definidos en la metodología, y siempre y cuando el alcan-
ce no haya sido modificado ni hayan variado los activos compren-
didos en el alcance, el resultado obtenido en ambos análisis de
riesgos deben ser idénticos. De este modo, si los resultados obte-
nidos son distintos les permite identificar dónde y por qué se ha
producido la diferencia en el análisis. También es necesario que el
equipo auditor identifique que la metodología permita llegar a la
misma selección de controles para el tratamiento del riesgo si los
riesgos resultantes son del mismo tipo, como por ejemplo con el
mismo nivel de riesgo y similares características (activos y los
requisitos de seguridad).

A continuación se incluye un esquema resumen de las tareas reali-


zadas durante la actividad 3. Revisión de los requisitos generales y de
creación del SGSI.

71
CAP 04_CAP 1 24/03/14 19:19 Página 72

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.4. Actividad 4. Revisión de la identificación, análisis, evaluación, y


tratamiento del riesgo

Si en la actividad anterior el equipo auditor ha comprobado que se


ha adoptado una metodología para el análisis de los riesgos que es
apropiada para la Organización y que cumple con los requisitos de
la norma ISO 27001, durante esta segunda actividad el equipo
auditor debe comprobar que efectivamente se ha realizado un aná-
lisis de riesgos aplicando la metodología adoptada por la
Organización y que este análisis de los riesgos contempla todo el
alcance del SGSI.

Dado que las Organizaciones pueden adoptar diferentes metodolo-


gías y aunque en la última actualización de la norma ISO 27001 ya
no es obligatorio adoptar una metodología que siga unos pasos
secuenciales específicos como es la identificación de los activos,
las amenazas y las vulnerabilidades, a continuación se indican que
tareas se debe realizar el quipo auditor si la metodología de eva-
luación de riesgos utilizada por la Organización auditada usa este
método ya que si funciona, no hay necesidad de cambiarlo. Por

72
CAP 04_CAP 1 24/03/14 19:19 Página 73

Proyecto de Auditoría de un SGSI

esto, siempre en función de la metodología adoptada se deben rea-


lizar las siguientes tareas:

4.1. Tarea 1: Revisión del inventario de activos: El equipo auditor debe


comprobar que la Organización dispone de un inventario de activos
y verificar que todos los activos importantes relevantes que se
encuentran comprendidos en el alcance del SGSI están incluidos
en el citado inventario. Esto es sumamente importante, dado que
todo lo que no se identifique como activo relevante dentro del
alcance del SGSI no será incluido en el análisis de riesgos.

Existen gran variedad de formas de gestionar un inventario y depen-


diendo de las características de la Organización auditada puede
haber elegido una forma de hacerlo muy diferente de otra. En algu-
nas ocasiones pueden adoptar una herramienta específica para
gestionar sus activos y en función de esta el nivel de detalle puede
ser muy diferente. En otras ocasiones la Organización auditada
puede optar por una herramienta más sencilla como puede ser una
hoja de cálculo. También se pueden utilizar herramientas de análi-
sis y gestión de riesgos donde se incluyen los activos implicados
en el alcance. En cualquier caso e independientemente de la herra-
mienta que utilice la Organización auditada para gestionar sus acti-
vos, el equipo auditor debe comprobar que en el inventario de acti-
vos consta al menos:

• Nombre del activo.


• Código de identificación.
• Tipo de activo (software, hardware, datos…).
• Identificación del propietario de cada activo identificado.
• Identificación del responsable de su mantenimiento.
• Ubicación física del activo.
• …

A continuación se incluye un ejemplo de un inventario de activos


que no cumple con el mínimo exigido por la norma ISO 27001, en

73
CAP 04_CAP 1 24/03/14 19:19 Página 74

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

este caso el incumplimiento se debe a que no se especifica el tipo


de activo, ni el responsable del mantenimiento ni el propietario del
activo. Este hecho podría derivar en una no conformidad, si el equi-
po auditor lo considera oportuno:

A continuación se incluye un ejemplo de un inventario de activos


con la información necesaria para cumplir el mínimo exigido por la
norma ISO 27001:

A continuación se incluye un ejemplo de un inventario de activos


que cumple con la información necesaria para cumplir el mínimo
exigido por la norma ISO 27001, e incluso proporciona más infor-
mación de los activos lo que puede ayudar a la Organización audi-
tada a gestionar de forma más eficaz y eficiente sus activos, lo que
debe ser tenido en cuenta por el equipo auditor a la hora de eva-
luarlo como un esfuerzo por parte de la Organización auditada:

74
CAP 04_CAP 1 24/03/14 19:19 Página 75

Proyecto de Auditoría de un SGSI

A continuación se incluye un ejemplo de un inventario de activos


que aun cumpliendo con el mínimo exigido por la norma ISO 27001,
no está bien cumplimentado dado que para activos diferentes figu-
ra el mismo código o identificador y que por lo tanto este hecho
podría derivar en una no conformidad, si el equipo auditor lo consi-
dera oportuno:

4.2. Tarea 2: Revisión de las amenazas y vulnerabilidades identifica-


das: El equipo auditor debe comprobar que se han identificado
todas las amenazas a las que se encuentran expuestos los activos
que han sido identificados y contemplados dentro del alcance, así
como las vulnerabilidades que pudieran tener dichos activos.
Aunque hay disponibles diferentes listas de amenazas y vulnerabi-
lidades, que ayudan a determinar cuáles de ellas son de aplicación
a los activos que se encuentran dentro del alcance, el equipo audi-
tor debe verificar que estas listas se utilizan teniendo en cuenta las
circunstancias específicas tanto de la Organización auditada, como
de los propios activos. Por ejemplo: hay que tener presente el sec-
tor al que pertenece la Organización y el entorno socio-económico
de la localización geográfica en la que desarrolla sus actividades.

75
CAP 04_CAP 1 24/03/14 19:19 Página 76

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un ejemplo de un listado de amenazas


seleccionadas para un activo de tipo software. En este caso la
selección es incorrecta dado que se incluyen amenazas que no son
de aplicación para este tipo de activo y que por lo tanto este hecho
podría derivar en una no conformidad, si el equipo auditor lo consi-
dera oportuno.

76
CAP 04_CAP 1 24/03/14 19:20 Página 77

Proyecto de Auditoría de un SGSI

A continuación se incluye un ejemplo de un listado de amenazas


seleccionadas para un activo de tipo software. En este caso la
selección es correcta.

77
CAP 04_CAP 1 24/03/14 19:20 Página 78

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un ejemplo de un listado de vulnerabili-


dades seleccionadas para un activo de tipo software. En este caso
la selección es incorrecta dado que se incluyen vulnerabilidades
que no son de aplicación para este tipo de activo y que por lo tanto
este hecho podría derivar en una no conformidad, si el equipo audi-
tor lo considera oportuno.

A continuación se incluye un ejemplo de un listado de vulnerabili-


dades seleccionadas para un activo de tipo software. En este caso
la selección es correcta.

78
CAP 04_CAP 1 24/03/14 19:20 Página 79

Proyecto de Auditoría de un SGSI

4.3. Tarea 3: Revisión del análisis y evaluación de riesgos: El equipo


auditor debe comprobar que el análisis de riesgos se han tenido en
cuenta todos los activos relevantes que intervienen en los proce-
sos que se contemplan en el alcance, y que por lo tanto deben
estar incluidos en el inventario. También se debe revisar el riesgo
resultante del análisis realizado y si los datos obtenidos son cohe-
rentes, es decir, un riesgo presente por ejemplo nunca podrá ser
mayor que el riesgo inherente, esto demostraría que el análisis de
riesgos no se ha realizado correctamente. Un punto muy importan-
te que es necesario verificar es si el análisis de riesgos está actua-
lizado. El equipo auditor también debe comprobar que la existencia
de un informe donde se reflejen las acciones realizadas y los resul-
tados obtenidos del análisis de riesgos efectuados, así como la
aceptación formal del riesgo residual por parte de la dirección de
la Organización auditada.

A continuación se incluye un ejemplo en el que el análisis no se ha


realizado de forma correcta dado que el riesgo presente el mayor
que el riesgo inherente:

79
CAP 04_CAP 1 24/03/14 19:20 Página 80

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un ejemplo en el que el análisis sí se ha


realizado de forma correcta dado que los datos del riesgo presen-
te y el riesgo inherente son coherentes:

80
CAP 04_CAP 1 24/03/14 19:20 Página 81

Proyecto de Auditoría de un SGSI

Existen otros métodos alternativos, perfectamente válidos que se


pueden usar si se prefiere, que no utilizan activos, amenazas y/o
vulnerabilidades para identificar los riesgos. Estos métodos pueden
ser árboles de ataque, en el que por ejemplo se identifiquen dis-
tintos escenarios de desastre que puedan afectar a la disponibili-
dad, integridad o confidencialidad de la información, y en el que el
nivel de riesgo se determina con base en la probabilidad de ocu-
rrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializara.

En cualquier caso, el equipo auditor debe revisar qué método de


análisis de riesgos es el que emplea la Organización auditada, de
qué tareas se compone y si es válido para esta en función de sus
necesidades y de su contexto.

Del mismo modo, debe comprobar que se ha asignado un propie-


tario a los riesgos identificados teniendo en cuenta que, en ciertos
casos, podrán existir riesgos en ciertas áreas que queden fuera del
ámbito de TI, aunque esto no signifique que necesiten la ayuda de
TI para resolverlo. Dicho de otro modo, el propietario del riesgo
deberá ser el responsable del área donde se focaliza el riesgo, y
este necesitará probablemente el soporte del área de TI, bien para
gestionar ese riesgo o para mejorar el proceso.

4.4. Tarea 4: Revisión de las opciones de tratamiento de riesgos: El


equipo auditor debe comprobar que las opciones elegidas para
el tratamiento de los riesgos identificados en la Organización
auditada son apropiadas en relación al riesgo residual aceptado
por la dirección. Estas opciones pueden variar y cada
Organización en función de los resultados del análisis y de su
apetito de riesgo puede elegir entre asumir, reducir, transferir o
eliminar el riesgo. No es función del equipo auditor proponer
acciones de tratamiento del riesgo concretas. Su función es veri-
ficar que se están aplicando medidas correctoras y estas son
apropiadas y proporcionadas.

81
CAP 04_CAP 1 24/03/14 19:20 Página 82

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 4. Revisión de la identificación, análi-
sis, evaluación y tratamiento del riesgo.

A.5. Actividad 5. Revisión de los objetivos de control, controles, riesgo


residual

Durante esta tercera actividad se debe comprobar que se han selec-


cionado los objetivos de control y controles apropiados de acuerdo
a los resultados del análisis de riesgo y al plan de tratamiento de
riesgos. El equipo auditor debe revisar además que estos cumplen
con los requisitos legales, reglamentarios y contractuales.

5.1. Tarea 1: Revisión de la selección de los objetivos de controles y


controles: Como acciones derivadas del análisis de riesgos, para el
tratamiento del riesgo, el equipo auditor debe comprobar que se han
seleccionado los controles adecuados y que se planifican los objeti-
vos de control que se deben alcanzar. Dado que cada objetivo de
control está soportado por varios controles y que estos pueden

82
CAP 04_CAP 1 24/03/14 19:20 Página 83

Proyecto de Auditoría de un SGSI

estar implantados en muchos activos, el equipo auditor puede utili-


zar técnicas de muestreo.

Durante esta tarea, la función principal del equipo auditor es revi-


sar que los requisitos de seguridad de la información que ha defi-
nido la Organización auditada y que están reflejados en la política
de seguridad, la normativa genérica aplicable así como la sectorial
a la que pudiera estar sometida la Organización auditada, así como
otros requisitos se reflejan de forma adecuada en la selecciones
de los objetivos de control y controles.

5.2. Tarea 2: Revisión de la aprobación del riesgo residual y patrocinio


de la gerencia: El equipo auditor debe verificar la aceptación del
riesgo residual por parte de la dirección de la Organización audita-
da. Esta aceptación conlleva que todos los riesgos identificados
por encima del riesgo residual deben ser tratados y por lo tanto se
deben asignar recursos para minimizar el riesgo hasta el umbral
definido. El equipo auditor debe verificar, para aquellos riesgos que
se han asumido, que se registran las justificaciones y criterios para
la toma de esta decisión.

Además de las evidencias que puede obtener el equipo auditor con


la revisión del acta de aprobación del informe de análisis y gestión
de riesgos, existen otras evidencias que ayudan a justificar y
demostrar el apoyo de la dirección en la implementación y opera-
ción del SGSI. Estas evidencias pueden ser entre otras, actas de
revisión, actas de reunión, asignación de recursos para minimizar
el riesgo, u otros documentos en los que quede claro el apoyo por
la dirección.

5.3. Tarea 3: Revisión de la declaración de aplicabilidad: El equipo


auditor debe comprobar la existencia de un documento donde se
identifiquen todos los controles que son de aplicación para el alcan-
ce del SGSI definido por la Organización auditada. Este documento
es la declaración de aplicabilidad (SOA por sus siglas en inglés).

83
CAP 04_CAP 1 24/03/14 19:20 Página 84

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

La declaración de aplicabilidad es de los documentos más impor-


tantes de un SGSI y habitualmente su revisión es de las primeras
tareas que se realizan por parte del equipo auditor. Esto es debido
a que este documento contiene un resumen de todos los controles
que aplican o no en la Organización auditada. El equipo auditor
debe tener en cuenta que además de los controles indicados en el
anexo A de la norma ISO 27001 y que se detallan en la norma ISO
27002, la Organización auditada puede decidir aplicar controles
adicionales en función de sus necesidades relativas al sector espe-
cífico al que pertenezca, normativa legal aplicable, requisitos con-
tractuales, u otros.

Un aspecto muy importante en la declaración de aplicabilidad es


que en esta debe figurar la justificación de la decisión de la aplica-
ción o no de todos los controles. El equipo auditor debe verificar si
la justificación de la aplicación o no del control es coherente res-
pecto al alcance definido.

En ocasiones la declaración de aplicabilidad nos puede proporcio-


nar más información de la que exige la norma ISO 27001, como por
ejemplo:

• La trazabilidad o referencia con el documento donde se especi-


fica el control a implantar.
• La madurez del control implantado o la madurez esperada en un
plazo determinado.
• El control específico implantado.
• Las evidencias de su implantación.

En estos casos el equipo auditor debe tener en cuenta y valorar el


esfuerzo por parte de la Organización auditada al realizar una decla-
ración de aplicabilidad detallada y debe tener en cuenta que en oca-
siones la especificación detallada en la declaración de aplicabilidad
de un control implantado puede sustituir a un documento específi-
co donde se describa la implantación de dicho control concreto. Por

84
CAP 04_CAP 1 24/03/14 19:20 Página 85

Proyecto de Auditoría de un SGSI

ejemplo, el control relativo al Contacto con grupos de especial inte-


rés de la norma ISO 27001 en su anexo A (norma ISO 27002) indi-
ca que se debe tener contacto con grupos de especial interés. Pues
bien, si en la declaración de aplicabilidad se especifica que la
Organización auditada está inscrita en foros de seguridad, grupos
de trabajo, o tiene una suscripción a ciertas revistas, y otros simi-
lares, puede evitarse la elaboración de un documento específico
con un procedimiento o norma que lo indique. A continuación
vemos el ejemplo descrito:

A continuación se incluye un ejemplo en el que la declaración de apli-


cabilidad no se ha realizado de forma correcta, dado que no contiene
los datos mínimos obligatorios que establece la norma ISO 27001.

85
CAP 04_CAP 1 24/03/14 19:20 Página 86

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un ejemplo en el que la declaración de


aplicabilidad sí se ha realizado de forma correcta dado que contie-
ne los datos mínimos obligatorios por la norma ISO 27001.

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 3. Revisión de los objetivos de control,
controles y riesgo residual.

86
CAP 04_CAP 1 24/03/14 19:20 Página 87

Proyecto de Auditoría de un SGSI

A.6. Actividad 6. Revisión de la implementación y operación del SGSI

6.1. Tarea 1: Revisión del plan de tratamiento de riesgos: El equipo


auditor debe comprobar que la Organización auditada ha elaborado
e implementado un plan de tratamiento de riesgos que tiene en
cuenta las diferentes opciones de tratamiento (reducir, asumir,
transferir, eliminar) para los riesgos identificados.

Es importante que el equipo auditor verifique que la Organización


auditada:

• Ha implementado el plan de tratamiento de riesgos teniendo en


cuenta:
— Las prioridades en base al nivel de riesgo.
— La asignación de responsabilidades para cada acción.
• Ha asignado los recursos suficientes para apoyar la operación
del SGSI.
• Ha establecido una planificación para realizar las acciones defi-
nidas en el plan de tratamiento de riesgos de acuerdo a las prio-
ridades identificadas.
• Ha asignado las funciones y responsabilidades para el trata-
miento de los riesgos identificados.
• Ha dotado de los recursos necesarios para la realización de las
acciones. Estos recursos pueden ser económicos y/o humanos.
• Ha definido un calendario de revisión y seguimiento de las accio-
nes.

El equipo auditor debe comprobar que existe una correspondencia


entre los riesgos documentados y el plan de acción propuesto. Esta
verificación se puede realizar utilizando técnicas de muestreo.
Habitualmente las Organizaciones mantienen un registro especifi-
cando para cada riesgo identificado, el plan de acción propuesto y
el objetivo de control y control específico de la norma ISO 27001
en su anexo A (norma ISO 27002) a la que hace referencia, si bien
es cierto que no es objetivo de esta fase analizar los registros, sí

87
CAP 04_CAP 1 24/03/14 19:20 Página 88

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

se debe comprobar que estos al menos existen. Este nivel de deta-


lle en un plan de tratamiento de riesgos ayuda a la propia
Organización auditada a fijar los objetivos para el tratamiento de los
riesgos y permite que pueda hacer una trazabilidad completa desde
el plan de acción hasta el riesgo identificado. Además, facilita
mucho la labor del equipo auditor.

El equipo auditor también debe comprobar cómo y con qué indica-


dores se mide la efectividad de los controles implantados. Esto es
una de las más tareas más importantes en un SGSI para verificar
que los controles implantados están funcionando como se espera
y que efectivamente reducen los riesgos para los que fueron selec-
cionados e implantados.

Existen gran cantidad de indicadores, unos más complejos que


otros, sin embargo e independientemente de los indicadores que
ha elegido la Organización auditada, el equipo auditor debe asegu-
rarse de que las mediciones ofrecen resultados comparables y
reproducibles y además proporcionan a la Organización auditada la
información necesaria sobre el proceso mejora del propio SGSI. El
equipo auditor debe ser capaz de asegurarse de que las medicio-
nes de los indicadores SGSI cumplen con los requerimientos de
negocio de la Organización, teniendo en cuenta los resultados del
proceso de evaluación y tratamiento de riesgos y que además son
eficaces y eficientes.

No está establecido el número mínimo ni el máximo de indicadores


que se deben implantar, es la Organización auditada la que debe
decidir cuántos indicadores necesita para medir la eficacia y efi-
ciencia, y llevar a cabo el seguimiento de las acciones contempla-
das dentro del plan de tratamiento del riesgo.

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 4. Revisión de la implementación y ope-
ración del SGSI.

88
CAP 04_CAP 1 24/03/14 19:20 Página 89

Proyecto de Auditoría de un SGSI

A.7. Actividad 7. Revisión de la supervisión y revisión del SGSI

7.1. Tarea 1: Revisión de la supervisión del SGSI: El equipo auditor debe


comprobar que la Organización auditada está revisando de manera
efectiva y proactiva el SGSI para asegurar que los objetivos iniciales
de implantación el SGSI, las políticas de seguridad aprobadas, los
controles de seguridad definidos en el plan de tratamiento de ries-
gos y otros procedimientos se están aplicando realmente.

El equipo auditor puede obtener evidencias de cómo se está lle-


vando a cabo la supervisión y la revisión del SGSI por medio de
diferentes documentos como pueden ser, entre otros:

• Planes de acción.
• Informes de seguimiento.
• Actas de revisión del SGSI.
• Informe de auditoría.
• Informes de incumplimiento.
• Informes de incidencias.
• Informes de indicadores de gestión.

89
CAP 04_CAP 1 24/03/14 19:20 Página 90

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Es importante que en esta tarea el equipo auditor compruebe que


la Organización auditada está detectando errores, incidencias, u
otras anomalías y que estas están siendo tratadas de la forma más
conveniente de acuerdo con los recursos de disponibles.

Otro elemento útil para comprobar cómo se realiza la revisión y


supervisión del SGSI, es que se estén elaborando y elevando a la
dirección de la Organización auditada resúmenes del resultado
obtenido de los indicadores de seguimiento.

Otro aspecto que también es muy importante dentro de la super-


visión y revisión del SGSI es el control de cambios. La
Organización auditada debe tener en cuenta los cambios que pue-
dan producir dentro del alcance del SGSI ya sean internos o exter-
nos y si estos realmente influyen en el SGSI para tomar medidas
adecuadas. Este punto también debe ser analizado por el equipo
auditor que debe comprobar que la Organización auditada revisa
los riesgos residuales teniendo en cuenta cambios que afecten al
SGSI, por ejemplo en:

• La Organización auditada.
• La tecnología.
• Los objetivos y requisitos de la propia Organización.
• Las amenazas identificadas.
• La eficacia de los controles implantados.
• El contexto externo, como por ejemplo los cambios de la nor-
mativa legal o reglamentaria aplicable a la propia Organización.

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 5. Revisión de la supervisión y revisión
del SGSI.

90
CAP 04_CAP 1 24/03/14 19:20 Página 91

Proyecto de Auditoría de un SGSI

A.8. Actividad 8. Revisión del mantenimiento y la mejora del SGSI

8.1. Tarea 1: Revisión del mantenimiento y la mejora del SGSI: Esta


tarea se refiere a que el equipo auditor debe comprobar que la
Organización auditada está implementando las mejoras que esta
ha identificado por medio del seguimiento y la revisión de los pro-
cesos del SGSI implicados en el alcance.

El equipo auditor debe revisar los criterios que ha establecido la


Organización auditada para determinar la necesidad de mejoras y
cómo se implementan estas.

Como ocurre con otras tareas, las evidencias con las que puede
verificar el equipo auditor que la Organización auditada tiene su
enfoque en un proceso de mejora continua pueden encontrarse en
los siguientes documentos:

• Actas de seguimiento del SGSI.


• Actas de aprobación de medidas.
• Informes de incumplimientos.

91
CAP 04_CAP 1 24/03/14 19:20 Página 92

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Correos electrónicos autorizando medidas.


• …

Además, el equipo auditor puede localizar evidencias tangibles de


la mejora continua en otras acciones y decisiones de la
Organización auditada, como pueden ser:

• La actualización y mejoras de las políticas, procedimientos,


métodos y controles.
• Las actualizaciones del análisis de riesgos, inclusión dentro del
alcance del SGSI de nuevas actividades de negocio, de nuevas
partes interesadas.
• La inclusión en el alcance no sólo nuevas tecnologías o proce-
sos informáticos, si no instalaciones físicas.
• El aumento de la resiliencia la Organización auditada a través de
la gestión de incidentes.
• El incremento de la madurez en la gestión de la seguridad de la
información y su tratamiento, teniendo siempre en cuenta los
cambios en el cumplimiento normativo referente al propio sector
de la Organización auditada, como cambios en legislación infor-
mática y de seguridad en su sentido más amplio.

8.2. Tarea 2: Revisión de la mejora continua: Un SGSI debe estar orien-


tado a la mejora continua y como tal el equipo auditor debe com-
probar que este proceso de mejora continua se lleva a cabo y com-
probar que la Organización auditada determina:

• Qué se puede mejorar.


• Cómo se puede mejorar.
• En qué procesos se puede mejorar.
• Que las mejoras estén alineadas con los requisitos de negocio.
• Cómo se relacionan las mejoras con los riesgos identificados.
• Cómo se relacionan las mejoras con la eficacia de la gestión de
la seguridad.

92
CAP 04_CAP 1 24/03/14 19:20 Página 93

Proyecto de Auditoría de un SGSI

Para verificar los puntos anteriores el equipo auditor debe compro-


bar que los objetivos de la Organización auditada han sido traduci-
dos a los requisitos internos de seguridad de la información de la
Organización en todos sus procesos y la comunicación efectiva de
estos objetivos a las partes implicadas. Además debe comprobar
que se asignan prioridades de mejora y que estos con coherentes
con el SGSI.

Si la Organización auditada no dispone de un marco de mejora con-


tinua alineado con los requisitos de negocio, los objetivos que se
hayan definido para la mejora continua no cumplirán con los requi-
sitos que establece la norma y el SGSI no será ni eficaz ni efecti-
vo. Por lo tanto, si la Organización ha definido y fijado un objetivo
de gestión para la mejora continua y no se evidencia su evolución
positiva la Organización debe estudiar si existe algún problema y/o
qué tipo de acción debe planificar y realizar para corregir satisfac-
toriamente la deficiencia. Quizás en este punto el equipo auditor
pudiera llegar a recomendar un reajuste de los objetivos.

El equipo auditor debe evaluar los criterios que aplica la


Organización auditada para medir el rendimiento del SGSI. Si por
ejemplo la Organización auditada identifica las mejoras de acuerdo
a los incidentes ocurridos anteriormente y a la información recaba-
da durante la gestión del incidente, debe comprobar que efectiva-
mente las mejoras se han identificado y están alineadas con los
riesgos identificados y no en la facilidad de cálculo de la medida
definida para el indicador.

8.3. Tarea 3: Revisión de las acciones correctivas: Las acciones


correctivas pueden tener origen tanto en una auditoría (interna o
externa) como en una propuesta de carácter interno de la
Organización auditada, en las que se detectó la existencia de algún
control que no opera como se espera o que existe una falta de con-
trol. La existencia de acciones correctivas son una evidencia de la
mejora continua en los procesos del día a día de la Organización

93
CAP 04_CAP 1 24/03/14 19:20 Página 94

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

auditada. Por lo tanto, las acciones correctivas forman parte del


proceso de mejora continua, y es otro de los aspectos a revisar por
parte del equipo auditor. Los documentos de donde puede obtener
evidencias el equipo auditor son, entre otros:

• Informes de gestión del SGSI.


• Planes de acción.
• Recomendaciones de auditorías anteriores.
• Solicitudes de cambios.
• Solicitud de presupuestos para la implantación de medidas.
• …

El equipo auditor debe comprobar que la Organización dispone de un


documento donde se registran todas las acciones correctivas que se
han ejecutado, y además debe evaluar si se ha analizado la causa
raíz que ha provocado cada acción correctiva registrada. Este es un
aspecto muy importante de las acciones correctivas, dado que si no
se analiza cuál fue el motivo que ha originado la no conformidad, la
acción correctiva propuesta no será efectiva y la Organización audi-
tada incurrirá en un desperdicio de recursos. En términos de gestión
la buena gestión de las acciones correctivas deben ayudar a que la
Organización auditada identifique las mejoras, por esto el equipo
auditor debe comprobar si la Organización auditada:

• Ha identificado si la causa raíz que lo provoco es que no se iden-


tificaron los riesgos de manera oportuna.
• Ha identificado si la causa raíz que lo provoco es que no se apli-
caron las medidas o controles adecuados.

De este modo, el equipo auditor comprueba que:

• Los controles aplicados son apropiados para los riesgos identi-


ficados.
• Los controles se aplican eficazmente y funcionan como se espe-
raba.

94
CAP 04_CAP 1 24/03/14 19:20 Página 95

Proyecto de Auditoría de un SGSI

Las acciones correctivas deben documentarse de una manera deta-


llada donde se especifiquen los puntos anteriores.

8.4. Tarea 4: Revisión de las acciones preventivas: Además de realizar


un proceso de mejora continua basado en la identificación e
implantación de medidas correctivas, tal como se ha descrito en el
apar tado anterior, el equipo auditor debe determinar si la
Organización auditada es proactiva en materia de seguridad de la
información. Esto quiere decir que debe comprobar que la
Organización auditada, propone, realiza y gestiona acciones pre-
ventivas que supongan anticiparse a la materialización de las ame-
nazas que las que están expuestas los activos.

El equipo auditor puede verificar si la Organización auditada man-


tiene un enfoque de mejora continua basado en la implantación de
medidas preventivas, y por tanto su actitud frente a la seguridad de
la información el proactiva, para ello debe evaluar si la
Organización auditada:

• Identifica nuevos riesgos o comprueba si los existentes han


cambiado. Una evidencia de que la Organización realiza estas
tareas se puede obtener comprobando la actualización del aná-
lisis de riesgos.
• Evalúa periódicamente los indicadores y analiza los resultados
obtenidos en busca de tendencias. Si la tendencia resultara
negativa la Organización auditada podría anticiparse e implantar
medidas para evitar un posible incidente de seguridad de la
información o una no conformidad.
• Mantiene un sistema de alertas que le proporciona alerta tempra-
na de situaciones que pueden derivar en un incidente de seguridad.
• Realiza un seguimiento continuo de los incidentes y se analizan
las tendencias e incidentes de Organizaciones del mismo sector.
• Evalúa las no conformidades que se hayan producido en cir-
cunstancias similares, pero para otras áreas que no están inclui-
das en el alcance del SGSI.

95
CAP 04_CAP 1 24/03/14 19:20 Página 96

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Tiene en cuenta al planificar los posibles cambios que va a realizar


en su contexto interno, los riesgos que pudieran producir dichos
cambios y realiza un análisis de riesgos para poder gestionarlos.
Estos cambios pueden deberse a que la Organización auditada, por
ejemplo, prevé expandirse, va a realizar labores de mantenimiento,
va a contratar nuevo personal, u otros hechos relevantes.
• Planifica los posibles cambios que pudieran ocurrir en el con-
texto externo de la Organización auditada como por ejemplo pue-
den ser los posibles cambios en la legislación o la alerta por
algún desastre natural como un terremoto o inundación.
• Realiza análisis de causa-efecto ante posibles escenarios de
desastre.
• Las acciones planificadas se realizan en el momento oportuno y
no se retrasan sin motivos suficientemente justificados.
• Ha documentado una definición clara de las responsabilidades
para la identificación, valoración, aplicación y revisión de las
acciones preventivas.
• Dispone de un plan de formación, con la apropiada programa-
ción temporal, que se revisa periódicamente por si surgieran
nuevas necesidades derivadas de la implantación de nuevos
controles o se identificaran deficiencias en los mismos.

Al final, el equipo auditor debe comprobar que:

• Se mantienen los registros apropiados.


• Los registros son un fiel reflejo de los resultados.
• Los registros generados se protegen y controlan.
• Las acciones tomadas fueron eficaces. Si por ejemplo se trata-
ba de una acción correctiva pero son su implantación además
se obtuvieron beneficios adicionales.
• Se estudian posibles acciones preventivas nuevas en pos de
una mejora continua.

Lo más importante más allá del número de acciones que planifique


o realice la Organización auditada, en lo que debe fijarse el equipo

96
CAP 04_CAP 1 24/03/14 19:20 Página 97

Proyecto de Auditoría de un SGSI

auditor es que la postura de esta ante la gestión del riesgo tenga


un enfoque proactivo.

Más importante que la cantidad de acciones preventivas que pla-


nifique o realice la Organización auditada, en lo que debe hacer hin-
capié el equipo auditor y comprobar es que la Organización audita-
da tiene un enfoque proactivo ante la gestión del riesgo.

No todas las empresas disponen de los recursos y pueden realizar los


esfuerzos que conllevan las acciones preventivas, y dado que los resul-
tados de este tipo de acciones no se aprecia de forma inmediata y
obvia, esto es más difícil de transmitir en una Organización, ya que el
beneficio de dichas acciones se centra en disminuir la probabilidad de
materialización de la amenaza y la disminución del impacto. Por todo lo
anterior, las acciones preventivas deberían contemplarse por el equipo
auditor como un esfuerzo adicional la Organización auditada.

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 6. Revisión del mantenimiento y mejo-
ra del SGSI.

97
CAP 04_CAP 1 24/03/14 19:20 Página 98

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.9. Actividad 9. Revisión de la documentación del SGSI

9.1. Tarea 1: Revisión de la documentación del SGSI: Tal como se indica


al inicio de este capítulo, esta fase I tiene como principal finalidad
analizar el cuerpo documental del SGSI implantado en la
Organización auditada para verificar que cumple con los mínimos que
exige la norma ISO 27001, así como comprobar que el sistema esté
lo suficientemente maduro como para afrontar la siguiente fase. Por
ello, esta tarea de revisión de la documentación se ha ido realizando
durante el desarrollo de todas las actividades y tareas que forman
parte de la fase I y que hemos descrito en los puntos anteriores.

En concreto la norma ISO 27001 establece la obligatoriedad de


documentar ciertos procedimientos. Cuando hablamos de “proce-
dimiento documentado” nos referimos a que los documentos se
crean, se documentan, se implementan y se mantienen, de tal
forma que la Organización auditada debe revisarlos paródicamente
y actualizarlos cuando proceda.

El equipo auditor no debe perder de vista que cada Organización es


diferente a otra y por lo tanto su cuerpo documental puede variar
sustancialmente en función de distintos aspectos como pueden ser:

• El tamaño de la Organización auditada y de su tipo de actividad,


procesos, productos y servicios.
• La complejidad de sus procesos y sus interacciones.
• La competencia de las personas.

Durante esta tarea el equipo auditor debe verificar que no ha “pasa-


do por alto” la revisión de ningún documento durante la ejecución
de las actividades y tareas anteriores.

A modo de ejemplo, a continuación se incluye una pequeña lista


de verificación que puede ser utilizada por el equipo auditor en
esta tarea para revisar que la Organización auditada dispone de

98
CAP 04_CAP 1 24/03/14 19:20 Página 99

Proyecto de Auditoría de un SGSI

los procedimientos, debidamente documentados, que establece la


norma ISO 27001 como mínimo:

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Declaraciones documenta- Documentos específico El equipo auditor puede


das de la política principal donde se refleja reflejar aquí otros docu-
el requisito exigido. mentos donde se hace
referencia al requisito.

Objetivos del SGSI Documentos específico El equipo auditor puede


principal donde se refleja reflejar aquí otros docu-
el requisito exigido. mentos donde se hace
referencia al requisito.

Alcance del SGSI Documentos específico El equipo auditor puede


principal donde se refleja reflejar aquí otros docu-
el alcance del SGSI. mentos donde se hace
referencia al requisito.

Procedimientos de control Documentos de los que El equipo auditor puede


del SGSI dispone la Organización reflejar aquí otros docu-
auditada para el control mentos donde se hace
del SGSI. referencia al requisito.
Dependiendo del alcance
definido, de los procesos,
personas, activos, etc.
implicados, esta parte del
cuerpo documental de la
Organización puede ser
diferente.

Metodología de análisis Documentos específico El equipo auditor puede


de riesgos principal donde se refleja reflejar aquí otros docu-
la metodología de análisis mentos donde se hace
de riesgos. referencia al requisito.

99
CAP 04_CAP 1 24/03/14 19:20 Página 100

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Informe de análisis de Documento donde se El equipo auditor puede


riesgos especifican las principales reflejar aquí otros docu-
tareas realizadas en el mentos donde se hace
análisis de riesgos y los referencia al requisito.
resultados obtenidos.

Plan de tratamiento de Documento donde se El equipo auditor puede


riesgos especifican los planes de reflejar aquí otros docu-
acción propuestos para el mentos donde se hace
tratamiento de los riesgos. referencia al requisito.

Procedimientos de opera- Documentos de los que El equipo auditor puede


ción del SGSI dispone la Organización reflejar aquí otros docu-
auditada para la operación mentos donde se hace
del SGSI. referencia al requisito.
Dependiendo del alcance
definido, de los procesos,
personas, activos, etc.
implicados, esta parte del
cuerpo documental de la
Organización puede ser
diferente.
Procedimientos de medi- Documento donde se El equipo auditor puede
ción de la eficacia del especifican los indicado- reflejar aquí otros docu-
SGSI res de gestión del SGSI, mentos donde se hace
así como tu tratamiento y referencia al requisito.
medidas.

100
CAP 04_CAP 1 24/03/14 19:20 Página 101

Proyecto de Auditoría de un SGSI

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Existencia de registros Documento donde se El equipo auditor puede


registran los aspectos reflejar aquí otros docu-
mínimos exigidos por la mentos donde se hace
norma ISO 27001. referencia al requisito.
Estos documentos y regis-
tros pueden estar en cual-
quier formato o tipo de
medio.

Declaración de aplicabili- Documento específico El equipo auditor puede


dad (SOA) donde se recogen los con- reflejar aquí otros docu-
troles aplicables para el mentos donde se hace
alcance definido por la referencia al requisito.
Organización auditada.

A continuación vemos la tabla anterior completada para un caso de


estudio de una hipotética Organización auditada.

101
CAP 04_CAP 1 24/03/14 19:20 Página 102

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Declaraciones documenta- XX-X-XX Política de seguri- XXX-CSI- Acta de aproba-


das de la política dad de la información. ción del proyecto de
implantación del SGSI.
XXX-CSI- Acta de creación
del comité de seguridad de
la información.
XXX-CSI- Acta de revisión y
aprobación de la política
de seguridad de la
Información y objetivos del
SGSI.
Documento de política de
seguridad publicado en la
página web.

Objetivos del SGSI XX-X-XX Política de seguri- XX-X-XX Política de seguri-


dad de la información. dad de la información.
XXX-CSI- Acta de revisión y
aprobación de la política
de seguridad de la infor-
mación y objetivos del
SGSI.
Acta de revisión por la
dirección.

Alcance del SGSI XX-X-XX Manual de alcance El equipo auditor puede


del SGSI. reflejar aquí otros docu-
mentos donde se hace
referencia al requisito.

102
CAP 04_CAP 1 24/03/14 19:20 Página 103

Proyecto de Auditoría de un SGSI

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Metodología de análisis XX-X-XX Manual de metodo- XXX-CSI- Acta de revisión y


de riesgos logía de análisis y gestión aprobación de documenta-
de riesgos. ción: Metodología de análi-
sis y gestión de riesgos.
XX-X-XX Informe de análisis
y gestión de riesgos.

Informe de análisis de XX-X-XX Informe de análisis XX-X-XX Manual de metodo-


riesgos y gestión de riesgos. logía de análisis y gestión
de riesgos.
XXX-CSI- Acta de aproba-
ción del AR y definición del
umbral de riesgo.
XX-X-XX Análisis y gestión
de riesgos.

Plan de tratamiento de XX-X-XX Análisis y gestión XX-X-XX Análisis y gestión


riesgos de riesgos. de riesgos.
XXX-CSI- Acta de revisión y
aprobación de documenta-
ción: PTR.
XX-X-XX Manual de metodo-
logía de análisis y gestión
de riesgos.

103
CAP 04_CAP 1 24/03/14 19:20 Página 104

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Procedimientos de control XX-X-XX Manual de revi- XXX-CSI- Acta de revisión y


y operación del SGSI sión por la dirección aprobación de documenta-
XX-X-XX Norma de roles y ción.
responsabilidades de XXX-CSI- Acta de revisión y
seguridad. aprobación de documenta-
XX-X-XX Norma de ción.
auditorías internas. XXX-CSI- Acta de revisión y
XX-X-XX Norma de control aprobación de documenta-
y gestión de la documen- ción.
tación.
XX-X-XX Manual de defini-
ciones del SGSI.
XX-X-XX Norma de análisis
y gestión de registros de
auditoría.
XX-X-XX Norma de clasifi-
cación, marcado y trata-
miento de la información.
XX-X-XX Norma de inventa-
rio de activos.
XX-X-XX Norma de gestión
del personal.
XX-X-XX Norma de pro-
tección física y del
entorno.
XX-X-XX Manual del uso de
los sistemas de informa-
ción.
XX-X-XX Norma de gestión
de incidentes.
XX-X-XX Norma de gestión
de copias de respaldo.
XX-X-XX Norma de seguri-
dad en redes y comunica-
ciones.
otros.

104
CAP 04_CAP 1 24/03/14 19:20 Página 105

Proyecto de Auditoría de un SGSI

Requisito documental Documento referencia de Observaciones


norma ISO 27001 la Organización auditada

Procedimientos de medi- XX-X-XX Gestión de indica- XXX-CSI- Acta de revisión y


ción de la eficacia del dores. aprobación de documenta-
SGSI ción.
XX-X-XX Registro de ges-
tión de indicadores.

Registros del SGSI Norma de análisis y ges- XXX- Libro de visitas.


tión de registros de audito- XX-X-XX Informes de audi-
ría. toría.
XXX- Formularios de autori-
zación de acceso.
XX-X-XX Registro de accio-
nes correctivas y preventi-
vas.

Declaración de aplicabili- XX-X-XX Declaración de XXX-CSI- Acta de revisión y


dad (SOA) aplicabilidad. aprobación de documenta-
ción: declaración de apli-
cabilidad.

9.2. Tarea 2: Revisión del control de la documentación del SGSI: El


equipo auditor debe verificar que la Organización auditada dispone
de un procedimiento documentado donde se especifique la forma
en la que realizan el control de cambios de la documentación del
SGSI. Esto incluye quién, cómo y cuándo se realizan cambios en
políticas, procedimientos, registros, u otros documentos del SGSI.

El equipo auditor puede comprobar si el procedimiento descrito se


está utilizando realmente por ejemplo si la plantilla de los docu-
mentos contiene un control de revisión o de versiones y si está
aprobado por quien corresponde.

105
CAP 04_CAP 1 24/03/14 19:20 Página 106

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El equipo auditor debe, a su vez, verificar que existe una comuni-


cación efectiva tanto a nivel interno como externo. El proceso de
comunicación puede incluir:

• Qué se comunica.
• Cuándo se comunica.
• A quién se comunica.
• Qué proceso de comunicación se utiliza.

Esta verificación puede realizarse comprobando la publicación de


cambios en la intranet, el envío de correos electrónicos informando
del cambio, las publicaciones en tablón de anuncios, u otros
medios.

A continuación se incluye un ejemplo de una plantilla de documen-


tos para el control de documentación en la que el procedimiento
implementado por la Organización no es conforme con la norma
auditada, ISO 27001, y por lo tanto este hecho podría derivar en
una no conformidad, si el equipo auditor lo considera oportuno.

106
CAP 04_CAP 1 24/03/14 19:20 Página 107

Proyecto de Auditoría de un SGSI

En este caso no se identifican todos los aspectos exigidos en la


norma ISO 27001, como por ejemplo la persona responsable de su
revisión ni aprobación.

A continuación se incluye un ejemplo de conformidad para una plan-


tilla de documentos que cubra íntegramente los requisitos de indi-
cados.

107
CAP 04_CAP 1 24/03/14 19:20 Página 108

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

108
CAP 04_CAP 1 24/03/14 19:20 Página 109

Proyecto de Auditoría de un SGSI

A continuación se incluye un ejemplo en el que la Organización audi-


tada no está gestionando correctamente la comunicación a los
empleados de cambios documentales en el cuerpo normativo vigen-
te, dado que existe un documento que se aprobó el día
01/02/2014, y en la intranet a día 03/02/2014 no aparece nin-
guna notificación de “novedades” e incluso la última actualización
de la intranet es del mes anterior.

A continuación se incluye un ejemplo en el que la Organización audi-


tada sí está gestionando correctamente la comunicación a los
empleados de cambios documentales en el cuerpo normativo vigen-
te, dado que existe un documento que se aprobó el día
01/02/2014, y en la intranet a día 03/02/2014 sí aparece una
notificación de “novedades”.

109
CAP 04_CAP 1 24/03/14 19:20 Página 110

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

9.3. Tarea 3: Revisión de los registros del SGSI: El auditor debe evaluar
que los registros se protegen de acuerdo a la clasificación de la
información del propio registro y se adoptan las medidas adecua-
das y proporcionales para su protección contra distintas amenazas.

El equipo auditor debe verificar que se la Organización auditada ha


establecido los controles necesarios para la identificación, el alma-
cenamiento, la protección, la recuperación, el tiempo de retención
y la eliminación de los registros generados por la Organización audi-
tada. Estos aspectos son especialmente importantes sobre todo
en situaciones, que deben ser conocidas por el equipo auditor, rela-
tivas a requisitos legales y contractuales, como por ejemplo la pro-
tección de datos de carácter personal.

Los registros a los que nos referimos pueden ser por ejemplo:

• Libros de visita.
• Formularios de autorización de acceso.
• Formularios de cambio de acceso.
• Otros registros de aplicación al SGSI.

A continuación se incluye un ejemplo de una plantilla de registro de


un libro de visitas en los que el equipo auditor podría decidir que el
procedimiento implementado por la Organización no es conforme
con la norma ISO 27001, y por lo tanto este hecho podría derivar
en una no conformidad, dado que no se incluye en dicho registro la
cláusula de la LOPD correspondiente y por lo tanto no es conforme
con la legislación vigente.

110
CAP 04_CAP 1 24/03/14 19:20 Página 111

Proyecto de Auditoría de un SGSI

A continuación se incluye un ejemplo de una plantilla de registro de


un libro de visitas que sí es conforme con la norma ISO 27001, dado
que sí se incluye en dicho registro la cláusula de la LOPD correspon-
diente y, por lo tanto, es conforme con la legislación vigente.

111
CAP 04_CAP 1 24/03/14 19:20 Página 112

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 7. Revisión de la documentación del
SGSI.

A.10. Actividad 10. Revisión de las responsabilidades de la dirección

Durante esta actividad, el equipo auditor debe verificar que la dirección


de la Organización auditada entiende, comprende y ejerce las funcio-
nes y responsabilidades que le han sido encomendadas.

10.1. Tarea 1: Revisión del compromiso de la dirección: Durante esta


actividad el equipo auditor debe revisar el grado de compromiso de
la dirección de la Organización auditada respecto a la seguridad de
la información y por tanto su apoyo a la planificación, operación y
mantenimiento del SGSI.

Las evidencias en las que puede basarse el equipo auditor para


verificar dicho compromiso pueden ser entre otras:

112
CAP 04_CAP 1 24/03/14 19:20 Página 113

Proyecto de Auditoría de un SGSI

• La aprobación formal de la política de seguridad de la informa-


ción.
• La aceptación y gestión de los objetivos del SGSI.
• La aceptación y gestión de los planes de acción del tratamiento
del riesgo, junto con la asignación de recursos adecuados y la
asignación de prioridades adecuadas a las actividades asocia-
das.
• La asignación y aceptación de funciones y responsabilidades cla-
ras para la seguridad de la información.
• La difusión y apoyo en la comunicación de la importancia de la
gestión en la seguridad de la información, también son muestra
del apoyo y compromiso de la dirección. Como por ejemplo:
correos electrónicos, charlas, presentaciones, envío de noticias
de seguridad, u otros.
• La aceptación de los criterios de aceptación del riesgo y su acep-
tación formal, la aprobación formal del riesgo residual, y de
otros parámetros relativos a la gestión del riesgo.
• El apoyo y la aceptación en la definición del alcance, la asigna-
ción de recursos y el patrocinio de las auditorías y las revisiones
internas del SGSI.

A continuación se incluye un ejemplo de un acta de reunión que


muestra el compromiso de la dirección de la Organización audita-
da, dado que se especifica en un acta de reunión del comité de
seguridad de la información la aceptación del riesgo y la aprobación
del riesgo residual y que es conforme a la norma ISO 27001.

113
CAP 04_CAP 1 24/03/14 19:20 Página 114

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

114
CAP 04_CAP 1 24/03/14 19:20 Página 115

Proyecto de Auditoría de un SGSI

10.2. Tarea 2: Revisión de la asignación de recursos SGSI: El equipo


auditor debe comprobar que se han asignado los recursos necesa-
rio para implementar, mantener y mejorar el SGSI implantado. La
asignación de recursos significa que la Organización auditada debe
identificar, planificar, poner a disposición, utilizar, supervisar y cam-
biar los recursos adecuados cuando sea necesario, siempre claro
está de las limitaciones propias de la Organización y de acuerdo a
las prioridades identificadas.

Lo que debe comprobar además el equipo auditor es que los recur-


sos se asignan y gestionan de forma eficaz para alcanzar los obje-
tivos planificados.

Para poder llevar a cabo una asignación de recursos eficaz y efi-


ciente es necesario realizar un análisis de coste-beneficio que per-
mita conocer el grado de adecuación de los recursos a emplear. En
este caso, el equipo auditor debe comprobar que los resultados
obtenidos de este análisis son coherentes y además reflejar el
esfuerzo de la Organización auditada para su elaboración. Este es
un claro ejemplo del compromiso de la dirección, con la asignación
de recursos para la realización de dicho análisis coste-beneficio y
del interés general en que la asignación de recursos se realiza de
una forma eficaz y eficiente.

Las evidencias que puede comprobar el equipo auditor pueden ser,


entre otras:

• Entrevistas con la gerencia.


• Entrevistas con otro personal responsable.
• Actas de entrada de revisión por la dirección.
• Actas de rendimientos de los procesos y resultados.
• Compromiso de la dirección formalmente documentado asigna-
ción de las responsabilidades para gestión de la seguridad de la
información.
• Actas de revisión por la dirección.

115
CAP 04_CAP 1 24/03/14 19:20 Página 116

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Actividades derivadas de la operación y mantenimiento del SGSI


incluyendo la gestión de riesgos, acciones correctivas y preven-
tivas y el proceso mejora continua.
• Descripción formalmente documentada de las funciones.
• Registros de asignación del personal a labores relacionadas con
el SGSI, lo que implica una carga de trabajo adicional a la que
habitualmente dedican a otras actividades de negocio.
• Presupuestos evaluados para actividades específicas del SGSI.
• …

El objetivo del equipo auditor no es hacer una valoración sobre


cómo la Organización auditada asigna los recursos, su objetivo es
comprobar que realmente se está llevando a cabo una gestión de
recursos eficaz.

A continuación se incluye un ejemplo de un acta de reunión donde


la dirección de la Organización auditada aprueba un presupuesto
para la adquisición de recursos. Estos nuevos recursos fueron
detectados como necesarios en acciones del plan de tratamiento
del riesgo para reducir el valor al riesgo residual aceptado por la
Organización auditada y que es conforme a la norma ISO 27001.

116
CAP 04_CAP 1 24/03/14 19:20 Página 117

Proyecto de Auditoría de un SGSI

117
CAP 04_CAP 1 24/03/14 19:20 Página 118

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

10.3. Tarea 3: Revisión de la definición y evaluación de la sensibiliza-


ción y formación en seguridad de la información: Un aspecto fun-
damental para el buen funcionamiento de un SGSI en cualquier
Organización es la formación, concienciación y sensibilización del
personal implicado en el alcance del SGSI. Por lo tanto, el equipo
auditor debe comprobar que todo el personal que interviene en los
procesos contemplados en el alcance del SGSI recibe la formación
adecuada en materia de seguridad de la información.

Esta formación debe contemplar tanto aspectos de información


general sobre el SGSI, que se impartirá a todo el personal, como
formación sobre aspectos específicos del SGSI que se impartirán
a las personas que tengan responsabilidades sobre dichos aspec-
tos. En este sentido, el equipo auditor debe comprobar que todo el
personal afectado por el SGSI es consciente de la trascendencia y
de la importancia de las actividades de seguridad de la información
y de su contribución a la consecución de los objetivos del SGSI.
Para esto se debe verificar que se ha designado un responsable de
formación (generalmente será el departamento de RRHH) que
conozca las necesidades de formación del personal, que será el
responsable de que se haya elaborado una propuesta de planifica-
ción de las acciones formativas que sean oportunas para cubrir
estas necesidades, que vele por que se realicen dichas acciones
formativas y de que se evalúa su resultado.

El equipo auditor debe comprobar que se han definido y evaluado


las competencias necesarias y los requisitos de formación, sensi-
bilización y concienciación.

El equipo auditor además debe comprobar varios aspectos en cuan-


to a la formación y sensibilización, para esto se utilizan técnicas de
muestreo, a modo de ejemplo el equipo auditor puede comprar:

118
CAP 04_CAP 1 24/03/14 19:20 Página 119

Proyecto de Auditoría de un SGSI

• Si han sido identificados claramente los requisitos de formación


y/o sensibilización necesarios para el personal con responsabi-
lidades específicas en el SGSI.
• Si el personal que imparte la formación de seguridad tiene la for-
mación y competencia necesaria para impartir dicha información.
• Si hay una asignación de recursos para la formación en materia
de seguridad de la información, y si la dotación presupuestaria
para realizar las acciones formativas previstas es la adecuada.
• Si los informes de evaluación de la formación identifican
mejoras.
• Cuántas personas han recibido formación en materia de seguri-
dad de la información. Esta formación puede contemplar tanto
la específica para el personal con responsabilidades definidas
dentro del alcance del SGSI, como la formación general en esta
materia impartida al resto del personal.
• Evaluar el nivel general de la Organización en materia de seguri-
dad de la información, esta evaluación se puede realizar com-
probando las pruebas de conocimientos de las acciones forma-
tivas realizadas o por medio del análisis de los resultados de
encuestas realizadas por la Organización auditada.
• Si se han identificado competencias de formación adicionales.
• Si las acciones formativas realizadas por la Organización audi-
tada son eficaces y si se analiza por parte de la Organización
auditada el grado de eficacia de las acciones de mejora en fun-
ción del tipo de formación (presencial, on line).
• Si revisa periódicamente la competencia del personal.

Aunque durante esta fase I el equipo auditor no revisa detallada-


mente los registros creados y mantenidos por la Organización audi-
tada, sí que debe comprobar la existencia de estos registros y que
existe un documento donde se indica la obligatoriedad de crear y
mantener este registro:

• Identificación de las competencias son necesarias del personal


que realiza trabajos que afectan al SGSI. En este caso se debe

119
CAP 04_CAP 1 24/03/14 19:20 Página 120

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

comprobar que existe una un procedimiento para identificar


estas competencias y para verificar que el enfoque es efectivo.

El resultado de esta tarea puede ser una lista, un registro, una


base de datos, un plan de formación de recursos humanos, un
plan de desarrollo de competencias, u otros documentos.
• Una fuente potencial de información que puede conducir a la nece-
sidad de diferentes requisitos de competencia en la Organización
son las actividades o procesos nuevos y/o modificados que se
realicen en la Organización auditada. En estos casos, el equipo
auditor puede comprobar que se revisan las competencias nece-
sarias en nuevas licitaciones o en contratos. Los requisitos de
competencia pueden ser incluidos en los contratos cuando las
actividades de los subcontratistas pueden tener un impacto en los
procesos en cuanto a seguridad de la información se refiere.
• El equipo auditor debe comprobar que existe alguna forma de
evaluación para asegurar que las competencias son apropiadas
para el desarrollo de las actividades de la organización, y que el
personal seleccionado como competente demuestra las compe-
tencias adecuadas. Además, el proceso debe asegurar que las
deficiencias están siendo identificadas y se mide la eficacia del
personal. Dado que es necesario comprobar que las actividades
que afectan a la seguridad información son realizadas por per-
sonas seleccionadas como competentes. La evidencia puede
ser obtenida a través de una auditoría en la que se centre el foco
en los procesos, actividades, tareas y productos donde la inter-
vención humana puede tener el mayor impacto. El auditor puede
revisar las descripciones de puestos de trabajo, actividades de
supervisión, registros de revisiones por la dirección, la defini-
ción de roles y responsabilidades, registros de no conformida-
des, informes de auditoría, quejas de clientes, procesos de vali-
dación de registros, u otros registros con información relevante.
• La Organización auditada necesita evaluar la efectividad de las
acciones tomadas y para ello puede utilizar una serie de técnicas
como pueden ser, entre otras, la observación, la revisión de los

120
CAP 04_CAP 1 24/03/14 19:20 Página 121

Proyecto de Auditoría de un SGSI

registros de formación, y las entrevistas. La idoneidad de un méto-


do de evaluación en particular dependerá de muchos factores. Por
ejemplo, el equipo auditor puede comprobar los registros de for-
mación de un curso de formación que se ha completado con éxito
(aunque esto por sí mismo no sería una prueba de que el alumno
es competente) y sería necesario que la Organización auditada
demostrara la competencia de su personal a través de una com-
binación de educación, formación y/o experiencia laboral.
• El auditor debe comprobar que la Organización auditada mantie-
ne alguna forma de proceso de supervisión eficaz de esta y que
se actúa en consecuencia y de acuerdo a los resultados obteni-
dos de esta supervisión. El equipo auditor puede comprobar
esto con las evaluaciones periódicas del personal y su desem-
peño, las pruebas o auditoría de productos o sistemas. Los cam-
bios en los requisitos de competencia puede indicar que la
Organización auditada es proactiva en el mantenimiento de los
niveles de desempeño del personal.

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 8. Revisión de las responsabilidades de
la dirección.

121
CAP 04_CAP 1 24/03/14 19:20 Página 122

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.11. Actividad 11. Revisión de las auditorías internas y de la gestión


del SGSI

11.1. Tarea 1: Revisión de auditorías internas: Uno de los puntos obli-


gatorios de la norma 27001 indica que la Organización auditada
debe realizar auditorías internas del SGSI. En este caso, el equipo
auditor (sólo cuando se trata de una auditoría externa de certifica-
ción) debe comprobar que la Organización auditada ha planificado
y realizado dichas auditorías.

El equipo auditor puede comprobar que se han planificado y reali-


zado las auditorías internas por medio del estudio de los siguien-
tes documentos:

• Programas de auditoría del SGSI.


• Planes de auditoría del SGSI.
• Informes de auditoría.
• Informe de planes de acción derivados de la auditoría.
• Otros informes.

Otro aspecto que debe comprobar el equipo auditor es que la desig-


nación del auditor interno se ha realizado de manera formal, y en
esta designación se ha establecido las actividades que debe llevar
a cabo y están perfectamente definidas sus responsabilidades.
Igualmente debe comprobar que el auditor interno tiene la forma-
ción y las competencias necesarias para desarrollar las tareas que
se le han encomendado.

El equipo auditor debe comprobar que la auditoría interna realizada


además de cumplir con todos los requisitos que establece la norma
ISO 27001, cubre todo el alcance del SGSI, y contempla los aspec-
tos legales y contractuales.

El equipo auditor debe comprobar a su vez que la Organización


auditada ha llevado o está llevando a cabo los planes de acción

122
CAP 04_CAP 1 24/03/14 19:20 Página 123

Proyecto de Auditoría de un SGSI

acordados, las acciones correctivas, y otras tareas planificadas en


los plazos definidos.

El equipo auditor debe comprobar que la Organización auditada:

• Ha identificado los requisitos de competencia para los auditores


internos del SGSI.
• Ha proporcionado la formación adecuada a sus auditores internos.
• Ha puesto en marcha un proceso para comprobar el desempeño
de sus auditores internos.
• Los auditores internos tienen el conocimiento apropiado del sec-
tor específico que están auditando (para que sean capaces de
identificar cuando ocurre un cambio en un proceso o actividad y
así puedan identificar si existe un impacto para la seguridad de
la información).
• La Organización auditada ha planificado sus auditorías internas
de forma que cubran completamente el alcance del SGSI, y ha
definido métodos de auditoría, con el objeto de garantizar el uso
efectivo y eficiente de los recursos.
• La Organización auditada ha definido un proceso para utilizar
los resultados de auditorías anteriores en la planificación de
las futuras auditorías internas del SGSI. El auditor debe verifi-
car que la Organización utilizará dicha información cuando se
establece la periodicidad de las auditorías de los procesos y
actividades.
• La auditoría interna SGSI identifica las mejoras tangibles para el
SGSI.

11.2. Tarea 2: Auditoría de la revisión por la dirección del SGSI: Otro de


los puntos obligatorios de la norma ISO 27001 indica que la
Organización auditada debe realizar revisiones del SGSI, dichas
revisiones deben ser realizadas por la dirección de la Organización
auditada a intervalos planificados (por lo menos una vez al año)
para asegurar su continua idoneidad, adecuación y eficacia. En
este sentido, el equipo auditor debe por lo tanto comprobar que la

123
CAP 04_CAP 1 24/03/14 19:20 Página 124

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Organización auditada ha revisado el SGSI y dichas revisiones se


han planificado y definido formalmente.

Aunque la norma ISO 27001 no establece como requisito que la


revisión por la dirección se trate en una reunión dedicada única y
exclusivamente a esta revisión del SGSI, sí que es habitual que
dada su importancia, se realicen reuniones específicas para tratar
los temas que deben analizarse en una revisión por la dirección.

Existen muchas formas para comprobar que se realiza un segui-


miento por la dirección de la Organización auditada, como son reci-
bir y revisar los informes, comunicaciones electrónicas o como
parte de las reuniones regulares de la dirección donde se tratan
temas como los presupuestos y objetivos de seguridad.

El equipo auditor debe comprobar que se tratan las entradas y sali-


das del proceso de revisión por la dirección y que estas son rele-
vantes para el tamaño de la Organización y complejidad y que se
utilizan para mejorar el SGSI.

El equipo auditor debe comprobar que se realizan estas revisiones


por la dirección. La forma más común que puede utilizar la
Organización auditada y por tanto debe ser revisada por el equipo
auditor son actas de las reuniones aunque también pueden existir
registros electrónicos, gráficos estadísticos, presentaciones, u
otros. Por este motivo el equipo auditor debe ser flexible y, dado
que la norma ISO 27001 no obliga a mantener un formato especí-
fico, deberá comprobar si estás acciones también se llevan a cabo
en la Organización auditada.

El proceso de revisión por la dirección también podría incluir ele-


mentos de la planificación del SGSI en que están siendo conside-
rados cambios en los procesos y sistemas. Cuando este es el
caso, el equipo auditor debe revisar si se han sido considerados
los siguientes puntos:

124
CAP 04_CAP 1 24/03/14 19:20 Página 125

Proyecto de Auditoría de un SGSI

• Cuando se proponen cambios, antes de su implementación, se


analiza previamente el impacto que pudieran producir en la
Organización auditada dichos cambios.
• Se tienen en cuenta los temas relacionados con el SGSI en la
elaboración de los planes estratégicos.

11.3. Tarea 3: Revisión de las entradas para la revisión: En las revi-


siones por la dirección se deben tratar cier tos temas tal como
establece la norma ISO 27001 que deben identificarse como
orden del día o entradas de la dicha reunión. El equipo auditor
debe comprobar en este sentido que dichas reuniones se planifi-
can y se llevan a cabo de manera opor tuna, y que en ellas se tra-
tan todos los temas que establece la norma ISO 27001 y aque-
llos que la propia dirección de la Organización auditada o quien
tenga responsabilidad en el SGSI implantado considere. Como se
ha indicado las evidencias pueden ser varias tales como actas,
informes, gráficos de tendencia, presentaciones, y otros docu-
mentos. En cualquier caso, e independientemente del formato en
el que la Organización auditada gestione dichas reuniones, el
equipo auditor debe comprobar que en ellas al menos se tratan
los siguientes temas:

• Los resultados de las auditorías anteriores y las revisiones lle-


vadas a cabo del SGSI.
• Los comentarios que pudieran aportar las partes interesadas.
• Las técnicas, productos o procedimientos que podrían utilizarse
dentro de la Organización para mejorar el comportamiento y la
eficacia del SGSI.
• El estado de las acciones preventivas y/o correctivas.
• Las vulnerabilidades o amenazas no abordadas adecuadamente
en la evaluación de riesgos previa.
• Los resultados de las mediciones de la eficacia.
• Las acciones de seguimiento de las revisiones anteriores.
• Cualquier cambio que pudiera afectar al SGSI.
• Las recomendaciones de mejora.

125
CAP 04_CAP 1 24/03/14 19:20 Página 126

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

11.4. Tarea 4: Revisión de las salidas para la revisión: Como resultado de


la tarea anterior, los resultados de las revisiones por la dirección
deben contemplar ciertas reflexiones o resultados y las acciones
derivadas de los temas tratados. Este es un requisito de la norma
ISO 27001 y por lo tanto el equipo auditor debe comprobar que en
dichas reuniones se obtienen los resultados esperados, teniendo en
cuenta que el formato de estos, al igual que el de las entradas de
la revisión por la dirección de la Organización auditada también pue-
den ser distintos: actas, informes, gráficos de tendencia, presenta-
ciones, y otros documentos. En cualquier caso, e independiente-
mente del formato en el que la Organización auditada gestione
dichas reuniones, el equipo auditor debe comprobar que al menos
se obtienen conclusiones, se detectan necesidades y se obtiene el
estado de:

• La mejora de la eficacia del SGSI.


• La actualización de la evaluación de riesgos y del plan de trata-
miento de riesgos.
• La modificación de los procedimientos y controles que afectan a
la seguridad de la información, cuando sea necesario para res-
ponder a los eventos internos o externos que pueden afectar al
SGSI, incluyendo los cambios en:

— Los requisitos de la Organización auditada.


— Los requisitos de seguridad.
— Los procesos de negocio que afectan a los requisitos de la
Organización auditada.
— Los requisitos legales o reglamentarios.
— Las obligaciones contractuales.
— Los niveles de riesgo y/o los criterios de aceptación de los
riesgos.
— La necesidad de recursos.
— La mejora en el modo de medir la eficacia de los controles.

126
CAP 04_CAP 1 24/03/14 19:20 Página 127

Proyecto de Auditoría de un SGSI

A continuación se incluye un esquema resumen de las tareas rea-


lizadas durante la actividad 9. Revisión del mantenimiento y la
mejora del SGSI.

4.3.3. Fase II

Durante la fase II de la auditoría se realiza una revisión que podríamos


denominar como de cumplimiento. Esto quiere decir que la Organización audi-
tada cumple con las políticas, objetivos y procedimientos definidos y audita-
dos durante la fase I. Por lo tanto, durante esta fase, se comprueba el nivel
de implantación del SGSI y el grado de cumplimiento de los controles identi-
ficados en la declaración de aplicabilidad vigente en la Organización.

En esta fase el equipo auditor comprueba que la Organización audita-


da mantiene y opera el SGSI en base a todo lo establecido y definido en
el cuerpo documental sobre el que se apoya el SGSI y que ha sido audi-
tado durante la fase I. Es decir, en esta fase, se comprueban las evi-
dencias y registros que se han identificado en la fase documental.

127
CAP 04_CAP 1 24/03/14 19:20 Página 128

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Para la realización de esta fase, el equipo auditor realiza pruebas de


cumplimiento de los objetivos de control y controles implantados en la
Organización, es decir, busca las evidencias que demuestran el cumpli-
miento de las normas establecidas por la Organización, y verifica que el
SGSI es eficaz.

Para esto, el equipo auditor selecciona las pruebas de cumplimiento


a realizar sobre los controles implantados en base al análisis de riesgos
y a la declaración de aplicabilidad vigente en la Organización auditada y
el anexo A de la norma ISO 27001.

Los objetivos de esta fase II de la auditoría son:

• Comprobar que los registros del sistema de gestión son los adecua-
dos y cumplen de manera suficiente los requisitos de la norma ISO
27001.
• Verificar in situ los requisitos aplicables al SGSI mediante la compro-
bación de los controles establecidos en las distintas instalaciones,
áreas y departamentos de la Organización con el fin de:

— Recopilar las evidencias que se consideren oportunas respecto


tanto al alcance del sistema de gestión, a los procesos y a las
ubicaciones de la Organización que se encuentren dentro del
mismo, como al cumplimiento de los aspectos legales, regla-
mentarios y contractuales que sean de aplicación para la
Organización auditada.
— Determinar el grado de implantación de los controles del SGSI.

Se debe tener en cuenta todo lo que se ha indicado anteriormente y


que cada Organización es diferente, por lo que las actividades que se van
a describir a continuación pueden variar en función de la planificación
específica que realice el equipo auditor, para una Organización concreta,
en un contexto externo e interno específico y bajo unas condiciones
determinadas.

128
CAP 04_CAP 1 24/03/14 19:20 Página 129

Proyecto de Auditoría de un SGSI

A continuación describiremos las actividades y tareas concretas que


habitualmente desarrollará el equipo auditor durante la fase II de una
auditoría.

Los auditores deben comprobar que los controles seleccionados


están relacionados con los resultados del proceso de evaluación y trata-
miento de riesgos de riesgos, y, posteriormente, se remonta a la política
y objetivos del SGSI.

Cabe destacar que las actividades aquí descritas, dependen de las


actividades realizadas por el equipo auditor en la fase I y por lo tanto de
las evidencias obtenidas. Además las actividades y tareas dependerán
de los controles que son de aplicación en la Organización auditada y de
los resultados y evidencias parciales que se vayan obteniendo durante la
auditoría de fase II.

129
CAP 04_CAP 1 24/03/14 19:20 Página 130

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.1. Actividad 1. Revisión de la fase I

1.1. Tarea 1: Revisión del estado de las no conformidades de fase I. El


equipo auditor debe comprobar que las acciones derivadas de la
auditoría de fase I, las no conformidades halladas en revisión docu-
mental, han sido resueltas o se está acometiendo su resolución.
Lógicamente la Organización auditada debe haber planificado
dichas acciones, designado a los responsables de las mismas y
asignado los recursos necesarios para ejecutarlas.

1.2. Tarea 2: Revisión de informes anteriores. Si durante el tiempo que


ha trascurrido entre la finalización de la auditoría de fase I y la audi-
toría de fase II, la Organización auditada hubiera realizado algún
tipo de auditoría que cubriera una o varias partes del alcance del
SGSI. El equipo auditor debe revisar dicho informe por si pudiera
implicar cambios en el SGSI.

1.3. Tarea 3: Revisión de cambios documentales. Si durante el tiempo


que ha trascurrido entre la finalización de la auditoría de fase I y la
auditoría de fase II, la Organización auditada hubiera realizado
algún cambio en el cuerpo documental del SGSI, el equipo auditor
debe revisar dichos cambios y las implicaciones que estos pudie-
ran conllevar. Los cambios en el cuerpo documental pueden ser
derivados, bien de no conformidades halladas durante la auditoría
de fase I o bien como acciones de mejora continua o como resul-
tado de una revisión de la dirección de la Organización auditada.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 1. Revisión de la fase I.

130
CAP 04_CAP 1 24/03/14 19:20 Página 131

Proyecto de Auditoría de un SGSI

A.2. Actividad 2. Revisión de la política, alcance del SGSI y declara-


ción de aplicabilidad

2.4. Tarea 1: Comprobación del alcance del SGSI: Aunque esta tarea
se ha comprobado en la auditoría de fase I, en este punto el equi-
po auditor suele revisar el alcance del SGSI a modo recordatorio.
No es habitual que se realicen cambios en el alcance entre la
auditoría de fase I y de fase II. Si esto ocurriera el equipo auditor
debería verificar que dichos cambios no influyen en lo que se ha
revisado en la fase I. Por ejemplo, no es lo mismo dar una nueva
redacción al alcance y que incluya los mismos activos que antes
de la modificación, que incluir un nuevo proceso. En este último
caso, el equipo auditor incluso podría decidir no seguir con la
auditoría y planificar de nuevo una fase I. En cualquier caso, el
equipo auditor debe recabar la información necesaria de la
Organización auditada para comprobar que en la definición del
alcance del SGSI consta lo siguiente:

131
CAP 04_CAP 1 24/03/14 19:20 Página 132

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Qué procesos y activos abarca.


• Qué límites existen.
• Cuál es actividad empresarial de la Organización auditada.
• Qué ubicación/es incluye el alcance.
• Qué activos y tecnología están implicados.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• El manual donde se especifique el alcance del SGSI.


• Entrevistas con el personal implicado en el alcance y que tenga
responsabilidades directas en este.
• Las actas de revisión de la dirección.
• Entrevistas con la dirección.
• Las actas de reunión donde se incluya la revisión del alcance del
SGSI.
• La revisión de otros documentos.

2.5. Tarea 2: Comprobación de la política: Aunque esta tarea se ha


comprobado en la auditoría de fase I, en este punto el equipo
auditor suele revisar la política de seguridad a modo recordato-
rio. Habitualmente el equipo auditor preguntará a la Organización
auditada si ha habido nuevas incorporaciones de personal en la
Organización para buscar evidencias de si ese personal ha leído,
comprendido y aceptado la política de seguridad. En cualquier
caso, el equipo auditor debe recabar la información necesaria de
la Organización auditada para comprobar que la política de segu-
ridad:

• Se ha publicado y distribuido a todos los empleados y terceros


afectados.
• Se ha revisado para verificar que sigue siendo adecuada y
eficaz.

Para esto el equipo auditor puede obtener evidencias por medio de:

132
CAP 04_CAP 1 24/03/14 19:20 Página 133

Proyecto de Auditoría de un SGSI

• Entrevistas con el personal implicado en el alcance para com-


probar que han leído, comprendido y aceptado la política de
seguridad de la información.
• La comprobación de que se ha publicado en la web o en la intranet
de la Organización de la política de seguridad de la información.
• Las actas de reunión donde se incluya la revisión de la política
de seguridad de la información.
• Las actas de revisión de la dirección.
• Entrevistas con la dirección.
• La comprobación de que se han enviado correos electrónicos
informando al personal de la política de seguridad de la infor-
mación o de las modificaciones a esta.
• Otras actividades.

2.6. Tarea 3: Comprobación de la declaración de aplicabilidad: Aunque


esta tarea se ha comprobado en la auditoría de fase I, en este
punto el equipo auditor suele revisar la declaración de aplicabilidad
a modo recordatorio y revisa si se hubieran producido cambios. En
este caso, el equipo auditor podría decidir hacer cambios en la pla-
nificación de la auditoría. En cualquier caso, el equipo auditor debe
recabar la información necesaria de la Organización auditada para
comprobar que en la declaración de aplicabilidad:

• Se identifican todos los controles que son de aplicación para el


alcance del SGSI.
• Se justifica claramente la decisión de la aplicación o no de cada
uno de los controles.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La revisión del documento donde se recoge la declaración de


aplicabilidad.
• La revisión de cada control que la Organización auditada identi-
fique como aplicable en la declaración de aplicabilidad.

133
CAP 04_CAP 1 24/03/14 19:20 Página 134

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 2. Revisión de la política, alcance del SGSI y
declaración de aplicabilidad.

A.3. Actividad 3. Revisión de los aspectos organizativos

Durante esta actividad el equipo auditor comprueba cómo se ges-


tiona la seguridad de la información en la Organización auditada y
cómo se ha estructurado dicha gestión dentro de la Organización.

3.1. Tarea 1: Comprobación de la Organización interna: Aunque par te


de esta tarea se ha comprobado en la auditoría de fase I, duran-
te esta tarea el equipo auditor analiza más aspectos y detalles
para comprobar que la alta dirección de la Organización auditada
da un apoyo constante a la función de gestión de la seguridad de
la información.

El equipo auditor debe comprobar que existe la adecuada coordi-


nación de las actividades relacionadas con la seguridad de la

134
CAP 04_CAP 1 24/03/14 19:20 Página 135

Proyecto de Auditoría de un SGSI

información entre los representantes de las diferentes par tes de


la organización y se definen y asignan claramente los roles y res-
ponsabilidades en materia de seguridad de la información.

El equipo auditor debe comprobar que los responsables designa-


dos por la Organización auditada revisan periódicamente la necesi-
dad de establecer acuerdos de confidencialidad, no sólo en lo que
se refiere a aspectos legales y reglamentarios, como puede ser la
Ley de Protección de Datos de Carácter Personal, sino también en
lo referente a la clasificación de la información que ha definido la
Organización auditada y la necesidad de saber de cada uno de los
actores que intervienen en el SGSI de manera directa o indirecta.

El equipo auditor debe comprobar que la Organización auditada


mantiene los contactos adecuados con las autoridades competen-
tes así como con grupos de especial interés y asociaciones profe-
sionales especializados en seguridad.

El equipo auditor debe comprobar que, independientemente del


tipo de proyecto de seguridad de la información de que se trate,
estos proyectos se gestionan desde una dirección de proyectos,
donde se integre la gestión de los mismos en el marco de gestión
de la Organización auditada y así se controlen durante todo su ciclo
de vida para asegurar que los riesgos de seguridad de la informa-
ción se identifican y se controlan adecuadamente.

Cier tas comprobaciones que se indican en esta tarea puede que


se vayan verificando durante el transcurso de la auditoría dado
que contempla muchos y variados aspectos, al fin y al cabo la
gestión de la Organización interna debe comprobarse durante
toda la auditoría.

Para esto el equipo auditor puede obtener evidencias por medio de:

• El acta de creación de comité de seguridad de la información.

135
CAP 04_CAP 1 24/03/14 19:20 Página 136

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• El acta de asignación de responsabilidades.


• Entrevistas con el personal implicado de forma directa en el
SGSI y tiene responsabilidades asignadas en este para verificar
que realmente entienden y realizan las asignaciones que la
dirección de la organización auditada les ha encomendado.
• Entrevistas con la dirección.
• La revisión de los formularios de autorización de uso recursos,
identificando usuario, propósito y uso concreto.
• La revisión del documento donde se defina qué información se
considera sensible y es necesario proteger, y en el que conste
su propietario.
• La revisión de los acuerdos de confidencialidad, deber de secre-
to y propiedad intelectual en contratos internos y externos.
• La comprobación de la existencia de un listado de contactos con
autoridades competentes como puede ser policía, bomberos,
agencias de protección de datos. Este listado también puede
identificar distintos proveedores como puede ser un operador de
telecomunicaciones o proveedor de servicios de internet de
suministro y servicios públicos. Este listado habitualmente
puede encontrarse en el plan de continuidad de negocio, en el
plan de autoprotección de la Organización auditada y otros.
• Suscripción a revistas, foros, alertas, y otros medios relaciona-
dos con la seguridad de la información.
• La revisión de los contratos de asesoramiento con expertos en
seguridad de la información.
• La verificación de que se incluyen aspectos relativos a la segu-
ridad de la información en las metodologías de gestión de pro-
yectos.
• La revisión de los objetivos de seguridad de la información se
incluye en los objetivos de los proyectos, así como la definición
y asignación de roles específicos en el marco de gestión.
• La verificación de la realización de la evaluación de los riesgos
en fases tempranas de los proyectos donde se identifican los
controles necesarios.

136
CAP 04_CAP 1 24/03/14 19:20 Página 137

Proyecto de Auditoría de un SGSI

3.2. Tarea 2: Comprobación de los controles de los dispositivos móvi-


les y teletrabajo: El equipo auditor debe comprobar que la
Organización auditada mantiene los niveles de seguridad adecua-
dos cuando se utilizan dispositivos móviles y realizan actividades
de teletrabajo.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado una política para el uso de dispositivos móviles
y comunicaciones móviles y que se han adoptado las medidas de
seguridad necesarias contra las amenazas a las que están expuestos.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado una política de teletrabajo y que se han esta-
blecido las medidas de seguridad necesarias contra conexiones
externas.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal.


• La verificación de que la política de uso de dispositivos móviles
y comunicaciones móviles contempla:
— La protección física.
— Los controles de acceso.
— Las técnicas criptográficas.
— Las copias de seguridad y su protección.
— La protección antivirus y su actualización.
— Consejos o normas para conexiones a redes externas y
públicas.
— Formación y concienciación en el uso de estos dispositivos.
• La verificación de que se han implantado las medidas de segu-
ridad definidas en la política de uso de dispositivos móviles y
comunicaciones móviles.
• La verificación de que en las sesiones de formación y con-
cienciación se ha contemplado los aspectos relativos al uso de
dispositivos móviles.

137
CAP 04_CAP 1 24/03/14 19:20 Página 138

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La verificación de que las actividades de teletrabajo están for-


malmente autorizadas.
• Entrevistas con el personal que realiza actividades de teletrabajo.
• La verificación de que la política de teletrabajo contempla:
— La seguridad física del lugar desde donde se realice el tele-
trabajo.
— Los requisitos de seguridad de las comunicaciones teniendo
en cuenta la sensibilidad de la información a la que se da
acceso.
— La seguridad a adoptar en redes domésticas y las restricciones
en la configuración de los puntos de acceso inalámbrico.
— Los requisitos de protección antivirus y cortafuegos.
— La definición del trabajo permitido, las horas de trabajo, la
clasificación de la información a la que se puede tener acce-
so, así como los servicios a los que puede acceder el tele-
trabajador.
— Los procedimientos de mantenimiento hardware y software.
— Los procedimientos para las copias de seguridad y continui-
dad de negocio.
— Los procedimientos para la revocación de la autorización de
los permisos de acceso y devolución del equipo cuando fina-
licen las actividades de teletrabajo.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 3. Revisión de los aspectos organizativos.

138
CAP 04_CAP 1 24/03/14 19:20 Página 139

Proyecto de Auditoría de un SGSI

A.4. Actividad 4. Revisión de la seguridad ligada a los RRHH

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura que tanto los empleados, como
contratistas o terceros entienden sus funciones y tienen la capaci-
tación necesaria para llevarlas a cabo.

El equipo auditor debe tener en cuenta que el hombre es el esla-


bón más débil en una cadena de seguridad y, por lo tanto, este es
un aspecto muy importante a tener en cuenta durante la auditoría.

4.1. Tarea 1: Comprobación de la seguridad de RRHH antes de la con-


tratación: Durante esta tarea el equipo auditor debe comprobar que
las funciones y responsabilidades de seguridad de los empleados
(internos, externos o eventuales) están definidas en base a la políti-
ca de seguridad de la información de la Organización auditada y que
estas se especifican en las descripciones de los puestos de trabajo.

El equipo auditor debe comprobar que la Organización auditada


dispone de un procedimiento de seguridad de aplicación a la

139
CAP 04_CAP 1 24/03/14 19:20 Página 140

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

contratación del personal, que establezca que previamente a la


contratación se lleve a cabo la verificación de los datos que
constan en el Currículum Vitae de los candidatos al puesto de
trabajo son cier tos, ya sean personal propio o subcontratado. El
equipo auditor debe comprobar que la verificación que realiza la
Organización auditada en este sentido es acorde a la normativa
vigente y proporcional a los requisitos de seguridad del negocio.
El equipo auditor debe tener en cuenta por ejemplo si la nor-
mativa legal vigente y aplicable a la Organización auditada le
permite realizar una investigación de antecedentes penales del
personal, si fuera el caso. Para este ejemplo, el equipo auditor
debe comprobar además que esta información, que es muy sen-
sible, se protege adecuadamente.

El equipo auditor debe comprobar también que los contratos de tra-


bajo aceptados y firmados por los empleados, contratistas y terce-
ros, recogen como parte de sus obligaciones contractuales las res-
ponsabilidades necesarias o que haya estimado oportuno la
Organización auditada en materia de seguridad de la información.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas a empleados para verificar que entiende las respon-


sabilidades que le han sido asignadas.
• La comprobación, mediante muestreo, de que se realizan las
siguientes funciones:
— Protección de los activos frente a accesos no autorizados,
modificación, destrucción o revelación.
— Asignación de responsabilidades a personas concretas.
— Descripción de puestos de trabajo donde se especifican las
funciones y responsabilidades.
• La comprobación, mediante muestreo, de que se verifica la vera-
cidad de la información contenida en los Currículum Vitae:
— Entrevistas con el personal de RRHH.
— Entrevistas con empleados.

140
CAP 04_CAP 1 24/03/14 19:20 Página 141

Proyecto de Auditoría de un SGSI

— Verificación de los títulos académicos y certificaciones pro-


fesionales reflejados en el CV, cotejándolos con los orga-
nismos que los emitieron.
• La comprobación, mediante muestreo, de que en los contratos
de trabajo figuran:
— Las cláusulas de confidencialidad y deber de secreto, ade-
más de lo exigido en la legislación vigente, cuando dicho
empleado deba tener acceso a información sensible.
— Las responsabilidades y derechos del empleado en materia
de la legislación aplicable como puede ser derechos de pro-
piedad intelectual.
— Las responsabilidades del empleado en cuanto a la clasifi-
cación de la información y gestión de activos a los que
deban de tener acceso para el desarrollo de sus funciones
de negocio.
— Las responsabilidades de la Organización auditada para el
tratamiento de la información personal, incluida la informa-
ción personal creada como resultado de una contratación.
— Las acciones que puede tomar la Organización auditada en
caso de hacer caso omiso de los requisitos de seguridad por
parte del empleado.
— Otras cláusulas que la Organización auditada haya estimado
oportuno incluir en base al sector al que pertenece. Por
ejemplo si la Organización auditada pertenece al sector de
investigación farmacéutica, esta podría requerir en los con-
tratos de sus empleados que los términos y condiciones de
contratación se extiendan un periodo de tiempo después de
la finalización del contrato.

4.2. Tarea 2: Comprobación de la seguridad de RRHH durante la con-


tratación: Durante esta tarea el equipo auditor debe comprobar
que la Organización auditada se asegura que tanto los empleados,
como contratistas o terceros son conscientes de las amenazas a
la que está expuesta la información y de la importancia de garanti-
zar la seguridad de la información, así como que en el desarrollo

141
CAP 04_CAP 1 24/03/14 19:20 Página 142

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

habitual de su trabajo, cumplen con lo establecido en la política de


seguridad de la Organización auditada al respecto, y de este modo
se reduce el riesgo de error humano.

Dado que la formación, concienciación y sensibilización en materia


de seguridad de la información es un pilar fundamental para evitar,
detectar y corregir posibles incidentes, el equipo auditor debe com-
probar que todos los empleados de la Organización auditada y, cuan-
do corresponda, los contratistas y terceros, reciben una formación
y concienciación adecuada, con actualizaciones periódicas sobre los
cambios que se han producido en las políticas y procedimientos de
la Organización auditada, siempre en base al principio de la necesi-
dad de conocer, por el cual al solo se le facilita al personal la infor-
mación imprescindible para el desarrollo de su trabajo.

Una vez que el equipo auditor ha comprobado los términos y con-


diciones que constan en los contratos, debe verificar que la
Organización auditada ha reflejado en dichos contratos la adopción
de las medidas de seguridad oportunas.

Durante esta tarea el equipo auditor también debe comprobar que


la Organización auditada dispone de un procedimiento disciplinario
que la Organización auditada podría aplicar a un trabajador en caso
de un incumplimiento de sus deberes y obligaciones en el desem-
peño de sus tareas.

Para esto el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal de RRHH.


• Entrevistas con empleados.
• Entrevistas con terceros afectados.
• La revisión de la Formación/concienciación impartida al perso-
nal en base al perfil del empleado y su necesidad de conocer,
como puede ser:
— Requisitos de seguridad horizontales.

142
CAP 04_CAP 1 24/03/14 19:20 Página 143

Proyecto de Auditoría de un SGSI

— Aspectos legales.
— Uso correcto de los recursos.
— Comunicación de incidentes.
— Otros que la Organización auditada considere oportunos.
• La comprobación, mediante muestreo, que las especificaciones
de seguridad revisadas en la terea anterior de los contratos de
trabajo se llevan a cabo. A continuación se incluyen algunos
ejemplos:
— Verificación de contraseña de arranque en ordenador portá-
til.
— Verificación de disco duro cifrado.
— Verificación de puertos USB deshabilitados.
— Verificación de perfiles de acceso a la red corporativa.
— Otros que pudieran estar incluidos en los contratos.

4.3. Tarea 3: Comprobación de la seguridad de RRHH al finalizar la con-


tratación o modificar el puesto de trabajo: Durante esta tarea el
equipo auditor debe comprobar que la Organización auditada se
asegura que tanto los empleados, como contratistas o terceros.
abandonan la Organización o cambian de puesto de trabajo siguien-
do el procedimiento de seguridad correspondiente.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado un procedimiento de terminación o cambio
de empleo en el que se especifiquen las tareas concretas a reali-
zar en materia de seguridad de la información como puede ser la
retirada o cambio de los permisos de acceso a la red corporativa,
la retirada o cambio de los permisos de acceso a las instalaciones,
la eliminación o bloqueo del usuario de correo electrónico, así
como otras acciones que fueran necesarias. Además, estas accio-
nes deben ser coordinadas por un responsable que verifique que
se han llevado a cabo.

El equipo auditor debe comprobar que se han establecido los pro-


cedimientos oportunos para la retirada de los activos propiedad de

143
CAP 04_CAP 1 24/03/14 19:20 Página 144

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

la Organización auditada tanto para los empleados propios o sub-


contratados.

Un aspecto muy importante en la terminación del empleo o contra-


to es que la Organización auditada retire los permisos de acceso
tanto físicos a las instalaciones y como lógicos a los recursos de
tratamiento de la información.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal de RRHH.


• Entrevistas con empleados.
• La verificación de que se han devuelto todos los activos y se han
acometido las medidas de seguridad apropiadas a los mismo,
como por ejemplo el formateo del equipo o la eliminación del
usuario de correo electrónico.
• La verificación de que se han retirado todos los permisos de
acceso (físicos y lógicos) a las últimas personas que han cau-
sado baja en la empresa.
• La verificación de que se han retirado todos los permisos de
acceso (físicos y lógicos) a los posibles terceros que por sus fun-
ciones necesitaran tener dichos accesos y ya han terminado la
relación laboral.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 4. Revisión de la seguridad ligada a los RRHH.

144
CAP 04_CAP 1 24/03/14 19:20 Página 145

Proyecto de Auditoría de un SGSI

A.5. Actividad 5. Revisión de la gestión de activos

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada gestiona y protege adecuadamente los acti-
vos de la misma.

5.1. Tarea 1: Comprobación de las responsabilidades sobre los acti-


vos: Aunque parte de esta tarea se ha comprobado en la auditoría
de fase I, durante en esta segunda fase el equipo auditor analiza
más aspectos y detalles sobre cómo la Organización auditada ges-
tiona los activos de la misma.

Durante esta tarea el equipo auditor debe comprobar que la


Organización auditada ha identificado claramente todos los activos
importantes implicados en el alcance, y los ha incluido en un inven-
tario de activos y que dicho inventario se mantiene y actualiza de
forma correcta.

145
CAP 04_CAP 1 24/03/14 19:20 Página 146

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El equipo auditor debe comprobar que los activos identificados en


el inventario tienen asignado un propietario que forma parte de la
Organización auditada. Con propietario no nos referimos a que la
persona identificada tenga realmente algún derecho de propiedad
sobre el activo, si no que nos referimos a la persona o departa-
mento a la que se le ha asignado la responsabilidad del control de
su uso, de su mantenimiento y de su seguridad.

El equipo auditor debe comprobar que se han implantado de forma


efectiva las normas para el uso aceptable de los activos de infor-
mación.

El equipo auditor debe comprobar que todos los usuarios devuelven


todos los activos a la terminación del empleo o cambio de puesto
de trabajo.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La revisión del inventario de activos verificando que al menos


contiene lo siguiente:
— Nombre del activo.
— Código de identificación.
— Tipo de activo (software, hardware, datos…).
— Identificación del propietario de cada activo.
— Identificación del responsable de su mantenimiento.
— Ubicación física del activo.
• Entrevistas con los propietarios de los activos.
• La comprobación, mediante muestreo, de que el inventario está
actualizado, para ello, por ejemplo, puede comprobar que la ubi-
cación física del activo referida en el inventario es correcta.
• La comprobación, mediante muestreo, de que los empleados
que han causado baja en la Organización han devuelto los acti-
vos que se le habían asignado.

146
CAP 04_CAP 1 24/03/14 19:20 Página 147

Proyecto de Auditoría de un SGSI

5.2. Tarea 1: Comprobación de la clasificación de la información: Durante


esta tarea el equipo auditor debe comprobar que la Organización audi-
tada proporciona el nivel de protección adecuado a los activos y los
clasifica en base a distintos criterios como pueden ser:

• El valor del activo.


• Requisitos legales y reglamentarios de aplicación en la
Organización auditada.
• La sensibilidad de la información que contiene.
• La criticidad para la propia Organización auditada.

El equipo auditor debe comprobar que el propietario del activo rea-


liza de forma efectiva las funciones y responsabilidades asociadas
a su rol como son, por ejemplo:

• Asignar el nivel de clasificación en base a los criterios definidos


por la Organización auditada. La norma ISO 27001 no establece
los niveles de clasificación, por lo tanto la Organización audita-
da puede elegir tantos niveles como necesite o estime oportu-
nos. El equipo auditor debe ser flexible, dado que existen dis-
tintas formas y criterios para realizar esta clasificación de la
información. No es responsabilidad del equipo auditor asesorar
sobre si la elección de estos niveles por par te de la
Organización auditada es compleja o poco práctica, si no verifi-
car que realizan esta clasificación teniendo en cuenta lo descri-
to en esta tarea. Un ejemplo puede ser que la Organización audi-
tada establezca tres niveles de clasificación (uso confidencial,
uso interno, uso público).
• La revisión periódica de la clasificación de los activos para ase-
gurar que se mantiene actualizada y en el nivel adecuado. A
menudo, la información deja de ser sensible o crítica después
de un cierto periodo de tiempo, por lo que su nivel de clasifica-
ción inicial se puede y debe cambiar. Por lo tanto el equipo audi-
tor debe tener en cuenta esto y verificar si esta re-clasificación
se lleva a cabo.

147
CAP 04_CAP 1 24/03/14 19:20 Página 148

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

En base a los criterios descritos y a la clasificación de la informa-


ción por la que ha optado la Organización auditada, el equipo audi-
tor debe comprobar que esta ha desarrollado e implantado los pro-
cedimientos y mecanismos para proteger, manipular o manejar, eti-
quetar y tratar la información.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con los propietarios de los activos.


• La comprobación, mediante muestreo, de que los activos están
clasificados, para ello, por ejemplo, puede comprobar que los
activos tienen la etiqueta correspondiente al nivel de clasifica-
ción y código que consta en el inventario.

5.3. Tarea 3: Comprobación de la gestión en la manipulación de los


soportes: El equipo auditor debe comprobar que la Organización audi-
tada controla y protege los soportes (papel impreso, cintas, discos,
discos flash, unidades de disco duro, CD, DVD, equipos portátiles y
otros) que contienen información para evitar la modificación, retirada,
destrucción o revelación no autorizada de la información.

El equipo auditor debe comprobar que la Organización auditada ha


definido los procedimientos necesarios para la gestión de sopor-
tes. Esta gestión debe incluir la adquisición, mantenimiento y reti-
rada o eliminación de cualquier tipo de soporte utilizado para el
almacenamiento de información.

Un aspecto muy importante de la gestión de dispositivos portáti-


les es la retirada o eliminación de soportes dado que si no se eli-
mina la información que contienen de forma segura puede que
dicha información sea accesible por personal no autorizado. El pro-
cedimiento de retirada de soportes debe incluir por lo tanto, la téc-
nica de borrado de la información que se debe aplicar en función
de las características de los soportes y el grado de confidenciali-
dad de la información que han contenido. Existen varias técnicas

148
CAP 04_CAP 1 24/03/14 19:20 Página 149

Proyecto de Auditoría de un SGSI

por ejemplo, técnicas de borrado seguro, técnicas de sobre escri-


tura, o incluso la destrucción física del soporte. Para los soportes
en papel impreso se pueden utilizar destructoras de papel, o inclu-
so servicios de recogida y retirada de papel, que aseguran median-
te un certificado su destrucción segura.

El equipo auditor también debe comprobar que la Organización


auditada ha definido procedimientos para la manipulación, el alma-
cenamiento y el transporte de los soportes, para asegurarse de
que se protege tanto la información que contienen, como que se
impide su uso indebido o corrupción.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con los usuarios.


• La revisión de los procedimientos de adquisición, mantenimien-
to y eliminación de soportes.
• La comprobación de forma fehaciente de que la gestión de los
soportes se lleva a cabo de acuerdo a los procedimientos esta-
blecidos.
• La revisión del registro de entrada y salida de soportes.
• La revisión de que los soportes se almacenan en una ubicación
segura y en las condiciones ambientales, humedad, temperatu-
ra, etc., que aconseja el fabricante. La verificación de que la
Organización auditada ha tenido en cuenta la vida útil del sopor-
te que indica el fabricante y que se han establecido medidas o
controles para proceder al traspaso de la información que con-
tiene a un nuevo soporte y así evitar las consecuencias de un
posible deterioro del soporte original.
• La revisión, si la Organización auditada permite el uso de dispo-
sitivos de almacenamiento con conexión USB, que su uso es
necesario.
• La revisión, de la aplicación de las medidas de seguridad nece-
sarias en base al nivel de clasificación de la información que
contienen los soportes. Estas medidas son, por ejemplo:

149
CAP 04_CAP 1 24/03/14 19:20 Página 150

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— Verificar las listas de usuarios autorizados para el uso de


soportes.
— Verificar que el etiquetado indica el nivel de clasificación en
los soportes.
— Verificar si se han implantado restricciones de acceso a los
soporte para prevenir el acceso del personal no autorizado
a los mismos.
• La verificación de que los procedimientos establecidos para la
eliminación o retirada de soportes son los idóneos, y sus requi-
sitos se han establecido de acuerdo a la información que con-
tienen y su nivel de clasificación.
• La comprobación in situ, mediante muestreo, de que se están
aplicando los procedimientos de eliminación de soportes esta-
blecidos.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 5. Revisión de la gestión de activos.

150
CAP 04_CAP 1 24/03/14 19:20 Página 151

Proyecto de Auditoría de un SGSI

A.6. Actividad 6. Revisión de los controles de acceso

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura de que se realiza un control del
acceso a la información de acuerdo con las políticas y procedi-
mientos que están establecidos.

6.1. Tarea 1: Comprobación de los requisitos de negocio para el con-


trol de acceso: Como primera tarea de esta actividad el equipo
auditor debe comprobar que la Organización auditada ha definido e
implantado una política de control de acceso de acuerdo a los
requisitos de negocio, a los requisitos legales y reglamentarios y a
la clasificación de seguridad de la información a la que se va a
acceder. La política de control de acceso debe contemplar tanto los
accesos que se realicen de forma física como lógica. El equipo
auditor también debe comprobar que dicha política se revisa de
forma periódica y que se han definido los procedimientos e ins-
trucciones necesarias para cumplir con dicha política.

El equipo auditor debe comprobar durante esta tarea que la


Organización auditada ha definido e implantado las medidas de segu-
ridad necesarias para prevenir posibles accesos no autorizados a la red
de acuerdo a una política de uso de servicios de red y de acuerdo a la
política de control de accesos, de tal forma que únicamente se permi-
te el acceso a la red a los usuarios que lo necesiten por sus funciones
de negocio y que previamente han sido autorizados formalmente.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La verificación de que la política relativa al uso de redes y ser-


vicios de red contempla al menos:
— Las redes y servicios de red a los que está permitido el
acceso.
— El procedimiento de autorización para determinar a quién se
le permite o no el acceso y a qué redes o servicios.

151
CAP 04_CAP 1 24/03/14 19:20 Página 152

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La verificación de que la política de control de accesos tiene en


cuenta:
— Los requisitos de seguridad de las aplicaciones críticas de
negocio.
— Los perfiles de acceso en base a la necesidad de conocer.
— Los niveles de seguridad en base a la clasificación de la
información definida.
— La legislación aplicable por ejemplo en relación a la protec-
ción de datos de carácter personal.
— El acceso por parte de terceros.
— La segregación de funciones definida.
— Los requisitos para la autorización formal de los accesos.
— Los requisitos para la revisión periódica de los controles de
acceso.
— La retirada de los controles de acceso.
— Los permisos de acceso a los servicios de red son los espe-
cificados para su perfil y puesto de trabajo.

6.2. Tarea 2: Comprobación de la gestión de acceso de usuarios:


Durante esta tarea el equipo auditor debe comprobar que la
Organización auditada registra de forma debida y formal los acce-
sos y establece las medidas de seguridad necesarias para prevenir
contra accesos no autorizados.

El equipo auditor debe comprobar que la Organización ha definido


e implantado un procedimiento formal tanto para el registro de las
autorizaciones de acceso a los sistemas de información, como de
la revocación de los mismos.

Del mismo modo, el equipo auditor debe comprobar que la


Organización auditada gestiona de forma efectiva los privilegios de
acceso, tanto en la asignación de estos como en su uso correcto.

Un aspecto muy importante que debe comprobar el equipo auditor


es cómo gestiona las contraseñas la Organización auditada y si la

152
CAP 04_CAP 1 24/03/14 19:20 Página 153

Proyecto de Auditoría de un SGSI

asignación de las contraseñas está siendo controlada con el debi-


do procedimiento.

Al igual que el proceso de asignación y gestión de contraseñas es


un punto fundamental en la seguridad de la información, también
lo es los permisos de acceso de los usuarios, por lo que el equipo
auditor debe comprobar no sólo que se asignan los permisos de
acceso a los usuarios en base a sus necesidades para el desarro-
llo de sus funciones de negocio, si no que estos derechos se revi-
san periódicamente para verificar que siguen siendo idóneos, y se
eliminan los derechos de acceso cuando un usuario causa baja o
se modifique su puesto de trabajo en la Organización.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con usuarios.


• Entrevistas con el personal administrador de sistemas.
• La verificación de que el procedimiento de control de accesos
contempla:
— La asignación de un único identificador por usuario. Si la
Organización auditada necesitara por razones de negocio
tener algún usuario compartido o genérico, el equipo auditor
debe verificar que se han entendido los riesgos que esto
conlleva, que se ha aprobado formalmente su uso y que se
ha registrado o documentado.
— La revisión con una periodicidad más corta de los usuarios
compartidos o genéricos.
— La comprobación de que nivel acceso asignado a los usua-
rios es acorde a los objetivos de negocio y a la política de
seguridad. Un ejemplo puede ser que la asignación del nivel
de acceso no compromete la segregación de funciones.
— La aceptación formal por parte de los usuarios indicando que
entienden las condiciones de acceso, así como que la
Organización auditada ha impartido sesiones de conciencia-
ción y formación los usuarios sobre sus derechos de acceso.

153
CAP 04_CAP 1 24/03/14 19:20 Página 154

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— La asignación de accesos a proveedores externos única-


mente cuando se han cumplido todos los procedimientos de
autorización.
— El mantenimiento de un registro formal que contenga el lis-
tado de todos los usuarios registrados y el tipo de acceso a
sistemas.
— La retirada o bloqueo de los permisos de acceso a los usua-
rios que causaran baja en la Organización.
— La asignación de nuevos permisos de acceso y retirada de
los anteriores que los usuarios que cambien de puesto de
trabajo.
— La inclusión en las sesiones de concienciación y formación
a los usuarios de no compartir o transferir su identificador a
otros.
— La eliminación de derechos de acceso cuando un usuario
causa baja en la Organización.
• La verificación en aquellos sistemas que permitan distintos nive-
les de acceso:
— La identificación de los usuarios que deban tener acceso a
cada sistema así como su nivel de privilegio.
— La asignación de los privilegios basada en las necesidades
de los usuarios para el desarrollo de sus funciones de nego-
cio. Para esto el equipo auditor puede además realizar entre-
vistas con usuarios de diferentes perfiles y verificar en el
sistema los privilegios asignados.
— La autorización de acceso se ha realizado de acuerdo al pro-
cedimiento establecido. Para esto el equipo auditor puede
además verificar mediante muestreo las autorizaciones de
acceso de ciertos usuarios.
• La verificación de que el proceso de asignación de contraseñas
contempla:
— La aceptación formal por parte de los usuarios de mantener
la confidencialidad y no divulgar las contraseñas personales
y las contraseñas genéricas si por necesidades de negocio
fueran necesarias.

154
CAP 04_CAP 1 24/03/14 19:20 Página 155

Proyecto de Auditoría de un SGSI

— Cuando sea responsabilidad del usuario el mantenimiento


de sus contraseñas, se les debería proporcionar una con-
traseña segura inicialmente y provisional que deban cam-
biarla obligatoriamente.
— Los requisitos para verificar la identidad de los usuarios
antes de proporcionarles una contraseña nueva, provisional
o de sustitución.
— Las contraseñas provisionales deberían facilitarse a los
usuarios de una forma segura, ser únicas e individuales.
— La protección de las contraseñas almacenadas bajo contro-
les criptográficos.
— El cambio inmediato de las contraseñas facilitadas por
defecto del vendedor. Esto incluye cualquier sistema o
software.
• La verificación de que el procedimiento de revisión de los per-
misos de acceso incluye:
— La revisión periódica de los permisos de acceso de usuarios.
Esta revisión puede ser una vez al año o cada vez que se
haya producido un cambio de asignación de funciones a un
usuario por promoción o terminación de empleo. En este
caso, el equipo auditor puede preguntar al responsable de
RRHH los últimos cambios de personal o nuevas incorpora-
ciones y verificar que sus permisos de acceso han sido modi-
ficados, creado, eliminados o bloqueados en cada caso.
— La revisión periódica más frecuente cuando los permisos de
acceso tienen privilegios especiales.
— La revisión de que cada derecho de acceso se corresponde
con una autorización.

6.3. Tarea 3: Comprobación de las responsabilidades de usuario: El


equipo auditor debe comprobar que la Organización auditada ha
establecido medidas de seguridad para prevenir el acceso de usua-
rios no autorizados y de este modo evitar errores o ataques inten-
cionados haciendo partícipes a los usuarios en la responsabilidad
de salvaguardar su información de autenticación.

155
CAP 04_CAP 1 24/03/14 19:20 Página 156

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El equipo auditor debe comprobar que los usuarios son conscien-


tes de sus responsabilidades para un mantenimiento de control de
accesos eficaz.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con usuarios.


• Entrevistas con el personal de RRHH.
• La verificación de que los usuarios han sido concienciados y for-
mados en el uso y mantenimiento de contraseñas. Esta forma-
ción puede incluir:
— Mantener la confidencialidad de las contraseñas.
— Evitar guardar un registro de contraseñas ya sea en papel,
en una aplicación software u otro si no están protegidas de
forma segura, por ejemplo archivos cifrados, guardadas bajo
llave. Es habitual que el equipo auditor haga una visita a las
instalaciones y se fije si, por ejemplo, existen contraseñas
debajo de teclados, pegadas en un monitor, o similar.
— Cambiar las contraseñas si se sospecha que pueden haber
sido comprometidas.
— Seleccionar contraseñas de calidad:
* Con una longitud mínima.
* Con complejidad alfanumérica.
* Fáciles de recordar.
* Difícilmente asociable a nombres, números de teléfono,
animales de compañía, fechas de nacimiento, u otras
que se puedan adivinar fácilmente.
* Que no consistan en palabras de diccionario. Esto es
para que no sean vulnerables a ataques de diccionario.
* Que no contengas caracteres iguales consecutivos.
* Modificar las contraseñas periódicamente.
* Modificar las contraseñas con privilegios especiales con
una periodicidad más frecuente.
* Evitar repetir las últimas contraseñas.
— Cambiar las contraseñas provisionales en su primer uso.

156
CAP 04_CAP 1 24/03/14 19:20 Página 157

Proyecto de Auditoría de un SGSI

— No guardar las contraseñas en sistemas o registros auto-


máticos.
— No compartir contraseñas con otros usuarios.
— No utilizar una única contraseña para propósitos profesio-
nales y personales.

En muchas Organizaciones es habitual que los sistemas estén con-


figurados para exigir unas reglas de calidad y seguridad para la
elección de las contraseñas. Así, por ejemplo, en aquellas
Organizaciones que disponen de dominios de trabajo y seguridad
se pueden establecer ciertos mínimos y obligar al usuario a: una
longitud mínima, complejidad de caracteres alfanuméricos y símbo-
los, el cambio cada cierto periodo de tiempo, la prohibición de repe-
tir contraseñas anteriores y otros aspectos que pueden configurar-
se en el sistema. En estos casos el equipo auditor debe verificar
cómo se han definido las directivas de seguridad del controlador
del dominio y comprobar que son las que se han definido en la polí-
tica de gestión de accesos o procedimientos donde se indiquen.

En estos casos el equipo auditor debe verificar en la inspección de


la instalación que las políticas se llevan a cabo.

6.4. Tarea 4: Comprobación de los controles de acceso a los sistemas


y aplicaciones: El equipo auditor debe comprobar que la
Organización auditada previene el acceso no autorizado a la infor-
mación que contienen las aplicaciones y sistemas.

El equipo auditor debe comprobar que la Organización auditada ha


establecido medidas de seguridad para restringir el acceso sólo a
los usuarios autorizados a aquellas aplicaciones y sistemas que
considere que contienen información crítica o sensible.

El equipo auditor debe comprobar que en aquellas las aplicaciones


y sistemas que permiten el acceso a información sensible o crítica
se controla el acceso de los usuarios a la información, de acuerdo

157
CAP 04_CAP 1 24/03/14 19:20 Página 158

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

a la política de control de accesos definida e implantada y que se


protege contra accesos no autorizados a través de cualquier recur-
so y software malicioso que pudiera invalidar o evitar los controles
de la aplicación.

El equipo auditor debe comprobar que la Organización auditada pre-


viene el acceso no autorizado a los sistemas y aplicaciones en
base a unos procedimientos de inicio de sesión seguros si así lo
exige la política de control de accesos implantada.

Del mismo modo, el equipo auditor debe comprobar que la


Organización auditada ha implantado los controles necesarios para
proteger el código fuente de las aplicaciones.

A su vez, el equipo auditor debe comprobar que se registran:

• Los intentos de autenticación al sistema, ya sean realizados con


éxito o no.
• El uso de sistemas con privilegios especiales.
• Las incidencias que se pudieran producir.
• El tiempo de conexión.

El equipo auditor debe comprobar también durante esta tarea que


se restringe y controla el uso de programas que puedan ser capa-
ces de restringir y controlar rigurosamente el uso de programas y
utilidades que puedan ser capaces de invalidar los controles del
sistema o de las aplicaciones.

El equipo auditor debe comprobar que para aquellas aplicaciones


consideradas como de alto riesgo se utilizan restricciones en los
tiempos de conexión.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal.

158
CAP 04_CAP 1 24/03/14 19:20 Página 159

Proyecto de Auditoría de un SGSI

• La verificación de que se revisan y actualizan los permisos de


acceso de los usuarios como pueden ser de lectura, escritura,
eliminación y ejecución.
• La verificación de que se revisan y actualizan los permisos de
acceso a las aplicaciones.
• La verificación de si para sistemas sensibles se ha establecido
un entorno aislado o dedicado ya sea de forma física o lógica.
• La verificación de que el procedimiento de entrada a los siste-
mas y aplicaciones contempla entre otros puntos, que:
— Se oculta el identificador del sistema o de la aplicación
hasta que se haya completado correctamente el proceso de
entrada.
— Se ocultan los caracteres de la contraseña introducida.
— Se informa, mediante un aviso, por ejemplo, que únicamen-
te deben acceder usuarios autorizados.
— No se ofrece ayuda que pudiera beneficiar a un usuario no
autorizado.
— Se valida la información de entrada sólo cuando se han com-
pletado todos los datos.
— Se limita el número de intentos de entrada fallidos. Una vez
llegado al límite se fuerza un tiempo de espera para intentar
acceder de nuevo.
— No se transmiten contraseñas en texto claro, sin cifrar, por
la red.
• La verificación de que los identificadores son únicos y no exis-
ten usuarios genéricos o compartidos. Pueden existir excepcio-
nes que deberían estar aprobadas formalmente y con las medi-
das de seguridad.
• La verificación de que la política de gestión de contraseñas es
correcta y que se establecen contraseñas seguras y robustas.
• La verificación de que la Organización auditada ha definido y docu-
mentado los niveles de autorización para los recursos del sistema
y que registran todos los usos de los recursos del sistema.
• La verificación de que para aquellas aplicaciones consideradas
como de alto riesgo se controlan los tiempos de conexión o se

159
CAP 04_CAP 1 24/03/14 19:20 Página 160

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

utilizan controles como por ejemplo puede ser la re-autentica-


ción pasado cierto tiempo.
• La verificación de que se protege el código fuente con las
medias de seguridad oportunas, como:
— Evitar el acceso sin restricciones del personal técnico o de
soporte a las bibliotecas fuente de los programas.
— Adoptar guías de buenas prácticas sobre la gestión de la
configuración y del ciclo del ciclo de vida del software.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 6. Revisión de los controles de acceso.

A.7. Actividad 7. Revisión de la criptografía

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura de utiliza de forma adecuada y
efectiva distintas técnicas de criptografía para proteger la confi-
dencialidad, autenticidad y/o integridad de la información.

160
CAP 04_CAP 1 24/03/14 19:20 Página 161

Proyecto de Auditoría de un SGSI

7.1. Tarea 1: Comprobación de los controles criptográficos: El equipo


auditor debe comprobar que la Organización auditada ha definido e
implantado una política de uso de controles criptográficos para pro-
teger la confidencialidad, integridad, autenticidad y disponibilidad
de la información.

El equipo auditor debe además comprobar que la Organización


auditada ha definido e implantado un sistema de gestión de claves
que dé soporte al uso de las técnicas criptográficas que se hayan
implantado.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La verificación de que la política de uso de controles criptográfi-


cos contempla:
— El enfoque que ha adoptado la Organización auditada res-
pecto al uso de controles criptográficos.
— El nivel de protección a adoptar necesario teniendo en cuen-
ta el tipo y, robustez y calidad del algoritmo de cifrado.
— El uso de controles criptográficos cuando se utilizan dispo-
sitivos móviles que contienen información o través de redes
de comunicaciones.
— El enfoque que ha adoptado la Organización auditada res-
pecto a la gestión de claves, incluyendo la protección de las
claves criptográficas y la recuperación de la información
cifrada en caso de pérdida o daño.
— Las responsabilidades derivadas de la implantación de la
política.
— La adecuación de los controles criptográficos seleccionados
con la legislación vigente.
• La verificación de que el sistema de gestión de claves está basa-
do en procedimientos y normas donde se contemplan aspectos
como:
— La generación de claves para distintos sistemas criptográfi-
cos y diferentes aplicaciones de negocio.

161
CAP 04_CAP 1 24/03/14 19:20 Página 162

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— La distribución de las claves a los usuarios, incluyendo el


método de activación.
— El almacenamiento de claves incluyendo la forma en la que
los usuarios autorizados pueden acceder a estas.
— El cambio o actualización de las claves, incluyendo cómo y
cuándo deben cambiarse las claves.
— El procedimiento de actuación cuando se sospecha que una
clave ha sido vulnerada.
— La eliminación de claves.
— Los registros de las actividades relacionadas con la gestión
de claves.
— La temporalidad de vigencia de las claves.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 7. Revisión de la criptografía.

A.8. Actividad 8. Revisión de la seguridad física y del entorno

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura que tanto los empleados, como
contratistas o terceros entienden sus funciones y tienen la capaci-
tación necesaria para llevarlas a cabo.

162
CAP 04_CAP 1 24/03/14 19:20 Página 163

Proyecto de Auditoría de un SGSI

El equipo auditor debe tener en cuenta que el hombre es el esla-


bón más débil en una cadena de seguridad y por lo tanto este es
un aspecto muy importante a tener en cuenta durante la auditoría.

8.1. Tarea 1: Comprobación de la seguridad física en áreas seguras:


Durante esta tarea el equipo auditor debe comprobar que la
Organización auditada ha establecido los procedimientos y medi-
das de seguridad necesarias para prevenir los accesos físicos no
autorizados, las posibles intrusiones a las instalaciones o áreas
seguras, así como los daños que un intruso pudiera ocasionar en
los activos de la Organización auditada.

El equipo auditor debe comprobar varios aspectos relativos a la


seguridad física de las instalaciones de la Organización auditada y
debe tener en cuenta que debe tener en cuenta que las medidas
de seguridad implantadas sean proporcionales al tipo de
Organización (por ejemplo, no es lo mismo una Organización que
desarrolla su negocio en un edificio administrativo, que aquella que
está en un área extensa de 3 hectáreas) y también debe tener en
cuenta los resultados del análisis de riesgos.

Un aspecto importante a revisar por el equipo auditor es el perí-


metro de seguridad física de las instalaciones. Este perímetro
dependerá de las propias instalaciones y de la estrategia de segu-
ridad de la Organización auditada. En esta revisión el equipo audi-
tor debe comprobar las medidas de seguridad implantadas en la
Organización auditada como pueden ser: muros, vallados, barreras
de acceso, sistemas de control de acceso basados en distintas
tecnologías, puestos de control de vigilancia privada, y otros que
hubiera decidido implantar la Organización auditada. La decisión
que toma la Organización para implantar ciertas medidas de segu-
ridad física o de otro tipo puede ser consecuencia, entre otras, de:

• La legislación que le aplica por sector al que pertenece. Por


ejemplo, una Organización que pertenece al sector nuclear está

163
CAP 04_CAP 1 24/03/14 19:20 Página 164

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

sujeta a una legislación en la que ciertas medidas de seguridad


física son obligatorias.
• Amenazas específicas a las que está expuesta e identificadas
como resultado de un análisis de riesgos. Por ejemplo, una
Organización cuyas instalaciones estén ubicadas en una zona
con alta probabilidad de un ataque terrorista y en base al análi-
sis de riesgos ha decidido implantar unas medidas de seguridad
físicas muy robustas. Otro ejemplo es el de una Organización
ubicada en un edificio, por lo que el perímetro de seguridad físi-
ca puede entenderse como el propio edificio.

El equipo auditor debe comprobar que las áreas sensibles están


protegidas con controles de entrada adecuados, para asegurar que
únicamente se permite el acceso al personal autorizado. En este
sentido y dado que existe gran variedad de sistemas de control de
acceso, el equipo auditor debe comprobar que estos son adecua-
dos y proporcionales al riesgo residual asumido por la dirección de
la Organización auditada, y además:

• Se mantiene un registro de las visitas que conste de:


— Nombre y apellidos de la visita.
— Fecha.
— Hora de entrada y salida.
— Motivo.
— Requisitos de seguridad que debe conocer.
• Se controla el acceso a áreas sensibles sólo para personal auto-
rizado y se mantiene un registro del personal que accede a las
mismas. Este registro puede ser manual o automatizado.
• Se revisan y actualizan periódicamente los permisos de acceso
a las áreas seguras.

El equipo auditor debe comprobar de forma genérica que las ofici-


nas, despachos e instalaciones de la Organización auditada dispo-
nen de las medidas de seguridad necesarias en cuanto a:

164
CAP 04_CAP 1 24/03/14 19:20 Página 165

Proyecto de Auditoría de un SGSI

• Seguridad y salud laboral de acuerdo a la legislación vigente.


• Ubicación protegida de recursos clave. Por ejemplo, para evitar
el acceso a las visitas.

El equipo auditor debe comprobar que la Organización auditada ha


diseñado e implementado las medidas de seguridad necesarias y
apropiadas para protegerse de tanto de las amenazas clasificadas
como intencionadas o como desastres naturales (fuego, inunda-
ción, terremoto, vandalismo, robo, y otras que hubiera considerado
la Organización auditada en base a su contexto interno y externo).
Como se ha descrito en esta actividad, las medidas implantadas
tienen que ser coherentes con el análisis de riesgos efectuado.

El equipo auditor debe comprobar que la Organización auditada ha


diseñado e implementado las medidas de seguridad necesarias y
directrices, protocolos, guías y/o instrucciones para trabajar en
áreas seguras. Del mismo modo, el equipo auditor debe comprobar
que el personal que así lo necesite para el desarrollo de sus fun-
ciones de trabajo conozca la existencia de estas áreas seguras y
que en estas se evita que el trabajo no sea supervisado o esté con-
trolado. Estas áreas deben permanecer cerradas y revisadas perió-
dicamente. Estas medidas de seguridad deben aplicarse a todo per-
sonal autorizado a trabajar o acceder en áreas seguras incluyendo a
terceros y el equipo auditor debe verificar que estas se aplican.

Un aspecto relativo a la seguridad física de las instalaciones y que


debe comprobar el equipo auditor son las áreas de carga y descarga
que pudiera tener la Organización auditada. Estas zonas son de espe-
cial interés a proteger dado que habitualmente son áreas a las que
accede personal externo y deben estar protegidas para evitar acce-
sos no autorizados. Estas zonas deberían estar diseñadas de tal
manera que los suministros puedan descargarse sin que el personal
responsable de esta actividad tenga que tenga que acceder a otras
zonas del edificio. Sin embargo, en aquellos casos en los que el dise-
ño no se ha realizado teniendo en cuenta esto, el equipo auditor debe

165
CAP 04_CAP 1 24/03/14 19:20 Página 166

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

comprobar que la Organización auditada ha implantado controles


compensatorios para evitar posibles accesos no autorizados.

Además de la propia seguridad física de las áreas de carga y des-


carga el equipo auditor debe comprobar si la Organización audita-
da dispone de procedimientos, protocolos o instrucciones sobre la
gestión de los activos y si se inspecciona o controla el material
entrante para evitar otro tipo de amenazas intencionadas.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La revisión del plan de emergencia/evacuación/autoprotección


esté actualizado de acuerdo a la legislación vigente.
• La comprobación de que las copias de seguridad no se almace-
nan en la misma ubicación del servidor de copias, dado que si
se produjera un incidente, afectaría a los dos y, por lo tanto, la
copia de seguridad no cumpliría con su cometido.
• La comprobación de que los materiales peligrosos o inflamables
no se almacenan cerca de las áreas sensibles.
• La verificación de que las medidas descritas en el plan de eva-
cuación están implantadas en la Organización auditada, como
por ejemplo disponer del equipamiento contra incendios apro-
piado y estar situado en los lugares adecuados.
• La inspección in situ de las medidas de seguridad implantadas
en la Organización auditada para proteger su perímetro físico.
• La inspección in situ de las medidas de seguridad implantadas
en las zonas de carga y descarga de la Organización auditada.
• La verificación de que se ha establecido la obligatoriedad de adop-
ción de medidas de seguridad en los contratos de proveedores y
personal externo, así como el cumplimiento de las mismas.

8.2. Tarea 2: Comprobación de la seguridad del equipamiento: Durante


esta tarea el equipo auditor debe comprobar que la Organización
auditada ha establecido los procedimientos y medidas de seguridad
necesarias para evitar la pérdida, el daño, el robo y otras amenazas

166
CAP 04_CAP 1 24/03/14 19:20 Página 167

Proyecto de Auditoría de un SGSI

de origen malintencionado o no, que pongan en peligro los activos,


o que puedan provocar la interrupción de las actividades de la
Organización auditada.

El equipo auditor debe comprobar varios aspectos relativos a la


seguridad de los equipos de la Organización auditada y debe tener
en cuenta que estos sean proporcionales con el tipo de
Organización.

El equipo auditor debe comprobar que los equipos estén situados


o estén protegidos contra amenazas de origen ambiental. Por ejem-
plo, que las CPU no estén ubicadas sobre el suelo directamente, si
no que están al menos 5 cm encima del mismo, lo que puede con-
seguirse utilizando ser en una plataforma, de esta forma se redu-
ce el riesgo en caso de que se produjera una inundación, por ejem-
plo, si hubiera una fuga de agua de una tubería o se estropeara el
aire acondicionado. Al estar elevados del suelo, se evita a priori el
contacto directo con el agua. Del mismo modo, la temperatura y
humedad de las instalaciones donde se ubican los equipos debe
ser adecuada y así evitar que afecte de forma negativa a los equi-
pos. Por ejemplo, en ocasiones existen centros de procesos de
datos que no disponen de ventilación ni de aire acondicionado ins-
talado y por lo tanto la temperatura es considerablemente alta, por
lo que el equipo auditor podría considerar que no se han implanta-
do las medidas de seguridad necesarias y pertinentes para los
equipos allí instalados.

En lo relativo a la seguridad de los equipos, el equipo auditor


debe revisar que aquellos equipos que procesan datos sensibles
se instalan en localizaciones donde se reduce el riesgo de que la
información que muestran las pantallas sea vista por otros. Este
es el ejemplo de una persona que en su ordenador gestiona infor-
mación sensible y está sentado de tal forma que la pantalla de
su ordenador es visible claramente desde la puer ta o desde una
ventana.

167
CAP 04_CAP 1 24/03/14 19:20 Página 168

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Además el equipo auditor debe comprobar que la Organización audi-


tada ha establecido directrices o instrucciones que prohíben comer,
beber y fumar en las instalaciones donde se realiza tratamiento de
información y que estas directrices se cumplen. La prohibición de
comer, beber y fumar que debe establecer la Organización, debe ser
una prohibición adicional a lo que establezca la legislación vigente
en esta materia como puede ser la prohibición de fumar, ya que esta
prohibición tiene por objeto disminuir la probabilidad de incidentes,
como por ejemplo: si al lado del ordenador se tienen vasos de agua
y no en una botella cerrada, existe más riesgo de se produzca un
derrame y con esto se pueda dañar un equipo.

Por otra parte, el equipo auditor debe verificar que la Organización


auditada ha implantado medidas de seguridad que protejan de los
cortes de suministro eléctrico y otras incidencias que se pudieran
producir en el suministro de servicios proporcionados por un ter-
cero. Un ejemplo puede ser que los servidores considerados como
críticos por la Organización auditada, estén alimentados por medio
de un sistema de alimentación ininterrumpida (SAI) y así, en caso
de fluctuación de la tensión del suministro eléctrico o incluso de un
corte en este, se podría apagar el equipo con medidas de seguri-
dad suficientes para no dañar ni la información alojada en este o el
propio equipo. Además el equipo auditor puede comprobar por
ejemplo que la Organización auditada tiene instaladas luminarias
de emergencia.

Otro ejemplo sobre la seguridad de suministro puede ser que una


Organización tiene contratado dos proveedores de internet, a tra-
vés de distintos medios de transmisión, por ejemplo con el pro-
veedor A tiene contratado fibra óptica y con el proveedor B, tiene
contratado tecnología mediante microondas WIMAX. De este
modo se asegura, que en caso de una incidencia y fallo del pro-
veedor A, probablemente el proveedor B siga operativo y no
merme las funciones de la Organización. Por lo tanto, el equipo
auditor debe comprobar que la Organización auditada ha tenido

168
CAP 04_CAP 1 24/03/14 19:20 Página 169

Proyecto de Auditoría de un SGSI

en cuenta estos aspectos que le afectan directamente cuando


tiene contratados suministros con un tercero.

El equipo auditor también debe tener en cuenta las medidas de


seguridad que tiene implantadas la Organización auditada para pro-
teger al cableado tanto al de suministro eléctrico como al de comu-
nicaciones. Estas medidas de seguridad deben estar orientadas
para proteger dicho cableado frente a interceptaciones o daños.
Por ejemplo, puede haber Organizaciones que por el sector especí-
fico al que pertenecen y por la información sensible que manejan
deban, además de los mínimos para cumplir con los estándares y
normas como puede ser cables soterrados, marcado claro de
cables para evitar equivocaciones y otros a considerar, proteger el
cableado mediante el uso de conductos blindados o que necesiten
implantar medidas de seguridad adicionales como pueden ser
cajas o salas cerradas en los nodos de conexión o puntos de ter-
minación del cableado.

Otro aspecto que debe comprobar el equipo auditor es si la


Organización auditada realiza el debido mantenimiento de los equi-
pos para asegurar tanto la disponibilidad como la integridad de
estos. Dicho mantenimiento debe realizarse sólo por personal
capacitado y autorizado para ello, por lo que el equipo auditor debe
comprobar que las personas dedicadas a realizar este manteni-
miento está formado y además se registran los fallos, así como las
tereas de mantenimiento preventivo y correctivo. Un aspecto muy
importante en el que debe fijarse el equipo auditor es si la
Organización auditada ha adoptado las medidas de seguridad nece-
sarias para impedir el acceso indebido a la información al personal
que realiza las tareas de mantenimiento, independientemente de
que este sea realizado por personal propio de la Organización o per-
tenezca a las empresas que le prestan servicio.

Dentro de las medidas de seguridad que debe comprobar el equipo


auditor están aquellas medidas que ha implantado la Organización

169
CAP 04_CAP 1 24/03/14 19:20 Página 170

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

auditada cuando el personal trabaja fuera de las instalaciones de


esta, estas pueden ser entre otras: formación y concienciación al
personal sobre el uso de equipos fuera de las instalaciones (no
dejar el equipo desatendido por ejemplo, o evitar su exposición a
campos electromagnéticos).

Un aspecto muy importante en cuanto a la seguridad de los equipos


es cuando la empresa auditada efectúa una reutilización o la retira-
da definitiva de equipos y/o soportes que almacenan, procesan o
transmiten información. Es estos casos el equipo auditor debe com-
probar que la Organización auditada dispone de procedimientos que
establecen la forma de actuar en estos casos y que ha adoptado las
medidas de seguridad necesarias para eliminar cualquier dato sen-
sible y las licencias software que pudiera tener instaladas. En oca-
siones la técnica por la que puede optar la Organización auditada es
por un borrado seguro del disco duro, o por una técnica de sobres-
cribir y, por tanto, que no se pueda obtener el dato anterior grabado
e incluso puede optar con la destrucción física del disco o del sopor-
te donde se almacena la información.

El equipo auditor debe comprobar además que la Organización


auditada ha definido e implantado una política de puesto de traba-
jo despejado y pantalla protegida para reducir el riesgo de acceso
no autorizado a la información y soportes.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La comprobación de que los equipos están elevados del suelo.


• La comprobación de que la información sensible no es clara-
mente visible desde ventanas y/o puertas por ejemplo.
• La comprobación de que se llevan a cabo las directrices implanta-
das por la Organización auditada en cuanto a comer, beber y fumar.
• La inspección in situ de las medidas de seguridad implantadas
contra los daños producidos por temperatura o humedad inade-
cuada.

170
CAP 04_CAP 1 24/03/14 19:20 Página 171

Proyecto de Auditoría de un SGSI

• La revisión de los acuerdos de nivel de servicio que ha adopta-


do la Organización auditada con sus proveedores de suministros
esenciales.
• La comprobación de que se han instalado sistemas de alimen-
tación ininterrumpida para aquellos equipos considerados críti-
cos. En estos casos el equipo auditor no debe comprobar sólo
que la Organización auditada ha tenido en cuenta estos aspec-
tos y tiene instalados estos sistemas, si no que los revisa, rea-
liza pruebas de funcionamiento, es decir, verificar que la
Organización auditada realiza un mantenimiento continuo de
estos. Existen Organizaciones que disponen además de un
grupo electrógeno, bien porque la legislación vigente les obliga
a ello, o bien porque lo han considerado oportuno en base al
análisis de riesgos realizado, o bien por la zona en la que está
ubicada, o porque por ejemplo han tenido muchas incidencias
de este tipo.
• La comprobación de que la Organización auditada realiza labo-
res de mantenimiento de los equipos de acuerdo a las reco-
mendaciones de y especificaciones del proveedor.
• La revisión de los contratos de mantenimiento de equipos con
proveedores externos.
• La comprobación de que se adoptan las medidas de seguridad
necesarias a la hora de llevar a cabo el mantenimiento de equi-
pos. Un ejemplo puede ser que se realicen labores de manteni-
miento preventivo en un horario que no afecte al personal o tam-
bién supervisar las labores de mantenimiento cuando se trate
de equipos que alojan información sensible.
• La revisión del registro de incidencias y la comprobación de que
se ha realizado un mantenimiento preventivo adecuado.
• La verificación de que la Organización auditada cumple los requi-
sitos fijados por la compañía aseguradora en cuanto al mante-
nimiento de equipos.
• La revisión de las autorizaciones de la salida fuera de las insta-
laciones de los equipos que contienen información, sea quien
sea su propietario.

171
CAP 04_CAP 1 24/03/14 19:20 Página 172

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La comprobación de que se ha impartido formación/conciencia-


ción sobre el uso de activos al personal que trabaja fuera de las
instalaciones.
• La revisión del procedimiento y técnica llevada a cabo para la eli-
minación de información en equipos y comprobar que se lleva a
cabo.
• La revisión del registro de salida y entrada de soportes.
• La verificación de que los equipos desatendidos tienen la pro-
tección adecuada y que los usuarios son conscientes de los
requisitos y procedimientos de seguridad que deben aplicar para
la protección de los equipos cuando están desentendidos. Esta
concienciación puede incluir:
— La finalización de las sesiones activas después de un deter-
minado periodo de inactividad, a menos que tengan un
mecanismo de bloqueo adecuado, por ejemplo protector de
pantalla con contraseña automático pasado cierto tiempo
de inactividad, por ejemplo 1 minuto.
— El apagado de los ordenadores centrales, de los servidores
y de los ordenadores personales cuando la jornada laboral
haya finalizado (por ejemplo, no sólo el apagado de la pan-
talla del ordenador).
• La verificación de que se ha adoptado una política de puesto de
trabajo despejado que incluya tanto soporte en papel como digi-
tal, así como una política de protección de pantalla y estas con-
templan las medidas de seguridad a adoptar en función de la
clasificación de la información, los requisitos legales o regla-
mentarios y contractuales, como pueden ser:
— La información en papel que sea sensible o crítica, siempre
que no se esté utilizando o cuando no hay gente en la ofici-
na, esté guardada en una caja fuerte, armario con llave u
otro que lo proteja de robo o amenazas de origen industrial
como pueden ser agua o fuego.
— Los equipos tienen habilitado el protector de pantalla auto-
mático pasado un tiempo de inactividad.

172
CAP 04_CAP 1 24/03/14 19:20 Página 173

Proyecto de Auditoría de un SGSI

— Se protegen los puntos de entrada y salida de correo o fax


desatendidos.
— Se protegen o controlan otros dispositivos de reproducción
como pueden ser cámaras.
— Se conciencia al personal o se han implantado mecanismos
para prevenir que una persona no autorizada retire docu-
mentación de una impresora. Por ejemplo, pueden existir
ciertos departamentos que por la criticidad de la informa-
ción que tratan o su sensibilidad deberían tener un uso
exclusivo de una impresora que esté controlada. También
existen impresoras o equipos multifunción con opción de
código pin o tarjeta de proximidad con la que únicamente
pueden imprimir los trabajos que han mandado ellos.

En estos casos el equipo auditor debe verificar en la inspección de


la instalación que las políticas se llevan a cabo.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 8. Revisión de la seguridad física y el entorno.

173
CAP 04_CAP 1 24/03/14 19:20 Página 174

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.9. Actividad 9. Revisión de las operaciones de seguridad

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura del funcionamiento correcto y
seguro de los recursos de la información.

Durante esta actividad el equipo debe comprobar muchos aspectos


distintos en relación a cómo la Organización auditada está gestio-
nando las operaciones de forma correcta y segura. A continuación
se describen las principales tareas de esta actividad:

9.1. Tarea 1: Comprobación de las responsabilidades y procedimientos


de operación: El equipo auditor debe comprobar que la
Organización auditada ha documentado, implantado y mantiene los
procedimientos necesarios para la gestión y operación de todos los
recursos de información, así como que ha definido y asignado las
responsabilidades que se consideren oportunas para llevarlos a
cabo y estos están a disposición de los usuarios que los necesitan
para realizar sus funciones. Los procedimientos operativos más
habituales para las actividades relacionadas con los sistemas infor-
máticos que puede revisar el equipo auditor pueden ser entre
otros, los siguientes:

• Procedimientos de encendido y apagado de los equipos.


• Procedimiento de copias de seguridad.
• Procedimiento de mantenimiento de equipos.
• Procedimiento de gestión de soportes.
• Procedimiento de gestión de CPD o salas técnicas.
• Procedimiento de gestión correo electrónico.
• Otros que considere oportunos la Organización auditada.

La Organización auditada debería haber elaborado procedimientos


o instrucciones detalladas para la realización de ciertas tareas,
pueden ser entre otros, los siguientes:

174
CAP 04_CAP 1 24/03/14 19:20 Página 175

Proyecto de Auditoría de un SGSI

• Tratamiento y manipulación de la información.


• Realización de copias de respaldo.
• Restauración de los sistemas.
• Tratamiento de incidencias o errores en los sistemas.
• Comunicación con el personal de soporte de sistemas.
• Destrucción de material confidencial.
• Gestión de la información de registro del sistema.
• Gestión de pistas de auditoría de sistemas críticos.
• Otros que considere oportunos la Organización auditada.

Un aspecto muy importante en la gestión y operación de los activos


de tratamiento de la información, es la gestión de los cambios, por
ello el equipo auditor debe comprobar cómo la Organización audi-
tada gestiona y controla los cambios en dichos activos, entre los
que se encuentran los sistemas que almacenan, procesan o trans-
miten información, incluyendo la gestión del cambio en las aplica-
ciones software.

En concreto el equipo auditor debe comprobar que en la gestión del


cambio:

• Se evalúa el impacto que puede tener en la seguridad dicho


cambio.
• Se planifican y se prueban antes de implementarlos.
• Se identifican y se registran formalmente.
• Se comunican a las personas a las que puedan repercutir dichos
cambios.
• Se incluyen procedimientos para volver a la situación anterior del
cambio en caso de necesidad.
• Se mantiene un registro de auditoría que contiene toda la infor-
mación importante del cambio realizado.

Para verificar que la Organización auditada está minimizando el ries-


go ante los posibles fallos del sistema, el equipo auditor debe com-
probar que se gestiona la capacidad de los sistemas y se planifican

175
CAP 04_CAP 1 24/03/14 19:20 Página 176

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

ampliaciones si fuera necesario. El equipo auditor también puede


comprobar que la Organización auditada dispone de sistemas esca-
lables que le permitieran ampliar las capacidades si fuera necesa-
rio. En muchas ocasiones las Organizaciones tienen implantados
sistemas de detección que alertan por ejemplo cuando la capacidad
de un sistema está llegando al límite.

Para ello, el equipo auditor puede obtener evidencias por medio de:

• La revisión, mediante muestreo aleatorio, de que la capacidad


de almacenamiento de los servidores críticos es suficiente.
• La revisión de los informes de mantenimiento de los sistemas.
• La revisión del registro de incidencias y verificar que se han
adoptado las medidas idóneas.

El equipo auditor debe comprobar que la Organización auditada ha


establecido una adecuada segregación de tareas, definiendo qué
tareas pueden ser realizadas por la misma persona y cuáles deben
ser realizadas forzosamente por personas distintas. Este es un
método para reducir el riesgo de un uso incorrecto de los sistemas
ya sea accidental o intencionado. Por ejemplo, en una Organización
una persona no debería compartir la tarea de desarrollo de soft-
ware y pruebas del mismo, dado que puede que no detecte posi-
bles fallos u omita de forma intencionada que la aplicación tiene
fallos. En Organizaciones pequeñas, donde las personas compar-
ten tareas, esta tarea puede ser más difícil y el equipo auditor ten-
drá que comprobar entonces que la Organización auditada ha
implementado otro tipo de controles compensatorios para evitar
que se produzcan incidencias al no tener debidamente segregadas
las tareas. Estos controles compensatorios pueden ser, por ejem-
plo, la monitorización de las actividades, los registros de auditoría
y la supervisión.

La Organización auditada debe tener en cuenta que si realizan


desarrollo de software, todos los procesos de desarrollo, pruebas

176
CAP 04_CAP 1 24/03/14 19:20 Página 177

Proyecto de Auditoría de un SGSI

y producción deben de estar documentados y deben establecerse


las instrucciones necesarias para el paso de un proceso a otro.
Además, la Organización auditada debe tener en cuenta el riesgo
que supone que personal que dispone de autorización de acceso a
los sistemas, pudiera llegar a introducir en los sistemas datos
incongruentes, software no probado o incluso código malicioso, lo
que en caso de materializarse podría llegar a ocasionar daños muy
graves. Por esto, el equipo auditor debe comprobar que la
Organización auditada ha segregado las tareas del personal para
evitar estas amenazas. Además, el equipo auditor también debe
comprobar que la Organización auditada separa de forma física o
lógica los entornos de desarrollo, de pruebas y de producción. Al
separar estos entornos se reduce el riesgo de accesos o cambios
no autorizados o accidentales.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La revisión de roles y responsabilidades definidas.


• Entrevistas con el personal con responsabilidades asignadas en
la operación de los activos que almacenan, procesan o transmi-
ten información.
• Entrevistas con el personal que realiza tareas de desarrollo soft-
ware (desarrollo, pruebas y producción).
• El muestreo aleatorio, lo que permite al equipo auditor compro-
bar si la Organización auditada está aplicando los procedimien-
tos que ha definido. Algunos de los procedimientos que se pue-
den verificar por muestreo son:
— Los procedimientos de copias de seguridad y la gestión de
las mismas. Habitualmente las Organizaciones disponen de
un software específico de realización de copias de seguridad
que indica si se ha realizado correctamente o ha ocurrido un
fallo. En caso de fallo, el equipo auditor podría comprobar en
el registro de incidencias que se ha registrado y cómo se ha
resuelto. Además, es importante que el equipo auditor
entienda cómo la Organización auditada gestiona las copias

177
CAP 04_CAP 1 24/03/14 19:20 Página 178

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

de seguridad (ubicación, tiempo entre copias, personas


autorizadas, y aquellos aspectos que haya considerado la
Organización auditada).
— La verificación de que se registran las restauraciones desde
las copias de seguridad de acuerdo con los procedimientos
e instrucciones técnicas que se hayan establecido, la verifi-
cación de la ejecución de las instrucciones antes mencio-
nadas o las que la Organización auditada haya considerado
oportunas.
• La verificación de si las actualizaciones del software se prueban
antes de autorizar su implementación.
• La revisión del registro de cambios y verificar que se ha evalua-
do el posible impacto que podría originar dicho cambio, y que
este cambio se identifica y se autoriza formalmente.
• La revisión de las tareas y funciones asignadas al personal y la
verificación de que no son incompatibles.
• La revisión, en Organizaciones donde la segregación de tareas
es compleja, de que se han establecido los controles compen-
satorios necesarios para evitar modificaciones o usos incorrec-
tos, sean de forma intencionada o por error humano.
• La revisión de que se han definido y documentado las normas
para el paso del software del entorno de desarrollo al de pro-
ducción.
• La revisión de que el software en desarrollo y el que se encuen-
tra en producción se ejecuta en diferentes sistemas o en dife-
rentes dominios o entornos.
• La revisión de que los compiladores, editores y otras herra-
mientas de desarrollo o y otros recursos del sistema no son
accesibles desde los sistemas operativos, excepto en aquellos
casos que dicho acceso sea imprescindible.
• La revisión de que se utilizan distintos perfiles de acceso para
los entornos de desarrollo, pruebas y producción.

9.2. Tarea 2: Comprobación de la protección contra código malicioso:


El equipo auditor debe comprobar que la Organización auditada ha

178
CAP 04_CAP 1 24/03/14 19:20 Página 179

Proyecto de Auditoría de un SGSI

implantado controles de detección, prevención y recuperación con-


tra código malicioso, y así asegurar que los sistemas de procesa-
miento de la información y la información misma están protegidas
contra el malware.

Para ello el equipo auditor puede obtener evidencias por medio de:

• La revisión del listado de aplicaciones corporativas que pueden


utilizar los usuarios.
• La verificación de la existencia de un documento, ya sea en una
política, manual o procedimiento donde conste la prohibición de
la instalación y uso de software no autorizado.
• La comprobación, mediante muestreo aleatorio, de las aplica-
ciones instaladas en diferentes equipos para verificar que los
programas instalados son los que se han autorizado en el lista-
do de aplicaciones corporativas.
• La verificación de que la Organización auditada tiene instalado y
actualizado un software antivirus que permita la detección y
reparación o contención de código malicioso y de que se esca-
nean periódicamente los equipos. En ocasiones la Organización
auditada puede tener un servidor antivirus específico desde el
que se despliegan los clientes en los equipos. En otras ocasio-
nes puede que cada equipo tenga su propia instalación y que se
conecte para las actualizaciones. En cualquier caso, el equipo
auditor debe comprobar que la Organización auditada dispone
de dicho software y lo mantiene debidamente. Las comproba-
ciones que puede realizar el equipo auditor para verificar las
acciones que realiza la Organización auditada para protegerse
contra el código malicioso pueden ser, entre otras, que se reali-
cen comprobaciones y escaneos:
— Antes del uso de cualquier fichero en soporte electrónico u
óptico.
— En ficheros recibidos a través de internet.
— Antes del uso de los archivos adjuntos al correo electrónico.
— En el acceso a páginas web.

179
CAP 04_CAP 1 24/03/14 19:20 Página 180

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La comprobación de que la Organización auditada ha definido


los procedimientos y responsabilidades para protegerse contra
código malicioso.
• La verificación de que el plan de continuidad de negocio define
el escenario de un ataque de código malicioso, incluyendo medi-
das de respaldo y de recuperación necesarios.
• La comprobación de que la Organización auditada se mantiene
al día sobre la existencia de nuevas vulnerabilidades y de nuevo
código malicioso. Una manera de mantenerse al día puede ser,
por ejemplo, la suscripción a revistas técnicas o alertas sobre
incidencias o código malicioso.
• La verificación de que el contenido de la formación/conciencia-
ción impartida a los usuarios contempla nociones básicas para
identificar posible código malicioso y cómo actuar.

9.3. Tarea 3: Comprobación de la gestión y realización de copias de


seguridad: El equipo auditor debe comprobar que la Organización
auditada realiza copias de seguridad en las que estén incluidos los
datos o información y el software que se consideren necesarios.
Esta es una medida de seguridad fundamental dado que ante un
posible incidente, la Organización auditada puede recuperar la infor-
mación. No obstante realizar copias de seguridad no es suficiente,
también se deben probar periódicamente para verificar que se han
realizado de forma correcta. En ocasiones las Organizaciones dis-
ponen de un sistema (software y hardware) específico para realizar
copias de seguridad pero incluso en este caso se deben probar por-
que puede que el software indique que la copia se ha realizado
correctamente y que no sea así.

El auditor debe comprobar que la Organización auditada ha defini-


do una política, procedimiento e instrucciones técnicas para la rea-
lización de copias de seguridad y la restauración en caso de ser
necesario.

180
CAP 04_CAP 1 24/03/14 19:20 Página 181

Proyecto de Auditoría de un SGSI

El auditor debe comprobar que la Organización auditada ha propor-


cionado los recursos necesarios para la realización y restauración
de las copias de seguridad y que estas se realizan para los siste-
mas críticos y que se contemplan tanto los datos, como las aplica-
ciones e información de configuración necesarios para la recupera-
ción del sistema completo en el caso de incidencia o desastre.

Para esto el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal que gestiona las copias de seguridad.


• Entrevistas con los usuarios para verificar que conocen las políti-
cas de copias de seguridad y su extensión. Esto tiene sentido
porque en muchas Organizaciones la copias de seguridad se rea-
lizan para los servidores de datos y servidores críticos pero no
se realizan copias de seguridad de la información almacenada en
el disco duro local de cada equipo. Por lo tanto, en este caso, los
usuarios deben saber que si almacenan datos en su disco local,
no podrán ser recuperados en caso de incidencia o desastre.
• La revisión del procedimiento de copias de seguridad y recupe-
ración.
• La verificación de que se han establecido criterios que para
determinar qué datos deben incluirse en las copias de seguri-
dad, y con qué periodicidad se deben realizar dichas copias.
• La revisión de la planificación de la realización de las copias de
seguridad.
• La revisión de los registros de la realización de copias de segu-
ridad y de restauración de las mismas.
• La verificación de que se han definido las medidas de seguridad
necesarias en función de la clasificación de la información con-
tenida en las copias y de la legislación vigente.
• La verificación de que las copias de seguridad se almacenan
en una ubicación alejada de donde se encuentran los datos e
información respaldada, para evitar que si se materializara
una amenaza afectara también a la copia. Por ejemplo, si se
almacenan las copias en un CPD, y en el CPD se origina un

181
CAP 04_CAP 1 24/03/14 19:20 Página 182

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

incendio, probablemente las copias de seguridad también se


verán afectadas y por lo tanto no podría recuperarse la infor-
mación y aplicaciones de los sistemas críticos.
• La verificación de que la Organización auditada cifra las copias
de seguridad cuando contienen información confidencial o sen-
sible.
• La verificación de que en las sesiones de formación y/o con-
cienciación se informa a los usuarios de sus responsabilidades
y de los procedimientos de los que dispone la Organización audi-
tada sobre copias de seguridad.

9.4. Tarea 4: Comprobación del registro y la supervisión: El equipo


auditor debe comprobar que la Organización auditada ha estableci-
do medidas de seguridad para detectar posibles actividades relati-
vas al procesamiento de información no autorizadas y registrar
dichos eventos y generar evidencias.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado los procedimientos de supervisión necesa-
rios para asegurar que los sistemas están monitorizados y se regis-
tran las posibles incidencias, fallos o eventos de seguridad.

El equipo auditor debe comprobar que se han habilitado los regis-


tros de auditoría en los sistemas críticos y además estos están pro-
tegidos contra accesos no autorizados. Los registros de auditoría
incluyen las actividades que se pueden realizar con un perfil de
administrador de sistema. Un aspecto muy importante es que el
equipo auditor debe verificar que los administradores de sistemas
no tienen permisos para eliminar o desactivar los registros de audi-
toría de sus propias actividades.

Dependiendo de la criticidad del sistema o de aquellos que depen-


den de él, puede ser necesario que los subsistemas estén sincro-
nizados, en estos casos el equipo auditor debe comprobar qué
método de sincronización están utilizando. Lo habitual es que las

182
CAP 04_CAP 1 24/03/14 19:20 Página 183

Proyecto de Auditoría de un SGSI

aplicaciones y sistemas se sincronicen con la hora del sistema ope-


rativo.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal del departamento de administración


de sistemas.
• La comprobación in situ que los sistemas tienen habilitados
registros de auditoría como pueden ser:
— Identificadores de usuario.
— Fechas y tiempos de conexión (log on) y desconexión (log off).
— Localización del equipo que se conecta.
— Intentos de acceso a los sistemas con éxito o rechazados.
— Intentos de acceso a los recursos y datos con éxito o recha-
zados.
— Cambios en la configuración del sistema.
— Uso de privilegios de acceso.
— Ficheros a los que se ha accedido y tipo de acceso.
— Direcciones de red y protocolos.
— Alarmas generadas por el sistema de control de acceso.
— Activación y desactivación de los sistemas de protección
como pueden ser, por ejemplo, los sistemas antivirus y sis-
temas de detección de intrusos (IDS).
— Registro de fallos.
• La verificación de que los registros del sistema se revisan perió-
dicamente.
• La revisión de si los procedimientos de supervisión son idóneos
para asegurar que los usuarios sólo llevan a cabo las activida-
des que les correspondes por sus funciones de negocio.
• La revisión de que se registran los fallos, tanto los que han sido
informados por los usuarios, como por los sistemas y que se
analizan y corrigen de forma oportuna.
• La revisión de si los procedimientos de supervisión contemplan
además las acciones a acometer para la investigación de inci-
dentes.

183
CAP 04_CAP 1 24/03/14 19:20 Página 184

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La revisión de los informes de seguimiento o supervisión.


• La verificación de que los informes de revisión incluyen los resul-
tados de:
— Operaciones realizadas utilizando privilegios como, por
ejemplo: uso de cuentas con privilegios (supervisor, raíz,
administrador).
— Intentos de acceso no autorizado como, por ejemplo: accio-
nes de los usuarios fallidas o rechazadas, acciones fallidas
o rechazadas que implica el acceso a datos y otros recursos.
— Violaciones de las políticas de acceso definidas.
— Notificaciones de los cortafuegos.
— Sistemas de alertas por fallos, por ejemplo, de: mensajes
de consola, excepciones del registro de sistema, gestión de
la red, sistema del control de acceso, cambios o intentos de
cambio en la configuración de la seguridad del sistema.
• La revisión de si los registros de auditoría o logs están protegi-
dos contra accesos no autorizados o manipulaciones indebidas.
• La revisión de si el registro de incidencias se revisa periódica-
mente y se mantiene actualizado.
• La revisión de si los relojes de los sistemas están sincroniza-
dos. Esto es importante para garantizar la precisión de los regis-
tros de auditoría que pueden ser necesarios para investigación
de incidentes o como evidencias en casos disciplinarios y/o
legales.

9.5. Tarea 5: Revisión del control de software operativo: El equipo audi-


tor debe comprobar que la Organización ha definido e implantado
medidas de seguridad para garantizar la integridad del software
operativo, del software en uso.

El equipo auditor debe comprobar que la Organización auditada ha


implantado los procedimientos necesarios para controlar la insta-
lación de software en los sistemas operativos.

Para esto el equipo auditor puede obtener evidencias por medio de:

184
CAP 04_CAP 1 24/03/14 19:20 Página 185

Proyecto de Auditoría de un SGSI

• La verificación de que la política de control de cambios contem-


pla por ejemplo:
— La actualización de los sistemas operativos, aplicaciones y
librerías de programas se realiza sólo por personal compe-
tente y autorizado para ello.
— La implantación de software debe ser autorizado después
de haber realizado las suficientes pruebas que aseguren
que no tendrá un impacto negativo sobre otras aplicaciones
o sistemas.

9.6. Tarea 6: Revisión de la gestión de vulnerabilidades técnicas:


Durante esta tarea el equipo auditor debe comprobar que la
Organización auditada evita que las vulnerabilidades técnicas pue-
dan llegar a ser explotadas de forma malintencionada.

El equipo auditor debe comprobar que la Organización auditada redu-


ce los riesgos derivados de las vulnerabilidades técnicas publicadas.

El equipo auditor debe comprobar que la Organización auditada


obtiene información oportuna acerca de las vulnerabilidades técni-
cas de los sistemas de información utilizados y adopta las medidas
adecuadas para reducir el riesgo existente.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La verificación de si el proceso de gestión de vulnerabilidades


técnicas contempla aspectos como:
— Las funciones y responsabilidades asociadas a la gestión de
vulnerabilidades técnicas.
— Los recursos que se utilizarán para la identificación de vul-
nerabilidades.
— La definición del tiempo de respuesta para actuar ante la
notificación de una vulnerabilidad nueva.
— La identificación de los riesgos asociados a las vulnerabili-
dades técnicas descubiertas y las medidas de seguridad

185
CAP 04_CAP 1 24/03/14 19:20 Página 186

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

que deberían adoptarse, como por ejemplo la instalación de


un parche previamente probado y evaluado.
— El mantenimiento de un registro de auditoría de los procedi-
mientos adoptados.
— La priorización del tratamiento de las vulnerabilidades técni-
cas.
— La evaluación y supervisión del proceso de gestión de las
vulnerabilidades técnicas para verificar que este es eficaz y
efectivo.

El equipo auditor debe comprobar que la Organización auditada ha


definido y establecido las normas o procedimientos necesarios
para controlar la instalación de software por parte de los usuarios.

El equipo auditor debe comprobar que dichas normas o procedi-


mientos contemplan los distintos tipos de usuarios con permisos
para ejecutar la instalación de distintos software y que se aplica el
principio de mínimos privilegios a todos los usuarios. De este modo
únicamente tendrán permisos de instalación de software ciertos
usuarios específicos.

El control sobre la instalación de software es un aspecto muy impor-


tante que debe comprobar el equipo auditor dado que una instala-
ción descontrolada de software puede llevar a introducir nuevas vul-
nerabilidades, explotar algunas existentes, puede producir fugas de
información y/o la pérdida de integridad. En general, puede suponer
que se produzcan incidentes de seguridad de la información o inclu-
so violaciones de derechos sobre propiedad intelectual.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La verificación de la existencia de una política, norma, procedi-


miento o similar de instalación de software donde se especifi-
que en otros:
— Qué perfiles tienen permisos para instalar software.

186
CAP 04_CAP 1 24/03/14 19:20 Página 187

Proyecto de Auditoría de un SGSI

— En base al perfil, qué tipo de software pueden instalar (por


ejemplo, las actualizaciones y parches de seguridad para el
software existente).
— Qué tipo de instalaciones están prohibidas (por ejemplo, un
software que es sólo para uso personal y software cuyo
pedigrí con respecto a ser potencialmente dañino es desco-
nocido o sospechar).
• La verificación mediante muestreo del cumplimiento de la políti-
ca de instalación de software.

9.7. Tarea 7: Comprobación de las consideraciones sobre la auditoría


de los sistemas de información: El equipo auditor debe comprobar
que la Organización auditada ha definido e implantado las medidas
de seguridad necesarias para proteger la integridad y evitar el uso
indebido de las herramientas de auditoría.

El equipo auditor debe comprobar que la Organización auditada pla-


nifica debidamente las auditorías técnicas para minimizar lo máxi-
mo el posible impacto que esta actividad puede suponer para la
interrupción en los procesos de negocio.

Además, el equipo auditor debe comprobar que se limita y protege


el acceso a las herramientas de auditoría para evitar cualquier uso
indebido.

Para esto el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el responsable de auditoría.


• Entrevistas con el personal técnico.
• La verificación de que se han acordado y han sido aceptados los
requisitos de auditoría por la dirección.
• La verificación de que durante la auditoría se han limitado los
permisos de acceso sólo a lectura de software y datos.
• La verificación de que todos los accesos son supervisados y
registrados.

187
CAP 04_CAP 1 24/03/14 19:20 Página 188

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La verificación de la independencia del personal técnico que


lleva a cabo la auditoría.
• La verificación de que en el contrato de auditoría se establecen
las cláusulas de confidencialidad y deber de secreto con el equi-
po auditor.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 9. Revisión de las operaciones de seguridad:

A.10. Actividad 10. Revisión de la seguridad en las comunicaciones

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada gestiona y protege la información que circu-
la por las redes y la infraestructura tecnológica.

10.1. Tarea 1: Comprobación de gestión de la seguridad en las redes: El


equipo auditor debe comprobar que la Organización auditada ha
especificado en sus requisitos de negocio las medidas de seguridad

188
CAP 04_CAP 1 24/03/14 19:20 Página 189

Proyecto de Auditoría de un SGSI

y controles necesarios a tener en cuenta para asegurar la protección


de la información en las redes y sus servicios de soporte en el tra-
tamiento de la información.

El equipo auditor debe comprobar que Organización auditada ges-


tiona y controla las redes frente a posibles amenazas tanto de
carácter intencionado como las que tienen origen en errores huma-
nos o averías, para así mantener la seguridad de los sistemas y de
las aplicaciones que pudieran utilizar estas redes.

El equipo auditor, por lo tanto, debe comprobar que la Organización


auditada ha identificado los requisitos de seguridad necesarios, los
acuerdos de nivel de servicio y que los servicios de red que forman
parte de la infraestructura tecnológica se gestionan y se mantienen
adecuadamente.

Habitualmente las Organizaciones separan las redes en función de


la criticidad de los servicios de información, de los usuarios o de
los sistemas, por esto el equipo auditor debe comprobar si existe
una segregación de redes correcta.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal técnico que gestiona las redes de


datos.
• La revisión del mapa de la infraestructura de red.
• La verificación de que la conexión de los usuarios a las redes
queda registrada.
• La comprobación personalmente que las contraseñas de todos
los elementos de la infraestructura de red son robustas, es
decir, se han cambiado las contraseñas que vienen por defecto
en los dispositivos de red de la Organización auditada (router,
firewall, sistema de detección de intrusos (IDS), y otros).
• La revisión de los informes de análisis de vulnerabilidades de la
red (hacking ético).

189
CAP 04_CAP 1 24/03/14 19:20 Página 190

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La revisión de los acuerdos de nivel de servicio con los provee-


dores de servicios de internet (ISP) u otros proveedores que
intervengan en el mantenimiento o la gestión de las redes.
• La verificación de que se han segregado las redes en grupos
como pueden por ejemplo: usuarios, sistemas de información y
otros que se hayan considerado oportunos. Una forma de segre-
gar que puede comprobar mediante inspección in situ por parte
del equipo auditor puede ser la división de la red en dominios de
red (interna y externa).

10.2. Tarea 2: Comprobación de la gestión en el intercambio de infor-


mación: El equipo auditor debe comprobar que la Organización
auditada mantiene la seguridad cuando intercambia información
con un tercero. La primera comprobación que debe realizar el equi-
po auditor para comprobar esta tarea es verificar que la
Organización auditada ha definido y establecido las políticas, pro-
cedimientos e instrucciones técnicas para proteger la información
frente a intercambios con un tercero que no pertenezca a la
Organización auditada.

El equipo auditor debe comprobar que la Organización auditada ha


establecido acuerdos entre esta y el tercero donde se definan las
medidas de seguridad que adoptarán ambas partes para garantizar
el intercambio seguro de la información.

Cada vez es más habitual que las Organizaciones utilicen herra-


mientas de mensajería instantánea para comunicarse por lo que el
equipo auditor debe prestar especial atención a estas herramien-
tas y verificar que se han establecido las medidas de seguridad
necesarias para que no se produzcan fugas de información.

El equipo auditor debe comprobar que los responsables designa-


dos por la Organización auditada revisan periódicamente la necesi-
dad de establecer acuerdos de confidencialidad, no sólo en lo que
se refiere a aspectos legales y reglamentarios, como puede ser la

190
CAP 04_CAP 1 24/03/14 19:20 Página 191

Proyecto de Auditoría de un SGSI

Ley de Protección de Datos de Carácter Personal, sino también en


lo referente a la clasificación de la información que ha definido la
Organización auditada y la necesidad de saber de cada uno de los
actores que intervienen en el SGSI de manera directa o indirecta.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La verificación de que los procedimientos definidos por la


Organización auditada para proteger la información cuando se
intercambia información con un tercero se llevan a cabo.
• La verificación de que los procedimientos definidos por la
Organización auditada para proteger la información tienen en
cuenta un posible malware que puede capturar información y
transmitirla a través de redes.
• La verificación de que los procedimientos definidos por la
Organización auditada para proteger la información tienen en
cuenta el uso de las comunicaciones inalámbricas y el riesgo
que esto conlleva, sobre todo si son redes inalámbricas
públicas.
• La verificación de que los procedimientos definidos por la
Organización auditada para proteger la información contemplan
el uso de técnicas de cifrado para proteger en cada caso la con-
fidencialidad, la integridad, la disponibilidad o la autenticidad de
la información intercambiada.
• La verificación de que los procedimientos definidos por la
Organización auditada para proteger la información contemplan
las pautas a seguir cuando se imprime información sensible. Un
ejemplo puede ser que la Organización auditada disponga de
una impresora de uso exclusivo para el departamento de RRHH.
Otro ejemplo es que la Organización auditada tenga implantadas
técnicas de autenticación en las impresoras, donde únicamente
cada usuario puede imprimir lo que él ha enviado a una impre-
sora específica. En estos casos, el equipo auditor debe verificar
que lo que se indica en el procedimiento se lleva a cabo de
forma correcta.

191
CAP 04_CAP 1 24/03/14 19:20 Página 192

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La verificación de que la Organización auditada ha establecido


técnicas de filtrado o restricción de envío de correos electróni-
cos a ciertos dominios empresariales. Por ejemplo, una
Organización puede tener implantada la restricción de no enviar
correos electrónicos a una empresa de la competencia. En este
caso el equipo auditor puede comprobar que efectivamente el
buzón de correo no envía mensajes a este dominio.
• La verificación de que la Organización auditada ha incluido en la
formación y concienciación del personal, el problema derivado
del mal uso de impresoras, fax, correo electrónico, mensajería
instantánea y otros que fueran de aplicación en este ámbito.
• Entrevistas al personal para verificar que conocen los procedi-
mientos definidos en la Organización auditada es estos aspec-
tos y comprobar que conocen los riesgos asociados a mal uso
de estas técnicas o medios de intercambio de información.
• La comprobación de que se han establecido procedimientos
para asegurar la trazabilidad y el no repudio. Puede ser el uso
de firma digital, envío por correo certificado con acuse de reci-
bo, y otros que la Organización auditada haya definido.
• La verificación de que se lleva a cabo, por ejemplo, procedi-
mientos de envío de información donde se defina una lista de
transportistas o mensajeros autorizados y se compruebe la
identificación de estos.
• La verificación de que se utilizan técnicas o métodos para pro-
teger la información cuando su envío se realice utilizando sopor-
tes físicos, por ejemplo, utilizando embalajes que protejan con-
tra las amenazas ambientales. Cuando el envío sea de informa-
ción confidencial o sensible, los embalajes se deben precintar y
es recomendable que se utilicen precintos numerados.
• La verificación de que se han establecido técnicas de protección
de la información sensible o confidencial cuando su envío sea
realizado por correo electrónico. Por ejemplo, el uso de herra-
mientas de cifrado de correo electrónico.
• La revisión de los acuerdos de confidencialidad, deber de secre-
to y propiedad intelectual en contratos internos y externos.

192
CAP 04_CAP 1 24/03/14 19:20 Página 193

Proyecto de Auditoría de un SGSI

A continuación se incluye un esquema resumen de las tareas realizadas


durante la actividad 10. Revisión de la seguridad en las comunicaciones:

A.11. Actividad 11. Revisión de los requisitos de seguridad de los sis-


temas de información

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada se asegura de que la seguridad está inte-
grada en los sistemas de información.

11.1. Tarea 1: Comprobación de los requisitos de seguridad de los sis-


temas de información: El equipo auditor debe comprobar que la
Organización auditada ha especificado en sus requisitos de nego-
cio las medidas de seguridad y controles necesarios a tener en
cuenta cuando se realice la adquisición de nuevos sistemas de
información o cuando se consideren oportunas modificaciones a
los sistemas ya existentes.

Además, el equipo auditor debe comprobar que la Organización


auditada ha establecido medidas de seguridad en los servicios de
comercio electrónico incluyendo las transacciones en línea.

193
CAP 04_CAP 1 24/03/14 19:20 Página 194

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

La información que se transmite en el comercio electrónico habi-


tualmente se realiza a través de redes públicas, y por lo tanto está
sujeta a más amenazas, por esto el equipo auditor debe compro-
bar que la Organización auditada ha implantado las técnicas y medi-
das de seguridad más apropiadas contra amenazas de fraude,
accesos no autorizados, y otras a las que pudiera estar expuesta.

Cuando la Organización auditada realiza además transacciones en


línea, el equipo auditor debe comprobar que se han implantado
medidas para evitar las transacciones incompletas, los errores de
direccionamiento y la alteración de la información entre otros así
como que la integridad de la información se protege.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La verificación de que se han definido formalmente los requisi-


tos de seguridad en la adquisición o modificación de los siste-
mas de información.
• La revisión de actas de reunión donde se trate la adquisición de
nuevos sistemas de información.
• La revisión de los informes de análisis de impacto al negocio de
la nueva adquisición de los sistemas de información.
• Entrevistas con el personal técnico o de mantenimiento de las
aplicaciones de comercio electrónico y transacciones en línea.
• La revisión de el registro de incidencias.
• La verificación de que se han establecido medidas de autenti-
cación de usuarios.
• La verificación de que los métodos de pago son adecuados y evi-
tan posibles fraudes.
• La revisión de si se han realizado análisis técnicos de vulnera-
bilidades.
• La revisión de si se corrigen posibles brechas de seguridad que
pudieran afectar a los servicios de comercio electrónico o tran-
sacciones en línea.

194
CAP 04_CAP 1 24/03/14 19:20 Página 195

Proyecto de Auditoría de un SGSI

11.2. Tarea 2: Comprobación de la seguridad en los procesos de desa-


rrollo y soporte: El equipo auditor debe comprobar que la
Organización auditada garantiza la seguridad durante todo el ciclo
de vida de desarrollo de los sistemas de información, desde su
diseño hasta su implementación.

El equipo auditor debe comprobar en primer lugar que la


Organización auditada ha definido una política para el desarrollo de
aplicaciones seguro y que esta se aplica en los desarrollos realiza-
dos dentro de la misma.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado los procedimientos necesarios para realizar
un control a los cambios que sean necesarios.

El equipo auditor debe comprobar a su vez, que la Organización


auditada realiza revisiones técnicas de las aplicaciones cuando hay
cambios significativos en el sistema operativo. Esta medida tiene
sentido para verificar que las aplicaciones críticas de la
Organización auditada siguen funcionando como se esperaba y no
se ha producido ningún error.

El equipo auditor además debe comprobar que la Organización audita-


da ha definido formalmente los criterios aplicables tanto para la acep-
tación de los nuevos sistemas utilizados para el almacenamiento, pro-
cesamiento y transmisión de la información, como para llevar a cabo
actualizaciones o instalaciones de nuevas versiones de los mismos.

El equipo auditor debe comprobar a su vez que la Organización


auditada ha establecido ciertos principios de ingeniería para siste-
mas seguros, que deben documentarse y aplicarse en la imple-
mentación de los sistemas de información, así como que estos se
revisan periódicamente y así verificar que la Organización auditada
está al día de las nuevas amenazas y en que los principios esta-
blecidos siguen siendo aplicables.

195
CAP 04_CAP 1 24/03/14 19:20 Página 196

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El equipo auditor debe comprobar que la Organización auditada ha


establecido y protege adecuadamente los entornos de desarrollo
seguro en las actividades de desarrollo e integración de sistemas
y que cubren todo el ciclo de vida de desarrollo del sistema. En
este sentido el equipo auditor debe tener en cuenta que un entor-
no de desarrollo seguro incluye a las personas, procesos y tecno-
logía relacionados con el desarrollo e integración de sistemas.

El equipo auditor debe comprobar que la Organización auditada rea-


liza pruebas de seguridad funcionales durante el desarrollo de las
aplicaciones y el mantenimiento de las mismas.

Del mismo modo, el quipo auditor debe comprobar si la Organización


auditada ha identificado los riesgos que se podrían derivar en cier-
tas actividades de desarrollo y si se tienen en cuenta.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La verificación de que la política de desarrollo contempla, entre


otros:
— Cuáles son los entornos para realizar desarrollos seguros.
— Qué directrices de seguridad se aplicarán en todo el ciclo de
vida de desarrollo de software, donde:
* Se establece la metodología a seguir para el desarrollo
de software.
* Se fijen las directrices para cada lenguaje de programa-
ción utilizado.
* Se definan los requisitos de seguridad en la fase de diseño.
* Se especifiquen los controles de seguridad dentro de los
hitos del proyecto.
* Se establezcan cuáles son los repositorios seguros.
* Se establezca un procedimiento para el control de ver-
siones.
* Se defina qué conocimiento de seguridad es necesario
para el desarrollo de las aplicaciones.

196
CAP 04_CAP 1 24/03/14 19:20 Página 197

Proyecto de Auditoría de un SGSI

* Se especifique la formación y capacitación de los desa-


rrolladores para evitar, detectar y reparar vulnerabilidades.
* Se establezcan los procedimientos para la revisión de código.
• La verificación de que la política de control de cambios contem-
pla, entre otros:
— El mantenimiento de un registro con los niveles de autoriza-
ción acordados.
— La solicitud de cambios sea realizada sólo por usuarios
autorizados.
— La revisión de los controles para asegurar la integridad aun
cuando se realice un cambio.
— La identificación del software, el hardware, la información y
todos aquellos activos que requieran modificaciones.
— La aprobación formal antes de realizar cualquier cambio.
— La actualización de la documentación del sistema con cada
cambio realizado.
— El control de las versiones para las actualizaciones de
software.
— El mantenimiento de las pistas de auditoría para las solici-
tudes de cambio.
— La actualización de la documentación operativa y los proce-
dimientos de usuario para que sigan siendo adecuados.
— La garantía de que la implantación de los cambios se reali-
za cuando no trastorna los procesos de negocio que pudie-
ran estar implicados.
— La adopción de buenas prácticas sobre el ciclo del ciclo de
vida del software.
• La verificación de que se llevan a cabo revisiones técnicas cuan-
do se modifican los sistemas operativos.
• La verificación de que los planes de continuidad de negocio se
actualizan tras efectuar cambios significativos en las aplicaciones.
• La verificación de que si se llevan a cabo modificaciones a
paquetes software se:
— Conserva una copia de la versión del software original y se
realizan los cambios en una copia claramente identificada.

197
CAP 04_CAP 1 24/03/14 19:20 Página 198

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— Se dispone de consentimiento del proveedor en el caso de


que fuese necesario.
— Las implicaciones derivadas de que la Organización se res-
ponsabilice del mantenimiento futuro del software, como
consecuencia de los cambios realizados al mismo.
• La verificación de que se han adoptado las medidas de seguridad
oportunas cuando se externaliza el desarrollo software como:
— Contratos de licencia, propiedad del código o los derechos
de propiedad intelectual.
— Contratos de escrow.
— Certificaciones de calidad.
— Permisos para auditar la seguridad, calidad y el software
desarrollado.
— Las pruebas del código desarrollado antes de la puesta en
marcha para detectar código malicioso.
• La revisión de que se han establecido, se aplican y revisan prin-
cipios de ingeniería en el procedimiento de aceptación del sis-
tema, y que, por ejemplo, se contemplan aspectos como:
— Los requisitos de capacidad de los sistemas.
— Los procedimientos de recuperación y reinicio ante errores.
• La revisión de que se han establecido, se aplican y revisan prin-
cipios para el desarrollo seguro.
• La verificación de que se tienen en cuenta, por ejemplo, los
siguientes aspectos para entornos de desarrollo seguro:
— La sensibilidad de los datos a ser procesados, almacenados
y transmitidos por el sistema.
— Los requisitos externos e internos aplicables, por ejemplo,
de normativa legal o reglamentaria, o políticas.
— Los controles de seguridad en los hitos de los proyectos de
desarrollo.
— La necesidad de la segregación entre los diferentes entor-
nos de desarrollo, pruebas y producción.
— Políticas de control de acceso al entorno de desarrollo.
— El seguimiento de los cambios en los entornos de desarro-
llo y en el código almacenado.

198
CAP 04_CAP 1 24/03/14 19:20 Página 199

Proyecto de Auditoría de un SGSI

— Las copias de seguridad se guardan en lugares seguros.


— Otros que se especifiquen en los principios, metodologías,
políticas, y procedimientos.
• La verificación de que se realizan pruebas de seguridad funcio-
nales durante el desarrollo de los sistemas o aplicaciones.

11.3. Tarea 3: Comprobación de los datos de prueba: El equipo auditor


debe comprobar que la Organización auditada ha implantado los con-
troles necesarios para proteger los datos de prueba de los sistemas.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La verificación de que se protegen los datos de prueba con las


medias de seguridad oportunas, como por ejemplo:
— Con procedimientos de permisos de acceso específicos
para pruebas.
— Con autorizaciones para realizar la copia de información ope-
rativa a un entorno de prueba y el registro de auditoría habi-
litado para su verificación.
— El borrado de los datos de prueba una vez finalizada la
misma.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 11. Revisión de los requisitos de seguridad de
los sistemas de información:

199
CAP 04_CAP 1 24/03/14 19:20 Página 200

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.12. Actividad 12. Revisión de las relaciones con los proveedores

12.1. Tarea 1: Comprobación de la seguridad de la información en rela-


ción con los proveedores: Durante esta tarea el equipo auditor
debe comprobar que la Organización auditada gestiona la seguridad
de la información en el acceso, tratamiento, comunicación y ges-
tión con los proveedores.

El equipo auditor debe comprobar que se han identificado los ries-


gos a los que pueden estar sometidos tanto la información como
los dispositivos que la procesan como consecuencia de la implica-
ción de proveedores en los procesos de negocio implicados en el
alcance. Una vez identificados los riesgos, debe comprobar que se
han implantado las medidas de seguridad necesarias para mitigar
dichos riesgos y está formalmente documentado.

El equipo auditor debe comprobar que la Organización auditada identi-


fica en los contratos de servicios o acuerdos de colaboración con pro-
veedores los requisitos de seguridad necesarios siempre que estos
necesiten, para el desarrollo de su trabajo, el acceso y/o tratamiento
de la información o la incorporación de nuevos productos o servicios.

200
CAP 04_CAP 1 24/03/14 19:20 Página 201

Proyecto de Auditoría de un SGSI

Además, el equipo auditor debe comprobar que la Organización


auditada ha incluido en los acuerdos contractuales con los provee-
dores, los requisitos de seguridad de la información asociados a
los servicios y a las tecnologías de la información en la cadena de
suministro.

Para esto, el equipo auditor puede obtener las siguientes evidencias:

• La existencia de un listado de permisos de acceso físico a las


instalaciones por parte de terceros.
• La existencia de un listado de permisos de acceso lógico a los
sistemas por parte de terceros.
• La existencia de un listado de permisos de acceso a la red cor-
porativa. En ocasiones la Organización auditada puede tener una
red específica y segregada para estos casos (habitualmente dis-
ponen de este control de seguridad empresas que contratan
mucho personal externo). Dicha red suele estar limitada a inter-
net y ciertos sistemas de la Organización.
• La existencia de un listado de permisos de acceso remoto a la
red corporativa. En aquellos casos en los que la Organización
auditada permite el acceso remoto a terceros.
• La existencia de un una declaración que establezca que está
prohibido cualquier acceso que no esté explícitamente autori-
zado.
• La existencia de un proceso de revocación de permisos de acce-
so o de interrupción de la conexión entre los sistemas.
• La existencia de la aceptación por parte del tercero de que cono-
ce y es consciente de sus obligaciones y acepta las responsa-
bilidades y limitaciones que lleva implícitas el acceso, procesa-
do, comunicación o gestión de la información y de los recursos
de tratamiento de la información de la Organización auditada.
• La inclusión en los contratos o acuerdos de servicio de la exi-
gencia de que terceros dispongan de:
— Controles o mecanismos de protección física que la
Organización auditada estime necesario.

201
CAP 04_CAP 1 24/03/14 19:20 Página 202

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— Controles para asegurar la protección contra el software


malicioso en los dispositivos.
— El aseguramiento de la confidencialidad, integridad, disponi-
bilidad de la información, y cualquier otra propiedad que la
Organización auditada estime necesario.
— Cláusulas de confidencialidad y deber de secreto.
— Condiciones para la renegociación/terminación de los con-
tratos y/o acuerdos.
— Otros.
• En cuanto a los acuerdos con proveedores relativos a seguridad
de la cadena de suministro, por ejemplo si la Organización audi-
tada tiene subcontratados servicios de “Cloud Computing” es
importante revisar:
— Si los proveedores a los que se les adquieren productos
relacionados con las tecnologías de la información y las
comunicaciones utilizan buenas prácticas para asegurar su
cadena de suministro, también si estos incluyen componen-
tes de un tercero.
— Si se obtienen garantías de que los componentes que pue-
den ser críticos tienen una trazabilidad durante toda la cade-
na de suministro.
— Si se obtienen garantías de que los productos operan como
se esperaba.
— Si se han establecido normas y para el intercambio de infor-
mación respecto a la cadena de suministro y a posibles pro-
blemas entre la Organización auditada y el proveedor.
— Si se han implementado procedimientos específicos de pro-
veedores distintos que disponen de los mismos componen-
tes en caso de que el proveedor principal ya no estuviera en
el negocio.
• Otras evidencias que crea oportunas el equipo auditor.

12.2. Tarea 2: Comprobación de la seguridad en la gestión de la pres-


tación de servicios: Durante esta tarea el equipo auditor debe com-
probar que la Organización auditada ha implantado y mantiene los

202
CAP 04_CAP 1 24/03/14 19:20 Página 203

Proyecto de Auditoría de un SGSI

controles necesarios para garantizar el nivel apropiado de seguri-


dad de la información, en aquellos servicios prestados por un pro-
veedor, siempre de acuerdo a los contratos o acuerdos estableci-
dos con este. Además, el equipo auditor debe comprobar que la
Organización auditada supervisa que las medidas de seguridad exi-
gidas al proveedor que presta los servicios se aplican, y que se
gestionan los cambios necesarios en base a las políticas definidas.

En ocasiones la Organización auditada incluso puede exigir la reali-


zación de auditorías periódicas al proveedor, si se diera este caso
el equipo auditor debe incluir entre las actividades de auditoría del
SGSI la revisión de los informes de las auditorías realizadas a los
proveedores. También es necesario tener en cuenta que los proce-
dimientos de gestión de cambios también son de aplicación a los
servicios que prestan terceros a la Organización auditada, estos
procedimientos de gestión de cambios deben contemplar el man-
tenimiento y la mejora de las políticas, procedimientos y medidas
de seguridad que sean de aplicación a los servicios prestados por
dicho proveedor.

El equipo auditor debe comprobar que la Organización auditada se


asegura de que el tercero que presta servicios a la Organización ha
establecido las responsabilidades necesarias para el cumplimiento
y seguimiento de las acciones relativas a seguridad en base a los
requisitos de seguridad acordados en el contrato.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La revisión de los informes de rendimiento del servicio prestado


por un tercero sobre el cumplimiento de los acuerdos firmados.
• La revisión de las actas de reunión elaboradas por la
Organización auditada en que se revisan los informes del servi-
cio elaborados por el tercero sobre el control de la evolución del
trabajo prestado.
• La revisión de los registros de incidencias de seguridad de la

203
CAP 04_CAP 1 24/03/14 19:20 Página 204

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

información que se han producido por el servicio prestado de un


tercero y verificar que se han tomado las medidas oportunas.
• En cuanto a la gestión de cambios de los servicios prestados
por el tercero, el equipo auditor debe comprobar:
— Los cambios propuestos al tercero por la Organización audi-
tada.
— Si se han realizado las mejoras a los servicios que hayan
sido identificadas y solicitadas por la Organización auditada.
— Si se han llevado a cabo las modificaciones propuestas por
la Organización auditada.
— Si se han implantado las medidas necesarias para dar res-
puesta a los incidentes que pudieran haber ocurrido.

A continuación se incluye un esquema resumen de las tareas realizadas


durante la actividad 12. Revisión de las relaciones con los proveedores:

A.13. Actividad 13. Revisión de la gestión de los incidentes de seguri-


dad de la información

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada gestiona de forma correcta, coherente y efi-
caz los incidentes que afectan a la seguridad de la información.

204
CAP 04_CAP 1 24/03/14 19:20 Página 205

Proyecto de Auditoría de un SGSI

13.1. Tarea 1: Comprobación de la gestión de los incidentes de seguri-


dad de la información y mejoras: El equipo auditor debe comprobar
que la Organización auditada ha establecido las responsabilidades
apropiadas y ha definido e implantado los procedimientos necesa-
rios para garantizar una respuesta rápida y efectiva ante los inci-
dentes de seguridad de la información.

El equipo auditor debe comprobar que la Organización auditada


comunica de manera oportuna los eventos y vulnerabilidades que
afectan a la seguridad de la información, para así poder acometer
las medidas correctoras apropiadas. En este sentido, el equipo
auditor debe comprobar que la Organización auditada ha estableci-
do los canales de comunicación adecuados para notificar cualquier
evento que afecte a la seguridad de la información.

Del mismo modo, el equipo auditor debe comprobar que la


Organización auditada ha establecido la responsabilidad y forma-
ción necesarias para que tanto empleados como terceros tengan la
obligatoriedad de informar de cualquier vulnerabilidad o punto débil
que observen o que detecten.

Un aspecto importante que debe comprobar el equipo auditor es si


la Organización auditada analiza y evalúa los eventos de seguridad
de información antes de decidir si deben ser clasificados como inci-
dentes de seguridad de la información, así como que la
Organización ha dado una respuesta acorde con los procedimien-
tos establecidos.

El equipo auditor debe comprobar que la Organización auditada ha


establecido los mecanismos para aumentar la resiliencia de la
Organización.

El equipo auditor debe comprobar que la Organización auditada ha


definido los procedimientos y las medidas de seguridad necesarias,
así como la formación para la recopilación de evidencias, para que

205
CAP 04_CAP 1 24/03/14 19:20 Página 206

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

puedan ser utilizadas en los procesos legales en el caso de que


sea necesario.

Para esto el equipo auditor puede obtener evidencias por medio de:

• La verificación de que el procedimiento de gestión de incidentes


contempla:
— Una priorización por niveles de criticidad que permita dar
una respuesta rápida y eficaz. Estos niveles pueden clasifi-
carse en función del incidente:
* Fallos en sistemas o pérdida del servicio.
* Software malicioso.
* Ataques de denegación de servicio.
* Uso indebido de los sistemas de información.
* Otros.
• La verificación de si los procedimiento de comunicación de inci-
dentes son apropiados, así como el de respuesta y escalado de
incidentes asociado, y contempla entre otros aspectos:
— El proceso de retroalimentación para informar a las perso-
nas que han comunicado un incidente de seguridad de los
resultados después de haberlo resuelto.
— La formación a todo el personal sobre la necesidad de
comunicación de un evento o incidente de seguridad, y los
procedimientos aplicables.
— El procedimiento de actuación ante un evento o incidente de
seguridad.
— El procedimiento sancionador aplicable a los empleados en
el caso de lleven a cabo un ataque intencionado.
• La verificación del registro de incidencias.
• Entrevistas con el personal (interno y externo).
• El análisis e identificación de las causas que provocaron el inci-
dente.
• La contención del incidente.
• La planificación e implantación de acciones correctivas.

206
CAP 04_CAP 1 24/03/14 19:20 Página 207

Proyecto de Auditoría de un SGSI

• La comunicación con las personas afectadas o implicadas en la


recuperación del incidente.
• La verificación de la existencia de un procedimiento donde se
definan las directrices para la clasificación de los incidentes, así
como de la prioridad, impacto y alcance del mismo.
• La verificación del registro de los resultados de la evaluación y
de la decisión tomada.
• La verificación de la respuesta ante los incidentes incluye por
ejemplo:
— La recopilación de pruebas tan pronto como sea posible
después del incidente.
— La realización de análisis forense, si fuera necesario.
— El escalado de comunicación del incidente.
— El registro de todas las actividades de respuesta para su
análisis posterior.
— La comunicación de la existencia de un incidente de seguri-
dad de la información o cualquier detalle relevante de los
mismos a otras personas u Organizaciones internas y exter-
nas que tengan la necesidad de conocerlo.
— El cierre formal de la incidencia.
• La verificación de que se aprende de los incidentes y se implan-
tan medidas de seguridad adecuadas.
• La verificación de la existencia de pistas de auditoría y otras evi-
dencias y su almacenamiento de forma segura.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 13. Revisión de la gestión de los incidentes de
seguridad de la información:

207
CAP 04_CAP 1 24/03/14 19:20 Página 208

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.14. Actividad 14. Revisión de la gestión de la continuidad del negocio

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada protege los procesos críticos de negocio de
los efectos de un posible incidente grave y garantiza su reanuda-
ción en el momento oportuno.

14.1. Tarea 1: Comprobación de la información en la continuidad del


negocio: El equipo auditor debe comprobar que la Organización
auditada ha definido e implantado un procedimiento para la gestión
de la continuidad del negocio y así minimizar los efectos que se
pudieran derivar de un incidente hasta un nivel aceptable.

El equipo auditor debe comprobar que la Organización auditada ha


incluido en un plan de continuidad del negocio los aspectos relati-
vos a la seguridad de la información. Además, debe comprobar que
ha identificado los distintos escenarios de amenazas y la probabi-
lidad de ocurrencia, así como las consecuencias que podrían pro-
ducir en los activos relacionados con la información y los sistemas
que la almacenan, procesan y transmiten.

208
CAP 04_CAP 1 24/03/14 19:20 Página 209

Proyecto de Auditoría de un SGSI

Tan importante como verificar que el plan de continuidad de nego-


cio es correcto, el equipo auditor debe comprobar que el plan de
restauración de los sistemas después de una interrupción, sea el
idóneo y garantice la disponibilidad de la información en el tiempo
determinado.

El equipo auditor debe tener en cuenta que la Organización puede


tener un único plan de continuidad o varios bajo un mismo marco.
En este caso, el equipo auditor debe comprobar que los planes son
además de correctos, coherentes entre ellos.

La existencia de un plan de continuidad de negocio no garantiza


que sea efectivo, por esto, el equipo auditor debe comprobar que
la Organización auditada ha planificado y realizado las pruebas
necesarias para verificar que el plan es correcto y se identifican
mejoras en el mismo.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La verificación de que el plan de continuidad de negocio con-


templa entre otros:
— Los riesgos a los que está expuesta la Organización.
— La identificación y priorización de los procesos críticos del
negocio.
— La identificación de todos los activos que intervienen en los
procesos críticos de negocio identificados.
— Las consecuencias derivadas de las interrupciones causa-
das por los incidentes de seguridad.
— La viabilidad de contratar un seguro.
— La identificación de controles preventivos ante incidentes.
— La garantía de mantener la seguridad de las personas y la
protección de los recursos que tratan información crítica de
la Organización.
— Las pruebas y actualizaciones periódicas del plan en base a
los resultados obtenidos.

209
CAP 04_CAP 1 24/03/14 19:20 Página 210

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

— La garantía de que se incluyen los nuevos procesos críticos


en el plan.
— La identificación de todas las responsabilidades que inter-
vienen en el plan.
— Los procedimientos de recuperación y restauración de las
actividades del negocio, así como la disponibilidad de la
información en el rango de tiempo requerido.
— Las posibles dependencias externas del negocio.
— La formación adecuada para el personal sobre los procesos
y procedimientos acordados, incluyendo la gestión de situa-
ciones de crisis.
• La verificación de que el plan de continuidad de negocio ha iden-
tificado distintos escenarios de amenazas que pudieran provo-
car la interrupción de los servicios y se ha determinado la pro-
babilidad de materialización de dichas amenazas, así como los
efectos que derivados.
• La verificación de que se planifican y se realizan las pruebas nece-
sarias para verificar la idoneidad del plan. Dicha planificación debe
identificar: quién, cómo y cuándo se realizarán las pruebas.
• La verificación de que se utilizan distintas técnicas para com-
probar que el plan funcionará correctamente. Estas pruebas
pueden ser:
— Simulaciones (especialmente para formar a las personas en
sus funciones de gestión de crisis o después un incidente).
— Pruebas de recuperación técnica (garantizar que los siste-
mas de información pueden restaurarse de forma efectiva)
— Pruebas de recuperación en un sitio alternativo (hacer fun-
cionar los procesos del negocio al mismo tiempo que las ope-
raciones de recuperación fuera del emplazamiento principal).
— Pruebas a instalaciones y servicios de los proveedores
(garantizar que los servicios externos cumplirán el compro-
miso contratado).
— Ensayos generales (probar que la Organización, el personal,
los equipos, las instalaciones y los procesos pueden afron-
tar las interrupciones).

210
CAP 04_CAP 1 24/03/14 19:20 Página 211

Proyecto de Auditoría de un SGSI

• La verificación de que se registran los resultados de las pruebas


y se proponen acciones de mejora cuando sea necesario.
• La verificación de que el plan se actualiza de forma periódica o
cuando haya cambios, por ejemplo de:
— La estrategia del negocio.
— Los procesos.
— Los riesgos.
— El personal con responsabilidades en el plan.
— Direcciones o números de teléfono de contacto.
— La ubicación o las instalaciones.
— La legislación.
— Los proveedores externos.

14.2. Tarea 2: Comprobación de las redundancias: El equipo auditor


debe comprobar que el Organización auditada asegura la disponi-
bilidad de los servicios de información.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La revisión de si el plan de continuidad de negocio contempla


aspectos como:
— Sitios alternativos de proceso de datos.
— Elementos HW y SW redundantes.
— Un listado de personas formadas en distintas disciplinas
que puedan sustituir a otras.
— Copias de seguridad en sitios alternativos.
— Otros que se especifiquen en el plan de continuidad de
negocio.

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 14. Revisión de la gestión de la continuidad del
negocio:

211
CAP 04_CAP 1 24/03/14 19:20 Página 212

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

A.15. Actividad 15. Revisión del cumplimiento

Durante esta actividad el equipo auditor debe comprobar que la


Organización auditada ha definido e implantado los controles opor-
tunos para evitar el incumplimiento de las leyes y otras obligacio-
nes legales y contractuales, así como de otros requisitos relativos
a la seguridad de la información.

15.1. Tarea 1: Comprobación del cumplimiento de los requisitos lega-


les: El equipo auditor debe comprobar que la Organización audita-
da ha definido las medidas necesarias para identificar, documentar
y mantener actualizada la legislación aplicable y contractual que es
de aplicación a cada sistema de información.

Además, el equipo auditor debe comprobar que la Organización


auditada ha definido e implantado los procedimientos adecuados
para garantizar el cumplimiento legal y contractual relativo al uso de
material sujeto a derechos de propiedad intelectual y el uso de pro-
ductos software.

212
CAP 04_CAP 1 24/03/14 19:20 Página 213

Proyecto de Auditoría de un SGSI

El equipo auditor debe comprobar que los documentos sensibles estén


protegidos contra la pérdida, destrucción y falsificación de acuerdo con
los requisitos legales, reglamentarios, contractuales y del negocio.

Otro aspecto que debe comprobar el equipo auditor es que la


Organización auditada garantiza la protección y la privacidad de los
datos en base a la legislación vigente y a las cláusulas contractua-
les pertinentes.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• Entrevistas con el personal.


• Entrevistas con el personal con funciones de asesoramiento
jurídico.
• La verificación de que la política de cumplimiento de derechos
de propiedad intelectual define el uso tanto de los productos
software, documentos, derechos de diseño, marcas registradas,
patentes y licencias de código fuente.
• La verificación de que la adquisición de software se realiza a tra-
vés de proveedores conocidos y que no se infringen los dere-
chos de autor.
• La verificación de que se ha informado al personal de la exis-
tencia de la política de protección de los derechos de propiedad
intelectual, y la existencia de medidas disciplinarias a cualquier
usuario que quebrante dicha políticas.
• La verificación de que se mantiene un registro de los activos que
requieran la protección de derechos de propiedad intelectual.
• La verificación de la existencia de licencias software y su corres-
pondencia con el inventario de activos.
• La verificación de la implantación de controles para no exceder
el número máximo de usuarios permitidos con licencia.
• La verificación mediante inspección ocular de que se instalan
únicamente productos con licencias y software actualizado.
• La verificación de la utilización de herramientas de auditoría ade-
cuadas.

213
CAP 04_CAP 1 24/03/14 19:20 Página 214

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La verificación de que no se realizan copias parciales o totales


de libros, artículos u otros documentos que estén protegidos
por derechos de autor y no se disponga de la autorización perti-
nente.
• La verificación de que los procedimientos de conservación,
almacenamiento, manipulación y eliminación de documentos y
registros e información son adecuados y cumplen la política de
gestión de activos.
• La verificación de que se han implantado las medias adecuadas
para evitar la pérdida, la destrucción y la falsificación de docu-
mentación y registros, y cumplen la política de gestión de activos.
• La verificación de que se han implantado las medidas de segu-
ridad necesarias para el cumplimiento de la legislación vigente
en materia de protección de datos.
• La verificación de que se han implantado las medidas de segu-
ridad necesarias para el cumplimiento de la legislación vigente
en materia de controles criptográficos.

Tarea 2: Comprobación de las revisiones de seguridad de la infor-


mación: El equipo auditor debe comprobar la Organización audita-
da realiza revisiones independientes a intervalos planificados o
siempre que se produzcan cambios significativos en el alcance del
SGSI.

El equipo auditor debe comprobar que la Organización auditada ha


definido e implantado las medidas de seguridad necesarias para
cumplir con las políticas y normas de seguridad de la propia
Organización.

El equipo auditor debe comprobar que los directores de los depar-


tamentos de la Organización auditada se aseguran de que, dentro
de su área de responsabilidad, se aplican correctamente todos los
procedimientos de seguridad, con el fin de cumplir las políticas de
seguridad.

214
CAP 04_CAP 1 24/03/14 19:20 Página 215

Proyecto de Auditoría de un SGSI

El equipo auditor debe comprobar que la Organización auditada


comprueba periódicamente que los sistemas de información cum-
plen lo establecido por las políticas de seguridad.

Para esto, el equipo auditor puede obtener evidencias por medio de:

• La revisión de los planes de auditoría.


• La revisión de los informes de auditorías.
• Entrevistas con los directores responsables de los departamentos.
• Entrevistas con el personal técnico.
• La verificación de que en los informes de revisión de cumpli-
miento de las políticas de seguridad por parte de los directores
responsables de los departamentos se contemplan las:
— Conformidades de cumplimiento.
— No conformidades de cumplimiento identificando:
* Las causas del incumplimiento.
* La evaluación de la necesidad de medidas adicionales
para garantizar que no vuelva a producirse el incumpli-
miento.
* La determinación de la implantación de acciones correc-
tivas.
* La revisión de las medidas correctivas adoptadas ante-
riormente.
• La verificación de que se llevan a cabo revisiones técnicas para
verificar que los controles de hardware y software se han implan-
tado correctamente en los sistemas operativos.
• La revisión de los informes técnicos llevados a cabo (test de
penetración, análisis de vulnerabilidades y otros que haya con-
siderado oportunos la Organización auditada).

A continuación se incluye un esquema resumen de las tareas realiza-


das durante la actividad 15. Revisión del cumplimiento:

215
CAP 04_CAP 1 24/03/14 19:20 Página 216

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

4.4. CIERRE DE LA AUDITORÍA DEL SGSI

Una vez que han finalizado todas las actividades y tareas descritas en
el plan de auditoría, el equipo auditor realiza el informe de auditoría que
será distribuido a la Organización auditada para su aprobación.

Dado que un SGSI se audita en dos fases, cuando el equipo auditor


ha finalizado las actividades y tareas de cada una de las fases, elabora
el informe correspondiente, lo presenta a la Organización auditada, se
aprueba por esta y se distribuye a las personas que crea oportuno la
Organización auditada y se da por finalizada la auditoría.

El equipo auditor debe tener en cuenta la clasificación de la informa-


ción del informe y su contenido o cualquier otra información obtenida
durante la auditoría, no deben ser revelados sin la a probación explícita
de las partes, salvo que sea requerido por la Ley.

216
CAP 04_CAP 1 24/03/14 19:20 Página 217

Proyecto de Auditoría de un SGSI

4.5. PARTICULARIDADES DE LA AUDITORÍA INTERNA

La auditoría de primera parte se puede definir como aquella realizada


por la Organización a sus propios sistemas y procedimientos, dicha audi-
toría es ejecutada dentro de una Organización por sus propios auditores.
Es lo que habitualmente llamamos auditoría interna.

Como requisitos de esta auditoría son los indicados en la cláusula 6 de


la norma ISO 27001: “La Organización debe realizar auditorías internas
del SGSI a intervalos planificados, para determinar si los objetivos de con-
trol, los controles, los procesos y los procedimientos de este SGSI”:

a) Cumplen los requisitos de esta norma internacional, así como la legis-


lación y normativa aplicables.
b) Cumplen los requisitos de seguridad de la información identificados.
c) Se implantan y se mantienen de forma efectiva.
d) Dan el resultado esperado.

Además se especifica que debe elaborarse un procedimiento docu-


mentado donde se establezca que las auditorías se deben planificar y
además se deben definir los criterios, el alcance, el método de auditoría,
las responsabilidades, y criterios de aplicación en la auditoría.

4.5.1. La auditoría interna desde el punto de vista de la


Organización

La Organización cuando realiza una auditoría interna debe tener como


objetivo el asegurar el mantenimiento, desarrollo y mejora del sistema de
gestión de seguridad de la información que ha implantado.

Las auditorías internas efectuadas a intervalos planificados son un


componente indispensable para verificar la efectividad del sistema de
gestión y así debe verlo la Organización auditada, más allá de verlo como
un examen, es identificar aquellos puntos en los que o bien no se está

217
CAP 04_CAP 1 24/03/14 19:20 Página 218

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

cumpliendo lo que dicta la norma ISO 27001, o bien se puede mejorar y


afrontar con más probabilidad de éxito la auditoría de certificación.

Para comprobar la calidad del SGSI y verificar su correcta implanta-


ción, la Organización auditada deberá efectuar la correspondiente audi-
toría interna de acuerdo con el Plan Anual de Auditorías aprobado por la
Organización.

Este plan de auditorías debe incluir todos los procesos de negocio


implicados en el alcance y debe contemplar tanto el sistema documental
como el cumplimiento de las medidas implantadas. Por lo tanto, el pro-
pio plan de auditorías debe contener:

• Las actividades y/o procesos de negocio que deben ser auditados,


indicando la fecha de dichas auditorías.
• Los auditores que intervienen (denominado equipo auditor). Estos
deben ser personas cualificadas e independientes del área a auditar.
• Los documentos y controles a auditar.

En sí, la auditoría no se debería limitar al examen de las evidencias


incorporadas en los registros del control del SGSI, sino que se debería
extender también a comprobar el funcionamiento de las medidas/con-
troles de seguridad de naturaleza técnica implantadas en los departa-
mentos y servicios de la Organización como pueden ser entre otros aque-
llos destinados a reducir las vulnerabilidades de los sistemas de infor-
mación.

Para realizar la auditoría y revisión periódica del cumplimiento del


SGSI, se pueden tomar como base hechos e informes de distinta natu-
raleza entre los que se encuentran:

• Documentación e informes sobre el propio SGSI.


• Valoración del cumplimiento.
• Cambios en la infraestructura de comunicaciones o sistemas.
• Resultados de las auditorías efectuadas con anterioridad.

218
CAP 04_CAP 1 24/03/14 19:20 Página 219

Proyecto de Auditoría de un SGSI

• Información suministrada por los usuarios.


• Modificaciones en la situación original del riesgo.
• Indicadores de funcionamiento de los controles/medidas de seguridad.
• Recomendaciones de mejora y perfeccionamiento.

El alcance de la auditoría puede abarcar todo el alcance del SGSI o


parte de él. La auditoría se puede planificar por departamentos o áreas,
con una adecuada planificación temporal, teniendo en cuenta que es
necesario que en un ciclo de tres años, el alcance de las auditorías
cubran como mínimo la totalidad del alcance del SGSI.

La Organización debe nombrar un equipo auditor y siempre que sea


posible debería estar inhabilitado para auditar, el departamento o área
en el que trabajan habitualmente. Cuando nos referimos a “siempre que
sea posible” es porque habrá empresas de un tamaño reducido en las
que los perfiles sean multidisciplinares y esta independencia puede que
no llegue a ser total.

En cualquier caso, el auditor interno debe contar con las habilidades


y la formación necesarias para acometer las responsabilidades que le
han sido asignadas y verificar el funcionamiento de las medidas/contro-
les de seguridad de carácter técnico implantadas en los sistemas de la
Organización.

La auditoría interna debería contemplar al menos:

• La revisión de los capítulos 4 al 8 de la norma ISO 27001


• La revisión del cumplimiento de los capítulos de la norma, documen-
tando las pruebas de cumplimiento y adjuntando evidencias para cada
uno de los capítulos.
• La revisión del grado de implantación de los controles en función de
las salvaguardas implantadas.

De este modo se garantiza que:

219
CAP 04_CAP 1 24/03/14 19:20 Página 220

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Se ha comprobado si se han generado nuevas amenazas que afecten


a los activos de la Organización.
• Se ha verificado si los procedimientos establecidos en el SGSI se uti-
lizan y son adecuados.
• Se ha examinado si los controles/medidas de seguridad adoptados
son suficientes.
• Se ha analizado si los registros de incidencias y control funcionan
correctamente.
• Se ha comprobado que se han alcanzado los objetivos de la Política
de Seguridad de la Información.
• Se ha determinado si el SGSI se ajusta a las especificaciones de la
norma ISO 27001.
• Se ha comprobado si el SGSI está implantando, funciona eficazmente
y se mantiene.

Una vez que la auditoría ha finalizado, el auditor debe elaborar un infor-


me con los resultados de la misma. Este informe tendrá una estructura
que, como mínimo, debería contener los siguientes apartados:

• El título, el destinatario del informe, la fecha en que se concluye y la


de entrega a la dirección general.
• La adecuación de las medidas/controles al SGSI o su conformidad.
• La inadecuación de las medidas/controles implantados o las no con-
formidades debidamente especificadas.
• Los hechos, observaciones en los que se basan las no conformidades
detectadas.
• El conjunto de medidas correctoras propuestas para corregir las no
conformidades.
• El coste de las medidas correctoras y los efectos técnicos y organiza-
tivos de su implantación.
• Las medidas preventivas que mejoren el funcionamiento del SGSI en
su caso.
• Las conclusiones en cuanto a la adecuación o no del SGSI.
• Las personas autorizadas a acceder al informe de auditoría de seguri-
dad.

220
CAP 04_CAP 1 24/03/14 19:20 Página 221

Proyecto de Auditoría de un SGSI

El informe de auditoría deberá incorporar un conjunto de medidas correc-


toras que se propongan para corregir las no conformidades. Tras el examen
de los informes de auditoría, quien tenga la responsabilidad definida debe-
rá aprobar un plan de acción que incluirá las acciones a desarrollar.

La Organización auditada designará a quien considere oportuno, trans-


mitir la decisión al responsable del departamento, área o activo afectado,
para que se responsabilice de la implantación de las medidas indicadas
en el plan de acción aprobado y en el tiempo fijado. Una vez que las medi-
das correctoras se encuentren implantadas, el responsable del departa-
mento debe comunicar su implantación al responsable de seguridad.

La Organización auditada designará a quien corresponda verificar la


adopción de las medidas por el departamento afectado, para que las veri-
fique y proceda a cerrar la no conformidad de forma total o parcial.

El informe de auditoría debe comunicarse de acuerdo a lo definido en


el procedimiento documentado, no obstante como norma general, se ele-
vará a la dirección general, quien debe evaluarlo y realizar las considera-
ciones oportunas. A efectos de la auditoría, los hechos, las informacio-
nes y otras evidencias, tomadas como base para revisar el SGSI los
comunican al departamento de seguridad (área de auditoría informática)
y a los departamentos/servicios afectados. La dirección general también
debería recabar, en cualquier momento, la información o los hechos per-
tinentes a los departamentos/servicios a través del dpto. de seguridad
o a quien hayan delegado sus funciones.

En aquellos casos en los que los resultados de la auditoría no sean


satisfactorios, esta debería repetirse antes de los tres meses a partir de
la fecha del informe de auditoría, bien en su totalidad o en la parte con-
cerniente al departamento/servicio en el que se hayan detectado las no
conformidades.

Incluso puede darse el caso de que el responsable de seguridad deci-


da planificar alguna auditoría especial o extraordinaria en función de:

221
CAP 04_CAP 1 24/03/14 19:20 Página 222

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• La criticidad del área afectada.


• El resultado de auditorías anteriores.
• Los cambios producidos en relación con personas.
• Los cambios en la evaluación de riesgos y políticas, u otros hechos
relevantes.

O cuando:

• Se produzcan cambios significativos en el sistema de gestión.


• Se sospeche o se tenga la certeza de que el nivel de cumplimiento de
los requisitos legales y normativos está comprometido.
• Se desee verificar la adecuada implantación de acciones correctivas.
• Se produzcan situaciones que así lo requieran, por ejemplo: inciden-
tes graves de seguridad, eventos de entorno con posibles consecuen-
cias graves, daños a la imagen, u otros impactos.

Cabe destacar que, muchas Organizaciones que no disponen de un


departamento específico de auditoría, optan por externalizar la auditoría
interna a un proveedor o empresa externa, de este modo garantizan la
independencia de todo el proceso de auditoría.

4.5.2. La auditoría interna desde el punto de vista del auditor


externo

Como requisito obligatorio que establece la norma ISO 27001, el audi-


tor externo debe revisar si la planificación y resultados o conclusiones de
la auditoría interna se han realizado, y así determinar la efectividad de la
misma.

En ocasiones, un auditor externo, basándose en la revisión de la pla-


nificación y de los resultados de la auditoría interna y como resultado
directo de los hallazgos y acciones de mejora, puede modificar su plan
de auditoría si no se han auditado de forma adecuada ciertos procesos
clave, así mismo la planificación de la auditoría puede verse modificada

222
CAP 04_CAP 1 24/03/14 19:20 Página 223

Proyecto de Auditoría de un SGSI

o el muestreo puede reducirse o aumentarse de acuerdo a las conclu-


siones de dicho informe.

La tarea del auditor externo a la hora de revisar cómo se ha efectua-


do la auditoría interna es determinar que tanto el programa de auditoría
como la metodología empleada están basados en:

• La política de seguridad vigente en la Organización.


• Los objetivos y las metas definidas en la Organización.
• Los programas de gestión de la Organización.
• Los controles operacionales implementados.

Para conseguirlo, es fundamental que el auditor externo realice un


seguimiento permanente del alcance y la aplicación del Sistema de
Gestión de la Organización para mantener un constante "punto de
referencia" durante la auditoría. El auditor externo también necesita
conocer la política, los objetivos y las metas como "puntos de refe-
rencia" adicionales durante la revisión del desempeño de la auditoría
interna.

Existen ciertos aspectos a evaluar que se deben realizar siempre inde-


pendientemente de las características y circunstancias particulares de la
Organización auditada:

• Evaluar si la formación de los auditores internos es adecuada para rea-


lizar la auditoría y si es adecuada la base metodológica de la auditoría.
• Evaluar si el programa de auditoría abarca todo el alcance del siste-
ma, se adapta a los cambios cuando las circunstancias lo determinen
y demuestra que los hallazgos de las auditorías previas han sido de
utilidad. Del mismo modo se debe evaluar si la preparación y planifi-
cación es correcta.
• Evaluar la objetividad e imparcialidad de los auditores y si los resulta-
dos de la auditoría se documentan completamente registrando tanto
los hallazgos positivos como los negativos. Estos hallazgos deben ser
acordes con los criterios de clasificación de la auditoría.

223
CAP 04_CAP 1 24/03/14 19:20 Página 224

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Evaluar si los informes de auditoría proporcionan a la alta dirección


una herramienta adecuada donde se valore la mejora y efectividad del
sistema.

Todos estos aspectos requieren que las auditorías internas de una


Organización deban enfocarse en el Sistema de Gestión. Implícitamente
esto significa que una Organización debe asegurarse de que el personal
asignado a las auditorías internas esté debidamente entrenado y for-
mado en las actividades/áreas de las que son responsables en la audi-
toría.

4.6. PARTICULARIDADES DE LA AUDITORÍA EXTERNA

Una vez implantado el SGSI, antes de proceder a realizar la auditoría


externa, debe madurar el tiempo necesario para que así permita generar
los suficientes registros y el equipo auditor pueda obtener las evidencias
necesarias para verificar que el sistema está implantado.

4.6.1. Auditoría de certificación

La certificación de un SGSI proporciona una visión independiente de


si dicho sistema es conforme con los requisitos de la norma a auditar,
es consistente con la política y sus objetivos y si está implantado de
forma efectiva.

La auditoría de certificación de la norma ISO 27001 se realiza en dos


fases: fase I y fase II.

La fase I: Es una primera fase de revisión documental, en ocasiones


no es necesario visitar las instalaciones dado que se analiza que la base
documental que ha desarrollado la Organización auditada cumpla con los
requisitos de la norma ISO 27001. Durante la fase I se realiza:

224
CAP 04_CAP 1 24/03/14 19:20 Página 225

Proyecto de Auditoría de un SGSI

• Un primer diagnóstico del estado y comprensión del cliente respecto a


los requisitos de la norma, en particular con respecto los objetivos, la
identificación de indicadores de desempeño, procesos, y operatividad
del sistema de gestión.
• La recolección de la información necesaria respecto al alcance del sis-
tema de gestión, procesos y localizaciones del cliente, y relacionados
con aspectos legales, contractuales o de obligatorio cumplimiento.
• La revisión de los recursos disponibles para la auditoría fase II y se
acuerdan los detalles de la auditoría fase II.
• La verificación de que las auditorías internas y la revisión por la direc-
ción están siendo planificadas y realizadas, y si el nivel de implanta-
ción se encuentra preparado para la auditoría fase II.
• Los hallazgos de la auditoría fase I son documentados y distribuidos
al cliente. Estos deberían incluir la notificación de cualquier área que
probablemente podría ser clasificada como no conformidad durante la
auditoría fase II.

La fase II: durante esta fase se pretende evaluar la implantación, y


efectividad del sistema de gestión. La auditoría fase II debe ser realiza-
da en las instalaciones del cliente. Durante esta fase se realiza, entre
otros:

• La revisión del desempeño, monitorización, medición y reporte de los


objetivos y metas, y el cumplimiento legal.
• La revisión de la auditoría interna y la revisión por la dirección.
• La revisión de las conexiones entre los requisitos normativos, la polí-
tica, el desempeño de objetivos y metas, y cualquier requisito legal
aplicable, responsabilidades, competencia del personal, operaciones,
procedimientos, desempeño de hallazgos de auditorías internas y sus
conclusiones.

225
CAP 04_CAP 1 24/03/14 19:20 Página 226

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

4.7. REGISTRO Y CERTIFICACIÓN

Existen reglas y regulaciones estrictas establecidas para la realización


de las auditorías de tercera parte que son supervisadas por organismos
de acreditación a través del International Accreditation Forum (IAF).

En el Reino Unido, la entidad nacional de acreditación es “The United


Kingdom Accreditation Service" (UKAS) que informa directamente al
departamento de Comercio e Industria del Gobierno. En Estados Unidos,
el RAB cumple un papel similar, así como el JAB en Japón. En España
esta función la cumple ENAC (Entidad Nacional de Acreditación).

La función más importante de un organismo de acreditación nacional


es acreditar Organizaciones (entidades de certificación) para certificar o
registrar otras Organizaciones en su cumplimiento de las Normas
Nacionales e Internacionales.

El organismo de acreditación acuerda el alcance de la acreditación


con el organismo de certificación. Es el organismo de certificación el
único que puede emitir certificados específicos dependiendo del sector
industrial.

La norma UNE-EN ISO/IEC 17021: Evaluación de la conformidad.


Requisitos para los organismos que realizan la auditoría y la certificación
de sistemas de gestión. (ISO/IEC 17021:2011), establece los principios
y requisitos para la competencia, consistencia e imparcialidad de las
auditorías y la certificación de los sistemas de gestión. Además, exige a
los organismos de certificación, implantar un ciclo de certificación de
tres años con una auditoría de renovación de certificación.

También hace distinción entre la auditoría de la Fase I y la auditoría de


la fase II y exige que las acciones correctivas propuestas por el auditado
eliminen las no conformidades menores levantadas en la fase II, para
que hayan sido revisadas y aceptadas antes de que sea emitido el certi-
ficado de registro.

226
CAP 04_CAP 1 24/03/14 19:20 Página 227

Proyecto de Auditoría de un SGSI

Finalmente y para conseguir la acreditación, el organismo de certifi-


cación debe:

• Tener un sistema de control formal y documentado.


• Ser auditado por un organismo de acreditación.
• Mantener registros de cada auditor.
• Demostrar conocimiento y experiencia de aplicación en el sector.
• Tener auditores jefe certificados por un ente aprobado.

4.7.1. Mantenimiento de la certificación

Una vez obtenida la certificación inicial, la entidad certificadora reali-


za auditorías de seguimiento para comprobar la efectividad del SGSI. La
duración de estas auditorías es menor que una auditoría inicial y se enfo-
ca a partes específicas del sistema. Por tanto, el certificado puede exa-
minar áreas o procesos específicos con más detalle. La intención es que
durante el periodo de registro todo el sistema de gestión de seguridad de
la Organización se haya auditado de esa forma.

El programa de la auditoría de seguimiento debe contemplar entre


otros las auditorías internas y la revisión por la dirección, así como la revi-
sión de las no conformidades identificadas en las auditorías anteriores y
las acciones de mejora continua.

Las auditorías de seguimiento son llevadas a cabo al menos una vez


al año durante dos años, el tercer año se realiza una auditoría de certifi-
cación completa.

El ciclo de auditorías de certificación es de tres años:

227
CAP 04_CAP 1 24/03/14 19:20 Página 228

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

228
CAP 05_CAP 1 24/03/14 19:23 Página 229

CAPÍTULO 5.

TÉCNICAS DE AUDITORÍA
CAP 05_CAP 1 24/03/14 19:23 Página 230
CAP 05_CAP 1 24/03/14 19:23 Página 231

Técnicas de Auditoría

5.1. EL INFORME DE AUDITORÍA

El informe de auditoría es el producto final del proyecto de auditoría,


es la herramienta utilizada por el equipo auditor para informar de sus
hallazgos, conclusiones y recomendaciones.

No existe un único formato para un informe de auditoría válido, cada


Organización o auditor elabora sus informes siguiendo las políticas y los
procedimientos de auditoría de la Organización.

El auditor debe estar capacitado para elaborar los informes de audi-


toría siguiendo las directrices específicas aplicables a cada proyecto de
auditoría, pero en todo caso el informe debe comunicar con precisión y
claridad los hallazgos, conclusiones y recomendaciones del auditor.

Como se ha indicado no existe un único formato específico para un


informe de auditoría, sin embargo, como mínimo el informe deberá tener
el siguiente contenido:

• La identificación de la Organización y los procesos auditados.


• La identificación del cliente de la auditoría.
• Los objetivos, alcance, exclusiones e itinerario acordado.
• La identificación de los miembros del equipo auditor.
• La fecha(s) y lugar(es) donde se realizó la auditoría.
• La identificación de los representantes claves del auditado y cualquier
otra persona que participe en la auditoría.
• Una declaración de la naturaleza confidencial de los contenidos del
informe de auditoría.
• Lista de distribución para el informe de auditoría.
• Una introducción al informe, que incluya el objetivo, alcance y limita-
ciones de la auditoría, el periodo cubierto por la auditoría y una decla-
ración general sobre el carácter y la extensión de los procedimientos
de auditoría realizados y los procesos examinados durante la audito-
ría, así como, la metodología de auditoría y directrices que se han
seguido durante su realización.

231
CAP 05_CAP 1 24/03/14 19:23 Página 232

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Los hallazgos y evidencias de auditoría, que se pueden agrupar en


anexos según sus características y su aplicabilidad.
• Las conclusiones y la opinión del auditor respecto a si los controles y
procedimientos examinados durante la auditoría son los adecuados, y
los riesgos potenciales reales identificados como consecuencia de las
deficiencias detectadas.
• Las reservas o calificaciones del auditor en relación a la auditoría.
Estas pueden declarar que se encontró que los controles o procedi-
mientos examinados son adecuados o inadecuados. El balance del
informe de auditoría debería respaldar dicha conclusión y toda la evi-
dencia recopilada durante la auditoría debería proveer un nivel aún
mayor de respaldo para las conclusiones de auditoría.
• Los hallazgos detallados y las recomendaciones específicas para cada
uno de ellos. El auditor debe tomar la decisión de incluir o no los
hallazgos específicos en el informe de auditoría. Esta decisión debe
tomarla en función de la materialidad de los hallazgos y de quién esté
previsto que sean los destinarios del informe de auditoría. Un informe
de auditoría dirigido al Comité de Auditoría de la Junta Directiva, por
ejemplo, puede no incluir hallazgos que son importantes solamente
para la gerencia local pero que tienen poca relevancia para el control
de la Organización a nivel general. La decisión de qué se debe incluir
en los distintos niveles de los informes de auditoría depende del uso
que esté previsto darle al mismo, en función de las directrices de la
alta dirección.
• Lista de los procesos auditados, con indicación de las trabas y difi-
cultades encontradas durante la realización de la auditoría.
• Constancia expresa de que los objetivos de la auditoría se han ajus-
tado al alcance de la auditoría y se ha cumplido con el itinerario y la
planificación de la auditoría previsto.
• El plan de seguimiento en el caso de que se haya acordado realizarlo.
• Cualquier divergencia de opinión entre el equipo auditor y los audita-
dos que no haya sido resuelta.
• Recomendaciones para la mejora, si se incluye un plan de seguimien-
to de auditoría.

232
CAP 05_CAP 1 24/03/14 19:23 Página 233

Técnicas de Auditoría

El auditor jefe debe tomar la decisión final acerca de qué incluir o


excluir del informe de auditoría. El informe de auditoría debe ser un infor-
me equilibrado, que describa no solamente los aspectos negativos en tér-
minos de hallazgos sino también comentarios constructivos sobre los
procedimientos y controles en que se encuentren, tanto efectivamente
implantados, como en proceso de mejora.

Hay que destacar la importancia de la independencia del auditor


durante la elaboración del informe de auditoría.

El informe debe incluir todos los hallazgos de auditoría significativos,


y cuando sea necesario se debe incluir una descripción detallada del
mismo, así como el riesgo asociado a dicho hallazgo.

5.1.1. Preparación del informe de auditoría

Independientemente del tipo de auditoría (interna o externa) todo el


trabajo realizado por el equipo auditor debe resumirse en un informe, que
será preparado, aprobado y distribuido a quien corresponda, general-
mente será a la dirección o quien sea el interlocutor de la empresa audi-
tada con el equipo auditor.

El auditor jefe es el responsable de la elaboración y exactitud del infor-


me de auditoría. Todo informe de auditoría debe proporcionar un registro
exacto de la auditoría y puede contener conclusiones de la auditoría en
temas como los siguientes, siempre que estén en los objetivos y en el
alcance:

• Determinar la conformidad del sistema de gestión al criterio de la audi-


toría.
• La efectiva implantación del sistema de seguridad de la información.
• La habilidad de la dirección en la revisión de los procesos para ase-
gurar la continua efectividad y eficiencia del sistema de gestión.

233
CAP 05_CAP 1 24/03/14 19:23 Página 234

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

El auditor jefe es el responsable de la preparación y contenido del


informe de auditoría. Dicho informe debe ser: completo, conciso, preciso
y claro.

5.1.2. Aprobación del informe

El informe de auditoría se debe elaborar en el periodo de tiempo acor-


dado. Si no es posible, se debe informar al cliente de la auditoría de los
motivos del retraso y se debe fijar una fecha para la revisión del informe.

En el informe de la auditoría debe constar la fecha y la firma del audi-


tor jefe y se debe revisar y aprobar tal como establecen los procedimien-
tos de auditoría.

5.1.3. Finalización de la auditoría

Una vez que han finalizado todas las actividades descritas en el plan
de auditoría y el informe es aprobado y distribuido, la auditoría se puede
dar por finalizada.

Debe tenerse en cuenta la clasificación de la información del informe


y su contenido o cualquier otra información obtenida durante la auditoría,
para establecer las medidas que garanticen la confidencialidad tanto del
informe de auditoría como de la información a la que se haya tenido acce-
so durante la realización de la auditoría.

5.2. LAS ENTREVISTAS

Una entrevista la podemos definir como un intento sistemático de


recoger información de otra persona, a través de una comunicación
interpersonal que se lleva a cabo por medio de una conversación estruc-
turada, se trata de un encuentro que se realiza “cara a cara” entre la

234
CAP 05_CAP 1 24/03/14 19:23 Página 235

Técnicas de Auditoría

persona responsable de obtener la información y la persona de la que


se trata de obtener la información.

Las entrevistas constituyen un medio para obtener la información que


se necesita sobre un determinado tema de las personas que tienen cono-
cimiento sobre el mismo.

Entrevistar es una técnica que nos permite evaluar el comportamien-


to del personal, examinar sus habilidades de comunicación, así como
verificar la información de la que ya disponemos y examinar los conoci-
mientos, y para obtener información adicional.

Para alcanzar los objetivos previstos es necesario efectuar una plani-


ficación cuidadosa de las entrevistas a realizar durante la auditoría del
SGSI, en esta planificación se debe incluir:

• Fecha, hora y lugar de la entrevista.


• Duración estimada.
• Objeto de la entrevista.
• Guión de la entrevista.

La planificación y el guión de la entrevista serán enviados a los entre-


vistados con antelación suficiente para permitir que preparen aspectos
de interés y aporten la documentación relacionada.

Es conveniente planificar las entrevistas estudiando la secuencia en


que se van a llevar a cabo, en función de los distintos perfiles implica-
dos y las relaciones existentes entre los entrevistados.

Para realizar la planificación de las entrevistas, se deben identificar a


las personas a las que se debe entrevistar, analizar el perfil de los entre-
vistados, definir el objetivo y contenido concreto de cada entrevista y fijar
el lugar y la hora en la que se va a llevar a cabo.

235
CAP 05_CAP 1 24/03/14 19:23 Página 236

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Según la información a obtener y dependiendo de las distintas fuen-


tes que pueden proporcionarla, puede ser necesario realizar una entre-
vista conjunta con varias personas.

Durante la preparación de la entrevista es imprescindible remitir al


entrevistado un guión previo sobre los puntos a tratar, para que pueda
estudiarlo con tiempo y solicitar la información que estime conveniente
para la entrevista.

Se debe pensar bien el tipo de guión, según el perfil y las responsa-


bilidades del entrevistado y su extensión, de forma que se pueda conse-
guir la suficiente información, sin provocar rechazo en el entrevistado.

Una vez que se dispone de la aprobación para hablar con los usuarios,
se hace la convocatoria de la entrevista enviando la información oportu-
na y fijando los objetivos, el método de trabajo que se va a seguir y el
tiempo del que se dispone.

Para realizar la entrevista, es importante hacer un resumen general de


los temas a tratar, utilizar un estilo apropiado y crear desde su inicio un
clima de confianza entre los asistentes.

Es posible que el entrevistado se resista a aportar información, sien-


do útil en estos casos utilizar técnicas específicas de comunicación.

Antes de finalizar la entrevista es importante que el entrevistador sin-


tetice las conclusiones y compruebe que todos los asistentes están de
acuerdo, dejando siempre abierta la posibilidad de volver a contactar
para aclarar temas que surjan al estudiar la información recopilada.

Es importante identificar a qué tipo de perfil va dirigida la entrevista,


a quiénes se va a entrevistar y cuál es el momento más oportuno, con el
fin de evitar situaciones embarazosas y conseguir que la entrevista sea
eficaz y productiva.

236
CAP 05_CAP 1 24/03/14 19:23 Página 237

Técnicas de Auditoría

Como paso previo a la realización de la entrevista se deben tener en


cuenta una serie de reglas generales o directrices básicas:

• Desarrollar un plan global de la entrevista.


• Asegurarse de que se cuenta con la aprobación para hablar con el
entrevistado
• Preparar la entrevista previamente.
• Realizar la entrevista.
• Consolidar el resultado de la entrevista.

Durante la realización de una entrevista se distinguen las siguientes


etapas:

• Apertura: presentación e información al entrevistado sobre la razón,


uso de la información, etc.
• Desarrollo: se pueden emplear diferentes técnicas como pueden ser:

— Preguntas abiertas.
— Utilizar las palabras y las frases apropiadas, evitando tecnicismos.
— Asentir y dar muestras de escucha.
— Repetir las respuestas dadas.
— Pausas.

• Terminación: dejando abierta la posibilidad de volver a contactar para


aclarar conceptos.
• Análisis: organizar la información y contrastarla con otras fuentes de
información.

Para llevar a cabo de una entrevista eficaz y eficiente el auditor debe


poseer una serie de cualidades, como:

• Ser imparcial.
• Ser ponderado.
• Ser buen oyente.
• Tener cierto grado de habilidad en el trato.

237
CAP 05_CAP 1 24/03/14 19:23 Página 238

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Ser cordial y accesible.


• Ser paciente.

Como las entrevistas son uno de los medios más efectivos de recopi-
lar información, deben llevarse a cabo de un modo adaptado a la situación
y a la persona entrevistada, y el auditor debe tener presente, tanto en la
planificación de las entrevistas, como en su desarrollo, lo siguiente:

• Las entrevistas deben mantenerse con personas de los niveles y fun-


ciones apropiados que desempeñan actividades o tareas dentro del
alcance de la auditoría.
• Debe intentarse que las entrevistas se lleven a cabo durante la jorna-
da de trabajo habitual y, cuando sea posible, en el lugar de trabajo
habitual de la persona entrevistada.
• Debe intentar que la persona entrevistada se encuentre cómoda antes
de la entrevista y durante la misma.
• De explicar el motivo de la entrevista y el objeto de la información que
está recabando.
• Las entrevistas deben iniciarse solicitando a las personas que descri-
ban sus funciones, sus responsabilidades y las tareas que realizan
habitualmente.
• Debe seleccionar cuidadosamente el tipo de pregunta utilizado y su
contenido (por ejemplo, preguntas abiertas, cerradas, inductivas).
• Los resultados de la entrevista deben resumirse y revisarse con la per-
sona entrevistada.
• Debe agradecer a las personas entrevistadas su participación y coo-
peración.

5.3. MUESTREO

El muestro es una técnica que se utiliza durante la auditoría de un SGSI,


cuando el volumen de la información disponible o su dispersión hacen que
no sea práctico o rentable examinar toda la información disponible, por
ejemplo, este es el caso cuando los registros son demasiado numerosos

238
CAP 05_CAP 1 24/03/14 19:23 Página 239

Técnicas de Auditoría

o están demasiado dispersos geográficamente para poder justificar el


coste que supone examinar uno a uno la totalidad de los registros.

Las tres acepciones de muestreo según el diccionario de la lengua


española son:

1. m. Acción de escoger muestras representativas de la calidad o condi-


ciones medias de un todo.
2. m. Técnica empleada para esta selección.
3. m. Selección de una pequeña parte estadísticamente determinada,
utilizada para inferir el valor de una o varias características del con-
junto.

En la auditoría de una SGSI se entiende por muestreo el proceso de


seleccionar un subconjunto de los elementos (muestra) dentro del con-
junto total de datos disponibles (población) para obtener información y
evaluar la existencia de una evidencia sobre alguna característica de esa
población, en base a la información obtenida de la muestra y a partir de
ella formular una conclusión sobre la población.

El objetivo del uso del muestreo durante la realización de la auditoría


de un SGSI es proporcionarle información al auditor para que pueda lle-
gar a conclusiones válidas, obtener evidencias, y lograr que se alcancen
los objetivos de la auditoría.

Uno de los riesgos asociados con el muestreo es que la muestra


seleccionada puede no ser representativa de la población de la que se
ha extraído, y, por tanto, la conclusión del auditor puede estar sesgada y
ser diferente de la que se alcanzaría si examinara toda la población. Este
no es el único riesgo del muestreo, existen otros riesgos que dependen
de la variabilidad de la población objeto de estudio y del método de mues-
treo elegido.

Para llevar a cabo un proceso de muestreo se deben realizar las


siguientes tareas:

239
CAP 05_CAP 1 24/03/14 19:23 Página 240

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

• Establecer los objetivos del plan de muestreo.


• Seleccionar la extensión y la composición de la población de la que se
va a realizar el muestreo.
• Seleccionar un método de muestreo.
• Determinar el tamaño de la muestra a tomar.
• Realizar el muestreo.
• Recopilar, evaluar, informar y documentar los resultados.

Al llevar a cabo el muestreo, debe tenerse en cuenta la calidad de los


datos disponibles, ya que un muestreo basado en datos insuficientes o
imprecisos no proporcionará un resultado útil. La selección de una mues-
tra apropiada debe realizarse en función del método de muestreo que se
vaya a utilizar y el tipo de evidencia que se esté buscando, por ejemplo,
para inferir un patrón de comportamiento particular o realizar una infe-
rencia sobre una característica concreta de una población.

Al formular las evidencias en base a la información obtenida de la


muestra seleccionada debe tenerse en cuenta y hacer constar, el tama-
ño de la muestra, el método de selección y las estimaciones hechas
basadas en la muestra y el nivel de confianza de la misma.

Durante la auditoría de un SGSI pueden utilizarse tanto muestreos


basados en juicios, como muestreos estadísticos.

5.3.1. Muestreo basado en juicios

La realización de un muestreo basado en juicios depende de los cono-


cimientos, habilidades y experiencia del equipo auditor

Para realizar un muestreo basado en juicios debe tenerse en cuenta


siguiente:

• La experiencia de auditorías previas dentro del alcance de la audito-


ría.

240
CAP 05_CAP 1 24/03/14 19:23 Página 241

Técnicas de Auditoría

• La complejidad de los requisitos (incluyendo los requisitos legales)


para alcanzar los objetivos de la auditoría.
• La complejidad e interacción de los procesos de la Organización y los
elementos del sistema de gestión.
• El grado de cambio en la tecnología, el factor humano o el sistema de
gestión.
• Las áreas clave de riesgo previamente identificadas y las áreas de
mejora.
• El resultado del seguimiento de los sistemas de gestión.

Uno de los inconvenientes del muestreo basado en juicios es que no


se dispone de una estimación estadística del efecto de la incertidumbre
en los hallazgos de la auditoría y en las conclusiones alcanzadas.

5.3.2. Muestreo estadístico

Si se decide utilizar muestreo estadístico, el plan de muestreo debe basar-


se en los objetivos de la auditoría y en el conocimiento que se dispone sobre
las características de la población global de la que se toman las muestras.

En el diseño del muestreo estadístico se utiliza un proceso de selec-


ción de la muestra basado en la teoría de la probabilidad. El muestreo
basado en atributos se utiliza cuando sólo hay dos posibles resultados
muestrales para cada muestra (por ejemplo, correcto/incorrecto o
apto/no apto). El muestreo basado en variables se utiliza cuando el resul-
tado de la muestra se da en un rango continuo.

El plan de muestreo debería tener en cuenta si es probable que los


resultados que se examinan estén basados en atributos o basados en
variables. Por ejemplo, cuando se evalúa la conformidad de los formula-
rios completados con los requisitos establecidos en un procedimiento,
debe usarse un enfoque basado en atributos. Cuando se examina la ocu-
rrencia de incidentes de seguridad o el número de incumplimientos de un
procedimiento, es más apropiado un enfoque basado en variables.

241
CAP 05_CAP 1 24/03/14 19:23 Página 242

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

Las características de una auditoría que afectan son los siguientes:

• El tamaño de la Organización a auditar.


• El número de auditores competentes.
• La frecuencia de auditorías en el curso del año.
• La duración de la auditoría individual.
• El nivel de confianza requerido.

Cuando se elabora un plan de muestreo estadístico, el nivel de riesgo


muestral que el auditor está dispuesto a aceptar es uno de los condicio-
nantes más importantes, este nivel de riesgo muestral es lo que se deno-
mina nivel de confianza aceptable. Por ejemplo, un riesgo muestral del
5% corresponde a un nivel de confianza aceptable del 95%. Un riesgo
muestral del 5% significa que el auditor está dispuesto a aceptar el ries-
go de que 5 de cada 100 de las muestras examinadas no reflejará los
valores reales que se obtendrían si se examinara toda la población.

Cuando se utiliza el muestreo estadístico, el auditor debe documentar


apropiadamente el proceso de muestreo realizado.

En la documentación del muestreo se debe incluir una descripción de


la población que se ha muestreado, los criterios muestrales utilizados
para la evaluación (por ejemplo, qué es una muestra aceptable), los pará-
metros estadísticos y los métodos que se utilizaron, el número de mues-
tras evaluadas y los resultados obtenidos.

242
CAP 06_CAP 1 24/03/14 19:23 Página 243

CAPÍTULO 6.

ANEXOS
CAP 06_CAP 1 24/03/14 19:24 Página 244
CAP 06_CAP 1 24/03/14 19:24 Página 245

Anexos

6.1. PLANIFICACIÓN FASE I

PLANIFICACIÓN FASE I

ORGANIZACIÓN AUDITADA

NORMA DE APLICACIÓN
Nº EXPEDIENTE TIPO DE ACTIVIDAD FECHA
O REGLAMENTO

UNE-EN
XXXXX AUDITORÍA – FASE I XX/XX/XXXX
ISO 27001:2013

Fecha: XX-XX-XXXX Revisión: 1.0

245
CAP 06_CAP 1 24/03/14 19:24 Página 246

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

DATOS DE LA EMPRESA
ORGANIZACIÓN/EMPRESA: ORGANIZACIÓN AUDITADA
REPRESENTANTE DE LA DIRECCIÓN: EL REPRESENTANTE DE LA ORGANIZACIÓN AUDITADA
DATOS DEL EQUIPO AUDITOR
AUDITOR JEFE: nombre y apellidos del auditor jefe
AUDITOR: nombre y apellidos del auditor
AUDITOR: nombre y apellidos del auditor
AUDITOR EN PRÁCTICAS: nombre y apellidos del auditor en prácticas
OBSERVADOR: nombre y apellidos del observador
EXPERTO: nombre y apellidos del experto
DIRECCIONES DE LOS CENTROS A AUDITAR
Centro 1
Dirección completa del Centro 1
OBJETIVO Y ALCANCE DE LA AUDITORÍA
El objetivo de la auditoría es evaluar el sistema de gestión de la Organización/empresa para
las actividades de:
“Alcance del SGSI definido por la Organización auditada” con el fin de determinar el nivel de
implantación y cumplimiento de los requisitos de la/s norma/s/reglamentos de referencia.
FECHA INICIO AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)

FECHA FIN AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)

NOTAS:
1. Toda la documentación que se emplee o se genere durante la auditoría es de carácter confidencial,
no pudiendo transcribirse a terceros o reproducirse sin permiso expreso de la empresa.
2. La reunión inicial tiene como fin presentar el equipo auditor a la empresa (dirección y responsables
de departamentos, áreas, etc.), informar del objeto y alcance de la auditoría, confirmar la planifica-
ción aclarando la secuencia de realización y explicar la sistemática de realización de la auditoría.
Tendrá lugar a la llegada del equipo auditor el primer día de auditoría.
3. La reunión final tiene por objeto dar lectura al informe de auditoría donde se reflejan los resultados
de la auditoría. Deberían estar presentes las mismas personas indicadas en la reunión inicial.
4. El orden y horario de las actividades y tareas son orientativos y pueden modificarse durante el desa-
rrollo de la auditoría, en función de su evolución.
5. En caso de recusación de auditores rogamos nos lo comuniquen con la mayor brevedad posible.
6. Los requisitos a tener en cuenta durante la auditoría son los establecidos en la documentación del
sistema de gestión de la empresa, la norma ISO 27001 y el reglamento de certificación.

246
CAP 06_CAP 1 24/03/14 19:24 Página 247

Anexos

ASPECTOS ESPECÍFICOS PARA LA PLANIFICACIÓN DE LA FASE I

REUNIÓN INICIAL

Se tratarán los siguientes temas:

• Presentación del equipo auditor a la Organización auditada.


• Presentación de la Organización y actividades de la empresa al equipo auditor.
• Explicación del proceso de certificación y el punto del mismo en el que se
encuentra la Organización auditada.
• Explicación de los objetivos a cubrir por la fase I y II de la auditoría inicial.
• Alcance de la Solicitud de Certificación de la empresa.
• Cumplimentación de la Hoja de Datos de la empresa.
• Confirmación de la planificación aclarando la secuencia de realización de las
actividades.

OBJETIVO Y ALCANCE DE LA AUDITORÍA

Comprobación y auditoría de que la documentación del sistema de gestión es


adecuada y suficiente, conforme a los requisitos de la norma ISO 27001:2013.

• Auditoría de los requisitos relacionados con aspectos horizontales del siste-


ma de gestión: Control de documentación y registros, no conformidades,
acciones correctivas y preventivas. Asimismo, se pondrá especial atención en
evaluar que las auditorías internas y la revisión por la dirección se planifican
y se realizan. Se indica en la matriz adjunta, los elementos de la Norma ISO
27001 para los que está previsto realizar la auditoría completa.
• Evaluación general de los restantes requisitos aplicables al sistema de ges-
tión, mediante visita a las distintas instalaciones, áreas y departamentos de
la Organización con el fin de:

— Recopilar la información necesaria correspondiente al alcance del sis-


tema de gestión, a los procesos y a las ubicaciones de la
Organización, así como a los aspectos legales y reglamentarios rela-
cionada y su cumplimiento.
— Determinar el grado de implantación del sistema y confirmar si la
Organización está preparada para acometer la fase II, obteniendo la
información suficiente para planificar la fase II.

247
CAP 06_CAP 1 24/03/14 19:24 Página 248

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

REUNIÓN FINAL

• Lectura del informe de conclusiones de la fase I, comentarios y aclaración de


dudas.
• Confirmación del alcance de actividades de la fase II de la auditoría y acuer-
do de fechas.
• Revisión de la asignación de recursos destinados a la fase II.

248
CAP 06_CAP 1 24/03/14 19:24 Página 249

Anexos

MATRIZ ACTIVIDADES DE AUDITORÍA

249
CAP 06_CAP 1 24/03/14 19:24 Página 250

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

MATRIZ ACTIVIDADES DE AUDITORÍA

250
CAP 06_CAP 1 24/03/14 19:24 Página 251

Anexos

6.2. PLANIFICACIÓN FASE II

PLANIFICACIÓN FASE II
ORGANIZACIÓN AUDITADA

NORMA DE APLICACIÓN
Nº EXPEDIENTE TIPO DE ACTIVIDAD FECHA
O REGLAMENTO

UNE-EN
XXXXX AUDITORÍA – FASE II XX/XX/XXXX
ISO 27001:2013
Fecha: XX-XX-XXXX Revisión: 1.0

251
CAP 06_CAP 1 24/03/14 19:24 Página 252

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

DATOS DE LA EMPRESA
ORGANIZACIÓN/EMPRESA: ORGANIZACIÓN AUDITADA
REPRESENTANTE DE LA DIRECCIÓN: EL REPRESENTANTE DE LA ORGANIZACIÓN AUDITADA
DATOS DEL EQUIPO AUDITOR
AUDITOR JEFE: nombre y apellidos del auditor jefe
AUDITOR: nombre y apellidos del auditor
AUDITOR: nombre y apellidos del auditor
AUDITOR EN PRÁCTICAS: nombre y apellidos del auditor en prácticas
OBSERVADOR: nombre y apellidos del observador
EXPERTO: nombre y apellidos del experto
DIRECCIONES DE LOS CENTROS A AUDITAR
Centro 1
Dirección completa del Centro 1
OBJETIVO Y ALCANCE DE LA AUDITORÍA
El objetivo de la auditoría es evaluar el sistema de gestión de la Organización/empresa para
las actividades de:
“Alcance del SGSI definido por la Organización auditada” con el fin de determinar el nivel de
implantación y cumplimiento de los requisitos de la/s norma/s/reglamentos de referencia.
FECHA INICIO AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)
FECHA FIN AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)

NOTAS:
1. Toda la documentación que se emplee o se genere durante la auditoría es de carácter confidencial,
no pudiendo transcribirse a terceros o reproducirse sin permiso expreso de la empresa.
2. La reunión inicial tiene como fin presentar el equipo auditor a la empresa (dirección y responsables
de departamentos, áreas, etc.), informar del objeto y alcance de la auditoría, confirmar la planifica-
ción aclarando la secuencia de realización y explicar la sistemática de realización de la auditoría.
Tendrá lugar a la llegada del equipo auditor el primer día de auditoría.
3. La reunión final tiene por objeto dar lectura al informe de auditoría donde se reflejan los resultados
de la auditoría. Deberían estar presentes las mismas personas indicadas en la reunión inicial.
4. El orden y horario de las actividades y tareas son orientativos y pueden modificarse durante el desa-
rrollo de la auditoría, en función de su evolución.
5. En caso de recusación de auditores rogamos nos lo comuniquen con la mayor brevedad posible.
6. Los requisitos a tener en cuenta durante la auditoría son los establecidos en la documentación del
sistema de gestión de la empresa, la norma ISO 27001 y el reglamento de certificación.
7. El equipo auditor verificará el cumplimiento del Sistema de Gestión de Seguridad de la Información
de la Organización auditada contra los apartados de la norma de referencia y además, realizará
pruebas de cumplimiento de los objetivos de control y controles implantados en la Organización.
8. Para ello, el equipo auditor seleccionará las pruebas de cumplimiento a realizar sobre los controles
implantados en base al análisis de riesgos y a la declaración de aplicabilidad vigente y el ANEXO A
de la norma UNE-ISO/IEC 27001:2013.
9. A continuación se adjuntan los anexos específicos de la planificación de la auditoría.

252
CAP 06_CAP 1 24/03/14 19:24 Página 253

Anexos

ASPECTOS ESPECÍFICOS PARA LA PLANIFICACIÓN DE LA FASE II

253
CAP 06_CAP 1 24/03/14 19:24 Página 254

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

ASPECTOS ESPECÍFICOS PARA LA PLANIFICACIÓN DE LA FASE II

254
CAP 06_CAP 1 24/03/14 19:24 Página 255

Anexos

Detalle de controles a revisar en fase II

En el siguiente cuadro se indican los objetivos de control y controles que se


revisarán durante la auditoría.

DOMINIO / OBJ. DE CONTROL DÍA INTERLOCUTOR OBSERVACIONES

A.5. POLÍTICA DE SEGURIDAD 1 A determinar en la reu- A.5.1.1; A.5.1.2


- A.5.1. Política de Seguridad nión inicial

A.6. ORGANIZACIÓN DEL ASI 1 A determinar en la reu- A.6.1.1; A.6.1.2;


- A.6.1. Organización Interna nión inicial A.6.1.3;A.6.1.4; A.6.1.5
- A.6.2. Dispositivos móviles y A.6.2.1; A.6.2.2; teletrabajo
teletrabajo

A.7. SEGURIDAD LIGADA A 1 A determinar en la reu- A.7.1.1; A.7.1.2 contratos


LOS RRHH nión inicial A.7.2.2; A7.2.3 registro accio-
- A7.1. Antes de Empleo nes formativas y procesos dis-
- A7.2. Durante el Empleo ciplinarios
- A7.3. Después del Empleo A.7.3.1 terminación o cambio
de puesto de trabajo

A.8. GESTION DE ACTIVOS 1 A determinar en la reu- A.8.1 gestión de activos


- A 8.1. Responsabilidad sobre nión inicial A.8.2.1; A.8.2.2; A.8.2.3 clasi-
los activos ficación de la información
- A.8.2. Clasificación de la
Información
- A.8.3. Manejo de soportes

A.9. CONTROL DE ACCESO 1 A determinar en la reu- A.9.1 y A.9.2 Políticas de


- A9.1. Requisitos de negocio nión inicial acceso e implementación.
para el control de acceso Revisión de los privilegios de
- A9.2. Gestión de acceso de acceso.
usuarios A.9.4 acceso a sistemas y
- A9.3. Responsabilidad del aplicaciones
usuario
- A9.4. Control de acceso a
sistemas y aplicaciones

255
CAP 06_CAP 1 24/03/14 19:24 Página 256

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

DOMINIO / OBJ. DE CONTROL DÍA INTERLOCUTOR OBSERVACIONES

A.10. CRIPTOGRAFÍA A.10.1.1; A.10.1.2; controles


- A10.1 Controles criptográficos criptográficos

A.11. SEGURIDAD FISICA Y 1 A determinar en la reu- A.11.1.1.; A.11.1.1; A.11.1.2;


AMBIENTAL nión inicial A.11.1.3; A.11.1.4, A.11.1.5,
- A11.1 Áreas Seguras A.11.1.6 Inspección visual de
- A11.2 Seguridad de los instalaciones
Equipos

A.12. GESTIÓN DE OPERA- 1 A determinar en la reu- A.12.1.1 Procedimientos ope-


CIONES nión inicial rativos
- A.12.1 Responsabilidades y A.12.2.1 Sw antivirus
procedimientos de operación. A.12.3.1 Copias de seguridad
- A.12.2 Protección código y pruebas
malicioso A.12.4.1, A.12.4.2, A.12.4.3
- A.12.3 Copias de Seguridad Registros y evidencias
- A.12.4 Registro y supervisión A.12.5.1 Instalación de
- A.12.5 Software de sistemas software
operativos A.12.6.1, A.12.6.2 Gestión de
- A.12.6 Vulnerabilidades téc- las actualizaciones en S.O. y
nicas aplicaciones
- A.12.7 Auditoría de sistemas A.12.7.1 Controles de auditoría

A.13. SEGURIDAD DE LAS 1 A determinar en la reu- A.13.2.2. Acuerdos sobre


COMUNICACIONES nión inicial transferencia de información
- A.13.1 Seguridad de la red A.13.2.3. Mensajería electró-
- A.13.2 Transferencia de nica
información A.13.2.4. Contratos de confi-
dencialidad

A.14. ADQUISICIÓN, DESA- 1 A determinar en la reu- A.14.1.1. Modo de definición


RROLLO Y MANT. nión inicial de los requisitos de seguridad
A.14.1.2, A.14.1.3. Seguridad
- A.14.1 Requisitos de seguri- en redes públicas y
dad de los sistemas transacciones online
Información. A.14.2.2, A.14.2.3 Gestión de
- A.14.2 Seguridad en los pro- cambios
A.14.2.5, A.14.2.6. Principios
cesos de desarrollo y soporte de ingeniería de sistemas y
- A.14.3 Datos de prueba entornos seguros.
A.14.2.2, A.14.2.3 Seguridad
en los procesos de desarrollo
y soporte
A.14.2.8 Pruebas de seguri-
dad en sistemas

256
CAP 06_CAP 1 24/03/14 19:24 Página 257

Anexos

DOMINIO / OBJ. DE CONTROL DÍA INTERLOCUTOR OBSERVACIONES

A.15. RELACIONES CON LOS A.15.1.2, A.15.1.3 requisitos


PROVEEDORES de seguridad para proveedo-
- A.15.1 Seguridad en relación res. A.15.2.1, A.15.2.2 pres-
a los proveedores tación de servicios on line.
- A.15.2 Gestión en la presta- Auditorías a proveedores.
ción de servicios

A.16. GESTIÓN DE INCIDEN- 2 A determinar en la reu- A.16.1.4, A.16.1.6, A.16.1.7,


TES DE SEGURIDAD nión inicial Aprendizaje de los incidentes.
- A.16.1 Gestión de incidentes Registro de incidencias y apor-
de seguridad de la informa- tación a la revisión por la
ción y mejoras dirección.

A.17. GESTIÓN DE LA CONTI- 2 A determinar en la reu- Revisión del Plan. Escenarios,


NUIDAD DE NEGOCIO nión inicial pruebas y redundancias.
- A.17.1 Aspectos de la SI en
la Cont. De Negocio
- A.17.2 Redundancias

A.18. CUMPLIMIENTO 2 A determinar en la reu- A.18.1.4 Revisión LOPD.


- A.18.1 Cumplimiento de los nión inicial Comprobación de la cumpli-
requisitos legales mentación de los anexos del
- A.18.2 Revisiones de seguri- Documento de Seguridad.
dad de la información A.18.1.2 Control de licencias.
A.18.2.1 Visto en auditoría
interna.

Auditor Jefe

257
CAP 06_CAP 1 24/03/14 19:24 Página 258

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

6.3. INFORME DE AUDITORÍA INTERNA

ÍNDICE
DATOS DE LA ORGANIZACIÓN
1. OBJETO Y ALCANCE DE LA AUDITORÍA INTERNA
2. INFORME EJECUTIVO
3. DETALLE TÉCNICO DE LA AUDITORÍA
4. CONTEXTO DEL SGSI
4.1. Contexto de la Organización
4.2. Necesidades de las partes interesadas
4.3. Alcance del SGSI
5. LIDERAZGO
5.1. Liderazgo y compromiso
5.2. Política de seguridad de la información
5.3. Roles y responsabilidades
6. PLANIFICACIÓN
6.1. Análisis de riesgos
6.2. Objetivos de seguridad de la información
7. SOPORTE
7.1. Recursos
7.2. Competencias
7.3. Concienciación
7.4. Comunicación
7.5. Documentación
8. OPERACIÓN
8.1. Planificación y control
8.2. Evaluación de riesgos
8.3. Tratamiento de riesgos
9. EVALUACIÓN DEL DESEMPEÑO
9.1. Seguimiento, medición, análisis y evaluación
9.2. Auditoría interna
9.3. Revisión de la gestión
10. MEJORA
10.1. No conformidades y acciones correctivas
10.2. Mejora continua
11. RESUMEN DE LOS RESULTADOS
11.1. No Conformidades
11.2. Observaciones y oportunidades de mejora
12. DISTRIBUCIÓN DEL INFORME

258
CAP 06_CAP 1 24/03/14 19:24 Página 259

Anexos

6.4. INFORME FASE I

259
CAP 06_CAP 1 24/03/14 19:24 Página 260

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

260
CAP 06_CAP 1 24/03/14 19:24 Página 261

Anexos

6.5 INFORME FASE II

261
CAP 06_CAP 1 24/03/14 19:24 Página 262

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

262
CAP 06_CAP 1 24/03/14 19:24 Página 263

Anexos

263
CAP 06_CAP 1 24/03/14 19:24 Página 264

Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)

264

También podría gustarte