Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Transcripción

1 Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

2 INTRODUCCIÓN El conocimiento y habilidades relacionadas a la disciplina La aplicación de métodos, técnicas, procesos y prácticas específicos a esta disciplina SUFICIENTES Generar hallazgos y conclusiones de auditoría apropiados.

3 Conocimiento y habilidades específicas de la disciplina o sector de los auditores de sistemas de gestión Requisitos y principios de sistemas de gestión específicos a la disciplina, y su aplicación. Requisitos legales relevantes a la disciplina y el sector. Requisitos de las partes interesadas relevantes a la disciplina específica. Aplicación suficiente de métodos, técnicas, procesos y prácticas técnicas. Conocimiento específico a la disciplina relacionado con el sector particular o lugar de trabajo que está siendo auditado. Principios de gestión del riesgo, métodos y técnicas relevantes.

4 EJEMPLOS Lineamientos de normas como ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC e ISO/IEC Identificación y evaluación de requisitos de clientes y partes interesadas. Las leyes y regulaciones que tratan el tema de seguridad de la información. Procesos, ciencia y tecnología subyacente a la gestión de seguridad de la información. Evaluación de riesgos (identificación, análisis y evaluación) y tendencias en tecnología,amenazas y vulnerabilidades.

5 EJEMPLOS Gestión de riesgo de seguridad de la información. Métodos y prácticas para control de seguridad de información (electrónica y física). Métodos y prácticas para integridad y sensibilidad de información. Métodos y prácticas para medir y evaluar la efectividad del sistema de gestión de seguridad de la información y controles asociados. Métodos y prácticas para medir, monitorear y registrar el desempeño (incluyendo pruebas, auditorías y revisiones).

6 PRINCIPIOS Confianza en un sistema de gestión que cumple con los requisitos especificados. Confianza del público y por parte de terceros. Partes que tienen un interés en la certificación incluyen, pero no se limitan a: Los clientes de los organismos de certificación, Los clientes de las organizaciones cuyos sistemas de gestión están certificados, Autoridades gubernamentales, Organizaciones no gubernamentales, Consumidores y otros miembros del público. Principios para inspirar confianza incluyen: Imparcialidad, Competente, Responsabilidad, Mentalidad Abierta, Confidencialidad, Receptividad a las quejas o reclamaciones

7 ISO/IEC JTC 1/SC 27 El Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad - Tecnología de la Información tiene por alcance y área de trabajo la normalización de métodos genéricos y técnicas para la seguridad de TI. La actividad del SC27 se enmarca en la concepción de la Seguridad de la Tecnología de la Información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información.

8 Normas de gestión de seguridad de la información En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes: Proporcionar un marco homogéneo de normas y directrices. Proporcionar requisitos, metodologías y técnicas de valoración. Evitar el solapamiento de las normas y favorecer la armonización.

9 Normas de gestión de seguridad de la información Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones. Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE. Usar lenguaje y métodos comunes. Facilitar la flexibilidad en la selección e implantación de controles. Ser consistente con otras normas y directivas de ISO.

10 27000 En proyecto. Information security management fundamentals and vocabulary ISO/IEC IS 27001:2005 Information technology Security techniques- Information security management systems. Norma disponible desde 14 Octubre de ISO/IEC IS 17799:2005 Information technology- Security techniquies- Code for infomation security management. 10/06/ En proyecto. Information secuirty management system implementatios guidance En proyecto. Information technology Security techniques- Information security management measurements En proyecto. Information Security Risk Management ISO/IEC IS 27006:2007 Requirements for the accreditation of bodies providing certification of information security management systems. 13 de febrero En proyecto. Auditing Information Security Management Systems against ISO En reserva En reserva En proyecto. Information security management guidelines for telecommunications.

11 BIBLIOGRAFIA Normalización ISO/IEC ISO/IEC

12 DUDAS?