Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO
17799:2005
AI 27001 5
REV.01-03-09
Tipo de Informacin
Escrita / Presentacione
Impresa s
Verbal / Conversaciones
AI 27001 6
REV.01-03-09
Ciclo de la Informacin
Creada Almacenada
Transmitida
Procesada
AI 27001 7
REV.01-03-09
Ciclo de la Informacin
AI 27001 8
REV.01-03-09
Informacin
AI 27001 9
REV.01-03-09
Amenazas
Virus, Gusanos, Troyanos = Malware.
Robo de informacin
AI 27001 12
REV.01-03-09
Seguridad de la Informacin
Procesos
Tecnologa Equipos Personas
INFORMACIN
Proteger la Informacin
AI 27001 13
REV.01-03-09
Seguridad de Informacin
Confidencialidad
Garantiza el acceso a la informacin
de acuerdo con las funciones y
autorizada
Principios
de seguridad
Integridad Disponibilidad
Asegura que la informacin no ha Asegura el acceso a la
sido modificada protegiendo la informacin cuando lo requieren
totalidad, exactitud y mtodos de las personas autorizadas
almacenamiento
AI 27001 14
REV.01-03-09
Seguridad de Informacin
Disponibilidad
Integridad
AI 27001 15
REV.01-03-09
Plan-Do-Check-Act
Plan
Los objetivos y los procesos tienen que estar
planificados e implementados
Do
Los procesos son implementados
Check
Los procesos y el producto obtenido son
monitorizados y medidos frente polticas, objetivos,
requerimientos
Act
Se emprenden acciones para mejorar el proceso
continuadamente
AI 27001 26
REV.01-03-09
Ciclo Plan-Do-Check-Act y mejora
continuada
Establecer los
Emprender acciones para objetivos
mejorar continuamente necesarios para
la ejecucin de los procesos obtener resultados en
efectividad y eficiencia
Act Plan relacin a las
necesidades del cliente
Qu hacer?
Como mejorar Como y las polticas de la
la prxima vez? hacerlo
organizacin
Check Do
Hacer lo que se
Ha salido segn lo planific
planeado?
Monitorizar y medir Implantar los
procesos y el producto procesos
en relacin a polticas, objetivos
y necesidades
AI 27001 28
REV.01-03-09
Modelo PDCA aplicado a los procesos SGSI
Plan
Establecer
Establecerelel
SGSI
SGSI
Necesidades
y Seguridad
expectativas de la
de la Monitorizar
Monitorizaryy informacin
Seguridad revisar
de la revisarelelSGSI
SGSI gestionada
Informacin
Check
AI 27001 29
REV.01-03-09
SGSI
Pre Acciones
Inicio
auditoria correctivas
CERTIFICACIN
Establecer el Auditoria de
SGSI certificacin
AI 27001 46
REV.01-03-09
Certificacin
AI 27001 47
REV.01-03-09
SGSI
Ao Ao Ao
1 2 3
Establecer el Auditoria de
SGSI certificacin
AI 27001 48
REV.01-03-09
Riesgo: herramientas y tcnicas de
evaluacin
AI 27001 50
REV.01-03-09
Seguridad al 100%
AI 27001 51
REV.01-03-09
Definiciones
Riesgo:
En riesgo:
Correr un riesgo:
Arriesgar:
AI 27001 52
REV.01-03-09
Valoracin de riesgos (cualitativa)
Probabilidad
Alta El seguro
Fallo de CCTV Acceso no autorizado no cubre
Robo
Falta de Cdigo malicioso
configuraciones Falta de
Fallo de formacin IS
Backup
Intruso
Fallo de red
Fallo de
Integridad electricidad
Media Fraude
Fallo BCP
Fallo en
Uso emplazamiento Incumplimiento
inapropiado remoto Del contrato Fallo
UPS
Hacker Cuestin IPR Fuego
Consecuencia
AI 27001 62
REV.01-03-09
Auditoria
AI 27001 63
REV.01-03-09
AUDITORIA
ISO 19011
AI 27001 64
REV.01-03-09
Principios de Auditoria
Integridad
Presentacin Ecunime
Debido Cuidado Profesional
Confidencialidad
Independencia
Enfoque basado en la Evidencia
AI 27001 65
REV.01-03-09
Tipos de Auditora segn la
Relacin cliente - proveedor
AUDITORIA INTERNA
Auditorias de 1 parte, son conducidas
por la propia organizacin o en su
nombre, para propsitos internos o de
anlisis crtico por la direccin, y pueden
constituir la base para una auto
declaracin de conformidad de la
organizacin.
AUDITORIA EXTERNA
De 2 parte: ejecutada por el cliente
De 3 parte: ejecutada por Organismos de
Certificacin
AI 27001 66
REV.01-03-09
Trminos y Definiciones
Conjunto de polticas, procedimientos o requisitos utilizados
3.2 criterios de auditora como referencia
3.8 auditor Persona con la competencia para llevar a cabo una auditoria
AI 27001 68
REV.01-03-09
Gestin de un programa de auditoria
Autoridad para
programar
Establecer el programa
objetivos/ alcance
procedimientos Plan
recursos
responsabilidades
Implementar el programa
Act Mejorar el programar las auditoras
Programa desarrollar los planes de auditora Do
evaluar los auditores
seleccionar el equipo auditor
dirigir las actividades de auditora
mantener los registros
Check
Monitorear y revisar el
Programa
AI 27001 69
REV.01-03-09
Actividades de auditora
Inicio de la auditora
Revisin de la documentacin
Preparacin de las actividades de auditora in situ
Realizacin de las actividades de auditora in situ
Preparacin, aprobacin y distribucin del informe
de la auditora
Finalizacin de la auditora
Realizacin de las actividades de seguimiento de
una auditora
AI 27001 70
REV.01-03-09
Inicio de la Auditoria
AI 27001 72
REV.01-03-09
Revisin de la documentacin
Documentos:
documentos y registros relevantes del SGSI
reportes de auditoras anteriores
Propsito:
AI 27001 73
REV.01-03-09
Preparacin de las actividades de auditoria
in situ
Para:
Proporcionar informacin al equipo
auditor, al auditado y al cliente;
AI 27001 74
REV.01-03-09
Asignacin de las tareas al equipo auditor
AI 27001 75
REV.01-03-09
Auditor Lder
Responsable de:
AI 27001 76
REV.01-03-09
Auditor
Responsable de:
AI 27001 77
REV.01-03-09
Experto Tcnico
AI 27001 78
REV.01-03-09
Preparacin de documentos de trabajo
AI 27001 79
REV.01-03-09
Propsito de la Lista de Verificacin
AI 27001 80
REV.01-03-09
Lista de Verificacin
VENTAJAS:
Despersonaliza la auditora
Administracin de tiempo
Uniformidad al proceso de auditora
AI 27001 81
REV.01-03-09
Realizacin de las actividades de auditoria in situ
Reunin de apertura
Comunicacin durante la auditoria
Papel y responsabilidades de los guas y
observadores
Recopilacin y Verificacin de la informacin
Generacin de hallazgos
Conclusiones de auditoria
Reunin de Cierre
AI 27001 82
REV.01-03-09
Reunin de Apertura
AI 27001 83
REV.01-03-09
Recopilacin y verificacin de la
informacin
AI 27001 84
REV.01-03-09
El proceso de Auditoria
Fuentes de
Reunir y seleccionar informacin
informacin
Informacin
Verificacin
Evidencia de
auditora
Comparar con el criterio
de la auditora Hallazgos de
la auditora
Revisin
Conclusiones
de la auditora
AI 27001 85
REV.01-03-09
Mtodos para recopilar informacin
Entrevistas
Observacin de actividades
Revisin de documentos
AI 27001 86
REV.01-03-09
Generacin de hallazgos de auditoria
AI 27001 87
REV.01-03-09
Tcnicas
Tcnicas de Verificacin:
Entrevista.
Muestreo.
Rastreo.
Comprobacin.
Listas de verificacin
AI 27001 88
REV.01-03-09
Determinacin de la Muestra para la Auditora
AI 27001 89
REV.01-03-09
Consejos para Ejecutar la Auditoria
Contacto cara a cara.
Mostrarse interesado.
Tomar notas en corto tiempo.
Inclinar la cabeza (aceptar), ocasionalmente.
Observar el lenguaje corporal.
Hablar claramente.
Preguntas abiertas.
Verificar con evidencia.
Preguntas silenciosas.
Dar las gracias.
AI 27001 90
REV.01-03-09
Actitudes a tomar para controlar la auditoria
Permanecer seguro
Administrar el tiempo adecuadamente
No dejarse conducir o engaar
Ser detallista y eficiente
Evitar apartarse del tema
Evitar saturarse
AI 27001 91
REV.01-03-09
Tcticas del Auditado
Prdida de tiempo
Querer manejar al auditor
Probar la fortaleza de
carcter del auditor
Respuestas limitadas
Situaciones inesperadas
AI 27001 92
REV.01-03-09
El auditor debe evitar
Ser controvertido
Ser negativo, indisciplinado
Ser crtico
Caer en disputas
Discutir personalidades
Comparar al auditado
Ser sarcsticos
Utilizar palabras ofensivas
AI 27001 93
REV.01-03-09
Puntos clave para recordar
Pregunte
Escuche
Observe
Piense
Evale
Registre
AI 27001 94
REV.01-03-09
Preparacin de las conclusiones de la
auditoria
AI 27001 95
REV.01-03-09
Hallazgos de la auditora
No conformidad
Oportunidad de mejora
AI 27001 96
REV.01-03-09
No conformidad
El no cumplimiento de un
requisito.
(ISO 9000:2005)
AI 27001 97
REV.01-03-09
Una No Conformidad
Cumplimiento de la norma
No requisito = No es no conformidad
AI 27001 98
REV.01-03-09
Una declaracin de Hallazgo
Incluye:
1. Visin general del hallazgo
2. Descripcin de la no conformidad
AI 27001 99
REV.01-03-09
EJEMPLO
1
Se evidencia que la organizacin ha definido poltica de control de
visitantes mediante credenciales con nmero de identificacin; sin
embargo,
2
no se evidencia que tal poltica no se cumple cuando la visita olvida
devolver la credencial y regresa al siguiente da a continuar trabajando con
la misma credencial sin ser registrados en recepcin.
3
Casos:
Instaladores de la fibra ptica en el rea de almacenamiento credenciales
1324, 1325. Estas credenciales corresponden a la secuencia del da de ayer
(23/03/200x) que fue de 1312 hasta 1329.
4
Incumpliendo el requisito del anexo A.9.1.1 Permetro de seguridad fsica
Control: Los permetros de seguridad (barreras tales como paredes,
puertas de entrada controladas por tarjeta, o puesto de recepcin manual)
deben utilizarse para proteger las reas que contienen la informacin y las
instalaciones de procesamiento de la informacin..
AI 27001 100
REV.01-03-09
Clasificacin de las SACs
MAYOR:
incumplimiento total de un proceso, procedimiento u
operacin del sistema de calidad
ausencia total de un requisito
nmero de fallas menores indicando una ruptura total
del sistema
Riesgo inminente para la calidad del producto
MENOR:
Fallas menos severas en un proceso, procedimiento u
operacin del sistema de calidad
AI 27001 101
REV.01-03-09
Clasificacin: Auditora de Primera Parte
No es esencial
AI 27001 102
REV.01-03-09
Oportunidades para la mejora
AI 27001 103
REV.01-03-09
Reunin de Cierre
Objetivo y alcance.
Muestreo.
Presentacin de hallazgos.
Detallar hallazgos con soporte de evidencia.
Entrega de SACs y obtener firma.
Tiempo de respuesta de SACs.
Evitar abuso de su posicin como auditor.
Informe de Auditora y seguimiento.
Agradecer las atenciones.
AI 27001 104
REV.01-03-09
Preparacin, aprobacin y
distribucin del informe de auditoria
Informe de Auditoria
Alcance y objetivo.
Itinerario de la Auditora.
Resumen de hallazgos.
AI 27001 105
REV.01-03-09
Preparacin, aprobacin y
distribucin del informe de auditoria
Informe de Auditoria
AI 27001 106
REV.01-03-09
No incluir en el Informe de Auditoria los siguientes aspectos:
Opiniones subjetivas.
Informacin confidencial.
Declaraciones ambiguas.
Detalles triviales.
AI 27001 107
REV.01-03-09
Preparacin, aprobacin y distribucin del
informe de auditoria
Tiempo de entrega
Fechado, revisado y aprobado
Distribuido a los receptores autorizados
Confidencialidad
AI 27001 108
REV.01-03-09
Finalizacin y Seguimiento
Atributos personales
Conocimientos y habilidades
AI 27001 110
REV.01-03-09
Competencia y evaluacin de los auditores
AI 27001 111
REV.01-03-09
Atributos personales
AI 27001 112
REV.01-03-09
Conocimientos y habilidades
AI 27001 113
REV.01-03-09
Auditores
Educacin
Experiencia
Participacin en auditoras
Adiestramiento
a) Tcnicas de auditora
b) Sistemas de Calidad
Registros de calificacin
AI 27001 114
REV.01-03-09