Herramientas de usuario
master_cs:gsi:asesoramient_audiotira
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:asesoramient_audiotira [2026/01/14 14:12] – thejuanvisu | master_cs:gsi:asesoramient_audiotira [2026/01/14 19:26] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 50: | Línea 50: | ||
| ==== Problemas comunes ==== | ==== Problemas comunes ==== | ||
| + | * Registro de activos incompleto | ||
| + | * Riesgo del personal no incluido | ||
| + | * Métodos demasiado complicados | ||
| + | * No aprobado por gerencia | ||
| + | * Ubicación de la sala de servidores | ||
| + | * Sala de servidores no segura | ||
| + | * Incidentes no reportados por el personal | ||
| + | * Pruebas insuficientes para demostra mejora | ||
| + | |||
| + | ===== Esquema Nacional de Seguridad (ENS) ===== | ||
| + | **RD 3/2010 Artículo 34: Auditoría de seguridad** | ||
| + | * Los sistemas de información serán objeto de una auditoría regular ordinaria al menos cada 2 años para verificar el cumplimiento de los requerimientos del ENS | ||
| + | * Se debe realizar una auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de la información. | ||
| + | |||
| + | La adecuación al ENS requiere el tratamiento de las siguientes cuestiones: | ||
| + | * Definición de roles y la asignación de responsabilidades (CCN-STIC 805) | ||
| + | * Categorizar los sistemas (CCN-STIC 803) | ||
| + | * Realizar análisis de riesgo y valoración de las medidas de seguridad existentes (MAGERIT Versión 3 y PILAR) | ||
| + | * Declaración de aplicabilidad (CCN-STIC 804) | ||
| + | * Plan de adecuación para la mejora de la seguridad (CCN-STIC 806) | ||
| + | * Implantar, operar y monitorizar las medidas de seguridad (CCN-STIC) | ||
| + | * Auditar la seguridad (CCN-STIC 802 y CCN-STIC 808) | ||
| + | * Informar sobre el estado de la seguridad (CCN-STIC 815 y CCN-STIC 824) | ||
| + | |||
| + | ===== Consejo de Certificación del ENS (CoCENS) ===== | ||
| + | Organo colegiado, regulado por la sección 3 del capítulo II del título preliminar de la Ley 40/2015 y por la guia CCN-STIC 809 de Declaración y Certificación de Conformidad con el ENS. Fue creado para ayudar a la implantación del ENS. Hay los siguientes informes CoCENS: | ||
| + | * CCN-CERT IC-01/19: Criterios generales de auditoría y certificación | ||
| + | * CCN-CERT IC-02/20: Guia para la contratación de auditorías de certificación del ENS | ||
| + | |||
| + | La Certificación y conformidad con el ENS conlleva: | ||
| + | * __**1. Plan de adecuación: | ||
| + | * **Alcance** de los sistemas que se van a someter al proceso de certificación | ||
| + | * **Categoría** de los sistemas según las dimensiones de seguridad y los servicios rpestados | ||
| + | * **Declaración de Aplicabilidad Provisional**, | ||
| + | * Realización del **análisis de riesgos** | ||
| + | * Validar la **declaración de aplicabilidad definitiva** | ||
| + | * Preparar y aprobar la **política de seguridad**. | ||
| + | * __**2. Implementación de la seguridad**__ | ||
| + | * **Hoja de ruta**: Documento a elaborar, medidas técnicas a implementar y definir las prioridades | ||
| + | * Elaborar el **marco normativo** y la implantación de la seguridad | ||
| + | * Aprobar el **sistema de gestión de la seguridad de la información** | ||
| + | * __**3. Declaración/ | ||
| + | * **Catetgorías MEDIA o ALTA**: Auditoría formal que verifique los requerimientos del ENS cada 2 años o antes si se producen cambios | ||
| + | * **Categoría BÁSICA:** Autoevaluación que verifique su cumplimiento al menos cada 2 años. | ||
| + | * __**4.Informar sobre el estado de la seguridad**__ | ||
| + | * **Métricas e indicadores**: | ||
| + | * __**5. Vigilancia y Mejora Continua**__ | ||
| + | * Revisión de la política de seguridad de la información | ||
| + | * Revisión de la información y los servicios | ||
| + | * Actualización del análisis de riesgos | ||
| + | * Revisión de la declaración de aplicabilidad | ||
| + | * Realizar Auditorías internas | ||
| + | * Revisión del plan de mejora | ||
| + | * Revisión de las medidas de seguridad | ||
| + | * Revisión y actualización de procedimientos | ||
| + | * Revisión del estado de seguridad | ||
| + | |||
| + | |||
| + | ===== Auditoría ===== | ||
| + | Es un proceso sistemático, | ||
| + | * Evidencia auditada: Registro verificable, | ||
| + | * Descubrimientos de la auditoría: Resultados de la evaluación de las evidencias recolectadas | ||
| + | * Conclusiones de la auditoría: Resultado de la auditoría tras considerar los objetivos de la auditoría y los descubrimientos | ||
| + | * Cliente auditado: Organización que solicita la auditoría. | ||
| + | * Auditado: Organización que es auditada | ||
| + | * Auditor: Los que realizan la auditoría. | ||
| + | |||
| + | ==== Auditoría Interna ==== | ||
| + | También conocidas como First-Party. Son realizadas en nombre de o por la organización para revisar la gestión y otros propósitos. | ||
| + | |||
| + | ==== Auditoría externa ==== | ||
| + | También conocidas como second-party o thir-party. Las Second party son realizadas por grupos interesados en la organización. Las Third Party son realizadas por organizaciones auditoras independientes. | ||
| + | * ISO/IEC 27007:2011 Guidelines for information security management system auditing | ||
| + | * ISO/IEC TR 27008:2011: Guidelines for auditors on iformation security controls | ||
| + | |||
| + | ==== Auditorías combninadas ==== | ||
| + | * Auditoría combinada: Cuando 2 o más sistemas de gestión de diferentes disciplinas son auditados juntos | ||
| + | * Auditoría Conjunta: Cuando 2 o más organizaciones cooperan para auditar una organización. | ||
| + | |||
| + | ==== Principios para auditores y gestores de auditorías ==== | ||
| + | * Integridad: Deben ser honestos. Deben observar y respetar cualquier requerimiento legal aplicable. Deben demostrar competencia técnica. | ||
| + | * Presentación justa: Deben reportar de forma correcta y precisa. | ||
| + | * Importancia por el profesionalismo: | ||
| + | * Confidencialidad | ||
| + | |||
| + | ==== Principios del proceso de auditoría ==== | ||
| + | * Independencia: | ||
| + | * Los auditores deben ser independeintes de la actividad auditada de forma que no hayan conflictos de interés | ||
| + | * Para las auditorías internas, los auditores deben ser independientes de los gestores de las funciones auditadas | ||
| + | * Para las organizaciones pequeñas puede no ser posible que los auditores internos sean completamente independientes de la actividad auditada | ||
| + | * Proximación basada en evidencias. | ||
| + | * Las evidencias de las auditorías deben ser verificables | ||
| + | * Las evidencias tienen que ser basadas en muestras de la información disponible. | ||
| + | |||
| + | ==== Estudio de alcance y pre-auditoria ==== | ||
| + | * Los auditores determinan las principales areas en las que centrar las auditorías y las áreas que quedan expecíficamente fuera | ||
| + | * El alcance de la auditoría tiene que tener sentido en relación con la organización | ||
| + | * Prestar atención a los riesgos de la información y los controles de seguridad asociados con la información | ||
| + | * Identificar y hacer contacto con los principales interesados | ||
| + | |||
| + | ==== Planificación y preparación de la auditoría ==== | ||
| + | * El alcance ISMS negociado se divide en mayor detalle, generando una checklist ISMS | ||
| + | * El tiempo y recursos para la auditoría son negociados por la gerencia de ambas organizaciones | ||
| + | * Los planes de audotría suelen incluir checkpoints. | ||
master_cs/gsi/asesoramient_audiotira.1768399938.txt.gz · Última modificación: 2026/01/14 14:12 por thejuanvisu
Herramientas de la página
