SEGURIDAD DEL ENTORNO

1. Proceso de auditoría de certificación

1.1. El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a la gestión de la seguridad de la información, concretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502

1.1.1. Proceso de auditoría

1.1.1.1. El proceso de auditoría que aplica cada organización de certificación puede variar en ciertas fases y en la duración o importancia que se dé a cada una.

1.1.1.2. la auditoría certificará la situación del SGSI en un momento dado, por lo que todas las organizaciones de certificaciones otorgan su sello de certificación con una validez definida en el tiempo (habitualmente 3 años).

1.1.1.3. las auditorías de los sistemas de gestión de la seguridad de la información se dividen en dos etapas secuenciales, es decir, que si no se supera la primera no se puede empezar la segunda

1.1.1.3.1. Auditoría documental

1.1.1.3.2. Auditoría in-situ

1.1.1.4. El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización.

1.1.2. Ventajas de la certificación

1.1.2.1. Ventajas

1.1.2.1.1. Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.

1.1.2.1.2. Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.

1.1.2.1.3. Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.

1.1.2.1.4. Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y, en general, con aquélla relacionada con la seguridad de la información

1.1.2.1.5. Planificar, organizar y estructurar los recursos asignados a seguridad de la información

1.1.2.1.6. Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia

1.1.2.1.7. Integrar la gestión de la seguridad de la información con el resto de sistemas de gestión implantados en la empresa

1.1.2.1.8. Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información.

1.1.2.2. La necesidad de certificar la seguridad surge de la dificultad de responder a la pregunta de en qué manera las organizaciones pueden aportar a los clientes, proveedores, y a la sociedad en general, la confianza necesaria de que son capaces de cumplir sus requisitos de forma segura.

1.1.2.2.1. Externas

1.1.2.2.2. Internas

1.1.2.3. Durante el proceso de auditoría lo que pretende el auditor no es encontrar incumplimientos en las medidas de seguridad implantadas, sino:

1.1.2.3.1. Tratar de evaluar la efectividad de la organización con respecto al uso de los recursos.

1.1.2.3.2. Evaluar los sistemas y procesos que se desarrollan en la organización.

1.1.2.3.3. Detectar y prevenir posibles errores y fraudes.

1.1.2.3.4. Evaluar el riesgo y los sistemas de seguridad de las organizaciones.

1.1.2.3.5. Evaluar los planes de contingencia y recuperación en caso de desastres.

1.2. El modelo PDCA

1.2.1. Planificar. Decidir qué medidas de seguridad han de implantarse.

1.2.2. Hacer. Implantar las medidas en la organización.

1.2.3. Verificar. Trabajar analizando que no sucedan incidentes de seguridad.

1.2.4. Actuar. Realizar cambios en el SGSI en base a las evidencias generadas.

1.2.5. Análisis de riesgos: permite identificar qué controles de seguridad han de implantarse en una organización según los riesgos ante los que se encuentra expuesta.

1.3. existen dos visiones para realizar los cambios en el sistema de gestión de la seguridad de la información

1.3.1. Registros: evidencias de funcionamiento del SGSI

1.3.2. Métricas e indicadores: índices o valores que se pueden emplear para evaluar la evolución del funcionamiento del SGSI.