Alejandro García Ruiz Madrid, 13 de noviembre de 2007 La Auditoria Alejandro García Ruiz Madrid, 13 de noviembre de 2007
CONTENIDO Auditores (Calificación – Experiencia). Planificación. Pre-auditoria. Auditoria de Certificación (Fase 1+ Fase 2). Auditorias de seguimiento. Esquema de Acreditación. Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.
(Calificación – Experiencia) Auditores (Calificación – Experiencia)
Auditores (Calificación – Experiencia). 5 Años de experiencia (3 específicos en el sector TI). Curso ISO 27001 Lead Auditor aprobado. 20 días cómo observador en auditoria de Entidad de Certificación + 4 días cómo Auditor Jefe supervisado.
Planificación.
Planificación. Asignación de equipo auditor. Asignación de días de auditoria (según tablas de la Entidad de Acreditación- UKAS / ENAC).
Proceso de auditoria de certificación
Proceso de auditoria de certificación Pre-auditoria (Opcional) Auditoria de Certificación Fase 1 Fase 2
Pre-auditoria (Opcional) Auditoria de análisis con el fin de establecer el estado de cumplimiento con la norma con vistas a la auditoria.
Auditoria de Certificación – Fase 1 Revisión del alcance, Revisión de la dirección, Análisis del método de la Gestión de Riesgos y resultados,Establecimiento de aplicabilidad, Política SI y Procedimientos.
Auditoria de Certificación – Fase 1 Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por e-mail. Videos corporativos. Verbal - en conversaciones “……cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido.” (ISO/IEC 27001: 2005)
Auditoria de Certificación – Fase 1 Salvaguardar la confidencialidad, integridad y disponibilidad de la información escrita, hablada e información existente en soporte informático.
Auditoria de Certificación – Fase 1 ISO/ IEC 27001:2005 Especificación para la certificación de Sistemas de gestión de seguridad de la información.
Figura 1 – Estableciendo una herramienta de trabajo Definición de Política Política documentada Fase1 Definir alcance del SGSI Fase 2 Alcance del Sistema Information assets Amenazas, vulnerabilidades, impactos Auditoria de riesgos Auditoria de riesgos Fase 3 Las organizaciones aprovechan la gestión del riesgo Resultados y conclusiones Fase 4 Gestión del riesgo Grado de aseguramiento requerido Seleccionar controles y opciones Sección 3 de esta parte de la BS 7799, objetivos y controles Fase 5 Definir objetivos y controles para implantarlos Controles adicionales no incluidos en la BS 7799 Seleccionar objetivos y controles Fase 6 Preparar un establecimiento de aplicabilidad Establecimiento de aplicabilidad Figura 1 – Estableciendo una herramienta de trabajo
Auditoria de Certificación – Fase 1 Chequeo del alcance y de la Política del SGSI
Definición del alcance Alcance de la certificación Cubre las partes de su negocio que van a ser auditadas bajo la ISO 27001
Definición del alcance Dirección General SGC Operaciones Dtpto. Financiero Dtpto. Comercial Dtpto. RR.HH Recepción de datos Escaneado Almacenamiento de datos
Establecimiento del Alcance Provision de Sistemas de Gestión de datos, recepción de dichos datos, escaneado y almacenamiento de los datos en cuestión. De acuerdo con el establecimiento de aplicabilidad emitido el 01/10/2006.
Establecimiento de la Política La Dirección General, junto con los empleados de los departamentos afectados en la implantación, tienen la obligación de desarrollar una Política de Seguridad dentro de la empresa relacionada con la información interna y externa que la empresa maneja.
Establecimiento de la Política Política del SGSI Es un documento que identifica: Establecimiento del compromiso de la dirección. Definición de la seguridad de la información dentro de su organización. Explica los principios del Sistema. Definición de responsabilidades. Referencia al soporte documental. Cumplimiento con los requisitos legales.
Auditoria de Certificación – Fase 1 Entrevistas con Comité, Responsable del Sistema y partes implicadas
Comité de Seguridad El Comité:. Revisará y modificará la Política.. Realizará inpecciones sobre la exposición a los cambios de los activos frente a grandes amenazas. Revisará e inspeccionará amenazas en materia de seguridad de la información. Actas de las reuniones.
Responsable del SGSI Apoyar al Comité de Seguridad. Dirigir y mantener el SGSI. Realizar auditorias internas. Información. Trabajar con los procesos implicados.
Procesos implicados Procesos implicados: Responsables de los activos registrados en su área y de implantar el Sistema en su proceso.
Auditoria de Certificación – Fase 1 Registro de activos y gestión de riesgos
Registro de Activos ISO 27001 requisitos: Identificar los activos con el alcance del SGSI y los responsables de gestionar dichos activos.
Registro de Activos
Identificación de riesgos Las vulnerabilidades son debilidades asociadas a los activos identificados. Estas debilidades quizás son tratadas cómo una amenaza, causando una brecha en materia de seguridad con el resultado de pérdida y daño de estos activos.
Amenazas Una amenaza tiene el potencial para causar un incidente no deseado, el cual, quizás dañe a los activos o a todos el Sistema.
Vulnerabilidades Una vulnerabilidad por si misma no causa daños, es meramente una condición o grupo de condiciones que quizás permitan a una amenaza afectar un activo.
Niveles de Riesgo
Amenazas
Vulnerabilidades
Probabilidad / Impacto
Probabilidad / Impacto
Auditoria de Certificación – Fase 1 Factor de riesgo y ranking
Factor de riesgos Un documento o documentos, los cuales identifican cómo todos los componentes del negocio,son parte de la Política de la empresa, evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de medidas de seguridad supletorias tomadas.
Niveles de Factor de Riesgo
Factor de riesgo y ranking
Factor de riesgo y ranking
Auditoria de Certificación – Fase 1 Establecimiento de aplicabilidad
Establecimiento de aplicabilidad Un documento el cual indica cada una de las cláusulas en ISO 27001 que son aplicables. Dónde sea aplicable se identificará procedimiento. Dónde no sea aplicable se identificará por qué no.
Establecimiento de aplicabilidad
Proceso de certificación Auditoria de Certificación Fase 2 Revisión de las políticas contra las que se están trabajando. Auditoria de la implantación de los controles de seguridad y sistema de control operacional.
Auditoria de Certificación – Fase 2 Seleccionar controles
Selección de controles
Selección de controles
Auditoria de Certificación – Fase 2 Sistema de control operacional
Auditoria interna Auditoria interna La auditorias internas son planificadas y se generan informes de auditoria dónde se identifica que el SGSI se encuentra correctamente implantado.
Revisión por la Dirección El Comité de Seguridad se reune periodicamente con el fin de analizar: Resultados de la auditoria interna Cambios en el SGSI Informes de incidentes
Plan de Continuidad de Negocio Documentado. Identificando roles y responsabilidades. Simulacro BIA (Business Interruption Analysis).
Proceso de certificación ISO 27001 Acciones correctivas, revisión y emisión de certificados Certificación El Sistema puede estar integrado con otro tipo de Sistemas (ISO 9001, ISO 14001, OHSAS 18001, ISO 20000, BS 25999)
Auditorias de seguimiento ISO 27001 Fase 7 Auditoria de seguimiento Auditoria anual Tri-anualmente auditoria de recertificación -
Principales deficiencias detectadas en auditorias
Principales deficiencias detectadas en auditorias No existen evidencias que los planes de continuidad de negocio han sido revisados. No existe mecanismo para actualizar los cambios referentes a la legislación o regulaciones aplicables a la empresa en materia de Seguridad.
Principales deficiencias detectadas en auditorias Los planes de continuidad de negocio se encuentran realizados pero no revisados. No se encuentran claramente definidos los responsables de los activos de la información. Inadecuadas auditorias internas - Remember, that the policy drives the objectives and targets and that the two are closely related. The assessors should not be concerned with what the objectives and targets are but whether the EMS is meeting or/can meet them. The policy needs to be translated into more specific objectives and targets. These should be realistic, meaningful, measurable, achievable, time bounded with a clear allocation of accountability. Assessors will need to be able to determine whether they reflect: legal requirements - (cross reference with procedure for identifying legal and other requirements - Phase 2). significant environmental aspects - (cross reference with procedure for identifying significant aspects - Phase 2). views of interested parties - consider all key stakeholder requirements (cross reference with procedure for identifying legal and other requirements). continual improvements in performance - judgment view. technological options - consider use of best available technology where economically viable in the spirit of pollution prevention. financial requirements - no requirement to use environmental cost accounting techniques but objectives have to be financially achievable. operational requirements - realistic with respect to operations (including contractor activities). business requirements - overall business strategy. The environmental management programme should describe how the objectives and targets should be achieved including timescales and responsibilities. Progress against objectives and targets needs to be demonstrated and recorded (i.e. through committee meetings/minutes, modifications to the programme, audit programme and management review).
Principales deficiencias detectadas en auditorias Pobre control de las contraseñas en el Sistema y niveles de uso. Limitados controles de acceso físico en relación a visitas de clientes y proveedores.
Resumen de puntos a revisar en auditoria The next two slides cover a brief description of the 10 clauses. Use the standard to elaborate - Security Policy - to provide management direction and support for information security - Security Organization - to manage information security within the organization includes third party access and outsourcing - Asset classification and control - to maintain appropriate protection of organizational assets - Personnel security - to reduce the risks of human error, theft, fraud or misuse of facilities - Physical - to prevent unauthorized access, damage and interference to business premises and information - secure areas, equipment security, general controls e.g. clear desk policy
Resumen de puntos a revisar en auditoria Política de Seguridad. Seguridad organizativa. Clasificación de activos y controles. Seguridad contra / y del personal. Seguridad física y medioambiental. The next two slides cover a brief description of the 10 clauses. Use the standard to elaborate - Security Policy - to provide management direction and support for information security - Security Organization - to manage information security within the organization includes third party access and outsourcing - Asset classification and control - to maintain appropriate protection of organizational assets - Personnel security - to reduce the risks of human error, theft, fraud or misuse of facilities - Physical - to prevent unauthorized access, damage and interference to business premises and information - secure areas, equipment security, general controls e.g. clear desk policy
Resumen de puntos a revisar en auditoria Comunicaciones y operaciones de gestión. Control de acceso. Desarrollo de Sistemas y mantenimiento. Planificación continua del negocio. Cumplimiento legal. - Comms and ops - to ensure the correct and secure processing of information processing facilities, systems planning and acceptance, protection against malicious software, housekeeping, network management, media handling and security, exchanges of information and software - Access control - to control access to information - user access management, network access control, operating system access control, application access control, monitoring system access and use, mobile computing and teleworking - Systems development and maintenance - security requirements of systems, security in application systems, cryptographic controls, security of system files, security in development and support processes - Business continuity - to counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters - Compliance -legal to avoid breaches of any criminal and civil law, and statutory, regulatory or contractual obligations, and of any security requirements, review of security policy and technical compliance, system audit consideration
Esquema de Acreditación
Esquema de Acreditación
ISO 27001 – Entidades Certificadoras BM TRADA Certification Limited KPMG SA BSI LRQA BVQI (Bureau Veritas Quality International) National Quality Assurance Certification Europe Nemko (Norway) CIS (Austria) PSB Certification (Singapore) DNV (Det Norske Veritas) RINA S.p.A. (Italy) DQS GmbH (Germany) RWTUEV Systems GmbH (Germany) DS Certification SAI Global Limited (Australia) JACO-IS (Japanese Audit and Certification Organisation)
ISO 27001 – Entidades Certificadoras SEMKO-DEKRA Certification AB JICQA SFS-Inspecta Certification (Finland) JMAQA SGS ICS Limited JQA (Japanese Quality Assurance) SQS (Swiss Quality System) JSA STQC IT Certification Services (India) JUSE-ISO Center Teknologisk institutt Sertifisering AS (Norway) KEMA Quality BV TÜV Rheinland Group (Germany) KPMG Audit plc TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) KPMG Certification UIMCert (Germany) KPMG RJ United Registrar of Systems Limited Applus
ISO 27001 Entidades de Acreditación Reino Unido – UKAS. España- ENAC Alemania– TGA. Noruega – NA. Suiza– SWEDAC Holanda- RvA Irlanada– NAB Finlandia – Finas
Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial.
Absolute Total 4036* Japan 2317* Switzerland 12 Lithuania 2 UK 363 Turkey Oman India 347 Saudi Arabia 10 Peru Taiwan 149 UAE 9 Portugal Germany 87 Slovenia 8 Qatar China 74 Sweden Slovak Republic Hungary 58 Iceland 7 Sri Lanka USA 54 Kuwait 6 Vietnam Australia 53 Pakistan Armenia 1 Korea 51 Russian Federation Bulgaria Italy 45 France 5 Chile Netherlands 32 Greece Egypt Hong Kong 30 Thailand Gibraltar Czech Republic 28 Bahrain 4 Lebanon Singapore Canada Luxemburg Malaysia 21 Indonesia Macedonia Brazil 20 Argentina 3 Moldova Austria 17 Colombia Morocco Ireland Isle of Man New Zealand Poland 16 Macau Ukraine Finland 14 Romania Uruguay Norway South Africa Yugoslavia Mexico Belgium Philippines Croatia Relative Total 4047 Spain Denmark Absolute Total 4036*
ISO 27001 en España Name of the Organization Country Certificate Number Certification Body Standard BS 7799-2:2002 or ISO/IEC 27001:2005 AXALTO Barcelona Spain LSTI/SMSI/02 LSTI SAS RCS BS 7799-2:2002 BANKINTER, S.A. IS 508474 BSI ISO/IEC 27001:2005 Belt Ibérica, S.A. GB06/70388 SGS United Kingdom Limited Caja Madrid IS 92805 e-la Caixa IS 511593 ESA SECURITY, S.A. GB07/72167 IZENPE, S.A. IS 504989 Nextel S.A IS 80383 Oficina De Armonizacion Del Mercado Interior IS 80620 Segurservi S.A 560224 Bureau Veritas Certification Verio Europe LRQ4001385 LRQA Nota: Las compañías COLT TELECOM y HP se encuentran certificadas por BSI en España mediante multisite. La ONCE se encuentra certificada por BSI en España bajo el esquema WLA.
Situación de la auditoria de certificación de Sistema de Seguridad de la información a nivel mundial Lider mundial: BSI con 43% cuota de mercado. Lider en España: BSI con 55% de la cuota de mercado.
Ejemplos de compañías auditadas y certificadas a nivel mundial - SYMANTEC JAPAN - ACCENTURE - ATOS ORIGIN - AXA - BECHTEL - BMW ASIA (technology centre). - CAMELOT - CHINA TELECOM GROUP - CHINESE PETROLUM - FEDERAL RESERVE BANK OF NEW YORK & SAN FRANCISCO - FUJITSU - IBM JAPAN - JAPAN TELECOM - KIA MOTOR
Ejemplos de compañías auditadas y certificadas a nivel mundial - LG - ORACLE CORPORATION - PCWW - SAMSUNG ELECTRONICD - RICOH - SAP JAPAN - SONY MUSIC - THE BANK OF TOKYO - THE WORLD BANK - UNYSIS - ONU - WARNER - XEROX CORPORATION - YAHOO JAPAN CORPORATION