Guía para la Auditoría de Seguridad de la Información
Modelo de Cadena de Valor de Porter
Actividades Primarias
- Servicios post-venta (mantenimiento): Actividades destinadas a mantener o realizar el valor del producto. Ej.: garantías.
- Ventas y Marketing: Actividades con las cuales se da a conocer el producto.
- Logística interna: Recepción, almacenamiento y distribución de las materias primas.
- Operaciones (producción): Recepción de las materias primas para transformarlas en el producto final.
- Logística externa: Almacenamiento de los productos terminados y distribución del producto al consumidor.
Actividades Secundarias
- Abastecimiento (compras): Proceso de compra de los materiales.
- Dirección de recursos humanos: Búsqueda, contratación y motivación del personal.
- Desarrollo de tecnología (investigación y desarrollo): Obtención, mejora y gestión de la tecnología.
- Infraestructura de la organización: Actividades que prestan apoyo a toda la empresa, como la planificación, contabilidad, finanzas…
Proceso de Planificación de la Auditoría
Actividades y Cuestiones a Abordar
- Definir los criterios de auditoría.
- Estimar la duración de la auditoría y el equipo auditor necesario.
- Determinar los objetivos de auditoría.
- Establecer el alcance de auditoría.
Ejecución de la Auditoría
Actividades a Realizar
- Reunión inicial.
- Recogida de evidencias (entrevistas, comprobación de registros e inspección visual).
- Documentación de resultados.
- Reunión final.
Verificación de un Control o Medida de Seguridad
Actividades Empleadas
- Análisis de registros.
- Inspección visual.
- Preguntas al usuario.
- Análisis de documentación.
- Preguntas al Responsable de Seguridad.
Conceptos Clave en Auditoría
- Evidencia
- Profesional
- Criterios de auditoría
- Proceso documentado
- Opinión objetiva
Informe de Auditoría
Conceptos Habituales
- Los hallazgos de auditoría
- La conclusión y opinión general del auditor
- Introducción al informe
Objetivo de la Auditoría
La realización de una auditoría tiene como objetivo verificar la eficacia de las medidas de seguridad. La auditoría es una medida de seguridad porque comprueba la eficacia de las medidas y sirve para valorar la adecuada gestión del riesgo. La responsabilidad proactiva no termina con la realización de la auditoría, se requiere subsanar también las deficiencias.
Definición de Auditoría
Es el proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.
Triángulo de Auditoría
Tres conceptos que lo forman:
- Objetivos
- Conclusiones
- Evidencias
Hallazgos en Auditoría
- Debe indicar el nombre del auditor que la redacta.
- Debe proporcionar una visión global de lo que se ha considerado como evidencia, identificando cuál está siendo utilizada y en qué momento ha sido recabada.
- Debe establecer la causa o incorrección encontrada.
Auditoría vs Consultoría
La auditoría es una actividad de valoración a posteriori que proporciona una valoración objetiva, mientras que la consultoría es una actividad a priori que suministra una valoración subjetiva.
Gobierno de TI
El Gobierno TI determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado del uso de las tecnologías de la información.
RGPD
Los daños sobre los derechos y libertades del interesado se traducen en:
- Daños físicos
- Daños morales
- Daños materiales
ISO 27701
La norma ISO 27701 se ha contemplado como una extensión de la norma ISO 27001 y permite establecer un sistema de gestión para la gestión de datos de carácter personal que permite acreditar el cumplimiento del RGPD.
Definiciones
- Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos utilizados como referencia.
- Evidencias de auditoría: Registros, declaraciones de terceros o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.
- Hallazgo de la auditoría: Resultado de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.
- Conclusiones de la auditoría: Resultado de una auditoría que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.
- Alcance de la auditoría: La descripción de los lugares, las unidades organizativas, las actividades y los procesos, así como el periodo de tiempo que durará la auditoría.
Análisis de la Documentación
- Solicitar la política y los procedimientos de respuesta a incidentes de seguridad de la información.
- Revisar los planes de respuesta a incidentes y los roles y responsabilidades asignados.
Preguntas Ejemplo
- ¿Existe una política documentada y aprobada para la respuesta a incidentes de seguridad de la información?
- ¿Se han establecido procedimientos claros y detallados para gestionar y responder a los incidentes de seguridad de la información?
- ¿Se mantiene actualizado un plan de respuesta a incidentes que define las acciones a tomar en caso de un incidente de seguridad?
Análisis de Registros
- Verificar la existencia de registros de incidentes de seguridad de la información reportados y resueltos.
- Revisar los registros de seguimiento y análisis de incidentes anteriores.
Preguntas Ejemplo
- ¿Se mantiene un registro de incidentes de seguridad de la información reportados, incluyendo la descripción del incidente, fecha y acciones tomadas?
- ¿Se lleva un seguimiento adecuado de los incidentes, incluyendo su clasificación, impacto y resolución?
- ¿Se realizan análisis periódicos de los incidentes para identificar patrones o tendencias y tomar medidas preventivas?
Inspección Visual
- Observar si se dispone de un centro de respuesta a incidentes de seguridad de la información o un equipo designado para gestionar los incidentes.
- Verificar si se realizan simulacros o ejercicios de respuesta a incidentes para evaluar la eficacia del plan y la preparación del personal.
Preguntas Ejemplo
- ¿Se ha establecido un equipo de respuesta a incidentes de seguridad de la información claramente definido?
- ¿El equipo cuenta con los recursos y la autoridad necesarios para responder a los incidentes de seguridad de manera efectiva?
- ¿Se realizan pruebas regulares del plan de respuesta a incidentes mediante simulacros o ejercicios de preparación?
Preguntas al Responsable de Seguridad
- Entrevistar al responsable de seguridad para obtener información sobre la efectividad de las medidas de respuesta a incidentes y su experiencia en la gestión de incidentes de seguridad.
Preguntas Ejemplo
- ¿Cuál es el proceso establecido para recibir, investigar y responder a los incidentes de seguridad de la información?
- ¿Se siguen los procedimientos definidos para notificar a las partes interesadas pertinentes y las autoridades competentes cuando sea necesario?
- ¿Se lleva a cabo un análisis posterior a los incidentes para identificar mejoras en las medidas de seguridad y en el proceso de respuesta?