La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Alejandro García Ruiz Madrid, 13 de noviembre de 2007

Publicada porZarita Espinosa Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Alejandro García Ruiz Madrid, 13 de noviembre de 2007"— Transcripción de la presentación:

1 Alejandro García Ruiz Madrid, 13 de noviembre de 2007
La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007

2 CONTENIDO Auditores (Calificación – Experiencia). Planificación.
Pre-auditoria. Auditoria de Certificación (Fase 1+ Fase 2). Auditorias de seguimiento. Esquema de Acreditación. Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.

3 (Calificación – Experiencia)
Auditores (Calificación – Experiencia)

4 Auditores (Calificación – Experiencia).
5 Años de experiencia (3 específicos en el sector TI). Curso ISO Lead Auditor aprobado. 20 días cómo observador en auditoria de Entidad de Certificación + 4 días cómo Auditor Jefe supervisado.

5 Planificación.

6 Planificación. Asignación de equipo auditor.
Asignación de días de auditoria (según tablas de la Entidad de Acreditación- UKAS / ENAC).

7 Proceso de auditoria de certificación

8 Proceso de auditoria de certificación
Pre-auditoria (Opcional) Auditoria de Certificación Fase 1 Fase 2

9 Pre-auditoria (Opcional)
Auditoria de análisis con el fin de establecer el estado de cumplimiento con la norma con vistas a la auditoria.

10 Auditoria de Certificación – Fase 1
Revisión del alcance, Revisión de la dirección, Análisis del método de la Gestión de Riesgos y resultados,Establecimiento de aplicabilidad, Política SI y Procedimientos.

11 Auditoria de Certificación – Fase 1
Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por . Videos corporativos. Verbal - en conversaciones “……cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido.” (ISO/IEC 27001: 2005)

12 Auditoria de Certificación – Fase 1
Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada e información existente en soporte informático.

13 Auditoria de Certificación – Fase 1
ISO/ IEC :2005 Especificación para la certificación de Sistemas de gestión de seguridad de la información.

14 Figura 1 – Estableciendo una herramienta de trabajo
Definición de Política Política documentada Fase1 Definir alcance del SGSI Fase 2 Alcance del Sistema Information assets Amenazas, vulnerabilidades, impactos Auditoria de riesgos Auditoria de riesgos Fase 3 Las organizaciones aprovechan la gestión del riesgo Resultados y conclusiones Fase 4 Gestión del riesgo Grado de aseguramiento requerido Seleccionar controles y opciones Sección 3 de esta parte de la BS 7799, objetivos y controles Fase 5 Definir objetivos y controles para implantarlos Controles adicionales no incluidos en la BS 7799 Seleccionar objetivos y controles Fase 6 Preparar un establecimiento de aplicabilidad Establecimiento de aplicabilidad Figura 1 – Estableciendo una herramienta de trabajo

15 Auditoria de Certificación – Fase 1
Chequeo del alcance y de la Política del SGSI

16 Definición del alcance
Alcance de la certificación Cubre las partes de su negocio que van a ser auditadas bajo la ISO 27001

17 Definición del alcance
Dirección General SGC Operaciones Dtpto. Financiero Dtpto. Comercial Dtpto. RR.HH Recepción de datos Escaneado Almacenamiento de datos

18 Establecimiento del Alcance
Provision de Sistemas de Gestión de datos, recepción de dichos datos, escaneado y almacenamiento de los datos en cuestión. De acuerdo con el establecimiento de aplicabilidad emitido el 01/10/2006.

19 Establecimiento de la Política
La Dirección General, junto con los empleados de los departamentos afectados en la implantación, tienen la obligación de desarrollar una Política de Seguridad dentro de la empresa relacionada con la información interna y externa que la empresa maneja.

20 Establecimiento de la Política
Política del SGSI Es un documento que identifica: Establecimiento del compromiso de la dirección. Definición de la seguridad de la información dentro de su organización. Explica los principios del Sistema. Definición de responsabilidades. Referencia al soporte documental. Cumplimiento con los requisitos legales.

21 Auditoria de Certificación – Fase 1
Entrevistas con Comité, Responsable del Sistema y partes implicadas

22 Comité de Seguridad El Comité:. Revisará y modificará la Política..
Realizará inpecciones sobre la exposición a los cambios de los activos frente a grandes amenazas. Revisará e inspeccionará amenazas en materia de seguridad de la información. Actas de las reuniones.

23 Responsable del SGSI Apoyar al Comité de Seguridad.
Dirigir y mantener el SGSI. Realizar auditorias internas. Información. Trabajar con los procesos implicados.

24 Procesos implicados Procesos implicados:
Responsables de los activos registrados en su área y de implantar el Sistema en su proceso.

25 Auditoria de Certificación – Fase 1
Registro de activos y gestión de riesgos

26 Registro de Activos ISO 27001 requisitos:
Identificar los activos con el alcance del SGSI y los responsables de gestionar dichos activos.

27 Registro de Activos

28 Identificación de riesgos
Las vulnerabilidades son debilidades asociadas a los activos identificados. Estas debilidades quizás son tratadas cómo una amenaza, causando una brecha en materia de seguridad con el resultado de pérdida y daño de estos activos.

29 Amenazas Una amenaza tiene el potencial para causar un incidente no deseado, el cual, quizás dañe a los activos o a todos el Sistema.

30 Vulnerabilidades Una vulnerabilidad por si misma no causa daños, es meramente una condición o grupo de condiciones que quizás permitan a una amenaza afectar un activo.

31 Niveles de Riesgo

32 Amenazas

33 Vulnerabilidades

34 Probabilidad / Impacto

35 Probabilidad / Impacto

36 Auditoria de Certificación – Fase 1 Factor de riesgo y ranking

37 Factor de riesgos Un documento o documentos, los cuales identifican cómo todos los componentes del negocio,son parte de la Política de la empresa, evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de medidas de seguridad supletorias tomadas.

38 Niveles de Factor de Riesgo

39 Factor de riesgo y ranking

40 Factor de riesgo y ranking

41 Auditoria de Certificación – Fase 1 Establecimiento de aplicabilidad

42 Establecimiento de aplicabilidad
Un documento el cual indica cada una de las cláusulas en ISO que son aplicables. Dónde sea aplicable se identificará procedimiento. Dónde no sea aplicable se identificará por qué no.

43 Establecimiento de aplicabilidad

44 Proceso de certificación
Auditoria de Certificación Fase 2 Revisión de las políticas contra las que se están trabajando. Auditoria de la implantación de los controles de seguridad y sistema de control operacional.

45 Auditoria de Certificación – Fase 2 Seleccionar controles

46 Selección de controles

47 Selección de controles

48 Auditoria de Certificación – Fase 2 Sistema de control operacional

49 Auditoria interna Auditoria interna
La auditorias internas son planificadas y se generan informes de auditoria dónde se identifica que el SGSI se encuentra correctamente implantado.

50 Revisión por la Dirección
El Comité de Seguridad se reune periodicamente con el fin de analizar: Resultados de la auditoria interna Cambios en el SGSI Informes de incidentes

51 Plan de Continuidad de Negocio
Documentado. Identificando roles y responsabilidades. Simulacro BIA (Business Interruption Analysis).

52 Proceso de certificación ISO 27001
Acciones correctivas, revisión y emisión de certificados Certificación El Sistema puede estar integrado con otro tipo de Sistemas (ISO 9001, ISO 14001, OHSAS 18001, ISO 20000, BS 25999)

53 Auditorias de seguimiento ISO 27001
Fase 7 Auditoria de seguimiento Auditoria anual Tri-anualmente auditoria de recertificación -

54 Principales deficiencias detectadas en auditorias

55 Principales deficiencias detectadas en auditorias
No existen evidencias que los planes de continuidad de negocio han sido revisados. No existe mecanismo para actualizar los cambios referentes a la legislación o regulaciones aplicables a la empresa en materia de Seguridad.

56 Principales deficiencias detectadas en auditorias
Los planes de continuidad de negocio se encuentran realizados pero no revisados. No se encuentran claramente definidos los responsables de los activos de la información. Inadecuadas auditorias internas - Remember, that the policy drives the objectives and targets and that the two are closely related. The assessors should not be concerned with what the objectives and targets are but whether the EMS is meeting or/can meet them. The policy needs to be translated into more specific objectives and targets. These should be realistic, meaningful, measurable, achievable, time bounded with a clear allocation of accountability. Assessors will need to be able to determine whether they reflect: legal requirements - (cross reference with procedure for identifying legal and other requirements - Phase 2). significant environmental aspects - (cross reference with procedure for identifying significant aspects - Phase 2). views of interested parties - consider all key stakeholder requirements (cross reference with procedure for identifying legal and other requirements). continual improvements in performance - judgment view. technological options - consider use of best available technology where economically viable in the spirit of pollution prevention. financial requirements - no requirement to use environmental cost accounting techniques but objectives have to be financially achievable. operational requirements - realistic with respect to operations (including contractor activities). business requirements - overall business strategy. The environmental management programme should describe how the objectives and targets should be achieved including timescales and responsibilities. Progress against objectives and targets needs to be demonstrated and recorded (i.e. through committee meetings/minutes, modifications to the programme, audit programme and management review).

57 Principales deficiencias detectadas en auditorias
Pobre control de las contraseñas en el Sistema y niveles de uso. Limitados controles de acceso físico en relación a visitas de clientes y proveedores.

58 Resumen de puntos a revisar en auditoria
The next two slides cover a brief description of the 10 clauses. Use the standard to elaborate - Security Policy - to provide management direction and support for information security - Security Organization - to manage information security within the organization includes third party access and outsourcing - Asset classification and control - to maintain appropriate protection of organizational assets - Personnel security - to reduce the risks of human error, theft, fraud or misuse of facilities - Physical - to prevent unauthorized access, damage and interference to business premises and information - secure areas, equipment security, general controls e.g. clear desk policy

59 Resumen de puntos a revisar en auditoria
Política de Seguridad. Seguridad organizativa. Clasificación de activos y controles. Seguridad contra / y del personal. Seguridad física y medioambiental. The next two slides cover a brief description of the 10 clauses. Use the standard to elaborate - Security Policy - to provide management direction and support for information security - Security Organization - to manage information security within the organization includes third party access and outsourcing - Asset classification and control - to maintain appropriate protection of organizational assets - Personnel security - to reduce the risks of human error, theft, fraud or misuse of facilities - Physical - to prevent unauthorized access, damage and interference to business premises and information - secure areas, equipment security, general controls e.g. clear desk policy

60 Resumen de puntos a revisar en auditoria
Comunicaciones y operaciones de gestión. Control de acceso. Desarrollo de Sistemas y mantenimiento. Planificación continua del negocio. Cumplimiento legal. - Comms and ops - to ensure the correct and secure processing of information processing facilities, systems planning and acceptance, protection against malicious software, housekeeping, network management, media handling and security, exchanges of information and software - Access control - to control access to information - user access management, network access control, operating system access control, application access control, monitoring system access and use, mobile computing and teleworking - Systems development and maintenance - security requirements of systems, security in application systems, cryptographic controls, security of system files, security in development and support processes - Business continuity - to counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters - Compliance -legal to avoid breaches of any criminal and civil law, and statutory, regulatory or contractual obligations, and of any security requirements, review of security policy and technical compliance, system audit consideration

61 Esquema de Acreditación

62 Esquema de Acreditación

63 ISO 27001 – Entidades Certificadoras
BM TRADA Certification Limited KPMG SA BSI LRQA BVQI (Bureau Veritas Quality International) National Quality Assurance Certification Europe Nemko (Norway) CIS (Austria) PSB Certification (Singapore) DNV (Det Norske Veritas) RINA S.p.A. (Italy) DQS GmbH (Germany) RWTUEV Systems GmbH (Germany) DS Certification SAI Global Limited (Australia) JACO-IS (Japanese Audit and Certification Organisation)

64 ISO 27001 – Entidades Certificadoras
SEMKO-DEKRA Certification AB JICQA SFS-Inspecta Certification (Finland) JMAQA SGS ICS Limited JQA (Japanese Quality Assurance) SQS (Swiss Quality System) JSA STQC IT Certification Services (India) JUSE-ISO Center Teknologisk institutt Sertifisering AS (Norway) KEMA  Quality BV TÜV Rheinland Group (Germany) KPMG Audit plc TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) KPMG Certification UIMCert (Germany) KPMG RJ United Registrar of Systems Limited Applus

65 ISO 27001 Entidades de Acreditación
Reino Unido – UKAS. España- ENAC Alemania– TGA. Noruega – NA. Suiza– SWEDAC Holanda- RvA Irlanada– NAB Finlandia – Finas

66 Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.

67 Absolute Total 4036* Japan 2317* Switzerland 12 Lithuania 2 UK 363
Turkey Oman India 347 Saudi Arabia 10 Peru Taiwan 149 UAE 9 Portugal Germany 87 Slovenia 8 Qatar China 74 Sweden Slovak Republic Hungary 58 Iceland 7 Sri Lanka USA 54 Kuwait 6 Vietnam Australia 53 Pakistan Armenia 1 Korea 51 Russian Federation Bulgaria Italy 45 France 5 Chile Netherlands 32 Greece Egypt Hong Kong 30 Thailand Gibraltar Czech Republic 28 Bahrain 4 Lebanon Singapore Canada Luxemburg Malaysia 21 Indonesia Macedonia Brazil 20 Argentina 3 Moldova Austria 17 Colombia Morocco Ireland Isle of Man New Zealand Poland 16 Macau Ukraine Finland 14 Romania Uruguay Norway South Africa Yugoslavia Mexico Belgium Philippines Croatia Relative Total 4047 Spain Denmark Absolute Total 4036*

68 ISO 27001 en España Name of the Organization Country
Certificate Number Certification Body Standard BS :2002 or  ISO/IEC 27001:2005 AXALTO Barcelona Spain LSTI/SMSI/02 LSTI SAS RCS BS :2002 BANKINTER, S.A. IS BSI ISO/IEC 27001:2005 Belt Ibérica, S.A. GB06/70388 SGS United Kingdom Limited Caja Madrid IS 92805 e-la Caixa IS ESA SECURITY, S.A. GB07/72167 IZENPE, S.A. IS Nextel S.A IS 80383 Oficina De Armonizacion Del Mercado Interior IS 80620 Segurservi S.A 560224 Bureau Veritas Certification Verio Europe LRQ LRQA Nota: Las compañías COLT TELECOM y HP se encuentran certificadas por BSI en España mediante multisite. La ONCE se encuentra certificada por BSI en España bajo el esquema WLA.

69 Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial
Lider mundial: BSI con 43% cuota de mercado. Lider en España: BSI con 55% de la cuota de mercado.

70 Ejemplos de compañías auditadas y certificadas a nivel mundial
- SYMANTEC JAPAN - ACCENTURE - ATOS ORIGIN - AXA - BECHTEL - BMW ASIA (technology centre). - CAMELOT - CHINA TELECOM GROUP - CHINESE PETROLUM - FEDERAL RESERVE BANK OF NEW YORK & SAN FRANCISCO - FUJITSU - IBM JAPAN - JAPAN TELECOM - KIA MOTOR

71 Ejemplos de compañías auditadas y certificadas a nivel mundial
- LG - ORACLE CORPORATION - PCWW - SAMSUNG ELECTRONICD - RICOH - SAP JAPAN - SONY MUSIC - THE BANK OF TOKYO - THE WORLD BANK - UNYSIS - ONU - WARNER - XEROX CORPORATION - YAHOO JAPAN CORPORATION

Descargar ppt "Alejandro García Ruiz Madrid, 13 de noviembre de 2007"

Presentaciones similares

PROCEDIMIENTO AUDITORIAS INTERNAS.

PROCEDIMIENTO AUDITORIAS INTERNAS.
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
XVIII Exposición Latinoamericana del Petróleo

XVIII Exposición Latinoamericana del Petróleo
Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Por que es importante la tecnolog í a? Andres Giraldo Patiño Consultor de Negocios SAP BO Soluciones Bolívar Santiago de Cali, 23 de Octubre de 2008.

Por que es importante la tecnolog í a? Andres Giraldo Patiño Consultor de Negocios SAP BO Soluciones Bolívar Santiago de Cali, 23 de Octubre de 2008.
ISO ITIL Marcos de Referencia – Gestión de Servicios de TI

ISO ITIL Marcos de Referencia – Gestión de Servicios de TI
ISO GESTIÓN DE SERVICIOS DE TI

ISO GESTIÓN DE SERVICIOS DE TI
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
SISTEMA DE GESTIÓN ISO 9001:2008.

SISTEMA DE GESTIÓN ISO 9001:2008.
Carla Cuevas Noya Adrian Aramiz Villalba Salinas

Carla Cuevas Noya Adrian Aramiz Villalba Salinas
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

Presentaciones similares

Anuncios Google