AUDITORIA A LA SEGURIDAD DE LA INFORMACIN. ISO 27001.

La norma ISO 270001 cubre las necesidades de un SGSI y estructura normativa, de esta manera se habla de la principal funcin de la norma ISO 27001. La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin. Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos del negocio, que permite asegurar la informacin frente a la prdida de: Confidencialidad: slo acceder a la informacin quien se encuentre autorizado. Integridad: la informacin ser exacta y completa. Disponibilidad: los usuarios autorizados tendrn acceso a la informacin cuando lo requieran. La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto que ocasionaran si efectivamente se produjeran. El diseo e implantacin de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamao, los sistemas de soporte y la estructura de la organizacin.

Orientada a procesos:

El ciclo Plan Do Check Act (PDCA de Deming).

Establecimiento del SGSI y Alcance. y Poltica del SGSI. y Metodologa de anlisis de riesgos. y Identificacin de riesgos. y Anlisis y Evaluacin de Riesgos. y Seleccin de Objetivos de Control y Controles y Seleccin de Objetivos de Control y Controles y Aceptacin de Riesgo Residual y Autorizacin de la Alta Direccin y Estado de y Aplicabilidad (SOA)

Implementacin y Operacin del SGSI y RiskTreatment Plan (RTP) y Implantacin de Controles y Mtricas e Indicadores y Formacin y Toma de Conciencia y Implementacin de controles Monitorizacin y revisin del SGSI y Monitorizacin y revisin del SGSI y Revisiones Regulares y Revisin del Anlisis de Riesgos y Auditora Interna y Revisin por la Direccin y Auditora Interna Mantenimiento y mejora del SGSI Mantenimiento y mejora Requisitos de la documentacin y y y y y y y y Poltica y Objetivos del SGSI Alcance (Scope) Procedimientos y controles Descripcin metodologa RiskAssessment Reportes del RiskAssessment Plan de Tratamiento de Riesgos (RTP) Los registros requeridos por ISO 27001 El Estado de Aplicabilidad (SOA)

Control de los documentos Deben ser debidamente protegidos y controlados. Es necesario un procedimiento documentado segn ISO 27001. Debe incluir criterios para: y Aprobacin de documentos antes de su emisin y Revisin y actualizacin y necesidad de re-aprobacin y Identificacin de cambios y versiones en vigor y Garantizar que las versiones aplicables se encuentren en los puntos de uso y Garantizar que los documentos permanecen legibles y fcilmente identificables y Garantizar que estn a disposicin de las personas que los necesitan y Garantizar que son transferidos, almacenados y destruidos segn lo establecido en el SGSI. y Garantizar que se identifican los documentos de origen externo. y Garantizar que se controla la distribucin e documentos. y Prevenir el uso no intencionado de documentos obsoletos.

Identificar los obsoletos caso de que sean retenidos por algn motivo.

Control de los registros Muestran evidencias de la conformidad del sistema con sus requisitos Deben ser debidamente protegidos y controlados Es necesario un documentar los controles necesarios para su: y Identificacin (rpidamente identificables). y Almacenamiento (fcilmente recuperables). y Proteccin (permanezcan legibles). y Perodo de retencin. y Disposicin de registros. Compromiso de la Direccin y La Alta Direccin debe proveer evidencia de su compromiso con el proyecto y Estableciendo la Poltica del SGSI. y Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecucin. y Estableciendo roles y responsabilidades. y Comunicando la importancia de logar los Objetivos y estableciendo la Poltica del SGSI. y Comunicando responsabilidades y la necesidad de la bsqueda de la mejora contina y Suministrando recursos y Decidiendo criterios de aceptacin de riesgos y Niveles de Riesgo Aceptables y Asegurndose de que se realizan Auditoras Internas y Realizando Revisiones por la Direccin del SGSI. Auditora Interna del SGSI y A intervalos previamente planificados en un Programa de Auditoras. y En funcin de la importancia de los procesos y reas a auditar. y En funcin de resultados de auditoras previas. y Debe definirse: - Criterios de auditora y Alcance y Frecuencia y Metodologa (ISO 19011 Gua) y La seleccin de auditores y el desarrollo de la auditora deben garantizar la total imparcialidad y objetividad del proceso de auditora. Un auditor no debe auditar nunca su propio trabajo. y Es preciso un procedimiento documentado segn ISO 27001 que plasme las y Responsabilidades y requisitos para la planificacin y realizacin deauditoras y para laforma en que se reportan los resultados y se mantienen registros.

Revisin por la Direccin del SGSI Generalidades y y y y A intervalos planificados y como mnimo 1 al ao Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI Analizar posibles cambios en la Poltica y en los Objetivos Los resultados de la RxD deben estar documentados manteniendo registro

Entradas de la revisin y y y y y y y y y Resultados de auditoras y RxD previas Feedback de partes interesadas Estado de acciones correctivas/preventivas Tcnicas, productos o procedimientos que pueden ser usados para mejora del SGSI Amenazas y vulnerabilidades no determinadas de forma correcta en el RiskAssessment Resultados de medidas de efectividad (mtricas) Seguimiento de actuaciones derivadas de RxD previas Cambios que pudieran afectar al SGSI Recomendaciones de mejora

Salidas de la Revisin Mejora de la eficacia del SGSI Actualizacin del RiskAssessment y del RiskTreatment Plan Modificacin de procedimientos y controles necesarios, incluyendo cambios en: y Requerimientos de negocio y Requerimientos de seguridad y Procesos de negocio y Requisitos legales o regulatorios y Obligaciones contractuales y Niveles de riesgo y/o criterios de aceptacin de riesgo y Necesidad de recursos y Mejora de los mtodos de medida de la eficacia de los controles

Mejora del SGSI Accin correctiva

Procedimiento AACC Identificar No Conformidades Determinar sus causas Evaluar necesidad de actuacin Determinar AACC necesarias Registrar resultados de las acciones Revisar las AACC tomadas Accin preventiva

Procedimiento AAPP y Identificar No Conformidades Potenciales y Determinar sus causas y Evaluar necesidad de actuacin preventiva y Determinar AAPP necesarias y Registrar resultados de las acciones y Revisar las AAPP tomadas y Su prioridad ir en funcin del RiskAssessment

Objetivos de control y de Controles:

Herramientas de CheckList:

ISO 27002.