Auditorías de Seguridad de la Información

Transcripción

1 Auditorías de Seguridad de la Información La revisión del SGSI y de los controles de SI

2 Antecedentes la Seguridad de la Información 2004: Creación del comité UNIT para la seguridad de la información Fuente:

3 Antecedentes la Seguridad de la Información El corazón de la serie 27000: y Fuente:

4 Antecedentes la Seguridad de la Información Fuente:

5 Antecedentes la auditoría de la Seguridad de la Información Obtener el apoyo de la dirección Definir el alcance del SGSI, fronteras y política del SGSI Análisis de requerimientos de seguridad de la información Realizar la evaluación y el tratamiento de riesgos Redactar la Declaración de aplicabilidad Definir cómo medir la efectividad de los controles y de su SGSI Seleccionar e Implementar los controles necesarios Realizar las operaciones diarias establecidas en el SGSI Monitorear y medir el SGSI Realizar la auditoría interna Realizar la revisión por parte de la dirección Implementar medidas correctivas

6 UNIT-ISO/IEC 27007

7 UNIT-ISO/IEC Foco en: auditoría de un sistema de gestión de seguridad de la información (SGSI) Alineada con las normas: leerlas juntas! UNIT-ISO (Directrices para la auditoría de sistemas de gestión) UNIT-ISO/IEC (Requisitos para un Sistema de gestión de Seguridad de la Información)

8 UNIT-ISO/IEC gestión de un programa de auditoría Establecer objetivos Establecer el programa Implementación Seguimiento Alcance Riesgos! identificarlos, evaluarlos Procedimientos a realizar Recursos necesarios Inicio, Preparación y Realización de actividades de auditoría, informe, fin de la auditoría Revisión y mejora

9 ISO/IEC Requisitos para los organismos que realizan la certificación de los sistemas de gestión UNIT ISO/IEC Gestión del riesgo de seguridad de la información UNIT ISO Guía para la auditoría de sistemas de gestión UNIT-ISO/IEC ISO/IEC Requisitos para los organismos que realizan la auditoría y la certificación de los SGSI UNT ISO/IEC Sistemas de gestión de la seguridad de la información. Requisitos UNIT ISO/IEC Código de buenas prácticas para la gestión de la seguridad de la información

10 UNIT-ISO/IEC UNIT-ISO 19011: Directrices para la auditoría de un sistema de gestión Ambiental, de Calidad, de Seguridad, etc. Se concentra en las auditorías internas (de 1ª parte) y auditorías realizadas por clientes a sus proveedores (de 2ª parte)

11 UNIT-ISO y UNIT-ISO/IEC UNIT-ISO/IEC ISO Principios de auditoría Aplican los principios de auditoría del Capítulo 4 de la ISO 19011: Principios de auditoría a) Integridad b) Presentación imparcial c) Debido cuidado profesional

12 UNIT-ISO y UNIT-ISO/IEC UNIT-ISO/IEC ISO Determinación del alcance del programa de auditoría Aplican las directrices de la Norma ISO 19011:2011, Apartado Adicionalmente, aplica la siguiente guía específica para SGSI IS Determinación del alcance del programa de auditoría a) El tamaño del SGSI b) la complejidad del SGSI. c) qué tan significativos son los riesgos de seguridad Determinación del alcance del programa de auditoría La persona responsable de la gestión del programa de auditoría debería determinar el alcance del programa de auditoría, que puede variar dependiendo del tamaño y la naturaleza del auditado, así como de la naturaleza, funcionalidad, complejidad y el nivel de madurez del sistema de gestión que se va a auditar

13 UNIT-ISO y UNIT-ISO/IEC UNIT-ISO/IEC IS Realización de la revisión de la documentación durante la auditoría Los auditores deberían verificar que los documentos requeridos por la Norma UNIT-ISO/IEC existen y se encuentran en conformidad con sus requisitos. SGSI requisitos documentos

14 UNIT-ISO/IEC TR 27008

15 UNIT-ISO/IEC TR Foco en: verificación de los controles de seguridad de la información - implementación y operación Dirigida principalmente a auditores de seguridad de la información que necesitan verificar el cumplimiento técnico de los controles comparados con UNIT-ISO/IEC u otras normas utilizadas por la organización

16 UNIT-ISO/IEC TR Utilidad Cuál es el alcance de los potenciales problemas y deficiencias de los controles de seguridad de la información? Cuáles son los potenciales impactos organizacionales de amenazas y vulnerabilidades mitigadas en forma inadecuada? Cuáles son los riesgos más importantes y cómo los mitigamos?

17 UNIT-ISO/IEC TR Utilidad Confirmar que hemos tratado en forma adecuada las debilidades o deficiencias previamente identificadas o emergentes Respaldar las decisiones presupuestales dentro del proceso de inversiones y otras decisiones gerenciales referentes a la mejora de la gestión de la seguridad de la información de la organización

18 UNIT-ISO/IEC TR revisión de los controles Cómo revisamos los controles? Objetivo: definir qué queremos revisar Métodos: Clasificación exhaustiva de los métodos de Examinar revisión de controles de acuerdo a Entrevistar atributos y valores Probar profundidad generalizada, focalizada, detallada cobertura representativa, específica, amplia

19 UNIT- ISO/IEC TR revisión de los controles Preparativos Objetivos Canales de comunicación Costo, cronograma, desempeño Desarrollar el plan Realizar la revisiones Análisis e Informe Alcance Procedimientos a realizar Selección de métodos y objetos Hallazgos previos Recursos necesarios Hallazgos: satisfecho, parcialmente satisfecho, Insatisfecho

20 LAS GUÍAS PRÁCTICAS

21 Guía práctica para la auditoría del SGSI UNIT- ISO/IEC Alcance, política y enfoque de evaluación de riesgos del SGSI UNIT ISO/IEC & (a) a (c) Riesgos: Identificación, análisis y evaluación, opciones de tratamiento UNIT ISO/IEC (d) a (f) Selección de objetivos de control y controles, aprobación de riesgos residuales, autorización de la dirección y Declaración Aplicabilidad UNIT ISO/IEC (g) a (j)

22 Guía práctica para la auditoría del SGSI UNIT-ISO/IEC Riesgos: Identificación, análisis y evaluación, opciones de tratamiento Criterios de auditoría Normas relevantes Evidencia de auditoría Guía práctica de auditoría UNIT ISO/IEC (d), (e), (f) UNIT ISO/IEC , 8.3, 9, 10 Inventario activos Documentos de metodología de evaluación de riesgos Informes evaluación riesgos Identificación: revisar inventario de activos y confirmar que están incluidos en el alcance del SGSI los activos importantes.

23 Guía práctica para la auditoría del SGSI UNIT-ISO/IEC Cuidado! Tener en cuenta los requisitos específicos del SGSI de la organización

24 Guía práctica para la verificación del cumplimiento técnico UNIT-ISO/IEC TR Control técnico Norma de implementación de seguridad Nota Técnica sobre la norma de implementación de seguridad Basada en UNIT ISO/IEC Guía práctica Evidencia Esperada Método Guía práctica Evidencia Esperada Método...

25 Guía práctica para la verificación del cumplimiento técnico UNIT-ISO/IEC TR Basada en UNIT ISO/IEC Control técnico: Deberían implementarse controles de detección, prevención y recuperación para protegerse ante para el código malicioso Norma de implementación de seguridad: comprobación de 1) archivos de soporte electrónico y los recibidos a través de las redes antes de su uso 2) archivos adjuntos del correo electrónico y de las descargas 3) páginas web Nota Técnica: el sistema de detección debería funcionar para una variedad de servicios o protocolos a través de redes como www, mail y ftp

26 Guía práctica para la verificación del cumplimiento técnico UNIT-ISO/IEC TR Basada en UNIT ISO/IEC Guía práctica Verificar que el sistema de detección y reparación de código malicioso se establece en forma integral y eficaz para:. Todos los archivo: recibidos y almacenados en medio electrónico adjuntos de correos. Las páginas web Evidencia Esperada. Especificación del sistema. Diagrama de red Método Examinar/Revisar

27 Conclusiones Beneficios del uso de estas normas: Pueden aplicarse a cualquier tipo y tamaño de organización Son adaptables a la realidad de cada organización Demuestran el cumplimiento con un proceso estándar, probado y que reflejan el estado del arte en metodologías de auditoría

28 Conclusiones Ambas normas asisten en el proceso de auditoría de seguridad de la información, pero con diferente enfoque: El sistema de gestión Los controles Ambas normas apoyan el proceso de gestión de riesgos del Sistema de Gestión de Seguridad de la Información