Auditoría y Seguridad de la Información La revisión del SGSI y de los controles de SI
Descripción
Auditoría y Seguridad de la Información La revisión del SGSI y de los controles de SI
Mag. Ing. Cristina Mayr
Antecedentes – la Seguridad de la Información
2004: Creación del comité UNIT para la seguridad de la información Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
Antecedentes – la Seguridad de la Información El corazón de la serie 27000: 27002 y 27001
Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
Antecedentes – la Seguridad de la Información
Fuente: http://www.unit.org.uy/normalizacion/sistema/27000/
Antecedentes – la auditoría de la Seguridad de la Información Obtener el apoyo de la dirección Definir el alcance del SGSI, fronteras y política del SGSI Análisis de requerimientos de seguridad de la información Realizar la evaluación y el tratamiento de riesgos Redactar la Declaración de aplicabilidad Definir cómo medir la efectividad de los controles y de su SGSI
Seleccionar e Implementar los controles necesarios Realizar las operaciones diarias establecidas en el SGSI Monitorear y medir el SGSI Realizar la auditoría interna
Realizar la revisión por parte de la dirección Implementar medidas correctivas
ISO/IEC 27007 Foco en: auditoría de un sistema de gestión de seguridad de la información (SGSI) ¡leerlas juntas! Alineada con las normas: • ISO 19011 (Directrices para la auditoría de sistemas de gestión) • ISO/IEC 27001 (Requisitos para un Sistema de gestión de Seguridad de la Información)
ISO/IEC 27007
gestión de un programa de auditoría
Establecer objetivos
Establecer el programa Implementación Seguimiento
Revisión y mejora
Alcance Riesgos! identificarlos, evaluarlos Procedimientos a realizar Recursos necesarios Inicio, Preparación y Realización de actividades de auditoría, informe, fin de la auditoría
ISO/IEC 27006
ISO/IEC 17021
Requisitos para los organismos que realizan la auditoría y la certificación de los SGSI
Requisitos para los organismos que realizan la certificación de los sistemas de gestión
ISO/IEC 27007 ISO/IEC 27005 Gestión del riesgo de seguridad de la información
ISO/IEC 27001 Sistemas de gestión de la seguridad de la información. Requisitos
ISO 19011 Guía para la auditoría de sistemas de gestión
ISO/IEC 27002 Código de buenas prácticas para la gestión de la seguridad de la información
ISO/IEC 27007 ISO 19011: Directrices para la auditoría de un sistema de gestión Ambiental, de Calidad, de Seguridad, etc. Se concentra en las “auditorías internas” (de 1ª parte) y “auditorías realizadas por clientes a sus proveedores” (de 2ª parte)
Relación entre ISO 19011 e ISO/IEC 27007
ISO/IEC 27007
ISO 19011
4 – Principios de auditoría Aplican los principios de auditoría del Capítulo 4 de la ISO 19011:2011
4 Principios de auditoría a) Integridad b) Presentación imparcial c) Debido cuidado profesional ……
Relación entre ISO 19011 e ISO/IEC 27007 ISO/IEC 27007
ISO 19011
5.3.3 Determinación del alcance del programa de auditoría Aplican las directrices de la Norma ISO 19011:2011, Apartado 5 .3.3. Adicionalmente, aplica la siguiente guía específica para SGSI. 5.3.3.1 IS 5.3.3 Determinación del alcance del programa de auditoría a) El tamaño del SGSI… b) la complejidad del SGSI…. c) qué tan significativos son los riesgos de seguridad ….
5.3.3 Determinación del alcance del programa de auditoría La persona responsable de la gestión del programa de auditoría debería determinar el alcance del programa de auditoría, que puede variar dependiendo del tamaño y la naturaleza del auditado, así como de la naturaleza, funcionalidad, complejidad y el nivel de madurez del sistema de gestión que se va a auditar ……
Relación entre ISO 27001 e ISO/IEC 27007 ISO/IEC 27007 6.4.3.1 IS 6.4.3 Realización de la revisión de la documentación durante la auditoría Los auditores deberían verificar que los documentos requeridos por la Norma ISO/IEC 27001 existen y se encuentran en conformidad con sus requisitos….
• SGSI • requisitos • documentos
ISO/IEC TR 27008 Foco en: verificación de los controles de seguridad de la información - implementación y operación Dirigida principalmente a auditores de seguridad de la información que necesitan verificar el cumplimiento técnico de los controles comparados con ISO/IEC 27002 u otros estándares utilizados por la organización
ISO/IEC TR 27008 - Utilidad ¿Cuál es el alcance de los potenciales problemas y deficiencias de los controles de seguridad de la información? ¿Cuáles son los potenciales impactos organizacionales de amenazas y vulnerabilidades mitigadas en forma inadecuada? ¿Cuáles son los riesgos más importantes y cómo los mitigamos?
ISO/IEC TR 27008 - Utilidad Confirmar que hemos tratado en forma adecuada las debilidades o deficiencias previamente identificadas o emergentes Respaldar las decisiones presupuestales dentro del proceso de inversiones y otras decisiones gerenciales referentes a la mejora de la gestión de la seguridad de la información de la organización
Guía práctica para la auditoría del SGSI ISO/IEC 27007
Alcance, política y enfoque de evaluación de riesgos del SGSI
ISO/IEC 27001 4.1. & 4.2.1 (a) a (c)
Riesgos: Identificación, análisis y evaluación, opciones de tratamiento
ISO/IEC 27001 4.2.1 (d) a (f)
Selección de objetivos de control y controles, aprobación de riesgos residuales, autorización de la dirección y Declaración Aplicabilidad
ISO/IEC 270001 4.2.1 (g) a (j)
Guía práctica para la auditoría del SGSI ISO/IEC 27007
Riesgos: Identificación, análisis y evaluación, opciones de tratamiento Criterios de auditoría
ISO/IEC 27001 4.2.1 (d), (e), (f)
Normas relevantes
ISO/IEC 27005 8.2, 8.3, 9, 10
Evidencia de auditoría • Inventario activos • Documentos de metodología evaluación de riesgos • Informes evaluación riesgos
Guía práctica de auditoría
Identificación: revisar inventario de activos y confirmar que los importantes en el alcance del SGSI están incluidos ….
Guía práctica para la auditoría del SGSI ISO/IEC 27007
¡Cuidado! – Tener en cuenta los requisitos específicos del
SGSI de la organización
Guía práctica para la verificación del cumplimiento técnico ISO/IEC TR 27008 Basada en ISO/IEC 27002 Control técnico: Deberían implementarse controles de detección, prevención y recuperación para protegerse ante para el código malicioso Norma de implementación de seguridad: comprobación de 1) archivos de soporte electrónico y los recibidos a través de las redes antes de su uso 2) archivos adjuntos del correo electrónico y de las descargas… 3) páginas web Nota Técnica: el sistema de detección debería funcionar para una variedad de servicios o protocolos a través de redes como www, mail y ftp
Guía práctica para la verificación del cumplimiento técnico ISO/IEC TR 27008 Control técnico Norma de implementación de seguridad Nota Técnica sobre la norma de implementación de seguridad Guía práctica
Evidencia Esperada
Método
Guía práctica
Evidencia Esperada
Método
………….
………….
………….
Guía práctica para la verificación del cumplimiento técnico ISO/IEC TR 27008
Guía práctica Verificar que el sistema de detección y reparación de código malicioso se establece en forma integral y eficaz para: . todos los archivo: - recibidos y almacenados en medio electrónico - adjuntos de correos . Las páginas web
Evidencia Esperada . Especificación del sistema . Diagrama de red
Método Examinar/Revisar
Lihat lebih banyak...
Comentarios
