Auditoria interna de un SGSI segun ISO 27001 Las dudas asaltan a la hora de tomar contacto con el concepto de Auditora

Interna dentro del contexto de Gestin de Seguridad de la Informacin. Es un test de penetracin? El auditor debe entrar en el sistema para comprobar l, y slo l, la eficacia de determinados controles? Puede utilizar sus propias herramientas de auditora informtica? De qu va todo esto? Intentar contar de qu trata la Auditora Interna de un SGSI desde dos puntos de vista: de un lado analizar qu requisitos pide ISO 27001 respecto de la misma; de otro cul es la metodologa a aplicar en la ejecucin del proceso completo de stas y diferencias con auditora tradicional de sistemas de forma estricta. 1.- Qu nos pide la Norma ISO 27001:2005? Los requisitos para la realizacin de Auditoras Internas a nuestro SGSI vienen establecidos en el apartado '6.- Internal ISMS Audits' de ISO 27001:2005. Siendo esta norma la que especifica los requisitos para tener un SGSI conforme a la misma (esta norma es la que nos dice qu tenemos que tener implantado para que el sistema sea certificable segn ISO 27001), pues cumpliendo todo lo que se nos dice, cumpliremos bien lo relacionado con esta auditora. Comentar que el texto es sumamente parecido al que podemos encontrar en otros estndares de gestin como ISO 9001 o ISO 14001. Bien, para empezar la norma nos dice que: "La organizacin deber realizar auditoras internas del SGSI a intervalos planificados...". En este caso, cumpliremos con ISO 27001 si hacemos eso, es decir, planificar de forma previa cundo vamos a realizar nuestra/nuestras auditoras internas. Esto generalmente suele hacerse aprovechando reuniones del Comit de Seguridad para planificar el ao venidero. En ella se acuerdan el Programa de Auditoras para el ao, el Plan de Formacin,... El resultado puede registrarse por escrito (dejar evidencia al auditor, para entendernos) en el acta que puede generarse tras la reunin, o creando un formato especfico al efecto denominado 'Programa de Auditoras' con la codificacin oportuna para el control de documentos y formatos del SGSI. En el programa de auditora, deberan indicarse parmetros como: quin la hace, en qu fecha (mes, quincena,... es planificacin e ir al da exacto es difcil), qu recursos podra necesitar, etc.). Hemos de tener en cuenta que la planificacin exacta de la auditora se enva a los afectados con unos 15-20 das de antelacin a la fecha de la auditora acordada (all ya iremos al mximo detalle para evitar improvistos en la misma). Continuemos leyendo la norma a ver qu nos dice: "... para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI: - son conformes con los requisitos de ISO 27001 y los de legislacin o regulaciones relevantes, - son conformes con los requisitos de seguridad de la informacin identificados, - estn implementados y mantenidos de forma eficaz, y - funcionan segn lo esperado." Bueno, realmente lo que nos estn diciendo es que nos aseguremos de lo anterior en la propia ejecucin tcnica de la Auditora Interna. Son objetivos bsicos de la misma y la finalidad para la que se desarrolla todo el proceso de Auditora Interna. Son las comprobaciones que tendremos que realizar una vez estemos en el proceso.

Continuamos: "Debe planificarse un programa de auditora considerando el status y la importancia de los procesos y reas a auditar, as como los resultados de auditoras previas." Ms arriba hablaba de que tenemos que disponer de un Programa de Auditoras (no confundir con el Plan de Auditora, el cual es para cada una de las programadas a ttulo individual, mientras que el Programa es el documento que incluye a todas las que se celebrarn). Se supone que siguiendo lo anterior, estamos cumpliendo este requisito. Pero existe una particularidad, y es que ISO 27001, como otros estndares de gestin, requiere que la programacin considere la importancia de los procesos y reas y los resultados de auditoras previas. Esto qu quiere decir? Pues que nuestro Programa de Auditoras para el ao (suele hacerse anual, aunque los he visto para trienios, etc.), no debe hacerse a la ligera. Ea! Ya est. Una al ao (que no hace dao), nos quitamos el trmite de encima y a ver si cuela luego nuestro informe falso. Seores, esto no sirve para nada, slo para perder tiempo y dinero. Las Auditoras Internas deben realizarse sin excusa en aquellas reas/procesos especialmente relevantes para la organizacin, as como en aquellos especialmente dbiles segn hemos detectado en auditoras previas. Al hablar de auditoras previas, hacemos referencia tanto a Auditoras Internas como de otro tipo, como por ejemplo las de certificacin. No hay que olvidarse de estas si no deseamos obtener una buena No Conformidad en la propia Auditora de Certificacin. Salvo casos aislados, el hecho de repetir ao tras ao el mismo Programa de Auditoras es un indicativo claro de que este requisito puede que no se est cumpliendo. Y aqu, la gente que desarroll la norma lleva toda la razn, pues tene mos que enfocar los esfuerzos de auditora en aquellos procesos o reas realmente importantes y en aquellos que necesiten un anlisis especial para mejorar las prcticas o actuaciones. Retomamos la norma: "Los criterios de auditora, alcance, frecuencia y metodologa deben ser definidos." Naturalmente tenemos que definir cules van a ser los criterios de auditora. Estos criterios son contra los que vamos a evaluar el cumplimiento del sistema para que sea certificable por ISO 27001 y, prcticamente, los he mos visto arriba al hablar de: requisitos de ISO 27001, documentacin propia del sistema, requisitos legales y reglamentarios, ... Los criterios de auditora son el grupo de requisitos que debemos de cumplir para poder alegar conformidad con ISO 27001. A la norma: "La seleccin de auditores y la conduccin de auditoras debe garantizar la objetividad e imparcialidad del proceso de auditora. Los auditores no pueden auditar su propio trabajo." Naturalmente, cualquiera no puede auditar un SGSI. Debemos de analizar muy bien en manos de quin estamos dejando la auditora de nuestro sistema. Para ello, debemos determinar por escrito los requisitos que vamos a solicitar a los auditores que vayan a realizar esta labor. Pueden utilizarse trminos de experiencia previa, nmero de auditoras, titulacin, formacin especfica en auditoras, pertenencia a registros de auditores, etc. Dichos requisitos suelen desdoblarse entre los que pedimos a los propios auditores internos de la organizacin, esto es, los que pertenecen a nuestra propia plantilla y los que solicitamos a auditores que realizan la auditora interna, pero no pertenecen a nuestra organizacin (caso de consultores, auditores de empresas afines, etc.). Como

premisa de lujo, debe respetarse en todo instante para evitar No Conformidad, que un auditor no audite su propio trabajo, pues si lo ha ejecutado l, naturalmente pueden pasar dos cosas: que sea el mejor trabajo del mundo o que sea despistado o intil como para dejar el sistema con no conformidades... Sacad conclusiones: las llevara al informe y se las presentara a su Direccin? Aportara mejoras u otro punto de vista? Seguimos: "Las responsabilidades y requisitos para la planificacin y ejecucin de auditoras, y para el informe de resultados y mantenimiento de registros, deben estar definidas en un procedimiento documentado." Pues s, tenemos que tener perfectamente establecidas las responsabilidades que rodean a todo el proceso de Auditora Interna, desde quines deben planificar las mismas, bajo qu requisitos, cmo se informar de los resultados, dnde vamos a dejar los registros (evidencias de la auditora y sus resultados)... Lo ideal, es incluirlas en el procedimiento documentado que te est exigiendo la propia norma como tal. No tener este procedimiento es grave en una Auditora de Certificacin. Luego es de las cosas que, para que nos entendamos, no pueden faltar. Los registros que suelen dejarse aqu son: programa de auditora, plan de auditora, registros de calificaciones de auditores,, y sobre todo, el informe de auditora con los registros de hallazgos durante la misma (no conformidades, observaciones, etc.). Ya acabamos con la norma: "La Direccin responsable del rea que est siendo auditada debe asegurarse de que las acciones se toman sin retraso indebido para eliminar las no conformidades detectadas y sus causas. Las actividades siguientes deben de incluir la verificacin de las acciones tomadas y el informe de las actividades de verificacin." Bueno, aqu nos estn solicitando algo que va implcito en lo referente a No Conformidades y Acciones Correctivas de la parte de Mejora de nuestro SGSI. CUando se detecte una desviacin en el sistema (y fijaos que pone ya responsables), la Direccin del rea auditada debe tomar acciones correctiva s sin demora para eliminar las no conformidades detectadas y sus causas. Aqu tendremos que incluir un apartado en el que se incluyan todas las actividades de seguimiento y verificacin que hemos ido haciendo a modo de informe. Lo que se suele hacer aqu es abrir un Parte de No Conformidad para cada No Conformidad presente en la Auditora Interna y, en dicho formato, ya se incluyen los apartados correspondientes para planificacin de actuaciones, ejecucin, seguimiento, verificacin y comprobacin de la eficacia de las acciones tomadas. 2.- Metodologa de Auditora Interna del SGSI La metodologa utilizada actualmente en el mundillo de la auditora de sistemas de gestin es ISO 19011. La verdad es que, cualquier persona que desarrolle auditoras de gestin debiera dominar los conceptos que incluye. Cualquier tipo de duda que tengis en lo que respecta a auditora, seguro que la solventis. Qu incluyo en mi Programa de Auditoras? Y en los Planes de Auditora especficos? Cules son las fases de la Auditora? Etc ... Todo eso lo tenis perfectamente desarrollado en este estndar y seguro que os ayuda, ya no slo a resolver dudas, sino a crearos vuestro propio sistema documental para implantar en vuestras organizaciones o en vuestros clientes.

Auditora del SGSI FASE I.- Revisin de la documentacin. In situ o no. Para determinar el marco de referencia para la Fase II de la Auditora. Revisin del marco de gestin del SGSI, alcance, gestin de riesgo, estado de aplicabilidad (SOA), poltica de seguridad, procedimientos clave, procedimientos de soporte, parametrizacin de procesos, Se genera el Informe Fase I y se prepara la Fase II. FASE II.- Auditora in situ o de implementacin. Confirmar in situ el cumplimiento de requisitos del SGSI, esto es, que se cumplen los criterios de auditora preestablecidos. Se procede a la realizacin de entrevistas a propietarios de procesos, de activos, usuarios del SGSI, se revisan las reas de riesgo, se analizan los objetivos y metas establecidos, las revisiones, documentacin in situ del sistema, etc., generndose el Informe de Auditora. Durante todo este proceso, el equipo auditor realiza tareas de inspeccin visual, solicitando a los miembros de la organizacin la demostracin del cumplimiento de las prcticas que juran y perjuran estar realizando para cumplir con el estndar. Es inconcebible ver a un auditor de ISO 27001 incidir en los sistemas de informticos de la organizacin (por ejemplo). El rol del auditor aqu sera solicitar al personal que demuestre que sus claves son de nico uso hacindoles logearse una vez con una contrasea y solicitndole que lo intentase de nuevo con la misma. Si se logea, en este caso se generara una no conformidad pues el control dispuesto como requisito del sistema no estara cumplindose, constituyendo un agujero de seguridad segn lo previamente planificado. Auditora Tradicional de Sistemas En la tradicional auditora de sistemas, el auditor aplica directamente a los mismos sus herramientas de auditora o sus prcticas cerebrales para comprobar la solidez de dicho sistema. Incide de forma clara sobre el mismo en la bsqueda de agujeros de seguridad que explotar de cara a incluirlos en su informe final. Se utilizan tcnicas de hacking tico u otras de ingeniera social en muc hos de los casos. Aqu podramos hablar largo y tendido, pero simplemente es captar la diferencia con la Auditora Interna del SGSI. Respecto de la Auditora del SGSI, son cosas distintas. En un instante dado, la Auditora de Sistemas, Hacking tico, , pueden ser actividades que aporten hallazgos para la mejora de nuestro SGSI sin ningn gnero de dudas. Requiere de personal altamente cualificado en sistemas informticos y en el anlisis de vulnerabilidades y amenazas a los que se ven sometidos los sistemas. La especializacin aplica tambin, incluso, a la tipologa de mquinas que tengamos que auditar (mainframes, equipos normales, ). Por sintetizar, la Auditora de Sistemas Informticos tiene una vertiente ms tcnica y se centra en la verificacin de controles en el procesado de informacin en sistemas informticos, incidiendo sobre los mismos para poder evaluar su eficacia y poder presentar el correspondiente informe a la alta direccin. Este auditor verifica informacin en trminos de confidencialidad, integridad, disponibilidad, no repudio, Durante las actuaciones de auditora, procede a examinar y evaluar los procesos dentro del rea de Procesado de Datos, analizando los recursos aplicados al procesado y tomar

conclusiones sobre los sistemas computerizados, con la consecuente toma de evidencias que respalden sus juicios sobre los sistemas. Bien es cierto que, dada la situacin actual en cuanto al desarrollo de normas como ISO 17799, ISO 27001, etc., tanto los auditores de SGSI como de Sistemas, tienden a ser auditores de todo, crendose la nube que actualmente tienen muchas personas. Lo ideal para un auditor en estas lneas de negocio es disponer de conocimientos solventes en sistemas informticos y de informacin, as como solvencia contrastada en las tcnicas de gestin que se vienen imponiendo en todo el mundo en los ltimos aos. Posted by Jos Manuel Fernndez on sbado, noviembre 11, 2006 at 11/11/2006 08:35:00 AM | Permalink