Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Auditoria y Seguridad de La Informacion

    Cargado por

    Oscar Ruiz Vivar
    12 vistas21 páginas

    Título original

    Auditoria_y_Seguridad_de_la_Informacion

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas21 páginas

    Auditoria y Seguridad de La Informacion

    Cargado por

    Oscar Ruiz Vivar

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    Auditoría y Seguridad de la Información

    La revisión del SGSI y de los


    controles de SI

    Mag. Ing. Cristina Mayr


    Antecedentes – la Seguridad de la
    Información

    2004: Creación del


    comité UNIT para la
    seguridad de la
    información

    Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
    Antecedentes – la Seguridad de la
    Información

    El corazón
    de la serie
    27000:
    27002 y
    27001

    Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
    Antecedentes – la Seguridad de la
    Información

    Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
    Antecedentes – la auditoría de la
    Seguridad de la Información

    Obtener el apoyo de la dirección


    Definir el alcance del SGSI, fronteras y política del SGSI
    Análisis de requerimientos de seguridad de la información
    Realizar la evaluación y el tratamiento de riesgos
    Redactar la Declaración de aplicabilidad
    Definir cómo medir la efectividad de los controles y de su SGSI
    Seleccionar e Implementar los controles necesarios
    Realizar las operaciones diarias establecidas en el SGSI
    Monitorear y medir el SGSI
    Realizar la auditoría interna
    Realizar la revisión por parte de la dirección
    Implementar medidas correctivas
    ISO/IEC 27007

    Foco en:
    auditoría de un sistema de gestión de
    seguridad de la información (SGSI)

    Alineada con las normas: ¡leerlas juntas!


    • ISO 19011 (Directrices para la auditoría de
    sistemas de gestión)
    • ISO/IEC 27001 (Requisitos para un Sistema
    de gestión de Seguridad de la Información)
    ISO/IEC 27007
    gestión de un programa de auditoría

    Establecer objetivos
    Alcance
    Establecer el programa Riesgos! identificarlos, evaluarlos
    Procedimientos a realizar
    Recursos necesarios
    Inicio, Preparación y Realización
    Implementación de actividades de auditoría,
    informe, fin de la auditoría

    Seguimiento

    Revisión y mejora
    ISO/IEC 17021 ISO/IEC 27006

    Requisitos para los Requisitos para los organismos


    organismos que realizan la que realizan la auditoría y la
    certificación de los sistemas certificación de los SGSI
    de gestión

    ISO/IEC 27007 ISO/IEC 27001


    ISO/IEC 27005
    Sistemas de gestión de la seguridad
    de la información. Requisitos
    Gestión del riesgo
    de seguridad de la
    información ISO 19011 ISO/IEC 27002

    Guía para la auditoría Código de buenas prácticas para


    de sistemas de gestión la gestión de la seguridad de la
    información
    ISO/IEC 27007

    ISO 19011:
    Directrices para la auditoría de un sistema
    de gestión

    Ambiental, de Calidad, de Seguridad, etc.


    Se concentra en las “auditorías internas” (de
    1ª parte) y “auditorías realizadas por
    clientes a sus proveedores” (de 2ª parte)
    Relación entre ISO 19011 e ISO/IEC
    27007

    ISO/IEC 27007 ISO 19011


    4 – Principios de auditoría 4 Principios de auditoría
    Aplican los principios de a) Integridad
    auditoría del Capítulo 4 de la b) Presentación imparcial
    ISO 19011:2011 c) Debido cuidado profesional
    ……
    Relación entre ISO 19011 e ISO/IEC
    27007
    ISO/IEC 27007 ISO 19011
    5.3.3 Determinación del alcance 5.3.3 Determinación del alcance
    del programa de auditoría del programa de auditoría
    Aplican las directrices de la Norma La persona responsable de la
    ISO 19011:2011, Apartado 5 .3.3. gestión del programa de auditoría
    Adicionalmente, aplica la debería determinar el alcance del
    siguiente guía específica para SGSI. programa de auditoría, que puede
    5.3.3.1 IS 5.3.3 Determinación variar dependiendo del tamaño y la
    del alcance del programa de naturaleza del auditado, así como
    auditoría de la naturaleza, funcionalidad,
    a) El tamaño del SGSI… complejidad y el nivel de madurez
    b) la complejidad del SGSI…. del sistema de gestión que se va a
    c) qué tan significativos son los auditar
    riesgos de seguridad …. ……
    Relación entre ISO 27001 e ISO/IEC
    27007

    ISO/IEC 27007
    6.4.3.1 IS 6.4.3 Realización de la • SGSI
    revisión de la documentación • requisitos
    durante la auditoría • documentos
    Los auditores deberían verificar que
    los documentos requeridos por la
    Norma ISO/IEC 27001 existen y se
    encuentran en conformidad con sus
    requisitos….
    ISO/IEC TR 27008

    Foco en:
    verificación de los controles de seguridad de
    la información - implementación y
    operación
    Dirigida principalmente a auditores de
    seguridad de la información que necesitan
    verificar el cumplimiento técnico de los
    controles comparados con ISO/IEC 27002 u
    otros estándares utilizados por la
    organización
    ISO/IEC TR 27008 - Utilidad

    ¿Cuál es el alcance de los potenciales


    problemas y deficiencias de los controles
    de seguridad de la información?

    ¿Cuáles son los potenciales impactos


    organizacionales de amenazas y
    vulnerabilidades mitigadas en forma
    inadecuada?

    ¿Cuáles son los riesgos más importantes y


    cómo los mitigamos?
    ISO/IEC TR 27008 - Utilidad

    Confirmar que hemos tratado en forma


    adecuada las debilidades o deficiencias
    previamente identificadas o emergentes

    Respaldar las decisiones presupuestales


    dentro del proceso de inversiones y otras
    decisiones gerenciales referentes a la
    mejora de la gestión de la seguridad de la
    información de la organización
    Guía práctica para la auditoría del SGSI
    ISO/IEC 27007

    Alcance, política y enfoque de ISO/IEC 27001 4.1. & 4.2.1 (a)


    evaluación de riesgos del SGSI a (c)

    Riesgos: Identificación, análisis y ISO/IEC 27001 4.2.1 (d) a (f)


    evaluación, opciones de tratamiento

    Selección de objetivos de control y


    controles, aprobación de riesgos ISO/IEC 270001 4.2.1 (g) a (j)
    residuales, autorización de la dirección
    y Declaración Aplicabilidad
    Guía práctica para la auditoría del SGSI
    ISO/IEC 27007

    Riesgos: Identificación, análisis y


    evaluación, opciones de tratamiento

    Criterios de Normas Evidencia Guía práctica de


    auditoría relevantes de auditoría auditoría

    • I ve tario activos Identificación:


    ISO/IEC 27001
    ISO/IEC 27005 • Docu e tos de revisar inventario
    4.2.1
    8.2, 8.3, 9, 10 metodología de activos y
    (d), (e), (f)
    evaluación de confirmar que los
    riesgos importantes en el
    • I for es alcance del SGSI
    evaluación riesgos está i cluidos ….
    Guía práctica para la auditoría del SGSI
    ISO/IEC 27007

    ¡Cuidado!
    – Tener en cuenta los requisitos específicos del
    SGSI de la organización
    Guía práctica para la verificación del
    cumplimiento técnico ISO/IEC TR 27008

    Basada en ISO/IEC 27002

    Control técnico: Deberían implementarse controles de detección,


    prevención y recuperación para protegerse ante para el código malicioso

    Norma de implementación de seguridad: comprobación de


    1) archivos de soporte electrónico y los recibidos a través de las redes antes de su uso
    2) archivos adjuntos del correo electrónico y de las descargas…
    3) páginas web

    Nota Técnica: el sistema de detección debería funcionar para una


    variedad de servicios o protocolos a través de redes como www, mail
    y ftp
    Guía práctica para la verificación del
    cumplimiento técnico ISO/IEC TR 27008

    Control técnico
    Norma de implementación de seguridad

    Nota Técnica sobre la norma de


    implementación de seguridad

    Guía práctica Evidencia Esperada Método

    Guía práctica Evidencia Esperada Método

    …………. …………. ………….


    Guía práctica para la verificación del
    cumplimiento técnico ISO/IEC TR 27008

    Evidencia Esperada Método


    Guía práctica . Especificación del Examinar/Revisar
    Verificar que el sistema de sistema
    detección y reparación de . Diagrama de red
    código malicioso se establece
    en forma integral y eficaz para:
    . todos los archivo:
    - recibidos y almacenados en
    medio electrónico
    - adjuntos de correos
    . Las páginas web

    También podría gustarte