Gestión de Incidentes de Seguridad

Texto completo

(1)

Gestión de Incidentes de

Seguridad

(2)

Tabla de contenido

CARACTERISTICAS ... 2

AUDITORÍAS INTERNAS DE SEGURIDAD DE LA INFORMACIÓN ... 3

1.1 DEFINICIONES... 3

1.2 RECOMENDACIONES GENERALES ... 3

1.3 PERIODICIDAD Y ALCANCE DE LAS AUDITORIAS ... 3

1.4 PROGRAMACIÓN DE LAS AUDITORIAS ... 3

1.5 PLANEACIÓN DE LAS AUDITORIAS ... 3

1.6 REALIZACIÓN DE LAS AUDITORIAS ... 3

1.7 DOCUMENTACIÓN DE LOS RESULTADOS ... 4

1.8 PLANES DE ACCIÓN ... 4

1.9 SEGUIMIENTO ... 4

1.10 INFORME FINAL ... 4

1.11 NOMBRAMIENTO DE LOS AUDITORES INTERNOS DE SEGURIDAD ... 4

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS ... 5

CARACTERISTICAS

OBJETO Definir la metodología de Auditorías de seguridad de la información

ALCANCE

Este instructivo aplica para las Auditarías Internas de Seguridad de la Información de Leasing Bolívar a nivel nacional.

DUEÑO  Todos los Jefes de las Áreas y Dueños de Procesos

SOFTWARE Y

(3)

AUDITORÍAS INTERNAS DE SEGURIDAD DE LA INFORMACIÓN

Para ayudar en la detección y mejora de desviaciones o errores en el Sistema de Gestión de Seguridad de la Información propuesto por la Norma ISO 27001, se ha establecido una serie de planes para la auditoría interna que se efectuará con periodicidad anual.

Las auditorías son orientadas por el Representante de la Gerencia, acompañado por los auditores internos (colaboradores de Leasing Bolívar previamente capacitados en el tema y sin vínculo directo sobre el área a auditar), quienes validan el cierre de las no-conformidades y acompañan en el plan de acción que cada área debe iniciar para eliminar las causantes de las no-conformidades.

1.1

Definiciones

Auditado: persona, organización o proceso que está siendo sometido a la auditoria. • Auditor: persona con las competencias para llevar a cabo las auditorias.

Auditoria de seguridad: proceso sistemático, independiente y documentado para obtener evidencias sobre el nivel de cumplimiento de los requisitos establecidos previamente al SGSI fuente de estudio.

Evidencia: registros u otra declaración de hechos que soporte a los requisitos del SGSI. • No conformidad: incumplimiento de un requisito del SGSI.

Observación: recomendación o declaración hecha por el auditor sobre un punto específico del SGSI y que potencialmente podría convertirse en una no-conformidad.

1.2

Recomendaciones Generales

Los auditores no podrán auditar su propio proceso o donde tengan alguna relación o interés particular.

1.3

Periodicidad y Alcance de las Auditorias

Las auditorías internas al Sistema de Gestión de Seguridad de la Información de Leasing Bolívar serán llevadas a cabo cada año, con el fin de garantizar la adecuación del SGSI con la Norma ISO 27001.

1.4

Programación de las Auditorias

Las auditorias serán programadas por el Comité de Seguridad de la Información y concertadas con los auditores internos. Esta programación será aprobada por la Gerencia General.

1.5

Planeación de las Auditorias

El grupo auditor, en unión con el Comité de Seguridad de la información, deberá definir: • Procesos a auditar y responsables.

• Objetivos y alcance de la auditoria. • Miembros del equipo de auditoria • Lugar, hora y fecha de las auditorias • Documentos de referencia

(4)

Comienzo de la auditoría

El equipo de auditores, convoca una reunión con las personas responsables de los procesos y áreas a auditar con el fin de dar a conocer el cronograma, metodología, alcance y resolver las dudas que se puedan presentar.

Recolección de evidencias

El auditor, con base en el plan de auditorías ANEXO 1 “FR-SOP-06-02 Plan de Auditoría Interna”, deberá revisar los procedimientos, registros, instructivos, formatos y demás documentos soporte del funcionamiento del SGSI, con el fin de asegurase que estos ofrecen la suficiente evidencia de su correcto funcionamiento.

Igualmente, a manera de guía, el auditor podrá plasmar en el formato ANEXO 2 “FR-SOP-06-03 Formato de Preguntas para Auditoría Interna” la guía para la recolección de evidencia.

Reunión de cierre

Una vez se ha llevado a cabo la auditoria, el equipo de auditores debe convocar a las personas responsables de los procesos y áreas a auditar con el fin de dar a conocer los resultados de la misma, específicamente en lo referente a no-conformidades encontradas, potenciales no- no-conformidades, fortalezas y observaciones.

1.7

Documentación de los resultados

Los auditores consignarán los hallazgos de la auditoría interna en el formato destinado para tal fin: ANEXO 3 “FR-SOP-06-04 Informe de Auditoría Interna”, tanto si se encontraron no-conformidades o no.

1.8

Planes de acción

El responsable del proceso o área auditada con no-conformidades, deberá plantear un plan de acción tendiente a eliminar las causas del problema, considerando: acciones a tomar, plazo, responsables y recursos. Este plan de acción será evaluado por el equipo auditor, asegurando su pertinencia.

1.9

Seguimiento

Según la fecha acordada dentro del plan de acción entregado por el responsable del área o proceso, el grupo de auditores revisará los resultados obtenidos verificando la eliminación de la no-conformidad o la reincidencia de la misma.

1.10

Informe final

El grupo auditor, deberá presentar ante el Comité de Seguridad de la Información los resultados definitivos de las auditorías internas, incluyendo las no-conformidades, potenciales no-conformidades, fortalezas, acciones a tomar, plazos, recursos y demás factores que se consideren necesarios para la presentación del informe.

1.11

Nombramiento de los auditores Internos de Seguridad

Las personas que tomarán el rol de auditores internos de calidad serán las personas que hayan recibido la capacitación correspondiente en el tema. Adicionalmente, se deberá considerar que la persona no podrá ser asignada a la auditoria en el área donde se desempeña o donde pudiera llegar a tener algún interés o relación.

(5)

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS ELABORADO POR APROBADO POR

01 14/01/2010 Versión inicial Nathalia Prada Analista de Procesos

Carlos Rubio

Figure

Actualización...

Referencias

Actualización...

Related subjects :