Certificacion de seguridad
Páginas: 19 (4551 palabras)
Publicado: 12 de diciembre de 2010
Auditoría de certificación
Ing. Edwyn Sanders
© FUOC • XP07/92089/00001
Auditoría de certificación
Índice
1. Proceso de auditoría de certificación ..................................... 1.1. Ventajas de la certificación ....................................................... 1.2. Proceso de auditoría .................................................................. 1.2.1.Auditoría documental .................................................... 1.2.2. Auditoría in-situ .............................................................
5 8 9 11 14
© FUOC • XP07/92089/00001
5
Auditoría de certificación
1. Proceso de auditoría de certificación
El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a lagestión de la seguridad de la información, concretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502. La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas de gestión de la seguridad de la información. Es decir, indica todos los requisitos que ha de tener el sistema de gestión que una organización establece para gestionar la seguridad mediante la implantación decontroles. Estos controles, que son un elemento más dentro del sistema de gestión, están recogidos en la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente en esa norma ISO. Si la organización estima más útil emplear otro catálogo de controles como referencia, el SGSI implantado seguiría siendo certificable. Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad de la información y no son auditables. Las organizaciones pueden utilizar estas normas como el marco de referencia con el que diseñar los controles de seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas prácticas, contienen toda una serie de controles que puede o no ser necesario implantar en unaorganización concreta. únicamente tras un proceso de análisis y gestión del riesgo, la organización realizará una selección de los controles aplicables. Por tanto, no es posible auditar la implantación de catálogos de controles como la norma ISO/IEC 17799. Son un elemento más, eso sí fundamental, de los sistemas de gestión de la seguridad. De todas formas, las normas que dan los requisitos de losSGSI están basadas en lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar las características de seguridad que se pueden implantar, aportan los aspectos fundamentales que ha de cumplir el sistema de gestión de la seguridad de la información para poder dictaminar que es correcto, que cumple con sus especificaciones y que, por tanto, al estar correctamente implantado,podrán ayudar a la organización a mantener un nivel de seguridad óptimo. Los sistemas de gestión de la seguridad de la información de cada organización no tienen por qué ser iguales, sino que dependerán de las características propias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada configuración para los aspectos de seguridad. La norma indica los requisitos que el sistema degestión deberá poseer, y con posterioridad cada organización determinará cómo tienen que implantar dicho control.
© FUOC • XP07/92089/00001
6
Auditoría de certificación
Durante el proceso de certificación, el auditor tratará de verificar que la organización que posee el sistema de gestión de la seguridad de la información ha implantado el modelo PDCA.
El modelo PDCA Recordemos que elmodelo PDCA consiste en: • • • • Planificar. Decidir qué medidas de seguridad han de implantarse. Hacer. Implantar las medidas en la organización. Verificar. Trabajar analizando que no sucedan incidentes de seguridad. Actuar. Realizar cambios en el SGSI en base a las evidencias generadas.
Modelo de sistema PDCA
Es importante que quede claro que el certificador no pretenderá decir si una...
Ing. Edwyn Sanders
© FUOC • XP07/92089/00001
Auditoría de certificación
Índice
1. Proceso de auditoría de certificación ..................................... 1.1. Ventajas de la certificación ....................................................... 1.2. Proceso de auditoría .................................................................. 1.2.1.Auditoría documental .................................................... 1.2.2. Auditoría in-situ .............................................................
5 8 9 11 14
© FUOC • XP07/92089/00001
5
Auditoría de certificación
1. Proceso de auditoría de certificación
El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a lagestión de la seguridad de la información, concretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502. La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas de gestión de la seguridad de la información. Es decir, indica todos los requisitos que ha de tener el sistema de gestión que una organización establece para gestionar la seguridad mediante la implantación decontroles. Estos controles, que son un elemento más dentro del sistema de gestión, están recogidos en la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente en esa norma ISO. Si la organización estima más útil emplear otro catálogo de controles como referencia, el SGSI implantado seguiría siendo certificable. Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad de la información y no son auditables. Las organizaciones pueden utilizar estas normas como el marco de referencia con el que diseñar los controles de seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas prácticas, contienen toda una serie de controles que puede o no ser necesario implantar en unaorganización concreta. únicamente tras un proceso de análisis y gestión del riesgo, la organización realizará una selección de los controles aplicables. Por tanto, no es posible auditar la implantación de catálogos de controles como la norma ISO/IEC 17799. Son un elemento más, eso sí fundamental, de los sistemas de gestión de la seguridad. De todas formas, las normas que dan los requisitos de losSGSI están basadas en lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar las características de seguridad que se pueden implantar, aportan los aspectos fundamentales que ha de cumplir el sistema de gestión de la seguridad de la información para poder dictaminar que es correcto, que cumple con sus especificaciones y que, por tanto, al estar correctamente implantado,podrán ayudar a la organización a mantener un nivel de seguridad óptimo. Los sistemas de gestión de la seguridad de la información de cada organización no tienen por qué ser iguales, sino que dependerán de las características propias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada configuración para los aspectos de seguridad. La norma indica los requisitos que el sistema degestión deberá poseer, y con posterioridad cada organización determinará cómo tienen que implantar dicho control.
© FUOC • XP07/92089/00001
6
Auditoría de certificación
Durante el proceso de certificación, el auditor tratará de verificar que la organización que posee el sistema de gestión de la seguridad de la información ha implantado el modelo PDCA.
El modelo PDCA Recordemos que elmodelo PDCA consiste en: • • • • Planificar. Decidir qué medidas de seguridad han de implantarse. Hacer. Implantar las medidas en la organización. Verificar. Trabajar analizando que no sucedan incidentes de seguridad. Actuar. Realizar cambios en el SGSI en base a las evidencias generadas.
Modelo de sistema PDCA
Es importante que quede claro que el certificador no pretenderá decir si una...
Leer documento completo
Regístrate para leer el documento completo.