Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Gestión de la seguridad de la información » Evaluación, Auditoría y Certificación
master_cs:gsi:asesoramient_audiotira

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Próxima revisión		Revisión previa
master_cs:gsi:asesoramient_audiotira [2026/01/13 23:14] – creado thejuanvisumaster_cs:gsi:asesoramient_audiotira [2026/01/14 19:26] (actual) thejuanvisu
Línea 1: Línea 1:
 ====== Evaluación, Auditoría y Certificación ====== ====== Evaluación, Auditoría y Certificación ======
 +Las certificaciones tienen los siguientes beneficios:
 +  * Mejor seguridad a menor coste
 +  * Credibilidad y confianza: Muestra que se han tomado las precauciones requeridas para minimizar los riesgos del negocio
 +  * Cumplimiento: Demuestra cumplimiento con regulaciones
 +  * Cumplir responsabilidades de confianza como organización en la protección de los activos de la compañía.
  
 +===== Cumplimiento, Certificación y Acreditación =====
 +  * Cumplimiento: Cualquier organización puede implementar un estandar y decir que cumple, pero no hay ninguna evidencia
 +  * Certificación: Es una forma de probar que la organización cumple con los estándares.
 +  * Acreditación: Se le entrega a la organización que realiza la certificación. Los cuerpos de certificación tiene que demostrar que sus métodos de certificación son justos, creibles y confiables, para ello suelen haber autoridades de acreditación nacionales.
 +
 +==== Certificación y Acreditación en España ====
 +En españa está la Entidad Nacional de Acreditación (ENAC). Tiene los siguietes servicios de acreditación:
 +  * Certificación de los Sistemas de Gestión de la seguridad (ISO27001): Asegura la confidencialidad, integridad y disponibilidad de la información..
 +  * Certificación dentro del Esquema Nacional de Seguridad (ENS): Fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la adminsitración pública.
 +
 +===== ISO 27001 =====
 +==== ISO 27001: La Certificación ====
 +
 +Se suelen seguir los siguientes pasos:
 +  * Pre-auditoría: Existencia y alcance apropiado del SGSI
 +  * Auditoría de certificación
 +    * Fase 1: Revisión de la documentación
 +    * Fase 2: Procesos y control
 +  * Certificación: Emisión del certificado
 +  * Seguimiento anual: Mejora continua.
 +
 +==== ISO 27001: El ciclo de certificación ====
 +  - Revisión de preparación
 +  - Certificación
 +  - Auditoría de supervisión: Comienza el cliclo, estas auditorías revisan las auditorías internas, gestión de las revisiones, acciones correctivas y preventivas, mejoras...
 +  - Auditoría de recertificación: Revisa el sistema completo de forma menos profunda que la primera audotoría, centrándose en las capacidades de mejora.
 +
 +==== Documentos y registros necesarios ====
 +  - Alcance del sistema de gestión de seguridad de la información
 +  - Política de seguridad de la información
 +  - Proceso de evaluación de riesgos
 +  - Proceso de tratamiento de riesgos
 +  - Objetivos de seguridad de la información
 +  - Evidencia de la competencia de las personas que trabajan en SI
 +  - Otros documentos relacionados con el SGSI considerados necesarios en la organización
 +  - Documentos de planificación y control operacional
 +  - Resultados de las evaluaciones de riesgo
 +  - Decisiones con respecto al tratamiento del riesgo
 +  - Evidencia del seguimiento y medición de seguridad de la información
 +  - Porgrama de auditoría interna sobre SGSI y sus resultados
 +  - Evidencia de las principales revisiones de la gestión del SGSI
 +  - Evidencia de las no conformidades identificadas y acciones correctivas que surjan
 +
 +==== Problemas comunes ====
 +  * Registro de activos incompleto
 +  * Riesgo del personal no incluido
 +  * Métodos demasiado complicados
 +  * No aprobado por gerencia
 +  * Ubicación de la sala de servidores
 +  * Sala de servidores no segura
 +  * Incidentes no reportados por el personal
 +  * Pruebas insuficientes para demostra mejora
 +
 +
 +===== Esquema Nacional de Seguridad (ENS) =====
 +**RD 3/2010 Artículo 34: Auditoría de seguridad**
 +  * Los sistemas de información serán objeto de una auditoría regular ordinaria al menos cada 2 años para verificar el cumplimiento de los requerimientos del ENS
 +  * Se debe realizar una auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de la información.
 +
 +La adecuación al ENS requiere el tratamiento de las siguientes cuestiones:
 +  * Definición de roles y la asignación de responsabilidades (CCN-STIC 805)
 +  * Categorizar los sistemas (CCN-STIC 803)
 +  * Realizar análisis de riesgo y valoración de las medidas de seguridad existentes (MAGERIT Versión 3 y PILAR)
 +  * Declaración de aplicabilidad (CCN-STIC 804)
 +  * Plan de adecuación para la mejora de la seguridad (CCN-STIC 806)
 +  * Implantar, operar y monitorizar las medidas de seguridad (CCN-STIC)
 +  * Auditar la seguridad (CCN-STIC 802 y CCN-STIC 808)
 +  * Informar sobre el estado de la seguridad (CCN-STIC 815 y CCN-STIC 824)
 +
 +===== Consejo de Certificación del ENS (CoCENS) =====
 +Organo colegiado, regulado por la sección 3 del capítulo II del título preliminar de la Ley 40/2015 y por la guia CCN-STIC 809 de Declaración y Certificación de Conformidad con el ENS. Fue creado para ayudar a la implantación del ENS. Hay los siguientes informes CoCENS:
 +  * CCN-CERT IC-01/19: Criterios generales de auditoría y certificación
 +  * CCN-CERT IC-02/20: Guia para la contratación de auditorías de certificación del ENS
 +
 +La Certificación y conformidad con el ENS conlleva:
 +  * __**1. Plan de adecuación: Documento que incluye la siguiente info**__:
 +    * **Alcance** de los sistemas que se van a someter al proceso de certificación
 +    * **Categoría** de los sistemas según las dimensiones de seguridad y los servicios rpestados
 +    * **Declaración de Aplicabilidad Provisional**, teniendo en cuenta las medidas del anexo II que se va a implementar.
 +    * Realización del **análisis de riesgos**
 +    * Validar la **declaración de aplicabilidad definitiva**
 +    * Preparar y aprobar la **política de seguridad**.
 +  * __**2. Implementación de la seguridad**__
 +    * **Hoja de ruta**: Documento a elaborar, medidas técnicas a implementar y definir las prioridades
 +    * Elaborar el **marco normativo** y la implantación de la seguridad
 +    * Aprobar el **sistema de gestión de la seguridad de la información**
 +  * __**3. Declaración/Certificación de conformidad**__
 +    * **Catetgorías MEDIA o ALTA**: Auditoría formal que verifique los requerimientos del ENS cada 2 años o antes si se producen cambios
 +    * **Categoría BÁSICA:** Autoevaluación que verifique su cumplimiento al menos cada 2 años.
 +  * __**4.Informar sobre el estado de la seguridad**__
 +    * **Métricas e indicadores**: Se debe cumplomentar e informar sobre el estado de la seguridad.
 +  * __**5. Vigilancia y Mejora Continua**__
 +    * Revisión de la política de seguridad de la información
 +    * Revisión de la información y los servicios
 +    * Actualización del análisis de riesgos
 +    * Revisión de la declaración de aplicabilidad
 +    * Realizar Auditorías internas
 +    * Revisión del plan de mejora
 +    * Revisión de las medidas de seguridad
 +    * Revisión y actualización de procedimientos
 +    * Revisión del estado de seguridad
 +
 +
 +===== Auditoría =====
 +Es un proceso sistemático, independiente y documentado para obtener evidencias y evaluar el objetivo para determinar hasta que extensión se han cumplido los objetivos a auditar. En las auditorías existen los siguientes fundamentos:
 +  * Evidencia auditada: Registro verificable, afirmación o hecho relevante para la auditoría
 +  * Descubrimientos de la auditoría: Resultados de la evaluación de las evidencias recolectadas
 +  * Conclusiones de la auditoría: Resultado de la auditoría tras considerar los objetivos de la auditoría y los descubrimientos
 +  * Cliente auditado: Organización que solicita la auditoría.
 +  * Auditado: Organización que es auditada
 +  * Auditor: Los que realizan la auditoría.
 +
 +==== Auditoría Interna ====
 +También conocidas como First-Party. Son realizadas en nombre de o por la organización para revisar la gestión y otros propósitos. 
 +
 +==== Auditoría externa ====
 +También conocidas como second-party o thir-party. Las Second party son realizadas por grupos interesados en la organización. Las Third Party son realizadas por organizaciones auditoras independientes.
 +  * ISO/IEC 27007:2011 Guidelines for information security management system auditing
 +  * ISO/IEC TR 27008:2011: Guidelines for auditors on iformation security controls
 +
 +==== Auditorías combninadas ====
 +  * Auditoría combinada: Cuando 2 o más sistemas de gestión de diferentes disciplinas son auditados juntos
 +  * Auditoría Conjunta: Cuando 2 o más organizaciones cooperan para auditar una organización.
 +
 +==== Principios para auditores y gestores de auditorías ====
 +  * Integridad: Deben ser honestos. Deben observar y respetar cualquier requerimiento legal aplicable. Deben demostrar competencia técnica. 
 +  * Presentación justa: Deben reportar de forma correcta y precisa.
 +  * Importancia por el profesionalismo: Aplicación diligente de la auditoría.
 +  * Confidencialidad
 +
 +==== Principios del proceso de auditoría ====
 +  * Independencia: La base para la imparcialidad de la auditoría
 +    * Los auditores deben ser independeintes de la actividad auditada de forma que no hayan conflictos de interés
 +    * Para las auditorías internas, los auditores deben ser independientes de los gestores de las funciones auditadas
 +    * Para las organizaciones pequeñas puede no ser posible que los auditores internos sean completamente independientes de la actividad auditada
 +  * Proximación basada en evidencias.
 +    * Las evidencias de las auditorías deben ser verificables
 +    * Las evidencias tienen que ser basadas en muestras de la información disponible.
 +
 +==== Estudio de alcance y pre-auditoria ====
 +  * Los auditores determinan las principales areas en las que centrar las auditorías y las áreas que quedan expecíficamente fuera
 +  * El alcance de la auditoría tiene que tener sentido en relación con la organización
 +  * Prestar atención a los riesgos de la información y los controles de seguridad asociados con la información
 +  * Identificar y hacer contacto con los principales interesados
 +
 +==== Planificación y preparación de la auditoría ====
 +  * El alcance ISMS negociado se divide en mayor detalle, generando una checklist ISMS
 +  * El tiempo y recursos para la auditoría son negociados por la gerencia de ambas organizaciones
 +  * Los planes de audotría suelen incluir checkpoints.
master_cs/gsi/asesoramient_audiotira.1768346082.txt.gz · Última modificación: 2026/01/13 23:14 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki