Está en la página 1de 78

Por: Alejandro Corletti Estrada acorletti@hotmail.

com

Temario
PRIMERA PARTE Temario: Introduccin e historia de la norma. Su verdadero significado internacional. El SGSI (Sistema de Gestin de la Seguridad de la Informacin). La definicin del mbito a implementar la norma. El anlisis de riesgo. Los cursos de accin posibles. La declaracin de intenciones de la Direccin.

Temario
SEGUNDA PARTE Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act). El plan de accin. Inicio del rodaje. Definicin de los controles a aplicar. Avance grupo a grupo. Relacin documental. Auditora interna. Soluciones y mejoras. Reintegracin/reingeniera inicial del SGSI. Solicitud y preparacin de la Auditora y/o preauditora. Solucin de Observaciones y no conformidades.

Introduccin e Historia de la Norma


Tiene sus orgenes desde los 90`en el BS7799. Se transforma en ISO17799. En el 2004 AENOR Octubre 2005 UNE 71502 Especificaciones para los SGSI. ISO/UNE27001. ISO27001:2005.

Septiembre 2007 AENOR


Publicadas:

Situacin Actual (Familia 27000):


2005 ISO27001 (Certificable). 2007 ISO 27006 (regula los organismos de certificacin, alineada con 17021). 2007 ISO27002 (gua de controles, Ex 17799). 2008 - 27005 (Anlisis de Riesgos).

Sin Publicar An:


27003 (Ayuda para la implantacin SGSI). 27004 (Mtricas). 27007 (requisitos de auditora de un SGSI). 27011 (Sector TICs). 27031 (Plan de Continuidad de Negocio). 27032 (Ciberseguridad). 27033 (seguridad en redes, sobre la base de 18028). 27034 (Seguridad en las aplicaciones).

Introduccin e Historia (a nivel AAPP)


Resolucin de 26 de mayo de 2003, de la Secretara de Estado para la AAPP
Expresa textualmente Se insta a los Estados miembros de la UE a fomentar el uso de mejores prcticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799. Reglamento (CE) No 885/2006 de la Comisin (junio de 2006) - FEAGA (Fondo Europeo Agrcola de Garanta) y del FEADER (Fondo Europeo Agrcola de Desarrollo Rural): La seguridad de los sistemas de informacin estar basada en los criterios fijados en una versin aplicable en el ejercicio financiero considerado de una de las siguientes normas aceptadas internacionalmente: i) ISO/IEC 17799).
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los Organismos Pagadores que exige garantizar la seguridad de la informacin. la Consejera de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones, apost por la ISO27001 y acaba de ser la primera Entidad Pblica Espaoola en certificarse

Ley 11 (junio de 2007) Acceso electrnico de los ciudadanos a los Servicios Pblicos,
Seguridad: se menciona cuarenta y dos veces. El punto 2. Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservacin de los datos......... ACIDA ??

MAP (Julio de 2007) Normalizacin en seguridad de las TIC


Criterios SNC (seguridad, normalizacin y conservacin): UNE ISO/IEC 17799:2002, Tecnologas de la informacin Cdigo de buenas prcticas para la gestin de la seguridad de la informacin

Introduccin e Historia (Proyectos Oficiales)


Existen otras iniciativas para fomentar la seguridad en Espaa a travs de la norma ISO27001, como el proyecto PYMETICA en Andaluca, el CAMERSEC en Mlaga, la reciente Subvencin del Ministerio de Industria del Plan AVANZA PyME (19.000 para certificacin ISO27001) y el prximo proyecto de INTECO que abarcar varias Comunidades Espaolas.

RENFE, en un pliego de licitacin de septiembre de 2007, haca mencin al


estndar ISO27001 (Esto corrobora el hecho del Lobby que pueden hacer las empresas certificadas, tal cual mencionamos en artculos anteriores). La Consejera de Agricultura y Pesca (Andaluca) ha obtuvo la certificacin ISO 27001 del denominado Sistema de Localizacin y Seguimiento de Embarcaciones Pesqueras Andaluzas. Consejera de Economa y AP del Principado de Asturias (N exp: 58/06). Descripcin del objeto: Certificacin ISO27001 del SGSI, para el CPD de la Administracin del Principado de Asturias (ao 2007).

Junta de Castilla La Mancha: Certificado ISO27001 para sus servicios de


Internet.

Exportar

Comercio Exterior

Calidad Gestin

Congreso ICEX: La constante fue:

Introduccin e Historia (Certificaciones)


En el discurso Internacional, el mensaje es sumamente sencillo: Informe ISO (Dic 2007) ISO 9001 Lugar de Espaa: 4 mundial con 57552 certificados. ISO 14001 Lugar de Espaa: 3 mundial con 11125 certificados. ISO 27001 Total mundial: 5797 certificados. Lugar de Espaa: No aparece en el Top 10 (23 certificados). Espaa es un Pas de calidad, pues as lo demuestra el ranking Internacional de ISO9000. Espaa, es un Pas que se preocupa por su medioambiente, segn su creciente volumen en certificaciones ISO14000. No hay pautas claras que siten a Espaa como un Pas confiable para intercambiar informacin On Line, para abrir y compartir bases de datos privadas y pblicas, para confiar el bien ms preciado, para comunicarse de forma segura, etc..........

Porqu ISO27001?
Por primera vez ISO, homogeneiza sus familias (GESTIN). La Seguridad deja de ser slo una cuestin tcnica. Implica a todos los niveles de la organizacin. Introduce el Anlisis de Riesgo y el SGSI. El conjunto de controles (133), no deja nada librado al azar. Ha tenido acogida y apoyo internacional (1 vez en seguridad). Pone/demuestra Calidad en la seguridad de la Informacin. Aparece en un momento clave de la industria. RECUERDEN: Marca un antes y un despus.

Breves Conceptos
Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas: Anlisis de Riegos (AR). SGSI. Controles.

Breves Conceptos (Anlisis de Riesgos)


Puede ser desarrollado con cualquier tipo de metodologa (pblica o particular), siempre y cuando sea completa y metdica. El resultado final de un anlisis de riesgo, es:
Clara identificacin, definicin y descripcin de los activos. El impacto que podra ocasionar un problema sobre cada uno. Conjunto de acciones que pueden realizarse (agrupadas). Propuesta varios cursos de accin posibles (Mx, intermedios, mn). Finalmente: Eleccin y Aprobacin de un curso de accin por parte de la Direccin. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de accin y ASUMIR el riesgo residual que quedar con lo que no est dispuesto a abordar (..o en definitiva a pagar..).

Breves Conceptos (SGSI)


En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Punto 4.1. Requerimientos generales: La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y mejorar un documentado SGSI en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propsito, el proceso est basado en el modelo

PDCA.

PUNTOS DE LA NORMA (Relativos al SGSI)


4. Sistema de Gestin de la Seguridad de la Informacin (SGSI). provisin 5. Responsabilidades de la Direccin (Compromiso, gestin y recursos, concienciacin y formacin).

6 Auditora Interna del SGSI (Documentos, planificacin, metodologa, acciones). 7. 8. Revisin de SGSI por parte de la Direccin. Mejora de SGSI (Continua, correctiva y preventiva).

Breves Conceptos (Los Controles)


El anexo A los numera tal cual se presentan a continuacin:
A.5 Poltica de Seguridad. A.6 Organizacin de la Informacin de Seguridad. A.7 Administracin de Recursos. A.8 Seguridad de los Recursos Humanos. A.9 Seguridad fsica y del entorno. A.10 Administracin de las Comunicaciones y Operaciones. A.11 Control de Accesos. A.12 Adquisicin de Sistemas de Informacin, Desarrollo y Mantenimiento. A.13 Administracin de los Incidentes de Seguridad. A.14 Administracin de la Continuidad de Negocio. A.15 Marco Legal y Buenas Prcticas.

El SGSI (Sistema de Gestin de la Seguridad de la Informacin)


4.2 de la Norma
Organizacin: (Para NCS: PRO01 Organizacin de la Seguridad de la
Informacin).

Poltica de Seguridad: (Para NCS: POL01 Poltica de Seguridad de la


Informacin) Breve documento rector y descriptivo de lneas generales y estratgicas.

Definir, Identificar, Analizar y Valorar Riesgos: (Para NCS: DOC0


AGR: Anlisis y gestin de riesgos). De este documento se descuelgan:

PLA06 Valoracin de activos. PLA07 Inventario. PLA12 Declaracin de intenciones de la Direccin. LA DIRECCIN DEBER REVISAR ESTE PASO, APROBARLO Y AVALARLO

Definicin del mbito a Implementar Hay que acotar el alcance del SGSI:
Centros de procesamiento de datos (CPDs). Aplicaciones crticas para el negocio de la empresa. Procesos de inters para la empresa. Metodologas de control de accesos y/o autenticacin. Procesos de gestin de informacin (Almacenamiento, resguardo, mantenimiento, etc). Servicios de inters hacia terceros (Hosting, backup, aplicaciones, soporte, etc). Productos y/o herramientas que comercializa la empresa. Edificios y/o instalaciones. Infraestructuras de redes de transmisin de informacin. Call Center.

Definicin del mbito a Implementar


Empresa
Acens Technologies Bankinter

mbito Certificado
Sistema de Gestin de Seguridad de la Informacin asociado al control y mantenimiento de las infraestructuras fsicas del Centro de Proceso de Datos de Acens Technologies, ubicado en Madrid (Espaa). Identificacin Autenticacin Firma de operaciones y sus evidencias electrnicas a travs del canal Internet. Costumer and corporate information managed during consultancy projects development; organizational, technical and judical advice; computing and multimedia applications training and development on corporative security and asset protection, public security and civil defense, information security and data protection, in accordance with SOA. Bureau Veritas certify that the management system if the above organisation has been assessed and found to be in accordance with the requirements of the standards detailed dellow ISO 27001:2005.

Belt

Camerfirma

Junta de Castilla Servicios que ofrece a travs de Internet. La Mancha GMV NCS Operaciones de negocio en sus delegaciones de Sevilla y de Barcelona, as como en sus oficinas centrales de Madrid. AENOR Certifica que la empresa NCS dispone de un SGSI conforme a la norma ISO/IEC 27001 y/o UNE 71502:2004 PARA TODOS SUS SISTEMAS DE INFORMACIN.

Anlisis de Riesgos (A.R.)

A.R. Diferentes Metodologas


MAGERIT v2.0 (Metodologa de Anlisis y Gestin de Riesgos en Sistemas de Informacin):
Utilizado por el Ministerio de las Administraciones Pblicas. Herramientas automatizadas (PILAR, EAR). 3 Libros (Mtodo, Catlogo de Elementos, Guas Tcnicas).

CRAMM (CCTA Risk Analysis and Management Method):


Recopila las mejores Prcticas de Seguridad para el Gobierno Britnico. Herramienta automatizada muy comercial (y muy costosa). Muy completa.

The Risk Security Management Guide (Microsoft):


Elaborada por Microsoft en base a Mejores Prcticas en la empresa y en sus clientes. Revisada por partners, clientes y tcnicos.

A.R. MAGERIT Se divide en 3 procesos:


P1: Planificacin. P2: Anlisis de Riesgos. P3: Gestin de Riesgos.

MAGERIT: P1 Planificacin
Actividad A1.1: Estudio de Oportunidad:
Tarea T1.1.1: Determinar la oportunidad.

Actividad A1.2: Determinacin del Alcance del Proyecto:


Tarea T1.2.1: Objetivos y restricciones generales. Tarea T1.2.2: Determinacin del dominio y lmites. Tarea T1.2.3: Identificacin del entorno. Tarea T1.2.4: Estimacin de dimensiones y coste.

Actividad A1.3: Planificacin del Proyecto:


Tarea T1.3.1: Evaluar cargas y planificar entrevistas. Tarea T1.3.2: Organizar a los participantes. Tarea T1.3.3: Planificar el trabajo.

Actividad A1.4: Lanzamiento del Proyecto:


Tarea T1.4.1: Adaptar los cuestionarios. Tarea T1.4.2: Criterios de evaluacin. Tarea T1.4.3: Recursos Necesarios. Tarea T1.4.4: Sensibilizacin.

MAGERIT: P2 Anlisis de Riesgos


Actividad A2.1: Caracterizacin de los Activos:
Tarea T2.1.1: Identificacin de los activos. Tarea T2.1.2: Dependencias entre los activos. Tarea T2.1.3: Valoracin de los activos.

MAGERIT: P2 Anlisis de Riesgos


Actividad A2.2: Caracterizacin de las Amenazas:
Tarea T2.2.1: Identificacin de las amenazas. Tarea T2.2.2: Valoracin de las amenazas.

MAGERIT: P2 Anlisis de Riesgos


Actividad A2.3: Caracterizacin de las Salvaguardas:
Tarea T2.3.1: Identificacin de las salvaguardas existentes. Tarea T2.3.2: Valoracin de las salvaguardas existentes.

MAGERIT: P2 Anlisis de Riesgos


Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto. Tarea T2.4.2: Estimacin del riesgo. Tarea T2.4.3: Interpretacin de los resultados.

MAGERIT: P2 Anlisis de Riesgos


Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto. Tarea T2.4.2: Estimacin del riesgo. Tarea T2.4.3: Interpretacin de los resultados.

MAGERIT: P3 Gestin de Riesgos


Actividad A3.1: Toma de Decisiones:
Tarea T3.1.1: Calificacin de los riesgos.

Actividad A3.2: Plan de Seguridad:


Tarea T3.2.1: Programas de seguridad. Tarea T3.2.2: Plan de ejecucin.

Actividad A3.3: Ejecucin del Plan:


Tarea T3.3.1: Ejecucin de cada programa de seguridad.

Cursos de Accin Posibles


Se proponen ente 3 y 5 Cursos de Accin de entre los cuales, la Direccin escoge el que le parezca oportuno.

Declaracin de Intenciones de la Direccin


En relacin al Anlisis de Riesgos realizado en MES de AO donde se propusieron una serie de cursos de accin propuestos con el fin de implantar un nivel de seguridad aceptable, con todo ello la Direccin se compromete a llevar a cabo uno de los Cursos de Accin propuestos en un periodo no superior a X aos.

Declaracin de Intenciones de la Direccin


En relacin al Anlisis de Riesgos realizado en MES de AO donde se propusieron una serie de cursos de accin propuestos con el fin de implantar un nivel de seguridad aceptable, con todo ello la Direccin se compromete a llevar a cabo uno de los cursos de accin propuestos en un periodo no superior a X aos.

Cumple con 8 puntos del CURSO DE ACCIN 3. Cumple con 12 puntos del CURSO DE ACCIN 3. Cumple con 22 puntos del CURSO DE ACCIN 3.

Ciclo PDCA
En la implementacin de esta norma es donde se presenta el conjunto de pasos a seguir para implantar un SGSI, el cual es un ciclo permanente definido como PDCA, y cada uno de estas actividades quedar regulada, normalizada y auditada mediante los correspondientes Controles.
Plan (Establecer el SGSI): Poltica SGSI, objetivos, procesos, procedimientos para la Administracin de Riesgos y mejoras en la Seguridad Informtica y resultados acordes a las polticas y objetivos de la organizacin. Do (Implementar y Operar el SGSI): Forma en que se opera e implementa la poltica, controles, procesos y procedimientos. Check (Monitorizar y Revisar el SGSI): Analizar y medir los procesos relacionados al SGSI, evaluar objetivos, experiencias e informar los resultados a la administracin para su revisin. Act (Mantener y Mejorar el SGSI): Acciones preventivas correctivas, basadas en auditoras internas y revisiones del SGSI. y

Plan de Accin Acciones a desarrollar para alcanzar la certificacin:

Inicio del Rodaje

Definicin de los Controles


Los controles que sean excluidos debern ser justificados.
ISO 8
8.1

OBJETIVO

CONTROL
8.1.1 Funciones y Responsabilidades.

SI/NO
SI SI SI SI SI SI SI SI SI

JUSTIFICACIN DE LA EXCLUSIN

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS


Previo a la Contratacin. 8.1.2 Investigacin de Antecedentes. 8.1.3 Trminos y Condiciones de Contratacin. 8.2.1 Gestin de Responsabilidades.

8.2

Durante la Contratacin.

8.2.2 Concienciacin, Educacin y Formacin en Seguridad de la Informacin. 8.2.3 Proceso Disciplinario. 8.3.1 Finalizacin de Responsabilidades.

8.3

Finalizacin o Cambio Puesto de Trabajo.

de

8.3.2 Retorno de Activos. 8.3.3 Retirada de los Derechos de Acceso.

SEGURIDAD FSICA Y DEL ENTORNO


9.1.1 Permetro de Seguridad Fsica. 9.1.2 Controles Fsicos de Entrada. 9.1.3 Seguridad de Oficinas, Despachos y Recursos. 9.1.4 Proteccin Contra las Amenazas Externas y del Entorno. reas Seguras. 9.1.5 Trabajando en reas Seguras. 9.1.6 reas de Acceso Pblico, de Carga y Descarga. 9.2.1 Instalacin y Proteccin de Equipos. 9.2.2 Instalaciones de Suministro. 9.2.3 Seguridad del Cableado. SI SI SI SI NO NO SI SI NO SI NO SI SI No se saca ningn equipo fuera de la oficina de NCS. Cubierto por las medidas de seguridad de control de acceso y personal. NCS no necesita reas de este tipo. NCS no recibe volumen ni cantidad suficiente para disponer de una sala aislada para su carga y descarga.

9.1

9.2

Seguridad de los Equipos.

9.2.4 Mantenimiento de Equipos. 9.2.5 Seguridad de los Equipos Fuera los Locales de la Organizacin. 9.2.6 Seguridad en la Reutilizacin o Eliminacin de Equipos. 9.2.7 Extraccin de Pertenencias.

Resumen:
Historia. Piezas: ARSGSIControles. Declaracin de Intenciones. Primeros pasos.

Fin de la 1 parte

Temario
SEGUNDA PARTE Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act). El plan de accin. Inicio del rodaje. Definicin de los controles a aplicar. Avance grupo a grupo. Relacin documental. Auditora interna. Soluciones y mejoras. Reintegracin/reingeniera inicial del SGSI. Solicitud y preparacin de la Auditora y/o preauditora. Solucin de Observaciones y no conformidades.

Avance Grupo a Grupo


5. Poltica de Seguridad
Pto.
5.1

Objetivo
Poltica de Seguridad de la Informacin

Control
5.1.1 Documento de Poltica de Seguridad de la Informacin. 5.1.2 Revisin de la Poltica de Seguridad de la Informacin.

Documento
Documento de Seguridad de NCS. Documento de Seguridad de NCS. Documento de Control y Gestin de Cambios.

Avance Grupo a Grupo


6. Organizacin de la Seguridad de la Informacin
Pto. Objetivo Control
6.1.1 Compromiso de la Direccin con la Seguridad de la Informacin. 6.1.2 Coordinacin de la Seguridad de la Informacin. 6.1.3 Asignacin de Responsabilidades sobre Seguridad de la Informacin.

Documento
Procedimiento de Organizacin Seguridad de la informacin. Procedimiento de Organizacin Seguridad de la informacin. Procedimiento de Organizacin Seguridad de la informacin. de de de la la la

6.1

Organizacin Interna

6.1.4 Proceso de Autorizacin de Recursos para el Tratamiento de la Informacin. 6.1.5 Acuerdos de Confidencialidad 6.1.6 Contactos con las Autoridades 6.1.7 Contacto con Grupos de Especial Inters. 6.1.8 Revisin Independiente Seguridad de la Informacin de la

Procedimiento de Control y gestin de Cambios. Documento de Acuerdo de Confidencialidad Empresa/Trabajador.

Procedimiento de Organizacin Seguridad de la informacin.

de

la

Documento de Lista de Verificacin.

Avance Grupo a Grupo


6. Organizacin de la Seguridad de la Informacin
Pto.

Objetivo

Control
6.2.1 Identificacin de Riesgos relativos a Terceros.

Documento

6.2

Partes Externas

6.2.2 Tratamiento de la Seguridad en la Relacin con los Clientes. 6.2.3 Tratamiento de la Seguridad en Contratos con Terceros.

Documento de Acuerdo de Confidencialidad Empresa/Trabajador.

Relacin Documental
Punto 4.3.2. Control de Documentos: Todos los documentos requeridos por el SGSI sern protegidos y controlados. Un Procedimiento Documentado deber establecer las acciones de administracin necesarias para:
Aprobar documentos y prioridades o clasificacin de empleo. Revisiones, actualizaciones y reaprobaciones de documentos. Asegurar que los cambios y las revisiones sean identificadas. Asegurar que las ltimas versiones estn disponibles. Asegurar que los documentos permanezcan legibles e identificables. Asegurar que los documentos estn disponibles para quien los necesite y sean transferidos, guardados y finalmente clasificados. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribucin de documentos. Prevenir el empleo no deseado de documentos obsoletos.

Relacin Documental

Organizacin de la Seguridad de la Informacin


Herramienta para organizar, gestionar y supervisar la Seguridad.

Organizacin de la Seguridad de la Informacin

Avance Grupo a Grupo


7. Gestin de Activos
Pto.
7.1

Objetivo
Responsabilidad Sobre los Activos

Control
7.1.1 Inventario de Activos 7.1.2 Propiedad de los Activos. 7.1.3 Uso Activos. Aceptable de los

Documento
Procedimiento de Inventario de Activos. Plantilla de Relacin de Roles. Procedimiento Personal. de Obligaciones del y y

7.2.1 Guas de Clasificacin.

7.2

Clasificacin de la Informacin

Procedimiento de Clasificacin Tratamiento de la Informacin. Procedimiento de Clasificacin Tratamiento de la Informacin. Plantilla de Relacin de Roles.

7.2.2 Etiquetado y Tratamiento de la Informacin.

Avance Grupo a Grupo


8. Seguridad Ligada a los Recursos Humanos
Pto. Objetivo Control
8.1.1 Funciones y Responsabilidades.

Documento
Procedimiento de Obligaciones del Personal. Documento de Acuerdo de Confidencialidad Empresas/Trabajador. Procedimiento de Gestin de empleados. Procedimiento de Obligaciones del Personal. Documento de Acuerdo de Confidencialidad Empresas/Trabajador.

8.1

Previo a la Contratacin

8.1.2 Investigacin de Antecedentes. 8.1.3 Trminos y Condiciones de Contratacin.

Proceso de Contratacin:

Avance Grupo a Grupo


8. Seguridad Ligada a los Recursos Humanos
Pto. Objetivo Control
8.2.1 Gestin de Responsabilidades.

Documento
Procedimiento de Organizacin Seguridad de la informacin. de la

8.2

Durante la Contratacin

8.2.2 Concienciacin, Formacin y Capacitacin en la seguridad de la Informacin. 8.2.3 Proceso Disciplinario.

Procedimiento de Obligaciones del Personal. Documento de Concienciacin. Plan de Formacin y

Procedimiento de Obligaciones del Personal.

Planes de Formacin y Concienciacin. Evaluacin de los empleados. Vacaciones. Personal imprescindible. Segregacin de funciones.

Avance Grupo a Grupo


8. Seguridad Ligada a los Recursos Humanos
Pto. Objetivo Control
8.3.1 Finalizacin Responsabilidades. de

Documento
Documento de Acuerdo de Confidencialidad Empresas/Trabajador. Procedimiento de Obligaciones del Personal. Procedimiento de Gestin de Empleados.

8.3

Finalizacin o Cambio del Puesto de Trabajo

8.3.2 Devolucin de Activos. 8.3.3 Retirada de los Derechos de Acceso.

Procedimiento de Obligaciones del Personal. Procedimiento de Gestin de Empleados. Procedimiento de Gestin de Empleados.

Avance Grupo a Grupo


9. Seguridad Fsica y Ambiental
Pto. Objetivo Control
9.1.1 Permetro de Seguridad Fsica. 9.1.2 Controles Fsicos de Entrada. 9.1.3 Seguridad Instalaciones. de Oficinas, Despachos e

Documento

9.1

reas Seguras

9.1.4 Proteccin Contra las Amenazas Externas y de Origen Ambiental. 9.1.5 Trabajo en reas Seguras. 9.1.6 reas de Acceso Pblico y de Carga y Descarga. 9.2.1 Instalacin y proteccin de Equipos. 9.2.2 Instalaciones de Suministro. 9.2.3 Seguridad del Cableado.

Procedimiento Empleados.

de

Gestin

de

Procedimiento de Puesto de Trabajo y Servidores. Procedimiento de Red Corporativa. Procedimiento de Seguridad Fsica. Procedimiento de Puesto de trabajo y Servidores. Procedimiento de Puesto de trabajo y Servidores.

9.2

Seguridad de los Equipos

9.2.4 Mantenimiento de Equipos. 9.2.5 Seguridad de los Equipos Fuera de los Locales de la Organizacin. 9.2.6 Reutilizacin o Retirada Segura de los equipos. 9.2.7 Retirada de Materiales Propiedad de la Empresa.

Procedimiento de Gestin y Distribucin de Soportes. Procedimiento de Gestin y Distribucin de Soportes.

Avance Grupo a Grupo


10. Gestin de Comunicaciones y Operaciones
Pto. Objetivo Control
10.1.1 Documentacin de Procedimientos de Operacin. los

Documento
Procedimiento de Control y Gestin de Cambios. Procedimiento de Control y Gestin de Cambios. Procedimiento de Organizacin de la Seguridad de la Informacin. Procedimiento de Desarrollo, Pruebas, Produccin y Control y gestin del software.

10.1

Responsabilidades y Procedimientos de Operacin

10.1.2 Gestin del Cambios. 10.1.3 Segregacin de Tareas. 10.1.4 Separacin de los Recursos de Desarrollo, Prueba y Operacin. 10.2.1 Entrega del Servicio.

10.2

Gestin de Entrega del Servicio por Tercera parte Sistema de Planificacin y aceptacin

10.2.2 Control y Revisin de los Servicios Prestados por Terceras Partes. 10.2.3 Gestin de cambios servicios por terceras partes. 10.3.1 Gestin de la Capacidad. 10.3.2 Aceptacin del Sistema. Procedimiento de Desarrollo, Pruebas, Produccin y Control y Gestin del Software. en los

10.3

Avance Grupo a Grupo


10. Gestin de Comunicaciones y Operaciones
Pto. Objetivo
Proteccin Contra el Cdigo Malicioso y Ambulante.

Control
10.4.1 Controles Contra el Cdigo Malicioso.

Documento
Procedimiento de Obligaciones del Personal. Procedimiento de Medidas y Controles Contra el Cdigo Malicioso y Ambulante. Procedimiento de Concienciacin. Plan de Formacin y

10.4

10.4.2 Controles Contra el Cdigo Ambulante.

Procedimiento de Medidas y Controles Contra el Cdigo Malicioso y Ambulante. Procedimiento de Restauracin. Copias de Respaldo y

10.5 10.6

Copias de Seguridad

10.5.1 Copias de Seguridad de la Informacin.

10.6.1 Controles de Red. Gestin de la Seguridad de las 10.6.2 Seguridad de Servicios de Red. Redes

Procedimiento de Red Corporativa. los Procedimiento de Red Corporativa.

Avance Grupo a Grupo


10. Gestin de Comunicaciones y Operaciones
Pto. Objetivo Control
10.7.1 Gestin de los Soportes Extrables. 10.7.2 Retirada de los Soportes.

Documento
Procedimiento de Gestin y Distribucin de Soportes. Procedimiento de Gestin y Distribucin de Soportes. Procedimiento de Inventario de Activos.

10.7

Manipulacin de los Soportes

10.7.3 Procedimientos de Manipulacin de la Informacin.

Procedimiento de Clasificacin y Tratamiento de la Informacin. Procedimiento de Gestin y Distribucin de Soportes.

10.7.4 Seguridad de Documentacin del Sistema.

la

Procedimiento de Clasificacin y Tratamiento de la Informacin. Procedimiento de Clasificacin y Tratamiento de la Informacin. Procedimiento de Obligaciones del Personal. Procedimiento de Inventario de Activos.

10.8.1 Polticas y Procedimientos de Intercambio de Informacin.

10.8

Intercambio de Informacin

10.8.2 Acuerdos de Intercambio.

Procedimiento de Clasificacin y Tratamiento de la Informacin. Procedimiento de Obligaciones del Personal.

Avance Grupo a Grupo


10. Gestin de Comunicaciones y Operaciones
Pto. Objetivo Control
10.8.3 Soportes Fsicos en Trnsito.

Documento
Procedimiento de Gestin y Distribucin de Soportes. Procedimiento Personal. de Obligaciones del

10.8.4 Correo Electrnico. 10.8 Intercambio de Informacin 10.8.5 Sistema Negocio. de Informacin de

Procedimiento de Seguridad en el Correo Electrnico. Procedimiento Personal. de Obligaciones del

Procedimiento de Seguridad Fsica. Procedimiento de Seguridad en el Correo Electrnico.

10.9

Servicios de Comercio Electrnico

10.9.1 Comercio Electrnico. 10.9.2 Transacciones OnLine. 10.9.3 Informacin Pblica Disponible.

Avance Grupo a Grupo


10. Gestin de Comunicaciones y Operaciones
Pto. Objetivo Control
10.10.1 Registros de Auditoria. 10.10.2 Supervisin del Uso del Sistema. 10.10.3 Proteccin de la Informacin de los Registros.

Documento
Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros.

10.10

Seguimiento
10.10.4 Registros de Administracin y Operacin. 10.10.5 Registro de Fallos.

10.10.6 Sincronizacin del Reloj.

Avance Grupo a Grupo


11. Control de Acceso
Pto.
11.1

Objetivo
Requisitos de Negocio para el Control de Acceso
11.1.1 Acceso.

Control
Poltica de Control de

Documento
Procedimiento de Seguridad Fsica. Procedimiento de Gestin de Empleados.

11.2.1 Registro de Usuarios.

Procedimiento de Seguridad Fsica. Procedimiento de Control de Registros.

11.2

Gestin de Acceso de Usuario

11.2.2 Gestin de Privilegios.

Procedimiento de Seguridad Fsica. Procedimiento de Control de Registros. Procedimiento de Seguridad Fsica.

11.2.3 Gestin de Contraseas de Usuario. 11.2.4 Revisin de los Derechos de Acceso de Usuario.

Procedimiento de Control de Registros. Plantilla de Cambio de Contrasea. Procedimiento de Seguridad Fsica.

Avance Grupo a Grupo


11. Control de Acceso
Pto. Objetivo Control
11.3.1 Uso de Contrasea. 11.3.2 Equipo Desatendido. de usuario Procedimiento de Clasificacin y Tratamiento de la Informacin. Procedimiento de Obligaciones de Personal. Procedimiento de Puesto de Trabajo y Servidores. Documento de Plan de Formacin y Concienciacin. Procedimiento de Seguridad Fsica. 11.4.1 Poltica de Uso de los Servicios de Red. Procedimiento Informacin. de Auditora del Sistema de

Documento
Documento de Plan de Formacin y Concienciacin. Procedimiento de Seguridad Fsica.

11.3

Responsabilidad es de Usuario

11.3.3 Poltica de Puesto de Trabajo Despejado y Pantalla Limpia.

Procedimiento de Control de los Registros.

11.4

Control de Acceso a la Red

11.4.2 Autenticacin de Usuario para Conexiones Externas. 11.4.3 Identificacin Equipos en las Redes. de

Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica. Procedimiento de Puesto de Trabajo y Servidores. Procedimiento de Control de los Registros.

Avance Grupo a Grupo


11. Control de Acceso
Pto. Objetivo Control
11.4.4 Diagnstico Remoto y Proteccin de los Puertos de Configuracin. 11.4.5 Segregacin de las Redes. 11.4.6 Control de la Conexin a la Red. Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica. Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica.

Documento

11.4

Control de Acceso a la Red

11.4.7 Control del Encaminamiento de Red 11.5.1 Procedimientos Seguros de Inicio de Sesin. 11.5.2 Identificacin y Autenticacin de Usuarios. 11.5.3 Sistema de Gestin de Contraseas. 11.5.4 Uso de los Recursos del Sistema. 11.5.5 Desconexin Automtica de Sesin. 11.5.6 Limitacin del Tiempo de Conexin.

11.5

Control de Acceso al Sistema Operativo

Avance Grupo a Grupo


11. Control de Acceso
Pto. Objetivo Control
11.6.1 Restriccin del Acceso a la Informacin.

Documento
Procedimiento de Clasificacin y Tratamiento de la Informacin. Documento de Acuerdo de Confidencialidad Empresas/Trabajador. Procedimiento de Desarrollo, Pruebas, Produccin , Control y Gestin del Software. Procedimiento de Control de los Registros. y Procedimiento de Seguridad Fsica. Procedimiento de Control de los Registros. Procedimiento de Seguridad Fsica.

11.6

Control de Acceso a las Aplicaciones y a la Informacin

11.6.2 Aislamiento Sistemas Sensible. 11.7.1 Ordenadores Comunicaciones Mviles. 11.7.2 Teletrabajo.

de

11.7

Ordenadores Porttiles y Teletrabajo

Procedimiento de Control de los Registros.

Avance Grupo a Grupo


12. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin

Pto.
12.1

Objetivo
Requisitos de Seguridad de los Sistemas de Informacin

Control
12.1.1 Anlisis Especificacin de Requisitos de Seguridad. y los

Documento
Documento de Anlisis y Gestin de Riesgos. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Control de los Registros. Procedimiento de Auditora de los Sistemas de Informacin. Documento de Anlisis y Gestin de Riesgos. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software.

12.2.1 Validacin de los Datos de Entrada 12.2.2 Control Procesamiento Interno. del

12.2

Tratamiento Correcto de las Aplicaciones

12.2.3 Integridad Mensajes.

de

los

12.2.4 Validacin de los Datos de Salida.

Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Control de los Registros.

Avance Grupo a Grupo


12. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin

Pto.
12.3

Objetivo
Controles Criptogrficos

Control
12.3.1 Poltica de Uso de los Controles Criptogrficos. 12.3.2 Gestin de Claves. 12.4.1 Control del Software en Explotacin.

Documento
Procedimiento de Controles Criptogrficos. Procedimiento de Controles Criptogrficos. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Control y Gestin de Cambios. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Control y Gestin de Cambios. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Control y Gestin de Cambios.

12.4

Seguridad de los Archivos del Sistema

12.4.2 Proteccin de Datos de Prueba Sistema.

los del

12.4.3 Control de Acceso al Cdigo Fuente de los Programas.

12.5

Seguridad en los Procesos de Desarrollo y Soporte

12.5.1 Procedimientos Control de Cambios.

de

Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimiento de Auditora de los Sistemas de Informacin.

Avance Grupo a Grupo


12. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin

Pto.

Objetivo

Control
12.5.1 Procedimientos de Control de Cambios.

Documento
Procedimiento de Control y Gestin de Cambios. Procedimiento de Desarrollo, Pruebas, Produccin, Control y Gestin del Software. Procedimientos de Auditora de los Sistemas de Informacin.

12.5

Seguridad en los Procesos de Desarrollo y Soporte

12.5.2 Revisin Tcnica de Aplicaciones tras Efectuar Cambios en el Sistema Operativo. 12.5.3 Restricciones a los Cambios en los Paquetes de Software.

Procedimiento de Control y Gestin de Cambios. Procedimientos de Control de los Registros. Procedimiento de Control y Gestin de Cambios. Documento de Plan de Continuidad de Negocio. Procedimiento de Obligaciones de Personal. Procedimiento de Seguridad Fsica.

12.5.4 Fugas de Informacin.

Procedimiento de Gestin y Distribucin de Soportes. Procedimiento de Medidas y Controles Contra el Cdigo Malicioso y Ambulante.

12.5.5 Externalizacin Desarrollo del Software.

del

Avance Grupo a Grupo


12. Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin

Pto.
12.6

Objetivo
Gestin de la Vulnerabilidad Tcnica

Control
12.5.1 Procedimientos de Control de Cambios.

Documento
Procedimiento de Inventario de Activos. Procedimiento de Control y Gestin de Cambios. Procedimiento de Auditora de los Sistemas de Informacin.

Avance Grupo a Grupo


13. Gestin de Incidentes en la Seguridad de la Informacin
Pto.
13.1

Objetivo
Notificacin de Eventos y Puntos Dbiles de la Seguridad de la Informacin

Control
13.1.1 Notificacin de los Eventos de Seguridad de la Informacin. 13.1.2 Comunicacin de Puntos Dbiles de Seguridad. 13.2.1 Responsabilidades Procedimientos. y

Documento
Procedimiento de Obligaciones de Personal. Documento de Gestin de Incidencias de la Seguridad. Procedimiento de Obligaciones de Personal. Procedimiento de Obligaciones de Personal. Documento de Gestin de Incidencias de la Seguridad. Procedimiento de Auditora de los Sistemas de Informacin.

13.2

Gestin de Incidentes de Seguridad de la Informacin y Mejoras

13.2.2 Aprendizaje de los Incidentes de Seguridad de la Informacin.

Procedimiento de Gestin de Incidencias de la Seguridad. Documento de Concienciacin. Plan de Formacin y

Procedimiento de Obligaciones de Personal. 12.2.3 Recopilacin Evidencias. de Procedimiento de Auditora de los Sistemas de Informacin. Procedimiento de Gestin de Incidencias de la Seguridad.

Avance Grupo a Grupo


14. Gestin de la Continuidad del Negocio
Pto. Objetivo
Aspectos de Seguridad de la Informacin en la Gestin de la Continuidad del Negocio

Control
14.1.1 Inclusin de la Seguridad de la Informacin en el Proceso de Gestin de la Continuidad del Negocio. 14.1.2 Continuidad del Negocio y Evaluacin de Riesgos. 14.1.3 Desarrollo e Implantacin de Planes de Continuidad que Incluyan la Seguridad de la Informacin. 14.1.4 Marco de Referencia para la Planificacin de la Continuidad del Negocio. 15.1.5 Pruebas, Mantenimiento y Reevaluacin de los Planes de Continuidad del Negocio.

Documento
Documento de Plan de Continuidad del Negocio. Documento de Anlisis y Gestin de Riesgos. Documento de Plan de Continuidad del Negocio. Documento de Plan de Continuidad del Negocio. Documento de Plan de Continuidad del Negocio. Documento de Plan de Continuidad del Negocio.

14.1

GESTIN DE CONTINUIDAD DEL NEGOCIO


Mtodo Clave Parmetros Clave Tipo de Incidente Magnitud del Incidente Alcance Intensidad
Anlisis de impacto sobre el negocio. Impacto y tiempo. Acontecimientos causantes de trastornos serios para el negocio. Para la planificacin estratgica: slo los incidentes que afectan a la supervivencia del negocio. Se enfoca sobre todo en gestin de incidentes en su mayor parte externos a los aspectos fundamentales del negocio. Acontecimientos sbitos o de rpida evolucin (aunque tambin resulte apropiada si un incidente persistente se transforma en severo).

PDCA de la Continuidad del Negocio


Interrelaciones: Relaciones entre la Continuidad del Negocio y otros procesos de TI para: Que los planes de prevencin y recuperacin sean conocidos por el resto de la organizacin. Que los planes se adecuen a las necesidades del Negocio.

Monitorizacin para asegurar: Que los planes de prevencin y recuperacin estn actualizados Que la organizacin est capacitada para su implantacin Que los procedimientos son adecuados a las capacidades del negocio.

Implementacin: Organizar la implantacin del proceso. Elaborar los planes de prevencin y recuperacin del servicio. Establecer los protocolos de actuacin en situacin de crisis. Supervisin: Evaluar regularmente los planes de prevencin y recuperacin Asegurar el conocimiento y formacin del personal respecto a los procesos asociados Garantizar que los planes se encuentran convenientemente actualizados. Recuperacin: Cuando la prevencin ha sido insuficiente o el desastre ha sido inevitable, la gestin de Continuidad de Negocio e la responsable de: Evaluar el impacto de la interrupcin del Servicio. Poner en marcha si corresponde los planes de recuperacin. Supervisar todo el proceso.

Polticas: Coherente sobre la continuidad de los servicios. Que se establezca el alcance de la misma. Que se asigne los recursos necesarios. Que se establezcan las bases para la organizacin del proceso.

Plan de Escalado
Variables Tiempo /Magnitud
ALTA MEDIA BAJA PRD Incidente Incidente PRD PRD Incidente PRD PRD PRD

BCP Ej. Plan de Continuidad de Negocio


Escenario A
Se han visto afectadas varias mquinas del CPD, aunque la estructura de este no se ha visto afectada y sigue completamente operativo.

Activacin DPR?
No es necesario.

Solucin
Comprar las mquinas afectadas lo antes posible.

Escenario B
El CPD ha quedado completamente destruido, aunque las oficinas de nuestra organizacin estn completamente operativas.

Activacin DPR?
SI.

Solucin DPR
Habilitar lo antes posible una sala dentro de las oficinas para la recuperacin de la conexiones y de los servicios Crticos.

Escenario C
El edificio en donde se encuentra nuestra organizacin o la oficina se declara no operativo a todos los efectos. No existe red interna y es imposible el trabajo en la oficina o en todo el edificio.

Activacin DPR?
SI.

Solucin DPR

Centros de Recuperacin.

Avance Grupo a Grupo


15. Cumplimiento
Pto. Objetivo Control
15.1.1 Identificacin de la Legislacin Aplicable. 15.1.2 Derechos Intelectual (DPI). de la Propiedad

Documento
Procedimiento de Requisitos Legales. Procedimiento Personal. Procedimiento Registros. de Obligaciones Control del de

15.1.3 Proteccin de los Documentos de la Organizacin.

de

Procedimiento de Requisitos Legales. Procedimiento de Clasificacin Tratamiento de la Informacin. y

15.1

Cumplimiento de los Requisitos Legales

15.1.4 Proteccin de Datos y Privacidad de la Informacin Personal. 15.1.5 Prevencin del Uso Indebido de los Recursos de Tratamiento de la Informacin. 15.1.6 Regulacin Criptogrficos. de los Controles

Procedimiento de Requisitos Legales. Procedimiento Personal. de Obligaciones de del

Procedimiento Criptogrficos.

Controles

Procedimiento de Requisitos Legales.

Avance Grupo a Grupo


15. Cumplimiento
Pto. Objetivo
Cumplimiento de las Polticas y Normas de Seguridad y Cumplimiento Tcnico

Control
15.2.1 Cumplimiento de las Polticas y Normas de Seguridad.

Documento
Procedimiento Registros. de Control de los

Plantilla de Plan de Revisin. Procedimiento de Auditora Sistemas de Informacin. de los

15.2

15.2.2 Comprobacin del Cumplimiento Tcnico.

Procedimiento de Requisitos Legales. Plantilla de Plan de Revisin.

15.3

Consideraciones de las Auditoras de los Sistemas de Informacin

15.3.1 Controles de Auditora Sistemas de Informacin.

de

los

Procedimiento de Auditora Sistemas de Informacin.

de los

Procedimiento de Requisitos Legales. Procedimiento de Auditora Sistemas de Informacin. de los

15.3.2 Proteccin de las Herramientas de Auditora de los Sistemas de Informacin.

Procedimiento de Requisitos Legales.

Conformidades Legales ISO 27001


Leyes Especficas Aplicadas a la Informtica:
LOPD: Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
RLOPD: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

LGT: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. LSSI-CE: Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico. LPI: Ley de Propiedad Intelectual. Leyes que afectan a tratamientos especficos.

Conformidades Legales ISO 27001


ARTCULO CONTROL DE LA ISO 27002 NIVEL FICH.
BSICO MEDIO ALTO MEDIO ALTO BSICO MEDIO ALTO Doc. de Seguridad 5.1.1 Documento de Poltica de Seguridad de la Informacin. (ART. 88) 10.7.2 Retirada de Soportes. Responsable de Seguridad (ART. 95) Funciones y Obligaciones del Personal (ART. 89) Registro de Incidencias (ART. 90) 6.1.2 Coordinacin de la Seguridad de la Informacin. 6.1.3 Asignacin de Responsabilidades Relativas a la Seguridad de la Informacin. 8.1.1 Funciones y Responsabilidades. 8.2.2 Concienciacin, Formacin y Capacitacin en Seguridad de la Informacin. 8.2.3 Proceso Disciplinario. 12.6.1 13.1.1 13.2.1 13.2.2 13.2.3 13.1.1 13.2.1 13.2.2 13.2.3 Control de las Vulnerabilidades Tcnicas. Notificacin de los Eventos de Seguridad de la Informacin. Responsabilidades y Procedimientos. Aprendizaje de los Incidentes de Seguridad. Recopilacin de Evidencias. Notificacin de los Eventos de Seguridad de la Informacin. Responsabilidades y Procedimientos. Aprendizaje de los Incidentes de Seguridad. Recopilacin de Evidencias.

BSICO MEDIO ALTO

Registro de Incidencias (ART. 100)

MEDIO ALTO

Conformidades Legales ISO 27001


Adecuacin Administrativa de los Sistemas a las leyes vigentes:
Optimizacin empresarial de tratamientos. Sencillez en la generacin de soluciones. Adecuacin legal de todos los recursos empresariales con datos personales. Generacin de documentacin administrativa, empresarial y de relaciones con terceros. Gestin de inscripciones en la AEPD. Realizacin del proyecto en nuestras oficinas, excepto trabajos de campo. Mnimo consumo de tiempo y recursos del cliente durante el proyecto. Auditores y consultores con alta experiencia en diversos campos empresariales. Propuestas informticas y jurdicas de adecuacin legal. Aportacin de soluciones viables a la tecnologa y recursos ya implantados en la empresa.

Conformidades Legales ISO 27001


Auditoras de Seguridad y de Tratamientos de Datos de Carcter Personal:
En esta segunda lnea de actuacin, NCS est capacitada para actuar frente a proyectos de Auditoras de Seguridad y de Auditoras Obligatorias respecto a los Datos de Carcter Personal. Consiste en realizar una serie de sesiones en cliente donde se obtiene toda la informacin necesaria y, posteriormente se analiza para realizar un informe previo de auditora de la situacin actual. Posteriormente, se redacta el Informe Final con todos los detalles del anlisis desarrollado e indicando las mejoras necesarias para solucionar las situaciones no convenientes o anmalas en el cumplimiento de los preceptos legales.

Auditora Interna
Bien, para empezar la norma ISO 27001 en su

punto 6

nos dice que: "La organizacin deber

realizar auditoras internas del SGSI a intervalos planificados ...". Para ello debemos:
1 Elaborar el Programa Anual de Auditora Interna teniendo en cuenta a los auditores, tipo de auditora, y categora.

2 Elaborar un Plan de Auditora 3 Establecer y lista una de

estructura

verificacin para registrar la informacin o hallazgos encontrados auditoria. en la

5 Se comunica al departamento a auditar con 10 das

4 El Auditor Jefe comunica con un correo al


jefe del Dpto. Auditado el documento

hbiles de anticipacin el inicio de la auditoria. El documento PLA-16 Aviso de Auditoria debe ser firmado por el auditor jefe y por el auditado

6 Se presentan los documentos PLA-15 Plan de Auditoria y PLA-17 Reunin de Apertura-Cierre Se lleva a cabo la auditoria.

Auditora Interna
Soluciones y Mejoras I.
7
Se realiza el Informe de

8
que

Dividiremos la auditoria en 3

auditoria, y se distribuye a todas las reas implicadas.

partes, en la primera buscaremos el SGSI en cumpla la ISO con 27001 lo e

establecido

indicaremos las No conformidades encontradas con el punto

correspondiente a la Norma.

Seguiremos los mismos pasos con la ISO 27002.

con

los

Procedimientos

de

Seguridad.

9 Por ltimo el Jefe Auditor realizar un


informe final destinado a la

Direccin en el que
el Sistema y sus

expondr las observaciones o sugerencias que considere para mejorar

conclusiones finales.

Auditora Interna
Soluciones y Mejoras II.
10. En el caso de Existir No Conformidades, el
jefe auditor o la persona elegida realizarn el seguimiento de las acciones correctivas y evala la eficacia

11. Se Comprueba si las acciones correctivas


tomadas fueron eficaces.

La auditoria interna NO debe ser concebida como un acto dedicado a la inspeccin con tareas a veces incluso policiacas en la cual debamos encubrir los delitos ( a ver si no nos pillan), sino, como una oportunidad de mejora continua con el asesoramiento de los posibles

puntos dbiles en los cuales se deba hacer hincapi para mejorar la organizacin.

Auditora
Reintegracin/Reingeniera del SGSI.
Ciclo de Gestin de un programa de Auditoria segn ISO 19011

Auditora de Certificacin
Solicitud y Preparacin Auditora y/o Preauditora.
1 Contactar con la Empresa 3 Informe de Preauditora. Certificadora y acordar las fechas de las visitas a la Organizacin. 2

1 Visita:

Presentar la informacin desarrollada.

2 Visita:

Auditora e Informe de Auditora.

Auditora de Certificacin
Solucin de Observaciones y No Conformidades.
Si las no conformidades encontradas son de tipo menor, bastar con realizar un plan de acciones correctivas PAC con la solucin a adoptar para corregirla y enviarla por email al Jefe Auditor.

Y si todo es correcto

NUESTRO ESFUERZO TENDR SU RECOMPENSA !!!.

Fin
MUCHAS GRACIAS POR VUESTRA ASISTENCIA
Alejandro Corletti Estrada acorletti@hotmail.com