LA GUÍA DEFINITIVA PARA UNA AUDITORÍA DE CIBERSEGURIDAD IMPECABLE Y UN SGSI A PRUEBA DE RIESGOS: EN153-V1 ISO IEC 27007:2020

Como expertos en auditoría de sistemas de gestión de seguridad de la información, nos complace compartir una visión detallada sobre cómo la norma ISO/IEC 27007 complementa y potencia las directrices generales de auditoría, ofreciendo una guía práctica para las auditorías internas de seguridad en el sector tecnológico.

Directrices para la Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI): Más Allá de lo Básico

La auditoría es una herramienta fundamental para asegurar la eficacia de cualquier sistema de gestión. Si bien la ISO 19011 establece los principios y directrices generales para la auditoría de sistemas de gestión, cuando hablamos de la seguridad de la información, necesitamos un enfoque más específico. 

Aquí es donde entra en juego la ISO/IEC 27007, una norma diseñada para proporcionar orientación detallada en la auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI), el cual se basa en la norma ISO/IEC 27001.

La ISO/IEC 27007 es una guía esencial para quienes planifican y realizan auditorías internas o externas de un SGSI. Su objetivo no es reemplazar a la ISO 19011, sino complementarla con información pertinente al ámbito de la seguridad de la información. 

Al aplicarla, los auditores pueden profundizar en aspectos críticos que son únicos para la protección de la información, asegurando que el SGSI no solo cumpla con los requisitos, sino que sea realmente efectivo en salvaguardar los activos de información de una organización.

10 Aportes Específicos de ISO/IEC 27007 que ISO 19011 no Cubre

La ISO 19011 ofrece un marco robusto, pero la ISO/IEC 27007 añade capas de especificidad cruciales para el dominio de la seguridad de la información. Aquí se destacan 10 de sus contribuciones más importantes:

1.Objetivos y Criterios Específicos para Auditorías de SGSI: Mientras que la ISO 19011 proporciona ejemplos genéricos de objetivos de auditoría, la ISO/IEC 27007 detalla objetivos y criterios de auditoría específicos para un SGSI. Esto incluye la evaluación de la capacidad del SGSI para identificar y abordar los riesgos de seguridad de la información, y la determinación del grado de conformidad de los controles de seguridad de la información con los requisitos y procedimientos.

2.Competencia Detallada del Auditor de SGSI: La ISO/IEC 27007 profundiza en el conocimiento y las habilidades que un auditor de SGSI debe poseer. Esto abarca no solo la auditoría general, sino también la comprensión de la complejidad de los sistemas de información, la tecnología utilizada, los riesgos y oportunidades de seguridad de la información, y los requisitos legales y reglamentarios específicos del sector en materia de seguridad.

3.Auditoría de la Declaración de Aplicabilidad (SoA): Un elemento distintivo de la ISO/IEC 27001 es la Declaración de Aplicabilidad (SoA). La ISO/IEC 27007 proporciona orientación específica sobre cómo auditar este documento clave, asegurando que los controles seleccionados por la organización se justifiquen a través de la evaluación de riesgos y que los controles excluidos tengan una justificación válida y documentada.

4.Gestión de Riesgos de Seguridad de la Información: Aunque la ISO 19011 introduce un enfoque basado en riesgos, la ISO/IEC 27007 ofrece una guía exhaustiva sobre cómo auditar el proceso de gestión de riesgos de seguridad de la información. Esto incluye la evaluación de la metodología de evaluación de riesgos, la identificación de riesgos y oportunidades específicos de seguridad de la información, y el tratamiento y la aceptación de riesgos, verificando que estas decisiones estén documentadas y sean coherentes con el apetito de riesgo de la organización.

5.Manejo de Información Confidencial y Sensible: Dada la naturaleza de la seguridad de la información, la ISO/IEC 27007 enfatiza la necesidad de un manejo extremadamente cuidadoso de la información clasificada o sensible obtenida durante la auditoría. Detalla cómo proceder si el acceso a cierta información es limitado por razones de confidencialidad o clasificación, y cómo esto puede afectar la confianza en las conclusiones de la auditoría.

6.Auditoría de los Objetivos y Planes de Seguridad de la Información: La norma específica para SGSI brinda orientación sobre cómo auditar la definición, la comunicación y el logro de los objetivos de seguridad de la información. Esto implica verificar que los objetivos sean coherentes con la política de seguridad, que se monitoreen y que existan planes claros para su consecución.

7.Liderazgo y Compromiso en el Contexto del SGSI: Si bien el liderazgo es un principio general, la ISO/IEC 27007 se centra en cómo la alta dirección demuestra su compromiso y asume la responsabilidad específica de la eficacia del SGSI. Esto implica evaluar la participación de la dirección en la toma de decisiones sobre seguridad y la promoción de una cultura de seguridad.

8.Contexto de la Organización desde la Perspectiva de SGSI: La norma orienta a los auditores sobre cómo verificar que la organización ha comprendido adecuadamente sus cuestiones internas y externas, y las necesidades y expectativas de las partes interesadas, específicamente en relación con la seguridad de la información, y cómo esta comprensión informa el alcance y el desarrollo del SGSI.

9.Auditoría de la Cadena de Suministro y Servicios Externalizados: En el entorno actual, la seguridad de la información a menudo depende de terceros. La ISO/IEC 27007 proporciona orientación específica sobre cómo auditar los controles de seguridad en las relaciones con proveedores y en servicios externalizados, incluyendo cómo buscar evidencia alternativa si el acceso directo a la información del proveedor es restringido.

10.Orientación Detallada sobre Documentación de SGSI: Más allá de la información documentada general, la ISO/IEC 27007 aborda cómo auditar políticas de seguridad, resultados de evaluaciones de riesgos, planes de tratamiento de riesgos y resultados de auditorías internas de seguridad de la información. Esto incluye la verificación de la integridad, exactitud y coherencia de esta información, aspectos críticos en el ámbito de la seguridad.

Diseño de un Programa de Auditoría Interna de SGSI para una Empresa Tecnológica

Como experto auditor, el diseño de un programa de auditoría interna debe ser estratégico y basado en riesgos, especialmente en una empresa tecnológica donde la seguridad de la información es el corazón del negocio. Aquí, los consejos de la ISO/IEC 27007 son invaluable.

Empresa Ejemplo: “TechSolutions S.A.”, una empresa global de desarrollo de software y servicios en la nube, con equipos distribuidos y datos sensibles de clientes.

1. Objetivos del Programa de Auditoría (Coherentes con la Estrategia de TechSolutions):

•Evaluar la conformidad del SGSI de TechSolutions con la ISO/IEC 27001 y los requisitos legales/reglamentarios aplicables (ej., GDPR, leyes de privacidad de datos locales).

•Determinar la capacidad del SGSI para proteger los activos de información críticos y gestionar los riesgos de seguridad identificados.

•Identificar oportunidades de mejora continua en los controles y procesos de seguridad de la información.

•Asegurar la eficacia de los planes de tratamiento de riesgos y la respuesta ante incidentes de seguridad.

•Validar la confianza en los controles de seguridad de proveedores externos que manejan datos sensibles de clientes.

2. Alcance del Programa de Auditoría: El programa cubrirá todas las ubicaciones físicas y virtuales (ej., oficinas, centros de datos en la nube, entornos de desarrollo remoto), funciones (ej., desarrollo, operaciones, ventas, recursos humanos, TI, legal) y procesos clave de TechSolutions que afectan a la seguridad de la información. Se prestará especial atención a los procesos relacionados con la gestión de datos de clientes, el desarrollo seguro de software y la gestión de acceso a sistemas críticos.

3. Frecuencia y Duración:

•Auditoría Anual Completa del SGSI: Para evaluar el sistema en su totalidad y su madurez.

•Auditorías Focalizadas (Semestrales o Trimestrales): Para áreas de alto riesgo, procesos nuevos o modificados, o después de incidentes de seguridad significativos (ej., seguridad de la cadena de suministro, gestión de acceso privilegiado, desarrollo seguro, auditoría de las configuraciones de seguridad en la nube).

4. Selección y Competencia del Equipo Auditor:

•Líder del Equipo Auditor: Un profesional con experiencia certificada en auditoría de SGSI (ej., ISO/IEC 27001 Lead Auditor), profundo conocimiento de la ISO/IEC 27007 y experiencia en el sector tecnológico. Deberá ser independiente de las actividades a auditar.

•Miembros del Equipo Auditor: Una mezcla de auditores con conocimientos en:

◦Tecnologías de la información y comunicación (TIC), incluyendo ciberseguridad, arquitectura en la nube, desarrollo de software y gestión de infraestructura.

◦Gestión de riesgos de seguridad de la información.

◦Requisitos legales y reglamentarios relacionados con la protección de datos en las jurisdicciones donde opera TechSolutions.

◦Habilidades de comunicación y observación, esenciales para las entrevistas y la revisión de evidencias.

•Expertos Técnicos (si es necesario): Si se auditan tecnologías muy específicas (ej., ciertos lenguajes de programación, plataformas de contenedores), se pueden incluir expertos técnicos que aporten conocimiento sin actuar como auditores.

•Independencia: Asegurar que los auditores no hayan estado directamente involucrados en la implementación o gestión de las áreas que van a auditar. En una empresa pequeña, un auditor interno podría auditar una función diferente a la suya, o se podría recurrir a un auditor externo.

5. Métodos de Auditoría (Enfoque Híbrido): Dada la naturaleza global y tecnológica de TechSolutions, se empleará una combinación de métodos:

•Auditorías en el sitio: Para procesos críticos en la sede central y oficinas clave, permitiendo la observación directa y entrevistas cara a cara.

•Auditorías remotas: Para equipos distribuidos, entornos en la nube y revisión de documentación. Se utilizarán herramientas de comunicación seguras y plataformas de colaboración virtual. Se debe garantizar la confidencialidad de la información compartida remotamente.

•Entrevistas: Con personal de todos los niveles (alta dirección, gerentes de área, personal técnico, desarrolladores, etc.) para comprender procesos, políticas y percepción de riesgos.

•Revisión de la información documentada: Políticas, procedimientos, registros de incidentes, resultados de evaluaciones de riesgos, planes de tratamiento, actas de reuniones, contratos con proveedores.

•Verificación de la Implementación: Observación de controles en acción (ej., uso de MFA, segregación de entornos), pruebas de muestreo de registros y configuraciones de sistemas. Se verificará que la SoA se corresponde con los controles implementados.

•Enfoque Basado en Evidencia: Todas las conclusiones de auditoría se basarán en evidencia objetiva y verificable, comprendiendo que el muestreo es una parte inherente del proceso.

6. Áreas Clave a Auditar (Basado en ISO/IEC 27007):

•Contexto de la Organización y Partes Interesadas: ¿Cómo identifica TechSolutions sus riesgos y oportunidades de seguridad de la información en función de su contexto, y cómo considera las necesidades de sus clientes, reguladores y otros?

•Liderazgo de la Alta Dirección: ¿Cómo demuestra la dirección su compromiso con la seguridad de la información? ¿Se establecen objetivos de seguridad claros y se asignan los recursos necesarios?

•Planificación (Riesgos y Oportunidades de SI): ¿Es efectiva la metodología de evaluación de riesgos de SI? ¿Se identifican, analizan y tratan adecuadamente los riesgos? ¿Están justificados los riesgos aceptados?

•Controles de Seguridad de la Información (Anexo A): Se auditarán la implementación y eficacia de los controles pertinentes del Anexo A de ISO/IEC 27001 (ej., gestión de activos, seguridad de RRHH, control de acceso, criptografía, seguridad física y ambiental, seguridad de operaciones, seguridad de las comunicaciones, adquisición/desarrollo/mantenimiento de sistemas, relaciones con proveedores, gestión de incidentes de seguridad de la información, gestión de continuidad del negocio, cumplimiento).

•Declaración de Aplicabilidad (SoA): Confirmar que la SoA de TechSolutions es precisa y está alineada con los controles implementados y el proceso de evaluación de riesgos.

•Evaluación del Desempeño: ¿Cómo monitorea, mide, analiza y evalúa TechSolutions su desempeño en seguridad de la información? ¿Se utilizan estos resultados para la mejora?

•Mejora Continua: ¿Cómo gestiona TechSolutions las no conformidades y las acciones correctivas? ¿Se utilizan los resultados de auditorías previas para impulsar la mejora? ¿Hay un proceso formal para el seguimiento de las acciones correctivas?

7. Informes y Seguimiento:

•Informes de Auditoría: Se prepararán informes claros, concisos y objetivos, presentando hallazgos (conformidades, no conformidades, oportunidades de mejora) y conclusiones. Se distinguirán las no conformidades mayores y menores según su impacto en la eficacia del SGSI.

•Reunión de Cierre: Se realizará una reunión con la alta dirección y los responsables de área para presentar los hallazgos y conclusiones, discutiendo cualquier opinión divergente y acordando los plazos para los planes de acción correctiva.

•Seguimiento: Se establecerá un proceso de seguimiento para verificar la implementación y eficacia de las acciones correctivas dentro de los plazos acordados. Las no conformidades recurrentes se escalarán y se tratarán como un problema sistémico de mejora continua.

Al seguir estas directrices específicas de ISO/IEC 27007, TechSolutions S.A. no solo cumplirá con los requisitos de la norma, sino que fortalecerá su postura de seguridad de la información de manera integral y continua.

Tomado de: https://www.prismaconsultoria.com/

LA NUEVA ISO 27007 2017 MUY ESPERADA POR LOS AUDITORES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la comisión electrotécnica internacional que se encargan de establecer estándares

y guías llevadas a cabo con sistemas de gestión y son aplicables a cualquier tipo de empresa internacional y mundial, con el fin de facilitar el comercio, facilitar el intercambio de información y contribuir a la trasferencia de tecnologías.

La familia ISO 27000

La familia de normas ISO 27000 son un conjunto de estándares de seguridad que proporcionan un marco para gestionar la seguridad.

Es necesario que se establezcan prácticas recomendadas en seguridad de la información para desarrollar, implantar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información utilizable en cualquier tipo de empresa, ya sea pública o privada, grande o pequeña, etc.

La seguridad de la información, según la norma ISO 27001, se basa en la preservación de la confidencialidad, integridad y disponibilidad, además de como los sistemas aplicados para su tratamiento.

• Confidencialidad, la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• Integridad, el mantenimiento de la exactitud y la complejidad de la información y sus métodos de proceso.
• Disponibilidad, acceso y utilización de la información, además de los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.

La guía ISO 27007

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados, auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de Seguridad de la Información.

El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de la Información de la auditoría de cumplimiento:

• Administración del programa de auditoría del Sistema de Gestión de Seguridad de la Información para determinar que se debe auditar, cuando y como, además de asignar los auditores apropiados, administrar todos los riesgos, mantener registros de auditoría, mejorar de forma continua el proceso, etc.
• Realización de una auditoría, con los que se debe realizar una planificación, establecer una conducta, llevar a cabo las actividades clave de auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el seguimiento.
• Gestión de auditores del Sistema de Gestión de Seguridad de la Información, como puede ser competencias, habilidades, atributos y evaluación. 

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados

La aplicación de la norma ISO 19011

El cuerpo principal de la norma aconseja sobre la aplicación de la norma ISO 19011 al contexto del Sistema de Gestión de Seguridad de la Información, con unos pocos comentarios explicativos no muy útiles. El anexo establece con más nivel de detalle todas las pruebas de auditoría específicas sobre el cumplimiento de la empresa tomando como referencia a la norma ISO 27001.

Para continuar nos deben proporcionar los productos y servicios que necesitamos, además las organizaciones manejan grandes cantidades de datos. La seguridad de la información es una gran preocupación para los consumidores y las organizaciones se alimentan de una serie de ciberataques de alto perfil.

Los estragos causados por estos ataques se deben a celebridades avergonzadas por fotos descuidadas, la pérdida de registros médicos, rescatar amenazas que ascienden a millones que han afectado incluso a las corporaciones más poderosas.

Cuando los datos contengan suficiente información personal, financiera o médica, las empresas tienen la obligación moral y legal de mantenerla a salvo de los ciberdelicuentes. 

En este momento entra en juego la familia de normas ISO 27000, éstas ayudan a las empresas a administrar la seguridad de actividad como puede ser la información financiera, propiedad intelectual, los detalles de empleados y la información que les ha sido confiados por terceros.

La norma ISO 27001 es el estándar más conocido de toda la familia, la norma proporciona todos los requisitos para un sistema de gestión de seguridad de la información. Es un estándar internacional en el que una empresa puede certificarse, aunque la certificación siempre es opcional.

Auditores

ISO 27007 «Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de sistemas de gestión de la seguridad de la información» ayuda a las empresas y auditores a preparase a fondo proporcionando una guía clara. Se publicó por primera vez en el año 2011, ahora se ha actualizado a ISO 27007 2017 para que se encuentre alineado con la norma ISO 27001 2013.

Tomado de: https://www.pmg-ssi.com/

LA FAMILIA DE NORMAS ISO 27000

La Organización Internacional de Estandarización (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000.

Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie:

Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.

ISO 27001

La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio.

ISO 27002

Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.

ISO 27003

Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.

ISO 27004

En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo Deming.

ISO 27005

Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.

ISO 27006

Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.

ISO 27007

Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27011

Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).

ISO 27031

Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del negocio.

ISO 27032

Es un texto relativo a la ciber-seguridad. Se trata de un estándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos.

ISO 27033

Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red.

Consiste en 7 partes:

• Gestión de seguridad de redes
• Arquitectura de seguridad de redes
• Marcos de redes de referencia
• Aseguramiento de las comunicaciones entre redes mediante gateways
• Acceso remoto
• Salvaguardia de comunicaciones en redes mediante VPNs
• Diseño e implementación de seguridad en redes.

ISO 37034

Es una guía de seguridad en aplicaciones.

ISO 27799

Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27 sino que la lleva a cabo el comité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la información por las empresas del sector sanitario.

SGSI

Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que permiten a las organizaciones garantizar que todos los activos de la empresa están siendo manipulados adecuadamente y que no hay riesgos de fugas de información.

Tomado de: https://www.isotools.org/