certificación y auditoría iso 27001:2005 - cma.gva.es · %”antes de la auditoria, la entidad de...

Juan Carlos Serrano AntónResponsable Técnico de Esquemas 27001 y 20000

Lead Auditor ISO 27001, ISO 20000, ISO 9001

Certificación y Auditoría ISO 27001:2005

Valencia, octubre 2010

http://www.pdfcomplete.com/cms/hppl/tabid/108/Default.aspx?r=q8b3uige22

Contexto y antecedentes de la Seguridad de la Información


3Bureau Veritas Certification 2010

El momento claveEl momento clave

Tras los desgraciados sucesos del 11-S, 11-M yedificio Windsor, se han incrementado lasnecesidades de las empresas orientadas a lacontinuidad de negocio.

Esas exigencias se hacen extensivas a losproveedores y partners.

Introducción



En la actualidad el mercado necesita ydemanda:l Criterios de Calidad de Servicio

l Cumplimiento Legal

l Innovación Tecnológica

l Diferenciación de la competencia

l Formación y competencia profesionales

l Necesidad de referenciales de gestión adaptados

El mercadoEl mercado

Mercado



ISO 27001 / ISO 27002 tienen por objetivo

"proporcionar una base común para laelaboración de las normas de seguridad delas organizaciones, un método de gestióneficaz de la seguridad y establecer informesde confianza en las transacciones y lasrelaciones entre empresas".

Normas


Beneficios de un SGSI



Beneficios de la Certif icación ACREDITADA ISO 27001

Reflexiones de la ISO 27001

Ø El hecho de estar certificado ISO 27001no prueba que la organización sea 100 %segura.

Ø La seguridad completa no existe a menosde una inactividad total.

Ø La adopción de la norma internacionalproporciona innegablemente ventajasque todo buen gerente debería tener encuenta.



Organización :Compromiso: la Certificación permite garantizar y demostrar laeficacia de los esfuerzos desarrollados para asegurar laorganización en todos sus niveles y probar la diligencia razonablede sus administradores.

Cumplimiento legal:Conformidad: la Certificación permite demostrar a las autoridadescompetentes que la organización observa todas las leyes ynormativas aplicables.

FuncionalGestión de los riesgos: obtención de un mejor conocimiento de lossistemas de información, sus problemas y los medios deprotección. Garantiza también una mejor disponibilidad de losmateriales y datos.




Aspecto comercialCredibilidad y confianza: los socios, los accionistas y los clientesse tranquilizan al constatar la importancia que la organizaciónconcede a la protección de la información. Una certificacióntambién puede brindar una diferenciación sobre la competencia yen el mercado. Algunas licitaciones internacionales ya comienzana pedir una gestión ISO 27001.

Aspecto financieroReducción de los costos vinculados a los incidentes yposibilidad de disminución de las primas de seguro.




Aspecto humanoMejora la sensibilización del personal a la seguridad y a susresponsabilidades en la organización.





Entonces…..

►Actualmente la ISO-27001:2005 es el únicoestándar aceptado internacionalmente para laadministración de la seguridad de la informacióny aplica a todo tipo de organizaciones, tanto porsu tamaño como por su actividad

Y Además…..




INTEGRACIÓN DE SISTEMAS DE GESTIÓN

Los estándares ISO, BS o UNE son integrables yauditables pudiéndose incluir los requisitos de ISO27001:2005

CalidadCalidadMedioMedio--

ambienteambiente

SeguridadSeguridadinformacióninformación


El certificado



Beneficios

►¿Por qué certificarse?l Porque se demuestra que las Políticas y procedimientos

están en línea con criterios estructura y metodologíasreconocidos internacionalmente

l Porque Proporciona a la Organización un paraguas deseguridad y privacidad basada en términos de gestiónCorporativa

l Las auditorías acreditadas son realizadas con criteriosacordados internacionalmente permiten el reconocimientode los resultados de evaluación



Beneficios

►¿Por qué certificarse?l Se asegura la existencia de conformidad con la seguridad

a todos los niveles

l Se proporciona una diferenciación en el mercadodebido a la influencia positiva en la imagen de lacompañía; prestigio y valor añadido a la compañía

l Se demuestra credibilidad y proporciona satisfacción yconfidencialidad a socios, ciudadanos y clientes

l Se reduce la responsabilidad en los riesgos,demostrando la aplicación de las debidas diligencias


La Acreditación y el Certif icado



El proceso es similar a otras certificaciones comoISO 9001 e ISO 14001

• Auditor. Una vez finalizada la auditoría y levantadas todaslas NO Conformidades, el auditor recomienda a laentidad de Certificación que se otorgue el sello

• Un comité de la Entidad de Certificación vuelve a revisartoda la auditoría. En el caso de Bureau VeritasCertificación este Comité está ubicado en Londres. Encaso satisfactorio inicia los trámites de registro ante elorganismo de Acreditación.

• El Organismo de Acreditación es el que reconoceformalmente que una organización es competente para larealización de una determinada actividad de evaluación dela conformidad y evalúa la competencia de losevaluadores de la conformidad, con objeto de darconfianza al auditado

Proceso de certif icación acreditada ISO 27001



Acreditación BV Certif ication ISO 27001

n Nueva Acreditación con cumplimiento de ISO 27006, ISO 17021….



Acreditación BV Certif ication ISO 27001

n Países donde BV Certification a auditado de forma acrediada ISO 27001


Elección de Certif icadora



La Certificadora de ISO 27001

Recomendación:l Escoger una entidad de certificación de entre

las que operan en el país;

l Que garantice una certificación oficial,acreditada y con validez

l Con una larga experiencia, no importa si esen otros países;

l Con experiencia en la BS7799-2, puesto quela ISO 27001 es la evolución natural de ésta


La fases de la Certif icación



Proceso de Certif icación ISO 27001

Recogida de datos.

Se necesita determinados aspectos ycaracterísticas de la Organización, entre otrosl alcance,l requisitos,l actividad,l si hay preauditoría,l etc.

Con toda esta información es posible la elaboraciónde una oferta perfectamente dimensionada alalcance y necesidades de la empresa. En el casode aceptación por parte del auditado pasaríamos ala siguiente fase de la auditoría



La preauditoría (opcional)

§ La primera vez que implantamos un SGSI, es muy fácilel que pasen desapercibidos determinados requisitos dela norma, procedimientos, evidencias, etc.

§ Gracias a esta preauditoría es posible la corrección delos mismos.

§ Muchas veces son malas interpretaciones de la Norma.

§ El punto que se ve más afectados suele ser el inventariode activos y por consiguiente la evaluación de losriesgos.

l Es voluntaria

l Da valor añadido a las empresas

l Cada vez más es solicitada.

l Se detectan áreas de mejora antes de la auditoría de laISO 27001.




Fase 1. Revisión documental

►Antes de la auditoria, la entidad de certificaciónsolicita al auditado una documentación que lepermitirá elaborar el primer informe de laauditoría. Este informe deberá tratar sobre laidoneidad del Sistema de Gestión, en definitiva sies posible afrontar con éxito la certificación delSGSI.

►Además de este objetivo proporciona informaciónal equipo auditor respecto al alcance, el diseño, eltratamiento de los riesgos, etc. Toda estainformación permitirá elaborar un Plan de Auditoría.




La documentación que se solicita es la delpunto 4.3.1 de la Normal Política de seguridad

l El alcance

l Procedimientos y controles de apoyo al SGSI

l Descripción de la metodología de evaluación deriesgos

l Evaluación de los riesgos

l Plan de Tratamiento de los riesgos

l Documento de Aplicabilidad (SoA)




Fase 2. Auditoría presencial

► Es realizada en la organización y tiene como objetivos:l Confirmar que se cumple su Política, Objetivos y Procedimientos

l Confirmar que el SGSI es conforme con la ISO 27001

► Es necesario el informe favorable de la fase anterior

► El equipo auditor siempre es seleccionado por la experienciatécnica y por los conocimientos de la actividad del auditado.

► En el caso de que se descubrieran desviaciones respecto alos requisitos de la Norma se identifican y comunican alauditado. Estas desviaciones son conocidas popularmentecomo “no conformidades”. Es raro que una no conformidadsea un caso aislado; normalmente es la acumulación de unaserie de sucesos y suele tener una serie de causas.




LA CERTIFICACIÓN

►Certificación no se concede a la organización hastaque hay evidencia satisfactoria que demuestre quelas revisiones por la Dirección y las auditoríasinternas del SGSI han sido implementadas, soneficaces, y serán mantenidas .

(UKAS)




Emisión del Certificado

Seguimiento Año 1

Seguimiento Año 2

Renovación repitiendo todas las fasesRenovación repitiendo todas las fases



Bureau Veritas Certif ication



Beneficios

►¿Por qué Bureau Veritas Certification?l Porque Bureau Veritas Certification es líder mundial con más de

60.000 empresas certificadas en mas de 100 países

l Porque Bureau Veritas Certification está reconocida por más de 35entidades de acreditación nacionales e internacionales en todo elmundo

l Porque estamos presentes en 140 países. Esta presencia globalsignifica que nuestros clientes pueden recibir la doble ventaja doblede la experiencia internacional combinada con un conocimientoprofundo y genuino de las necesidades locales



Beneficios

►¿Por qué Bureau Veritas Certification?l Porque comprendemos el negocio. Nuestro éxito está basado en un

trabajo cercano, focalizado en llevar adelante su negocio: más de4.800 auditores especialmente formados para desarrollar un serviciode certificación significativo para su negocio.

l Los servicios combinados de Bureau Veritas Certification ofrecen lagama más amplia y reconocidas de certificaciones integradas,proporcionando coherencia, optimización y eficacia



Market analysis

IBM: Extensión estratégica del programa de certificaciónmundial

► Bureau Veritas Certification es el proveedor oficial de certificaciones anivel mundial de IBM, proporcionando Certificación :

l ISO 9001 en 62 países y 400 centros en el mundo,

l ISO 14000 en 38 centros,

l TL 9000 en India,

l TS 16949 para Microelectronics Division in North America, etc

l 2006 – la certificación mundial se extiende a las ISO 27001 e ISO 20000

► Desafío para IBM: Cumplir los más exigentes requisitos del sector porlo que IBM decide cumplir los nuevos estándares de Seguridad: ISO27001 e ISO 20000

Un ejemplo: IBM



Market analysis

►IBM: Extensión estratégica del programa de certificaciónmundial

► Solución de Bureau Veritas:l Un equipo de auditores específicamente formados y calificados

l Auditores que proporcionen valor añadido a las auditorias dentro del marco dela seguridad y servicio de IBM en todo el mundo.

l Con formación específica. Se realiza la formación y calificación de 18auditores de 14 países en París y se crea el ….

l Dream Team de Bureau Veritas Certification.

► Factores claves de la adjudicación:l Nuestra experiencia en Tecnología de la Información;

l Nuestros auditores calificados en TickIT (estándar de software)

l IBM quería trabajar con una única entidad para la certificación acreditada desus Sistemas de Gestión (Calidad, Medioambiente, Seguridad, etc.)

l Versatilidad del equipo

Un ejemplo: IBM



Muchas gracias por Muchas gracias por su atenciónsu atención


certificación y auditoría iso 27001:2005 - cma.gva.es · %”antes de la auditoria, la entidad de...

Documents