La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007.

Presentaciones similares


Presentación del tema: "La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007."— Transcripción de la presentación:

1 La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007

2 CONTENIDO Auditores (Calificación – Experiencia). Auditores (Calificación – Experiencia). Planificación. Planificación. Pre-auditoria. Pre-auditoria. Auditoria de Certificación (Fase 1+ Fase 2). Auditoria de Certificación (Fase 1+ Fase 2). Auditorias de seguimiento. Auditorias de seguimiento. Esquema de Acreditación. Esquema de Acreditación. Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial. Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.

3 Auditores (Calificación – Experiencia)

4 Auditores (Calificación – Experiencia). 5 Años de experiencia (3 específicos en el sector TI). 5 Años de experiencia (3 específicos en el sector TI). Curso ISO Lead Auditor aprobado. Curso ISO Lead Auditor aprobado. 20 días cómo observador en auditoria de Entidad de Certificación + 4 días cómo Auditor Jefe supervisado. 20 días cómo observador en auditoria de Entidad de Certificación + 4 días cómo Auditor Jefe supervisado.

5 Planificación.

6 Planificación. Asignación de equipo auditor. Asignación de equipo auditor. Asignación de días de auditoria (según tablas de la Entidad de Acreditación- UKAS / ENAC). Asignación de días de auditoria (según tablas de la Entidad de Acreditación- UKAS / ENAC).

7 Proceso de auditoria de certificación

8 Pre-auditoria (Opcional) Auditoria de Certificación Fase 1 Fase 2

9 Pre - auditoria Auditoria de análisis con el fin de establecer el estado de cumplimiento con la norma con vistas a la auditoria. Pre-auditoria (Opcional)

10 Auditoria de Certificación – Fase 1 Revisión del alcance, Revisión de la dirección, Análisis del método de la Gestión de Riesgos y resultados,Establecimiento de aplicabilidad, Política SI y Procedimientos. Auditoria de Certificación Fase 1

11 Auditoria de Certificación – Fase 1 Impreso o escrito en papel. Impreso o escrito en papel. Almacenado electrónicamente. Almacenado electrónicamente. Enviado por correo ordinario o por . Enviado por correo ordinario o por . Videos corporativos. Videos corporativos. Verbal - en conversaciones Verbal - en conversaciones ……cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido. ……cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido. (ISO/IEC 27001: 2005)

12 Auditoria de Certificación – Fase 1 Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada e información existente en soporte informático.

13 Auditoria de Certificación – Fase 1 ISO/ IEC 27001:2005 ISO/ IEC 27001:2005 Especificación para la certificación de Sistemas de gestión de seguridad de la información.

14 Definición de Política Definir alcance del SGSI Auditoria de riesgos Gestión del riesgo Definir objetivos y controles para implantarlos Preparar un establecimiento de aplicabilidad Fase1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Amenazas, vulnerabilidades, impactos Las organizaciones aprovechan la gestión del riesgo Grado de aseguramiento requerido Sección 3 de esta parte de la BS 7799, objetivos y controles Controles adicionales no incluidos en la BS 7799 Política documentada Alcance del Sistema Information assets Auditoria de riesgos Resultados y conclusiones Seleccionar controles y opciones Seleccionar objetivos y controles Establecimiento de aplicabilidad Figura 1 – Estableciendo una herramienta de trabajo

15 Chequeo del alcance y de la Política del SGSI Auditoria de Certificación – Fase 1

16 Definición del alcance Alcance de la certificación Cubre las partes de su negocio que van a ser auditadas bajo la ISO 27001

17 Definición del alcance SGC Dirección General Operaciones Dtpto. Financiero Dtpto. Comercial Dtpto. RR.HH Recepción de datos Escaneado Almacenamiento de datos

18 Establecimiento del Alcance Provision de Sistemas de Gestión de datos, recepción de dichos datos, escaneado y almacenamiento de los datos en cuestión. De acuerdo con el establecimiento de aplicabilidad emitido el 01/10/2006. De acuerdo con el establecimiento de aplicabilidad emitido el 01/10/2006.

19 Establecimiento de la Política La Dirección General, junto con los empleados de los departamentos afectados en la implantación, tienen la obligación de desarrollar una Política de Seguridad dentro de la empresa relacionada con la información interna y externa que la empresa maneja.

20 Establecimiento de la Política Política del SGSI Es un documento que identifica: Es un documento que identifica: Establecimiento del compromiso de la dirección. Establecimiento del compromiso de la dirección. Definición de la seguridad de la información dentro de su organización. Definición de la seguridad de la información dentro de su organización. Explica los principios del Sistema. Explica los principios del Sistema. Definición de responsabilidades. Definición de responsabilidades. Referencia al soporte documental. Referencia al soporte documental. Cumplimiento con los requisitos legales. Cumplimiento con los requisitos legales.

21 Entrevistas con Comité, Responsable del Sistema y partes implicadas Auditoria de Certificación – Fase 1

22 Comité de Seguridad El Comité:. Revisará y modificará la Política.. Revisará y modificará la Política.. Realizará inpecciones sobre la exposición a los cambios de los activos frente a grandes amenazas. Realizará inpecciones sobre la exposición a los cambios de los activos frente a grandes amenazas. Revisará e inspeccionará amenazas en materia de seguridad de la información. Revisará e inspeccionará amenazas en materia de seguridad de la información. Actas de las reuniones. Actas de las reuniones.

23 Responsable del SGSI Apoyar al Comité de Seguridad. Apoyar al Comité de Seguridad. Dirigir y mantener el SGSI. Dirigir y mantener el SGSI. Realizar auditorias internas. Realizar auditorias internas. Información. Información. Trabajar con los procesos implicados. Trabajar con los procesos implicados.

24 Procesos implicados Procesos implicados: Procesos implicados: Responsables de los activos registrados en su área y de implantar el Sistema en su proceso. Responsables de los activos registrados en su área y de implantar el Sistema en su proceso.

25 Registro de activos y gestión de riesgos Auditoria de Certificación – Fase 1

26 Registro de Activos ISO requisitos: Identificar los activos con el alcance del SGSI y los responsables de gestionar dichos activos. Identificar los activos con el alcance del SGSI y los responsables de gestionar dichos activos.

27 Registro de Activos

28 Identificación de riesgos Las vulnerabilidades son debilidades asociadas a los activos identificados. Estas debilidades quizás son tratadas cómo una amenaza, causando una brecha en materia de seguridad con el resultado de pérdida y daño de estos activos.

29 Amenazas Una amenaza tiene el potencial para causar un incidente no deseado, el cual, quizás dañe a los activos o a todos el Sistema.

30 Vulnerabilidades Una vulnerabilidad por si misma no causa daños, es meramente una condición o grupo de condiciones que quizás permitan a una amenaza afectar un activo.

31 Niveles de Riesgo

32 Amenazas

33 Vulnerabilidades

34 Probabilidad / Impacto

35

36 Factor de riesgo y ranking Auditoria de Certificación – Fase 1

37 Factor de riesgos Un documento o documentos, los cuales identifican cómo todos los componentes del negocio,son parte de la Política de la empresa, evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de medidas de seguridad supletorias tomadas.

38 Niveles de Factor de Riesgo

39 Factor de riesgo y ranking

40

41 Establecimiento de aplicabilidad Auditoria de Certificación – Fase 1

42 Establecimiento de aplicabilidad Un documento el cual indica cada una de las cláusulas en ISO que son aplicables. –Dónde sea aplicable se identificará procedimiento. –Dónde no sea aplicable se identificará por qué no.

43 Establecimiento de aplicabilidad

44 Proceso de certificación Fase 2 Revisión de las políticas contra las que se están trabajando. Auditoria de la implantación de los controles de seguridad y sistema de control operacional. Auditoria de Certificación

45 Seleccionar controles Auditoria de Certificación – Fase 2

46 Selección de controles

47

48 Sistema de control operacional Auditoria de Certificación – Fase 2

49 Auditoria interna Auditoria interna Auditoria interna La auditorias internas son planificadas y se generan informes de auditoria dónde se identifica que el SGSI se encuentra correctamente implantado.

50 Revisión por la Dirección El Comité de Seguridad se reune periodicamente con el fin de analizar: Resultados de la auditoria interna Resultados de la auditoria interna Cambios en el SGSI Cambios en el SGSI Informes de incidentes Informes de incidentes

51 Plan de Continuidad de Negocio Documentado. Documentado. Identificando roles y responsabilidades. Identificando roles y responsabilidades. Simulacro Simulacro BIA (Business Interruption Analysis). BIA (Business Interruption Analysis).

52 ISO Proceso de certificación ISO Certificación Acciones correctivas, revisión y emisión de certificados El Sistema puede estar integrado con otro tipo de Sistemas (ISO 9001, ISO 14001, OHSAS 18001, ISO 20000, BS 25999)

53 ISO Auditorias de seguimiento ISO Fase 7 Auditoria de seguimiento Auditoria anual Tri-anualmente auditoria de recertificación

54 Principales deficiencias detectadas en auditorias

55 No existen evidencias que los planes de continuidad de negocio han sido revisados. No existen evidencias que los planes de continuidad de negocio han sido revisados. No existe mecanismo para actualizar los cambios referentes a la legislación o regulaciones aplicables a la empresa en materia de Seguridad. No existe mecanismo para actualizar los cambios referentes a la legislación o regulaciones aplicables a la empresa en materia de Seguridad.

56 Principales deficiencias detectadas en auditorias Los planes de continuidad de negocio se encuentran realizados pero no revisados.Los planes de continuidad de negocio se encuentran realizados pero no revisados. No se encuentran claramente definidos los responsables de los activos de la información.No se encuentran claramente definidos los responsables de los activos de la información. Inadecuadas auditorias internasInadecuadas auditorias internas

57 Pobre control de las contraseñas en el Sistema y niveles de uso. Pobre control de las contraseñas en el Sistema y niveles de uso. Limitados controles de acceso físico en relación a visitas de clientes y proveedores. Limitados controles de acceso físico en relación a visitas de clientes y proveedores. Principales deficiencias detectadas en auditorias

58 Resumen de puntos a revisar en auditoria

59 Política de Seguridad. Política de Seguridad. Seguridad organizativa. Seguridad organizativa. Clasificación de activos y controles. Clasificación de activos y controles. Seguridad contra / y del personal. Seguridad contra / y del personal. Seguridad física y medioambiental. Seguridad física y medioambiental. Resumen de puntos a revisar en auditoria

60 Comunicaciones y operaciones de gestión. Comunicaciones y operaciones de gestión. Control de acceso. Control de acceso. Desarrollo de Sistemas y mantenimiento. Desarrollo de Sistemas y mantenimiento. Planificación continua del negocio. Planificación continua del negocio. Cumplimiento legal. Cumplimiento legal. Resumen de puntos a revisar en auditoria

61 Esquema de Acreditación Esquema de Acreditación

62 Esquema de Acreditación

63 ISO – Entidades Certificadoras ISO – Entidades Certificadoras BM TRADA Certification Limited BM TRADA Certification Limited KPMG SA KPMG SA BSI BSI LRQA LRQA BVQI (Bureau Veritas Quality International) BVQI (Bureau Veritas Quality International) National Quality Assurance National Quality Assurance Certification Europe Certification Europe Nemko (Norway) Nemko (Norway) CIS (Austria) CIS (Austria) PSB Certification (Singapore) PSB Certification (Singapore) DNV (Det Norske Veritas) DNV (Det Norske Veritas) RINA S.p.A. (Italy) RINA S.p.A. (Italy) DQS GmbH (Germany) DQS GmbH (Germany) RWTUEV Systems GmbH (Germany) RWTUEV Systems GmbH (Germany) DS Certification DS Certification SAI Global Limited (Australia) SAI Global Limited (Australia) JACO-IS (Japanese Audit and Certification Organisation) JACO-IS (Japanese Audit and Certification Organisation)

64 ISO – Entidades Certificadoras ISO – Entidades Certificadoras SEMKO-DEKRA Certification AB SEMKO-DEKRA Certification AB JICQA JICQA SFS-Inspecta Certification (Finland) SFS-Inspecta Certification (Finland) JMAQA JMAQA SGS ICS Limited SGS ICS Limited JQA (Japanese Quality Assurance) JQA (Japanese Quality Assurance) SQS (Swiss Quality System) SQS (Swiss Quality System) JSA JSA STQC IT Certification Services (India) STQC IT Certification Services (India) JUSE-ISO Center JUSE-ISO Center Teknologisk institutt Sertifisering AS (Norway) Teknologisk institutt Sertifisering AS (Norway) KEMA Quality BV KEMA Quality BV TÜV Rheinland Group (Germany) TÜV Rheinland Group (Germany) KPMG Audit plc KPMG Audit plc TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) KPMG Certification KPMG Certification UIMCert (Germany) UIMCert (Germany) KPMG RJ KPMG RJ United Registrar of Systems Limited United Registrar of Systems Limited Applus Applus

65 ISO Entidades de Acreditación ISO Entidades de Acreditación Reino Unido – UKAS. Reino Unido – UKAS. España- ENAC España- ENAC Alemania– TGA. Alemania– TGA. Noruega – NA. Noruega – NA. Suiza– SWEDAC Suiza– SWEDAC Holanda- RvA Holanda- RvA Irlanada– NAB Irlanada– NAB Finlandia – Finas Finlandia – Finas

66 Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.

67 Japan 2317* Switzerland 12 Lithuania 2 UK 363 Turkey 12 Oman 2 India 347 Saudi Arabia 10 Peru 2 Taiwan 149UAE9 Portugal 2 Germany 87 Slovenia 8 Qatar 2 China 74 Sweden 8 Slovak Republic 2 Hungary 58 Iceland 7 Sri Lanka 2 USA 54 Kuwait 6 Vietnam 2 Australia 53 Pakistan 6 Armenia 1 Korea 51 Russian Federation 6 Bulgaria 1 Italy 45 France 5 Chile 1 Netherlands 32 Greece 5 Egypt 1 Hong Kong 30 Thailand 5 Gibraltar 1 Czech Republic 28 Bahrain 4 Lebanon 1 Singapore 28 Canada 4Luxemburg1 Malaysia 21 Indonesia 4 Macedonia 1 Brazil 20 Argentina 3 Moldova 1 Austria 17 Colombia 3 Morocco 1 Ireland 17 Isle of Man 3 New Zealand 1 Poland 16 Macau 3 Ukraine 1 Finland 14 Romania 3 Uruguay 1 Norway 14 South Africa 3 Yugoslavia 1 Mexico 12 Belgium 2 Philippines 12 Croatia 2Relative Total4047 Spain 12 Denmark 2 Absolute Total4036*

68 ISO en España Nota: Las compañías COLT TELECOM y HP se encuentran certificadas por BSI en España mediante multisite. La ONCE se encuentra certificada por BSI en España bajo el esquema WLA. Name of the OrganizationCountryCertificate NumberCertification Body Standard BS :2002 or ISO/IEC 27001:2005 AXALTO BarcelonaSpainLSTI/SMSI/02LSTI SAS RCSBS :2002 BANKINTER, S.A.SpainIS BSIISO/IEC 27001:2005 Belt Ibérica, S.A.SpainGB06/70388 SGS United Kingdom Limited ISO/IEC 27001:2005 Caja MadridSpainIS 92805BSIISO/IEC 27001:2005 e-la CaixaSpainIS BSIISO/IEC 27001:2005 ESA SECURITY, S.A.SpainGB07/72167 SGS United Kingdom Limited ISO/IEC 27001:2005 IZENPE, S.A.SpainIS BSIISO/IEC 27001:2005 Nextel S.ASpainIS 80383BSIISO/IEC 27001:2005 Oficina De Armonizacion Del Mercado InteriorSpainIS 80620BSIISO/IEC 27001:2005 Segurservi S.ASpain Bureau Veritas Certification ISO/IEC 27001:2005 Verio EuropeSpainLRQ LRQAISO/IEC 27001:2005

69 Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial Lider mundial: BSI con 43% cuota de mercado. Lider en España: BSI con 55% de la cuota de mercado.

70 Ejemplos de compañías auditadas y certificadas a nivel mundial - SYMANTEC JAPAN - ACCENTURE - ATOS ORIGIN - AXA - BECHTEL - BMW ASIA (technology centre). - CAMELOT - CHINA TELECOM GROUP - CHINESE PETROLUM - FEDERAL RESERVE BANK OF NEW YORK & SAN FRANCISCO - FUJITSU - IBM JAPAN - JAPAN TELECOM - KIA MOTOR

71 - LG - ORACLE CORPORATION - PCWW - SAMSUNG ELECTRONICD - RICOH - SAP JAPAN - SONY MUSIC - THE BANK OF TOKYO - THE WORLD BANK - UNYSIS - ONU - WARNER - XEROX CORPORATION - YAHOO JAPAN CORPORATION Ejemplos de compañías auditadas y certificadas a nivel mundial


Descargar ppt "La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007."

Presentaciones similares


Anuncios Google