Auditoria de Seguridad

M.S.I. Ing. Darío Medina Ramírez

darellomx@yahoo.com.mx
darellomx@yahoo com mx
dario.medina@conagua.gob.mx
 A dit i
Auditoria en SI
SI
Al d di i
•Alcance de una auditoria.
•Localidades,
•Los productos,
L
•Los procesos,
•Los contratos (si es aplicable),
•El personal involucrado
•El personal involucrado,
•Los requisitos legales y regulatorios,
Exclusiones.
•Exclusiones
 A dit i d SI
Auditoria de SI
Principios
•Auditores:
•Conducta Ética,
•Presentación imparcial,
•Debido cuidado profesional.
Para la auditoria:
•Para la auditoria:
•Independencia,
•Enfoque basado en la evidencia
•Enfoque basado en la evidencia.
 A dit i d SI
Auditoria de SI
Gestión de un programa de auditoria
j y p p g
•Objetivos y amplitud de un programa de 
auditoria,
Responsabilidades, recursos y 
•Responsabilidades, recursos y
procedimientos,
•Implementación del programa de auditoria
•Implementación del programa de auditoria,
•Registros del programa,
•Seguimiento y revisión del programa.
 Auditoria de SI
Proceso para la gestión de un programa de 
auditoria
Autoridad para el 
programa de auditoria

Definición del 
programa de auditoria Plan

Actuar
Competencia de 
Implementación del  auditores
Hacer
programa de auditoria
programa de auditoria Actividades de
Actividades de 
Mejora del programa 
auditoria
de auditoria

Seguimiento del 
g
programa de auditoria Verificar
 A dit i d SI
Auditoria de SI
P
Programa de Auditorias ‐
d A dit i Obj ti
Objetivos
Dependen:
•Objeti os de la dirección
•Objetivos de la dirección,
•Propósitos comerciales,
•Requisitos del SGSI
•Requisitos del SGSI,
•Requisitos legales, reglamentarios, contractuales,
Necesidad de evaluar a los proveedores,
•Necesidad de evaluar a los proveedores
•Requisitos del cliente,
p
•Necesidad de otras partes interesadas yy
•Riesgos de la organización.
 A dit i d SI
Auditoria de SI
Ch k list
Check li t – Listas de verificación.
Li t d ifi ió
Propósitos:

• Proporcionar una lista planificada de los puntos que se 
van a evaluar,
• Proporcionar un medio para registrar y recopilar la
Proporcionar un medio para registrar y recopilar la 
evidencia objetiva de la auditoria,
• Permitir cotejar notas durante la auditoria,
• A d
Ayudar a guiar el desarrollo de la auditoria,
i ld ll d l dit i
• Ayudar a controlar el ritmo de la auditoria,
• Ayudar a elaborar las NC, preparar el informe de la 
auditoria.
 A dit i d SI
Auditoria de SI
Check list – Listas de verificación.
f ó
Beneficios:

• Mantiene claros los objetivos de la Auditoria,
• Ayuda a obtener la evidencia de la Auditoria,
• Mantiene el hilo conductor de la Auditoria,
• Elimina las tendencias del auditor,
• Reduce las cargas de trabajo durante la 
auditoria,
 A dit i d SI
Auditoria de SI
Check list – Listas de verificación.
Inconvenientes:

• Tienden
Tienden a perder valor si…
a perder valor si
• Son motonas,
• Son tendenciosas,
• Si usas la misma para todas las 
p
Auditorias (eso solo tu lo sabes).
 A dit i d SI
Auditoria de SI
Check list – Listas de verificación.
¿Con qué? ¿Con quién?
Recursos Personal

Entradas Salidas
Desde
Proceso Para
Que Añadir actividades de Que
Donde valor específico Donde

¿Cuáles
C ál son llos
¿Cómo hacer? resultados?
Métodos/Documentación Rendimiento
Indicadores
 A dit i d SI
Auditoria de SI
Ch k list
Check li t – Listas de verificación.
Li t d ifi ió
Preparación:

• Su enfoque consiste en …
• Identificar el alcance de la Auditoria y los procesos 
relacionados,
• Utilizar el proceso tortuga,
U ili l
• Identificar los factores que aplican (entradas, salidas, 
etc.)
• Usar estos puntos y otros requerimientos (legales, 
Usar estos puntos y otros requerimientos (legales
contractuales, etc.) para,
• Plan de lo que debe buscar en…
• Plan de lo que debe buscar para (evidencia 
Plan de lo que debe buscar para (evidencia
 A dit i d SI
Auditoria de SI
Elaboración de Check
l b ó d h k listl – Listas de verificación.
d f ó
Transformar el texto con requisito en pregunta:

• A.10.1.1 Procedimientos de operación 
documentados. Se deben documentar y mantener
documentados. Se deben documentar y mantener 
los procedimientos de operación, y se deben poner 
a disposición de todos los usuarios que los 
necesiten.
it
• Pregunta: ¿De que manera documenta y mantiene 
los procedimientos de operación y de que manera
los procedimientos de operación y de que manera 
los pone a disposición de los usuarios?
 A dit i d SI
Auditoria de SI
Elaboración de Check list – Listas de 
verificación.
Estructura:
PROCESO AUDITADO:

Requerimientos Fuente  Evidencia Notas

ISO 27001 Lo que debe  Lo que debe  Notas
Clausula # u otro  buscar en buscar para
requerimiento
 Auditoria de SI
Elaboración de Check list – Listas de 
f
verificación.
Ejemplo:
PROCESO AUDITADO:

Requerimientos Fuente  Evidencia Notas

ISO 27001  
5.2.2 (d)
( )
ISO 27001  
A.10.4.1
ISO 27001 
ISO 27001
A.11.2.1
ISO 27001  
A.9.1.5
ISO 27001  
A.15.3.1
 A dit i d SI
Auditoria de SI
Ti
Tipos de Preguntas
d P t

ABIERTAS:
•ABIERTAS:
•¿Como se asegura la organización de identificar los 
requisitos necesarios para su SGSI?.
•CERRADAS:
•¿Cuenta con un procedimiento documentado de auditoria 
interna?.
INDUCTIVAS
•INDUCTIVAS:
•Verdad que tiene una política de seguridad 
documentada y a la vista de cualquier miembro de la 
organización.
i ió
 A dit i d SI
Auditoria de SI
Las 7 amigas del Auditor

•¿Cómo?(H)
•¿Cuándo? (W)
•¿Qué? (W)
•¿Dónde? (W)
•¿Quién? (W)
•¿Porqué? (W)
•¿Me podría mostrar?
 A dit i d SI
Auditoria de SI
Después de una respuesta… analizar, resumir 
D é d t li i
y cuestionar para confirmar

•“Esto quiere decir que ustedes…”
Entonces, ¿Me podría explicar que pasaría si…?
•Entonces ¿Me podría explicar que pasaría si ?

j
•Ejercicio. Ver sus check list yy realizar 10 
preguntas ISO 27001:2005, preguntarselas a otro 
equipo.
Ti 25 i
•Tiempo 25 min.
 Mi ió CESNAV
Misión CESNAV
IImpartir estudios de posgrado, relacionados 
i di d d l i d
con las operaciones navales y la seguridad y 
defensa nacionales al personal de la
defensa nacionales al personal de la 
Secretaría de Marina Armada de México, 
invitados militares nacionales y extranjeros 
y j
y de la Administración Pública Federal, así 
como coadyuvar en la difusión de la 
d ti
doctrina naval y cultura marítima, mediante 
l lt íti di t
actividades académicas de investigación y 
difusión.
difusión
 Vi ió CESNAV
Visión CESNAV
SSer un centro educativo naval de 
d i ld
vanguardia con alta calidad 
académica, que desarrolle la 
dé d ll l
investigación, difunda el 
conocimiento e incremente la 
interacción con otros centros 
educativos nacionales y de otros 
países.
 P líti d C lid d CESNAV
Política de Calidad CESNAV
Comprometidos con la mejora 
C id l j
continua proporcionando servicios 
académicos de calidad para la 
dé d ld d l
preparación de Almirantes, 
Capitanes y Oficiales de la Armada 
de México, como especialistas y 
maestros de posgrado que la 
Institución demanda.
 V l
Valores CESNAV
CESNAV

Responsabilidad, Profesionalismo, 
Honestidad Lealtad Solidaridad
Honestidad, Lealtad, Solidaridad.