SEGURIDAD

DOMINIOS, OBJETIVOS Y CONTROLES DE LA NORMA ISO/IEC 27002:2013

Dominios Objetivos Controles
5. Políticas de seguridad 5.1 Directrices de la Dirección en seguridad de la información 5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
6. Aspectos Organizativos SI 6.1 Organización interna 6.1.1 Asignación de responsabilidades para la SI
6.1.2 Segregación de tareas
6.1.3 Contacto con las autoridades
6.1.4 Contacto con grupos de interés especial
6.1.5 Seguridad de la información en la gestión de proyectos
6.2 Dispositivos para movilidad y teletrabajo 6.2.1 Política de uso de dispositivos para movilidad
6.2.2 Teletrabajo
7. Seguridad Ligada a los recursos humanos 7.1 Antes de la contratación 7.1.1 Investigación de antecedentes
7.1.2 Términos y condiciones de contratación
7.2 Durante la contratación 7.2.1 Responsabilidades de gestión
7.2.2 Concienciación, educación y capacitación en SI
7.2.3 Proceso disciplinario
7.3 Cese o cambio de puesto de trabajo 7.3.1 Cese o cambio de puesto de trabajo
8. Gestión Activos 8.1 Responsabilidad sobre los activos 8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos
8.2 Clasificación de la información 8.2.1 Directrices de clasificación
8.2.2 Etiquetado y manipulado de la información
8.2.3 Manipulación de activos
8.3 Manejo de los soportes de almacenamiento 8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes
8.3.3 Soportes físicos en tránsito
9. Control de Accesos 9.1 Requisitos de negocio para el control de accesos 9.1.1 Política de control de accesos
9.1.2 Control de acceso a las redes y servicios asociados
9.2 Gestión de acceso de usuario 9.2.1 Gestión de altas/bajas en el registro de usuarios
9.2.2 Gestión de los derechos de acceso asignados a usuarios
9.2.3 Gestión de los derechos de acceso con privilegios especiales
9.2.4 Gestión de información confidencial de autenticación de usuarios
9.2.5 Revisión de los derechos de acceso de los usuarios
9.2.6 Retirada o adaptación de los derechos de acceso
9.3 Responsabilidades del usuario 9.3.1 Uso de información confidencial para la autenticación
9.4 Control de acceso a sistemas y aplicaciones 9.4.1 Restricción del acceso a la información
9.4.2 Procedimientos seguros de inicio de sesión
9.4.3 Gestión de contraseñas de usuario
9.4.4 Uso de herramientas de administración de sistemas
9.4.5 Control de acceso al código fuente de los programas
10. Cifrado 10.1 Controles criptográficos 10.1.1 Política de uso de los controles criptográficos
10.1.2 Gestión de claves:
11. Seguridad física y Ambiental 11.1 Áreas seguras 11.1.1 Perímetro de seguridad física
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Protección contra las amenazas externas y ambientales
11.1.5 El trabajo en áreas seguras
11.1.6 Áreas de acceso público, carga y descarga
11.2 Seguridad de los equipos 11.2.1 Emplazamiento y protección de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
11.2.5 Salida de activos fuera de las dependencias de la empresa
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento
11.2.8 Equipo informático de usuario desatendido
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12. Seguridad en la Operativa 12.1 Responsabilidades y procedimientos de operación 12.1.1 Documentación de procedimientos de operación
12.1.2 Gestión de cambios
12.1.3 Gestión de capacidades
12.1.4 Separación de entornos de desarrollo, prueba y producción
12.2 Protección contra código malicioso 12.2.1 Controles contra el código malicioso
12.3 Copias de seguridad 12.3.1 Copias de seguridad de la información
12.4 Registro de actividad y supervisión 12.4.1 Registro y gestión de eventos de actividad
12.4.2 Protección de los registros de información
12.4.3 Registros de actividad del administrador y operador del sistema
12.4.4 Sincronización de relojes
12.5 Control del software en explotación 12.5.1 Instalación del software en sistemas en producción
12.6 Gestión de la vulnerabilidad técnica 12.6.1 Gestión de las vulnerabilidades técnicas
12.6.2 Restricciones en la instalación de software
12.7 Consideraciones de las auditorías de los sistemas de información 12.7.1 Controles de auditoría de los sistemas de información
13. Seguridad en las Telecomunicaciones 13.1 Gestión de la seguridad en las redes 13.1.1 Controles de red
13.1.2 Mecanismos de seguridad asociados a servicios en red
13.1.3 Segregación de redes
13.2 Intercambio de información con partes externas 13.2.1 Políticas y procedimientos de intercambio de información
13.2.2 Acuerdos de intercambio
13.2.3 Mensajería electrónica
13.2.4 Acuerdos de confidencialidad y secreto
14. Adquisición, desarrollo y Mantenimiento de los sistemas de información 14.1 Requisitos de seguridad de los sistemas de información 14.1.1 Análisis y especificación de los requisitos de seguridad
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas
14.1.3 Protección de las transacciones por redes telemáticas
14.2 Seguridad en los procesos de desarrollo y soporte 14.2.1 Política de desarrollo seguro de software
14.2.2 Procedimientos de control de cambios en los sistemas
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
14.2.4 Restricciones a los cambios en los paquetes de software
14.2.5 Uso de principios de ingeniería en protección de sistemas
14.2.6 Seguridad en entornos de desarrollo
14.2.7 Externalización del desarrollo de software
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas
14.2.9 Pruebas de aceptación
14.3 Datos de prueba 14.3.1 Protección de los datos utilizados en prueba
15. Relaciones con Suministradores 15.1 Seguridad de la información en las relaciones con suministradores 15.1.1 Política de seguridad de la información para suministradores
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones
15.2 Gestión de la prestación del servicio por suministradores 15.2.1 Supervisión y revisión de los servicios prestados por terceros
15.2.2 Gestión de cambios en los servicios prestados por terceros
16. Gestión de Incidentes 16.1 Gestión de incidentes de seguridad de la información y mejoras 16.1.1 Responsabilidades y procedimientos
16.1.2 Notificación de los eventos de seguridad de la información
16.1.3 Notificación de puntos débiles de la seguridad
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones
16.1.5 Respuesta a los incidentes de seguridad
16.1.6 Aprendizaje de los incidentes de seguridad de la información
16.1.7 Recopilación de evidencias
17. Aspectos de la SI en la Gestión de la Continuidad de Negocio 17.1 Continuidad de la seguridad de la información 17.1.1 Planificación de la continuidad de la seguridad de la información
17.1.2 Implantación de la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
17.2 Redundancias 17.2.1 Disponibilidad de instalaciones para el procesamiento de la información
18. Cumplimiento 18.1 Cumplimiento de los requisitos legales y contractuales 18.1.1 Identificación de la legislación aplicable
18.1.2 Derechos de propiedad intelectual (DPI)
18.1.3 Protección de los registros de la organización
18.1.4 Protección de datos y privacidad de la información personal
18.1.5 Regulación de los controles criptográficos
18.2 Revisiones de la seguridad de la información 18.2.1 Revisión independiente de la seguridad de la información
18.2.2 Cumplimiento de las políticas y normas de seguridad
18.2.3 Comprobación del cumplimiento
SEGURIDAD

REQUISITOS DE LA NORMA ISO/IEC 27001:2013

Otorgan a DTI certificación ISO 27001 | Dirección de Tecnologías ...La Norma ISO/IEC 27001:2013 identifica los siguientes requisitos (ISO/IEC 27001, 2013) que deben cumplirse para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Todos ellos son genéricos y están previstos para ser aplicados en cualquier tipo de organización, indiferente a su tamaño o actividad.

  1. REQUISITO GENERAL:
    1. La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organización y de los riesgos que enfrenta. Para los propósitos de esta norma, el proceso usado se basa en el modelo PHVA.
  2. ESTABLECIMIENTO Y GESTIÓN DEL SGSI:
    1. Definir el alcance y límites del SGSI.
    2. Definir una política de SGSI
    3. Definir el enfoque organizacional para la valoración del riesgo, con la metodología de valoración del riesgo más adecuada al SGSI y los criterios para la aceptación de riesgos
    4. Identificar los activos, las amenazas, las vulnerabilidades, y los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos
    5. Analizar y evaluar los riesgos
    6. Identificar y evaluar las opciones para el tratamiento de los riesgos
    7. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos
    8. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos
    9. Obtener autorización de la dirección para implementar y operar el SGSI.
    10. Elaborar una declaración de aplicabilidad
  3. IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI:
    1. Formular e implementar un plan para el tratamiento de riesgos
    2. Implementar los controles para el tratamiento de los riesgos
    3. Definir cómo medir la eficacia de los controles
    4. Implementar programas de formación y de toma de conciencia
    5. Gestionar la operación del SGSI
    6. Gestionar los recursos del SGSI
  4. SEGUIMIENTO Y REVISIÓN DEL SGSI:
    1. Ejecutar procedimientos de seguimiento y revisión y otros controles, que permitan detectar errores en los resultados del procesamiento, identificar los incidentes e intentos de violación a la seguridad y determinar si las acciones tomadas para solucionar un problema de violación a la seguridad fueron eficaces
    2. Emprender revisiones regulares de la eficacia del SGSI
    3. Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
    4. Revisar las valoraciones de los riesgos, y revisar el nivel de riesgo residual y riesgo aceptable identificado.
    5. Realizar auditorías internas del SGSI
    6. Emprender una revisión del SGSI
    7. Actualizar los planes de seguridad
    8. Registrar acciones y eventos que podrían tener impacto en la eficacia o el desempeño del SGSI
  5. MANTENIMIENTO Y MEJORA DEL SGSI:
    1. Implementar las mejoras identificadas en el SGSI
    2. Emprender las acciones correctivas y preventivas y aplicar lecciones aprendidas
    3. Comunicar las acciones y mejoras a todas las partes interesadas
    4. Asegurar que las mejoras logran los objetivos previstos
  6. REQUISITOS DE DOCUMENTACIÓN:
    1. La documentación del SGSI debe incluir:
      1. Declaraciones documentadas de la política y objetivos del SGSI
      2. El alcance del SGSI
  • Los procedimientos y controles que apoyan el SGSI
  1. Descripción de la metodología de valoración de riesgos
  2. Informe de valoración de riesgos
  3. Plan de tratamiento de riesgos
  • Los procedimientos documentados de sus procesos de seguridad de la información,
  • La declaración de aplicabilidad.
SEGURIDAD

SERIE ISO/IEC 27000

IDENTIFICADOR DENTRO DE LA SERIE ISO/IEC 27000 NOMBRE DE LA NORMA DESCRIPCIÓN ÚLTIMA VERSIÓN / REVISIÓN
ISO/IEC 27000  Sistema de Gestión de la Seguridad de la Información – Generalidades y vocabulario Es el vocabulario e información base para la implementación del SGSI. Quinta versión: febrero 2018 ISO/IEC 27000:2018
ISO/IEC 27001  Sistema de Gestión de la Seguridad de la Información – Requisitos Es Certificable para las empresas. Especifica requisitos para implementar el SGSI. Revisada en septiembre de 2013
ISO/IEC 27002  Buenas prácticas para controles de la seguridad de la información Es el código de buenas prácticas para la gestión de la seguridad en la información. Última versión: 27002:2013, de setiembre de 2013
ISO/IEC 27003  Guía de implementación del sistema de gestión de la seguridad de la información Da directrices para implementar el SGSI Publicada el 1 de febrero de 2010
ISO/IEC 27004  Gestión de la seguridad de la información – Medición Proporciona recomendaciones para implementar métricas para la gestión de la seguridad en la información Publicada el 7 de diciembre de 2009
ISO/IEC 27005  Gestión de riesgos de seguridad de la información Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información Publicada en junio de 2008 Revisada en junio de 2011
ISO/IEC 27006  Requisitos para empresas de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información Describe los requisitos de deben cumplir las empresas que ofrecen certificación del SGSI Publicada en 2007 y revisada en diciembre de 2011 y septiembre de 2015
ISO/IEC 27007  Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información Recomendaciones para auditar un SGSI Publicada en noviembre de 2011
ISO/IEC 27008  Directrices para auditores sobre control de la seguridad de la información Es una guía para auditar los controles de seguridad implementados Publicada en octubre de 2011
ISO/IEC 27009 Aplicación específica de la norma ISO/IEC 27001 para cada sector – Requisitos Otorga una orientación sobre la inclusión de requisitos específicos para cada sector o actividad, además de los establecidos por el SGSI Publicada en junio de 2016
ISO/IEC 27010  Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional Da indicaciones para gestionar la seguridad de la información cuando se comparte entre distintas organizaciones. Publicada en octubre de 2012 y revisada en noviembre de 2015
ISO/IEC 27011  Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC 27002 Especifica directrices para la gestión de la seguridad en la información en empresas de telecomunicaciones Publicada en diciembre de 2008 y fue revisada en diciembre de 2016
ISO/IEC 27013  Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/IEC 20000-1 Describe como implementar de forma integral de un SGSI según ISO 27001, y un Sistema de Gestión de Servicios (SGS), según ISO 20000. Publicada en 2016
ISO/IEC 27014  Gobernanza de la seguridad de la información Guía de gobierno corporativo de la seguridad de la información. Publicada en abril de 2013
ISO/IEC 27015  Directrices para gestión de la seguridad de la información en servicios financieros Especifica directrices para la gestión de la seguridad en la información en el sector financiero Publicada en noviembre de 2012
ISO/IEC 27016 Directrices para gestión de la seguridad de la información – Empresas de economía Especifica directrices para la gestión de la seguridad en la información en empresas de economía Publicada en febrero de 2014
ISO/IEC 27017 Código de práctica para los controles de seguridad de la información basados ​​en ISO / IEC 27002 para servicios en la nube Especifica directrices para la gestión de la seguridad en la información en computación en la nube alineada con ISO/IEC 27002 Publicada en diciembre de 2015
ISO/IEC 27018 Código de práctica para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII Es la guía para controlar la protección de datos para servicios de computación en cloud computing Publicado en julio de 2014
ISO/IEC 27019 Pautas de gestión de seguridad de la información basadas en ISO / IEC 27002 para sistemas de control de procesos específicos de la industria de servicios públicos de energía Especifica directrices para la gestión de la seguridad en la información en empresas del sector energético Publicada el 17 de Julio de 2013
ISO/IEC 27021 Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información. Especifica los requisitos para los profesionales dedicados al SGSI En desarrollo
ISO/IEC 27031 Pautas para la preparación de la tecnología de la información y la comunicación para la continuidad del negocio Es una guia de adecuación de la tecnologia TIC para la continuidad del negocio Publicada el 01 de Marzo de 2011
ISO/IEC 27032 Pautas para la ciberseguridad Especifica directrices para la gestión de la seguridad en la información en la cibernética Publicada el 16 de Julio de 2012
ISO/IEC 27033 Seguridad de la red Especifica directrices para la gestión de la seguridad en la información en Redes En desarrollo
ISO/IEC 27034
Seguridad de las aplicaciones
Especifica directrices para la gestión de la seguridad en la información en las aplicaciones informáticas En desarrollo
ISO/IEC 27035
Gestión de incidentes de seguridad de la información
Proporciona una guía sobre la gestión de incidentes de seguridad en la información Publicada el 17 de Agosto de 2011
ISO/IEC 27036 Seguridad en las relaciones con proveedores 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, guía de seguridad para entornos de servicios Cloud Publicada en 2014
ISO/IEC 27037
Pautas para la identificación, recolección, adquisición y preservación de evidencia digital
Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales Publicada el 15 de Octubre de 2012
ISO/IEC 27039 Selección, despliegue y operaciones de sistemas de detección y prevención de intrusos (IDPS) Orienta la implementación segura de istemas de detección y prevención de intrusión (IDS/IPS) Publicada el 11 de Febrero de 2015
ISO/IEC 27799
Gestión de la seguridad de la información en salud utilizando ISO / IEC 27002
Proporciona directrices para apoyar la interpretación y aplicación de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes Publicada el 12 de Junio de 2008, revisión en Julio 2016
VARIOS

GENERALIDADES PROGRAMA DE AUDITORÍA ISO 19011 DE 2012

La norma ISO 19011 de 2012 establece en su capítulo 5, numeral 5.1: “Una organización que necesita llevar a cabo auditorías debería establecer un programa de auditoría que contribuya a la determinación de la eficacia del sistema de gestión auditado. El programa de auditoría puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión, llevadas a cabo de manera individual o combinada.
La alta dirección debería asegurarse de que los objetivos del programa de auditoría se han establecido y que se asigna una o más personas competentes para establecer el programa de auditoría. El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza de la organización que se audita, así como en la naturaleza, funcionalidad, complejidad y nivel de madurez del sistema de gestión que se va a auditar. Debería darse prioridad a asignar los recursos del programa de auditoría para auditar los asuntos de importancia dentro del sistema de gestión. Estos pueden incluir las características clave de la calidad de un producto o los peligros relativos a la salud y la seguridad, o los aspectos ambientales significativos y su control.
El programa de auditoría debería incluir la información y los recursos necesarios para organizar y llevar a cabo sus auditorías de forma eficaz y eficiente dentro de los periodos de tiempo especificados y también puede incluir lo siguiente:
  • Objetivos para el programa de auditoría y para las auditorías individuales
  • Alcance/número/tipos/duración/ubicaciones/calendario de las auditorías
  • Procedimientos del programa de auditoría
  • Criterios de auditoría
  • Métodos de auditoría
  • Selección de equipos auditores
  • Recursos necesarios, incluyendo viajes y alojamiento
  • Procesos para tratar la confidencialidad, la seguridad de la información, la salud y la seguridad y otros asuntos similares.
La implementación del programa de auditoría debería seguirse y medirse para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería revisarse para identificar posibles mejoras”.
VARIOS

PRINCIPIOS DE AUDITORÍA ISO 19011 DE 2012

La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes y para permitir a los auditores, trabajando independientemente entre sí, alcanzar conclusiones similares en circunstancias similares.
La orientación proporcionada en los capítulos 5 a 7 de la norma internacional ISO 19011 de 2012 se basa en los seis principios señalados a continuación:
Integridad: El fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
  • Desempeñar su trabajo con honestidad, diligencia y responsabilidad
  • Observar y cumplir todos los requisitos legales aplicables
  • Demostrar su competencia al desempeñar su trabajo
  • Desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánime y sin sesgo en todas sus acciones
  • Ser sensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una auditoría.
Presentación imparcial: La obligación de informar con veracidad y exactitud.
  • Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
Debido cuidado profesional: La aplicación de diligencia y juicio al auditar.
  • Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
Confidencialidad: Seguridad de la información.
  • Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, de modo que perjudique el interés legítimo del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial.
Independencia: La base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría.
  • Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las auditorías internas, los auditores deberían ser independientes de los responsables operativos de la función que se audita. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la evidencia de la auditoría.
  • Para las organizaciones pequeñas puede que no sea posible que los auditores internos sean completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad.
Enfoque basado en la evidencia: El método racional para alcanzar conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático.
  • La evidencia de la auditoría debería ser verificable. En general se basará en muestras de la información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría.
VARIOS

DEFINICIONES DE ISO 19011 DE 2012

AUDITORÍA: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría.

NOTA 1: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan por la propia organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos (por ejemplo, para confirmar la eficacia del sistema de gestión o para obtener información para la mejora del sistema de gestión). Las auditorías internas pueden formar la base para una autodeclaración de conformidad de una organización. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita o al estar libre de sesgo y conflicto de intereses.

NOTA 2: Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas u organizaciones en su nombre.Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las autoridades reglamentarias o aquellas que proporcionan la certificación.

NOTA 3: Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de la calidad, ambiental, seguridad y salud en el trabajo) se auditan juntos, se denomina auditoría combinada.

NOTA 4: Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado, se denomina auditoría conjunta.

CRITERIOS DE AUDITORIA: Grupo de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría. Ejemplo: La norma ISO 9001 de 2015 se considera criterio de auditoría para un sistema de gestión de la calidad, de igual forma, los requisitos de la norma ISO 14001 son criterios de auditoría para un sistema de gestión ambiental.Los criterios de auditoria en muchos casos se consideran como los referentes de variadas normas ISO (certificables y no certificables), también algunas normatividades legales que establecen los gobiernos de diferentes países, como también aplican como criterios de auditoría los mismos requisitos que las organizaciones definen.

EVIDENCIA DE LA AUDITORÍA: Registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable. El auditor siempre debe evidenciar los hallazgos de la auditoría.

HALLAZGOS DE LA AUDITORÍA: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

CONCLUSIONES DE LA AUDITORÍA: Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. Normalmente las conclusiones de una auditoría se registran en informes de auditoría.

CLIENTE DE LA AUDITORÍA: Organización o persona que solicita una auditoría.

AUDITADO: Organización o persona que es auditada.

AUDITOR: Persona u organización que lleva a cabo una auditoría.

EQUIPO AUDITOR: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos.

NOTA 1: A un auditor del equipo se le designa como líder del mismo.

NOTA 2: El equipo auditor puede incluir auditores en formación.

EXPERTO TÉCNICO: Persona que aporta conocimientos o experiencia específicos al equipo auditor.

OBSERVADOR: Persona que acompaña al equipo auditor pero que no audita. Un observador no es parte del equipo auditor y no influye ni interfiere en la realización de la auditoría. Un observador puede designarse por el auditado, una autoridad reglamentaria u otra parte interesada que testifica la auditoría.

GUÍA: Persona designada por el auditado para asistir al equipo auditor.

PROGRAMA DE AUDITORÍA: Detalles acordados para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.

ALCANCE DE LA AUDITORÍA: Extensión y límites de una auditoría.

PLAN DE AUDITORÍA: Descripción de las actividades y de los detalles acordados de una auditoría.

COMPETENCIA: Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos.

CONFORMIDAD: Cumplimiento de un requisito.

NO CONFORMIDAD: Incumplimiento de un requisito.Es importante tener en cuenta que la mentalidad del auditor no puede orientarse hacia la identificación de no conformidades, por el contrario, debe conservar una actitud de verificación de la conformidad del sistema que audita.

VARIOS

NORMA ISO/IEC 19011 – DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN

La Norma ISO 19011:2018 – Guidelines for auditing management systems, o Directrices Para la Auditoría de los Sistemas de Gestión, establece las directrices para la auditoría de los sistemas de gestión de la calidad. La última revisión de la norma fue en julio de 2018 (ISO 19011:2018).
Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión, así como orientación sobre la evaluación de la competencia de los individuos que participan en el proceso de auditoría.
ORGANIZACIÓN
La norma está compuesta de siete capítulos:
• Objeto
• Referencias normativas
• Términos y definiciones
• Principios de auditoría
• Gestión de un programa de auditoría
• Realización de una auditoría
• Competencia y evaluación de los auditores

La ISO 19011está enfocada en la gestión de auditoría que se debe llevar a cabo en el sistema de gestión de riesgos, aunque no es una norma certificable brinda una serie de recomendaciones que contribuyen a que las empresas cuenten con una gestión adecuada y establezcan el plan de auditoría para cumplir con los requisitos legales que son exigidos por los entes de control.
Normalmente las organizaciones que implementan la gestión de riesgos deben realizar auditorías periódicas para verificar si el plan de acción implementado está siendo eficaz y brindando los resultados esperados.
Sin embargo, los auditores juegan un papel muy importante dentro de la gestión de riesgos, ya que son ellos quienes identifican si la gestión se está llevando a cabo correctamente, si los controles son efectivos y si está cumpliendo con la norma exigida.

INGENIERÍA Y SERVICIOS IT, SEGURIDAD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD. Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud
  • La eliminación/devolución de activos cuando un contrato se resuelve
  • Protección y separación del entorno virtual del cliente
  • Configuración de una máquina virtual
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud
  • Seguimiento de la actividad de clientes en la nube
  • Alineación del entorno de la red virtual y cloud

https://www.isotools.org/2017/03/16/iso-27017-controles-seguridad-servicios-la-nube/

INGENIERÍA Y SERVICIOS IT, SEGURIDAD

ISO 27002

ISO/IEC 27002 es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

La versión de 2013 del estándar describe los siguientes catorce dominios principales:

  1. Políticas de Seguridad: Sobre las directrices y conjunto de políticas para la seguridad de la información. Revisión de las políticas para la seguridad de la información.
  2. Organización de la Seguridad de la Información: Trata sobre la organización interna: asignación de responsabilidades relacionadas a la seguridad de la información, segregación de funciones, contacto con las autoridades, contacto con grupos de interés especial y seguridad de la información en la gestión de proyectos.
  3. Seguridad de los Recursos Humanos: Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo. Para antes de la contratación se sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones de los contratos. Durante la contratación se propone se traten los temas de responsabilidad de gestión, concienciación, educación y capacitación en seguridad de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse medidas de seguridad, como lo es des habilitación o actualización de privilegios o accesos.
  4. Gestión de los Activos: En esta parte se toca la responsabilidad sobre los activos (inventario, uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices, etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión de soporte extraíbles, eliminación y soportes físicos en tránsito).
  5. Control de Accesos: Se refiere a los requisitos de la organización para el control de accesos, la gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas y aplicaciones.
  6. Cifrado: Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de claves.
  7. Seguridad Física y Ambiental: Habla sobre el establecimiento de áreas seguras (perímetro de seguridad física, controles físicos de entrada, seguridad de oficinas, despacho y recursos, protección contra amenazas externas y ambientales, trabajo en áreas seguras y áreas de acceso público) y la seguridad de los equipos (emplazamiento y protección de equipos, instalaciones de suministro, seguridad del cableado, mantenimiento de equipos, salida de activos fuera de las instalaciones, seguridad de equipos y activos fuera de las instalaciones, reutilización o retiro de equipo de almacenamiento, equipo de usuario desatendido y política de puesto de trabajo y bloqueo de pantalla).
  8. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
  9. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
  10. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
  11. Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
  12. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
  13. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
  14. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

INGENIERÍA Y SERVICIOS IT

GESTIÓN DEL CONOCIMIENTO EN ISO 9001:2015

normas-isoLa inclusión de la gestión del conocimiento en la norma ISO 9001:2015 tendrá un gran impacto sobre la gestión del conocimiento.

Por primera vez una de las normas de gestión empresarial más comúnmente aceptadas hace mención explícita del conocimiento como recurso clave y define los requerimientos necesarios para su gestión. Ello tiene como consecuencia el reconocimiento de la gestión del conocimiento como un elemento clave de la gestión empresarial.

La ISO 9001 es la norma de calidad más aplicada a nivel mundial, es utilizada por organizaciones de diferentes tamaños y en diferentes países para acreditar que se dispone de un sistema de gestión orientado al control de la calidad de sus productos y servicios. Cada año se emiten más de 1 millón de certificados de la norma ISO 9001.

El certificado de la norma ISO 9001 tiene un periodo de vigencia limitado que suele ser de unos tres años. La propia norma ISO se va modificando a lo largo del tiempo. En la redacción de la versión de 2015 han participado alrededor de unas 15.000 personas que se han encargado de introducir los elementos clave de la gestión empresarial. De entre éstos ha destacado la necesidad de incluir el conocimiento como recurso clave.

La nueva cláusula 7.1.6. Conocimiento organizacional nos indica lo siguiente:

La organización debe determinar los conocimientos necesarios para la operación de sus procesos Y lograr la conformidad de los productos o servicios. Se mantendrá este conocimiento, y será puesto a disposición en la medida necesaria. Al abordar las cambiantes necesidades y tendencias, la organización deberá considerar su conocimiento actual y de adquirir o acceder al conocimiento adicional necesario.

NOTA 1: El conocimiento organizacional puede incluir información tal como la propiedad intelectual y las lecciones aprendidas.

NOTA 2: para obtener los conocimientos necesarios la organización puede considerar:

Fuentes internas (por ejemplo, aprender de los fracasos y proyectos exitosos, La captura de los conocimientos y la experiencia de expertos dentro de la organización).

Fuentes externas (por ejemplo, normas, instituciones académicas, conferencias, conocimiento reunido con los clientes o proveedores).

Así por primera vez, el conocimiento y su gestión forman parte nuclear de una norma internacional para el aseguramiento de la calidad de productos y servicios.

INTERPRETACIÓN

En primer lugar es necesario recordar que esta cláusula no supone una norma para la gestión del conocimiento y tampoco implica la obligatoriedad de disponer de un sistema de gestión del conocimiento. Se trata de una cláusula de una norma de calidad que requiere a las organizaciones para que tengan en cuenta el conocimiento para asegurar la calidad de los bienes y servicios producidos. Para cumplir con este requisito la organización debe haber implantado diferentes elementos relacionados con la gestión del conocimiento como parte del sistema de gestión de calidad.

La nueva norma ofrece el siguiente comentario como guía al tipo de elementos que el auditor deberá revisar:

En la cláusula 7.1.6 la norma determina la necesidad de identificar y gestionar el conocimiento de la organización para asegurar la implantación de sus procesos y para alcanzar la conformidad de sus productos y servicios. Los requerimientos relativos al conocimiento organizacional se incluyen con el objeto de:

  • Evitar la pérdida de conocimiento (como, por ejemplo, debido a la rotación de personal) o evitar errores en la captura y distribución del conocimiento.
  • Estimular la adquisición de conocimiento por parte de la organización, a través de, por ejemplo, el aprendizaje a través de la experiencia, el mentoring o el benchmarking.

Es fácil observar en los textos anteriores claras referencias a diferentes elementos de la gestión del conocimiento. Algunos de ellos son:

  • Un sistema de aprendizaje a través de la experiencia, incluyendo utilización de una base de lecciones aprendidas.
  • Un sistema para la retención del conocimiento, incluyendo mentoring, la captura del conocimiento tácito y sistemas para compartir conocimiento.
  • Modelos de auditoría de la gestión del conocimiento, benchmarking y un modelo estratégico que permita la identificación del conocimiento crítico necesario garantizar la calidad de productos y servicios.
  • Un sistema (funciones, procesos, apoyo tecnológico) para mantener el conocimiento y ponerlo a disposición de las personas que lo requieran en el momento adecuado.

IMPLICACIONES PARA EL RESPONSABLE DE GESTIÓN DEL CONOCIMIENTO

Los nuevos requerimientos de la ISO 9001:2015 suponen un cambio trascendental en la manera de abordar la gestión del conocimiento. A partir de ahora la gestión del conocimiento forma parte del conjunto de requerimientos de una de las normas internacionales más difundidas. La gestión del conocimiento pasa de ser percibida como “algo recomendable para la organización” a ser “un requerimiento para poder obtener el certificado de calidad”.

Otro punto de gran importancia es el relacionado con la gestión de los riesgos y las oportunidades. La existencia de éste y otros nuevos elementos introducidos puede restar importancia a la nueva cláusula relacionada con la gestión del conocimiento.

Será necesario destacar la necesidad de cumplir con el requerimiento de la cláusula 7.1.6 para poder obtener la certificación según la nueva versión de la norma. Para ello será necesario:

  • Informar al comité de dirección sobre la existencia de nuevo punto en la norma ISO 9001:2015.
  • Identificar qué áreas de la organización están certificadas (o tienen previsto estarlo) por la ISO 9001:2015.
  • Compartir la información sobre este nuevo requerimiento con el responsable de gestión de la calidad.
  • Revisar con los responsables de gestión de la calidad esta nueva cláusula para ofrecerles el apoyo necesario y asegurar la correcta implantación de los elementos de gestión del conocimiento.
  • Preparar con ellos un plan para superar la próxima auditoria.

La auditoría para la certificación de la norma ISO 9001:2015 se lleva a cabo revisando una gran cantidad de aspectos relacionados con los procesos internos y con el cumplimiento de los requerimientos definidos por la norma. El auditor identifica y presenta una lista de “no conformidades”, “observaciones” o “oportunidades de mejora”. Todavía no es posible conocer cuáles serán los criterios para auditar la cláusula 7.1.6. pero es clara la importancia que los auditores darán a las siguientes evidencias relativas a:

  • La determinación de “los conocimientos necesarios para la operación de sus procesos y lograr la conformidad de los productos o servicios”. Por lo tanto, será necesario identificar ese conocimiento y disponer de una relación de los aspectos incluidos.
  • El mantenimiento de “este conocimiento”. Por lo tanto, será necesario identificar el propietario de cada uno de los aspectos antes detallados y definir un procedimiento apropiado para su mantenimiento.
  • Su puesta “a disposición en la medida necesaria”. Ello implica disponer y haber implantado un procedimiento para la identificación del conocimiento, disponer de una base de conocimiento y de un motor de búsqueda. También, en el mejor de los casos, disponer de un sistema de distribución proactiva del conocimiento.
  • La capacidad del modelo para “abordar las cambiantes necesidades y tendencias”. Por lo que será necesario disponer de un plan estratégico de gestión que se adapte al conocimiento requerido por la organización en función de los cambios que se produzcan en su entorno.
  • El modelo para la identificación de “su conocimiento actual” y la determinación de “la forma de adquirir o acceder al conocimiento adicional necesario”. Por ello la organización deberá disponer de evidencias de la aplicación del plan para “obtener los conocimientos necesarios” basados en:
    • “a) Fuentes internas (por ejemplo, aprender de los fracasos y proyectos exitosos, la captura de los conocimientos y la experiencia de expertos dentro de la organización).
    • b) Fuentes externas (por ejemplo, normas, instituciones académicas, conferencias, conocimiento recopilado con los clientes o proveedores).”

La organización deberá disponer de un sistema efectivo para la gestión del aprendizaje a través de la experiencia, y de gestión de las lecciones aprendidas. Ello incluye el mantenimiento y actualización de funciones y tareas, la captura y distribución de nuevas lecciones aprendidas de la mejora de procesos, productos y servicios.

Será necesario un programa para la retención y transferencia del conocimiento.

Una correcta preparación para la auditoría facilitará la inexistencia de “no conformidades” y la emisión del correspondiente certificado del cumplimento de la norma por parte de la entidad certificadora. La posible identificación de “no conformidades” por parte del auditor implicará la necesidad de presentar un plan de mejora que demuestre cómo abordar las no conformidades detectadas y una vez sea posible demostrar la correcta implantación de las acciones correctoras se procederá a la emisión del certificado.

La función del responsable de gestión del conocimiento será la de ayudar al departamento de calidad a definir e implantar los procedimientos y el sistema de indicadores que certifiquen la correcta aplicación de la cláusula 7.1.6 de la nueva norma.

OTRAS CLÁUSULAS RELEVANTES

La cláusula 7.1.6 es la que trata específicamente del conocimiento de la organización. Existen otras sobre las que la gestión del conocimiento puede aportar soluciones.

El cláusula 7.2, por ejemplo, determina las obligaciones de la organización en relación a la competencia de sus miembros. Éstas determinarán su modelo de gestión del aprendizaje que deberá asegurar que todos los colaboradores están correctamente capacitados para desarrollar sus funciones y tareas.

La gestión del conocimiento está relacionada con las competencias de las personas y el área de gestión del conocimiento debe trabajar conjuntamente con el departamento de RR.HH. en la definición de los procesos que aseguren la adquisición del conocimiento necesario para asegurar la mejora de las competencias de las personas de la organización.  Será necesario revisar la estrategia de gestión del conocimiento para asegurar que garantiza la adquisición del conocimiento requerido para sustentar las futuras competencias de los miembros de la organización. Desde el área de gestión del conocimiento será necesario adaptar los procesos ya existentes para aumentar los vínculos con las áreas de desarrollo organizacional.

La cláusula 7.5 nos detalla los requerimientos relativos al sistema de gestión de la calidad. Detalla como la información relativa a  implantación de la norma se genera, archiva, controla, distribuye, se pone a disposición, se recupera y se utiliza. El redactado de la norma es claro en relación a la diferencia entre información y conocimiento. Ambos se tratan de cláusulas diferentes.