Auditoría de Sistemas de Seguridad según ISO 27001

Clase 31 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Resumen

¿Qué es una auditoría en un sistema de gestión de seguridad de la información?

La auditoría es un proceso indispensable en la gestión de la seguridad de la información. Desde una perspectiva independiente y documentada, el auditor analiza y evalúa el cumplimiento de un sistema bajo estándares específicos. En el ámbito de la norma ISO 27001, la auditoría es crucial para garantizar que el sistema de gestión de seguridad cumple con los requisitos establecidos. Este proceso sistemático, fijado por la ISO 19011, se centra en obtener y evaluar evidencia objetiva para determinar el grado de cumplimiento de los criterios de auditoría.

¿Cuáles son los componentes esenciales de una auditoría?

Proceso sistemático: Las auditorías deben ser actividades planificadas y programadas, evitando sorpresas que puedan interrumpir otras actividades críticas, como la gestión de incidentes de seguridad.
Independiente: Es vital que el auditor tenga independencia en su evaluación para evitar sesgos. Esta independencia asegura la objetividad necesaria para identificar áreas de mejora sin influencias externas.
Documentado: Toda la auditoría debe ser respaldada por documentación detallada y evidencia suficiente. Esto incluye los objetivos, alcance, cronograma, y los recursos involucrados.
Evidencia y evaluación objetiva: La evidencia recopilada debe ser analizada cuidadosamente para asegurar que el sistema cumple con los requerimientos. La habilidad técnica del auditor juega un papel crucial en esta evaluación, necesitando un conocimiento profundo de la norma ISO 27001 y de las tecnologías evaluadas.

¿Qué tipos de auditoría existen bajo la norma ISO 27001?

Auditoría interna

Es llevada a cabo por auditores dentro de la misma organización. Aunque son parte de la entidad, operan de manera independiente, reportando directamente a la dirección ejecutiva o a la junta directiva. Estos auditores deben estar certificados para poder evaluar objetivamente el sistema de gestión de seguridad.

Independencia y colaboración: Aun siendo parte de la organización, los auditores internos deben mantener una postura objetiva. Su conocimiento interno del sistema puede ser ventajoso, siempre que se mantenga la imparcialidad.

Auditoría externa

Llevada a cabo por auditores de entidades externas y clasificadas como auditorías de segunda y tercera parte. Estas son realizadas por organizaciones acreditadas para certificar que el sistema cumple con los estándares ISO 27001. Es importante que estas auditorías se realicen anualmente para mantener la certificación vigente.

Proceso de certificación: Una vez que la auditoría interna ha confirmado que el sistema está listo, se solicita a la Organización de Estándares Internacionales (ISO) enviar auditores para la evaluación final. Estos auditores externos corroboran que se cumplan todas las normas y requisitos.

Consejo para auditores en formación

Iniciar una carrera en auditoría de sistemas de gestión de seguridad de la información bajo ISO 27001 implica adquirir un profundo conocimiento técnico y normativo. Mantener una perspectiva objetiva, comprender las tecnologías subyacentes, y documentar adecuadamente son habilidades esenciales. Considera obtener certificaciones relevantes y busca oportunidades para practicar estas habilidades en un entorno real. Y recuerda, la certificación como auditor no solo valida tu experiencia, sino que también fortalece la confianza del equipo y de la organización en su sistema de gestión de seguridad.

Noldia Chavez Cavero

student•

¿Qué es auditoria? Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, para determinar que tanto se cumplen los criterios de la auditoria.

Sistemático: Planeado Independiente: El auditor es libre de elegir el área a auditar. Documentado: Que tenga un soporte escrito. Evidencia: Corroborar la veracidad de lo indicado por el auditado. Se cumplen: Verificar las tareas realizadas. Evaluarla objetivamente: Capacidad técnica por parte del auditor. Criterios de auditoria: Que se va revisar específicamente

++Tipos de Auditoria++ Interna .- Dentro de la organización. de primera parte. Externa .- Internacionales. de segunda y tercera parte.(cada año)

Kyb3r Cipher

student•

Buenas notas

Erick Alejandro Carrillo López

student•

buenas notas

DANIEL TENOCH SANCHEZ GARCIA

student•

CARLOS STIVEN GONZALEZ ZABALA

student•

buenos apuntes en que App los realizas.

Leo-Enver Garibay Campos

student•

Buen aporte, sólo que me confundí en las 3 líneas de defensa, ya que la auditoria interna aquí es de primera parte y en las líneas de defensa en la tercera.

Gerardo Portocarrero

student•

Auditoria: Proceso que te indica que mejorar, cuales son los lineamientos y mejoras que debes implementar en el sistema. Definición ISO 19011: 'Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en que grado se cumplen los criterios de la auditoria'. Sistemático: Son una actividad programada y planificada, no puede ser sorpresa, ya que puedes estar realizando otra actividad. Independiente: Todos las áreas se pueden revisar sin tener en cuenta las demás. Documentada: Todas las revisiones deben estar documentadas, todos los ítems, objetivos de la auditoria, recursos. Evidencia: Constatar la autenticidad del auditor. Se cumplen: Verificar los procesos y validarlos cuando se realicen. Evaluarla objetivamente: Con el criterio de auditor, confirmar que las características de la organización se cumplan con evidencia, entonces el auditor debe conocer la ISO 27001 y la capacidad técnica para saber realmente el proceso es legitimo. Criterios de auditoria: Lo que se revisara.

Tipos de Auditoria: Interna -> De primera parte. (Área que se encuentra en la misma organización, los auditores deben estar certificados bajo la norma 27001) Externa -> Se segunda y tercera parte. (Certificación internacional, cuando el SGSI esta preparado y listo cuando se cumple todo)

Arturo Moran

student•

La auditoria se puede aplicar casi a cualquier giro, buscando la mejora de procesos, productos y/o servicios. Es parte fundamental aunque a todos les da miedo.

Kyb3r Cipher

student•

Platzi esta certificado por la norma ISO 27001?

Anthony Yoel Matheus García

student•

Difinitivamente uno de los mejores profesores de platzi.

JESUS DAVID DÍAZ QUICENO

student•

Cordial saludo.. Al momento de realizar una auditoría es necesario revisar antes de evaluar los controles de la norma, algunos otros procesos que no estan especificados en la norma. Ejemplo: Misión, Visión, Procesos de gestion Juridica, Mapa de procesos, Manual de Gestión integral. etc.

Gabriel Díaz H

student•

Segun lo que indico en esta clase , quiere decir que uno como auditor debe tener unos conocimientos basicos de todos los procesos de tecnologia?

Luis Mojica

teacher•

Por supuesto y no solo basicos, la calidad del auditor va a depender de su experticia en lo que audita.

Alex Tovar

teacher•

Hola @lgabrieldiazh que bueno que estés tomando el curso. Efectivamente, este es un concepto que se conoce como "la debida competencia" y es que como auditor debes estar lo suficientemente preparado a nivel técnico para poder auditar un proceso de TI.

Luis Antonio Martínez Cárcamo

student•

Según la norma ISO 27001, la auditoría se refiere al proceso sistemático y documentado de obtener evidencia objetiva y evaluarla de manera objetiva para determinar en qué medida se cumplen los criterios de auditoría. La auditoría en el contexto de la ISO 27001 se realiza para evaluar el sistema de gestión de seguridad de la información de una organización y determinar su conformidad con los requisitos de la norma.

En el contexto de la ISO 27001, una auditoría puede ser realizada internamente por la propia organización (auditoría interna) o por una entidad externa e independiente (auditoría externa). El objetivo de la auditoría es verificar si el sistema de gestión de seguridad de la información de la organización está implementado de manera efectiva, si se cumplen los controles establecidos y si se logran los objetivos de seguridad.

Durante una auditoría, se lleva a cabo la revisión de documentación, entrevistas con el personal, inspección de las instalaciones y revisión de registros, entre otros métodos, con el fin de evaluar el cumplimiento de la organización con los requisitos de la norma ISO 27001 y detectar cualquier desviación o incumplimiento que pueda existir. Los resultados de la auditoría se documentan en un informe de auditoría que proporciona recomendaciones para mejorar el sistema de gestión de seguridad de la información de la organización.

Jeison Sneider Ruiz Zemanate

student•

¿Qué es auditoria?

“Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría “ ISO 19011

º Sistemático: Planeado (No aleatorio, las auditorías usualmente son una actividad planificado y programada).

º Independiente: El auditor es libre de elegir el área a auditar (Los auditores son libres de seleccionar las áreas a auditar).

º Documentado: Que tenga un soporte escrito (El proceso de auditoría ha sido publicado como un procedimiento escrito).

º Evidencia: Corroborar la veracidad de lo indicado por el auditado (Pruebas de lo indicado por el auditado).

º Se cumplen: Verificar las tareas realizadas (Ocurren realmente).

º Evaluarla objetivamente: Capacidad técnica por parte del auditor (Compara la evidencia con los criterios de auditoría, usando hechos antes que percepciones subjetivas, opiniones, sentimientos).

º Criterios de auditoría: Que se va revisar específicamente.

Tipos de Auditoria

º Interna: Dentro de la organización de primera parte.

º Externa: Internacionales de segunda y tercera parte.(cada año)

Julian Camilo Espitia Caicedo

student•

¿Qué es auditoría?

Nos dicen cuales son las mejoras que debemos realizar en nuestro sistema de seguridad de la información

“Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría” - ISO 19011

Sistemático: No es algo aleatorio, son actividades planificadas y programadas.
Independientes: Los auditores son libres de seleccionar el área a auditar.
Documentado: El proceso de auditoria debe ser documentado con la suficiente documentación (Objetivos, alcance, items, etc).
Evidencia: Pruebas de lo indicado por el auditado.
Se cumplen: Realmente se debe cumplir lo que se esta diciendo.
Evaluarla objetivamente: Comparar si lo que se dijo esta realmente bajo la norma ISO 27001 - capacidad tecnica del auditor.
Criterios de auditoría: Los elementos sobre los cuales se va a centar la auditoria.

Tipos de auditoria

De primera parte → Interna → Se encuentra dentro de la misma organización, ideal que los auditores internos esten certificados en la norma ISO 27001.

De segunda parte → Externa → Son las certificaciones internacionales

De tercera parte → Externa

Juan Esteban Ocampo Beltran

student•

Que importante para las empresas que vean el alcance de una buena auditoria, ya que permite mejorar procesos y ver en que punto se encuentra la empresa. Las empresas deberían de dar mayor relevancia a la auditoria.

José Adolfo Condori Quicaña

student•

Existen maneras de como hacer preguntas como auditor?

Oscar Hernan Pomi Piazza

student•

no me queda claro la diferencia entre auditorias de segunda parte y tercera parte... cual seria?

Leonardo Camelo Z.

student•

Empecemos por las de primera parte: son las que hace la organizacion en su interior. Las de segunda y tercera parte son auditorias de caracter externo.

Las auditorías de segunda parte se realizan por una empresa que por ejemplo, tenga subcontratada la realizacion de una parte de sus procesos con un tercero, y entonces decide audtarle para ver el nivel de cumplimiento de los requisitos en los productos que recibe de ella. Puede ser ejecutada por la empresa cliente con sus medios o solicitarla a un tercero.

Las auditorias de tercera parte son ejecutadas por empresas auditoras independientes y externas a la organización, y su proposito fundamental es entregar una certificacion de calidad validando que el sistema de gestion de la empresa auditada cumple con los requisitos de una norma certificable (Asi es, no todas las normas ISO son certificables como por ejemplo la 19001 o la 31000)

Saludos!

Oscar Hernan Pomi Piazza

student•

muy buena respuesta andres! Muchas gracias por la respuesta

Diana Maria Andica Bueno

student•

Profe, podría explicarme más detalladamente la diferencia entre auditoria de segunda y tercera parte?

francisco escalante

student•

excelente explicacion.

Vicente López Robles

student•

Esto se me hace para las grandes compañias, si bien es cierto que la seguridad no solo es temas de las mismas, ¿como lo deberían de abordar las PyMEs?, no hay tanto presupuesto para esto

Carlos Alberto Irias Torres

student•

Poco a poco , como dice el profesor , dependiendo de la compañía se debe de contemplar cuales controles tomar.

Eliezer Pimentel Rodriguez

student•

Para las PYMEs aplicarian solo los controles dependiendo de su tamaño. El tema de seguridad de la información es importante para toda organización sin importar su tamaño.

Aeros RH

student•

Una auditoría debe estar perfectamente documentada con evidencia, tiene que ser independiente y sistemática, además de que se debe evaluar objetivamente con ciertos criterios, hay tanto internas como externas.

Enrique Montes Trejo

student•

Excelentemente bien realizada esta clase.