Está en la página 1de 40

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 1

ISO 27001 INTRODUCCIÓN AUDITORIA INTERNA

OBJETIVO

Brindar una introducción al estudiante de la metodología de casos, utilizada durante el curso de formación de auditores internos de un Sistema de Gestión de Seguridad de la información ISMS ISO 27001.

METODOLOGIA

Para realizar este taller, el participante en el Curso de Auditoria Interna deberá realizar el trabajo individual.

Deben sustentar sus respuestas al Tutor del curso con sus respuestas.

En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y de ISO 27001 (No utilizar la norma).

TIEMPO

Tiempo máximo de 40 minutos para el desarrollo del taller y tiempo de revisión

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS!

Caso

Cumple o no Cumple

1

 

2

 

3

 

4

 

5

 

6

 

Todos los casos de este taller tienen relación en la organización XUAN INC.

CASO No 1:

La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información.

CASO No 2:

La organización incluyó en el programa de auditorias la realización de auditorias de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorias anteriores en un período de seis meses. La organización esta decidiendo a quien designa como responsable de esta actividad.

CASO No 3:

La organización ha definido en el SGSI el proceso de Talento Humano, en este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso legal para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual

Curso de Auditores Internos de Norma ISO 27001:2005

de funciones específicamente auditores Internos al SGSI, los siguientes requisitos: Educación:

Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber realizado dos auditorias internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita, observador, persistente y manejo de situaciones difíciles. En la revisión de registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica que los registros de habilidades y experiencia están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez ingeniero de sistemas con evidencia de diploma, certificado auditor interno aprobado y verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de ingeniero electrónico con especialización en auditorias internas al SGSI la cual evidenció registro de aprobación, por último Gian Wu certificado de ingeniero aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de auditor interno, el dueño del proceso responde que Gian Wu con la experiencia de trabajar durante 10 años en la organización y por su educación ha sido mas que suficiente.

CASO No 4:

La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de nivel de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de firewall, gestión de ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los SLA, por lo tanto no ha sido necesario realizar auditorias a intervalos regulares.

CASO No 5:

En su revisión de las auditorias internas realizadas en el último año, usted evidencia la inclusión de 2 auditorias internas en el programa de la organización XUAN Inc, registra en su lista de comprobación la realización de auditorias internas a todos los procesos del SGSI en el primer semestre, en el último semestre evidencia que no se incluyó al proceso de gestión de cambios y gestión de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las últimas dos auditorias no se detectó no conformidades.

CASO No 6:

La organización Zing Productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la red.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 2

ISO 27001 - CUMPLIMIENTO DE LA NORMA

OBJETIVO

Mejorar el entendimiento de la norma, con relación de los requisitos establecidos y su relación con situaciones reales en las organizaciones.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de formación de auditores internos debe determinar las cláusulas de ISO/IEC 27001:2005 que puede aplicar. (No cumplimiento).

Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones.

TIEMPO

Tiempo máximo de 45 minutos para el desarrollo del taller.

Se destina tiempo para revisión.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

Recuerde

¡LOS HECHOS, SOLO LOS HECHOS!

Curso de Auditores Internos de Norma ISO 27001:2005

HOJA DE TRABAJO

INTEGRANTES:

 

ELEMENTOS QUE APLICAN

CASO No 1

 

CASO No 2

 

CASO No 3

 

CASO No 4

 

CASO No 5

 

CASO No 6

 

CASO No 7

 

CASO No 8

 

CASO No 9

 

1. La organización Online And Transaction S.A., utiliza las transacciones en línea (internet) como medio de pago a sus proveedores y también para el envió de documentación importante a sus clientes. Se ha implementado controles rigurosos para garantizar la integridad de información transmitida, no se ha identificado riesgos al respecto.

2. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al encargado del mismo los registros de mantenimiento de equipos, registros gestionados en la base Informática “ATENEA” donde según la explicación recibida se almacena toda la información de los computadores de la empresa, aproximadamente 500. Usted observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los mantenimientos realizados.

3. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontró la aprobación por la alta dirección.

Curso de Auditores Internos de Norma ISO 27001:2005

4. En la auditoria de certificación de la organización Sistema Gestión SG, en la norma ISO 27001, el auditor evidencio que no hay una descripción de la metodología para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo.

5. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de la empresa explica que cuando usted vaya al proceso de producción no va encontrar al Director de Producción ni a dos Operadores fundamentales para el mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted pregunta ¿cuanto hace que fueron retirados? explica que desde hace tres meses, porque el personal es contratado a termino fijo, no se han reemplazado porque el jefe financiero no ha designado recursos y por lo tanto no han sido reemplazados, usted escribe en su lista de chequeo. ¿Cómo ha definido las competencias para el Director de Producción, Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente entrega unos documentos y explica que ha sido un trabajo muy bueno realizado para definir las características de cada cargo; después de revisarlos, sólo observa definidas las responsabilidades. Usted verifica los registros de terminación de la contratación laboral y no se encuentran.

6. En Diciembre, usted es designado como auditor líder para realizar una auditoria interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de las auditorias realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted pregunta ¿Cuántas no conformidades fueron encontradas?, el responsable indica que en Julio/15: once (11) y en Octubre/30: trece (13), todas cerradas eficazmente, porque la alta Dirección esta muy comprometida; usted detalla y observa que los problemas detectados en el mes octubre son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificación.

7. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de verificación de los sistemas de información?, entrega un programa que define una frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable menciona que se cambió el intervalo a un año y además por el cambio de la infraestructura tecnológica.

8. En la auditoria realizada en la organización del sector estatal Ministerio Fomento Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuales controles se han establecido para el centro de cómputo? El único procedimiento es el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y el personal de limpieza, la señora que realiza la limpieza, la cual pertenece a la nomina de la agencia de limpieza ZZZ. El auditor entrevista a la señora de limpieza que se encuentra en el centro de computo ¿Cuál es el procedimiento utilizado para realizar la limpieza? Por ejemplo al realizar la limpieza, dejo la puerta abierta mientras utilizo la aspiradora. El auditor al revisar la planilla de ingreso al centro de cómputo, no evidencia registro de la persona entrevistada, además escribe, la última revisión de los derechos de acceso fue hace dos años. Se revisó el listado de personal autorizado para disponer de llaves y no se encontró el personal de limpieza y no hay evidencia de la comunicación de la política de seguridad de la información a la agencia de limpieza.

9. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario que indica “todas las transacciones por internet deben usar llave electrónica inmediatamente”. La alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de su implementación.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 3

ISO 27001 ELABORACIÓN DEL PROGRAMA DE AUDITORIA

OBJETIVO

Permitir al estudiante fortalecer los conceptos sobre el diseño del programa de auditoria.

METODOLOGIA

Para realizar este taller, el participante en el Curso de Auditoria Interna deberá realizar el trabajo en grupos designados por el tutor

Deben sustentar su propuesta al Tutor del curso con sus respuestas.

Los estudiantes deben leer el caso y elaborar una propuesta de programa de auditoría, se pueden utilizar los formatos de ejemplo al final del taller o emplear otros formatos que cumplan con los requisitos del programa de auditoria de acuerdo con la norma ISO27001:2005

TIEMPO

Tiempo máximo de 40 minutos para el desarrollo del taller y tiempo de revisión

La organización Services and Support ha implantado un sistema de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2005, el sistema aún no ha sido certificado y la compañía tiene interés en obtener su certificado de cumplimiento debido a que durante el siguiente año participará en convocatorias estatales.

SAS tiene como misión la prestación de servicios de call center tercerizado a clientes del sector bancario de habla inglesa a nivel mundial. La organización tiene 3 sedes en las ciudades de Nueva Deli, Londres y Nueva York, lo que le permite prestar servicios sin interrupción 24 horas al día a todos los clientes de los bancos a los que presta sus servicios SAS. Su plan de personal está compuesta por 400 empleados en Deli, 250 empleados en Londres y 500 en Nueva York. Dentro de su planta de empleados ha destinado 3 oficiales de seguridad de la información uno para cada sede y un gerente de servicios de tecnología que coordinar la operación global de los call center. Su infraestructura de comunicaciones está tercerizada con proveedores locales que se interconectan globalmente. Los servicios que están dentro del alcance del SGSI incluyen:

Comercialización Global: responsable de los procesos de venta de servicios y mantenimiento de clientes Modelamiento Financiero: Proceso responsable del desarrollo de los casos de negocio de clientes potenciales de los servicios de SAS Planificación Tecnológica responsable del soporte y mantenimiento de la plataforma global de call center Comunicación Oportuna: Proceso misional responsable de la prestación de servicios de call center a los clientes de los bancos que compran los servicios de SAS

Curso de Auditores Internos de Norma ISO 27001:2005

Programa de auditoria para (nombre de organización)

Fecha de elaboración del programa de auditoría

Período del programa de auditoría

Responsable del programa

Objetivos del programa de auditoria

Objetivos del programa de auditoria

Auditorias que componen el programa de auditoria

Auditoria (Identificación de la auditoria) Aspecto a auditar (proceso, actividad, requisito) Fechas programadas
Auditoria
(Identificación de la
auditoria)
Aspecto a auditar (proceso,
actividad, requisito)
Fechas programadas

Detalle de la auditorias

Auditoria

Objetivo(s)

Fecha(s) programas

Aspecto(s) a Auditar

Auditor(es) designados

Recursos técnicos

Recursos Financieros

Recursos Humanos

Otros Recursos

Criterios

Métodos o procedimientos

Detalle de la auditorias

Auditoria

Objetivo(s)

Fecha(s) programas

Aspecto(s) a Auditar

Auditor(es) designados

Recursos técnicos

Recursos Financieros

Recursos Humanos

Otros Recursos

Criterios

Métodos o procedimientos

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 4

REVISIÓN DE LA -POLÍTICA

OBJETIVO Aclarar las dudas de los requisitos relacionados con la política de seguridad de la información según ISO 27001:2005.

METODOLOGIA

Revisar la política y determinar si hay cumplimiento con respecto a los requisitos de ISO 27001.

¿Que pregunta incluiría en su lista de verificación para aclarar el cumplimiento, cuando esté en la auditoria en sitio?

Realizar este taller en grupo de trabajo designado por el tutor.

Deben presentar sus conclusiones al tutor del curso.

TIEMPO

Tiene un tiempo máximo de cincuenta (50) minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

Recuerde

¡LOS HECHOS, SOLO LOS HECHOS!

Curso de Auditores Internos de Norma ISO 27001:2005

Organización Xuam Services Inc.

INTRODUCCIÓN OBJETO ALCANCE Aplica para los empleados relacionados directamente con la seguridad. REQUISITOS LEGALES Y/O REGLAMENTARIOS DEFINICIONES Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas. RESPONSABLES PROCEDIMIENTO POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

Está orientada a gestionar eficazmente la seguridad tratada por los sistemas informáticos de la empresa así como los activos que interactúan con los sistemas informáticos. Compromiso de adoptar cuantas medidas de índole técnica y organizativa estén a su alcance, en función de las posibilidades y avances tecnológicos. Aplicar los objetivos de control y controles necesarios, que garanticen la disponibilidad y confidencialidad. Las medidas implantadas se acreditarán mediante auditorias solo informáticas. Disponer de un sistema de gestión de seguridad formalizado y documentado. Establecer los requisitos de seguridad mediante un conjunto de principios y reglas declarando como se especificará y gestionará la protección de los diferentes activos de la información de una manera consistente y efectiva. Gestionar y reducir los riesgos a un nivel aceptable. Cumplir con las Leyes y reglamentaciones vigentes. Comunicar la política de seguridad de información solo a los empleados. Doc: SGSI-POL-00 V00

POLÍTICAS ESPECÍFICAS GESTIÓN DE RIESGO POLÍTICAS ESPECÍFICAS RECURSOS Y DEL USUARIO POLÍTICAS ESPECÍFICAS TÉCNICAS APROBACIÓN POLÍTICA SEGURIDAD Ver Procedimiento de revisión de la dirección, sección aprobaciones. CONTROL DE CAMBIOS

Curso de Auditores Internos de Norma ISO 27001:2005

HOJA DE TRABAJO

INTEGRANTES:

INTEGRANTES:
INTEGRANTES:
INTEGRANTES:

Resultados del análisis

Curso de Auditores Internos de Norma ISO 27001:2005 HOJA DE TRABAJO INTEGRANTES: Resultados del análisis Página

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 5

REVISIÓN DOCUMENTACIÓN SGSI

OBJETIVO

Reforzar el aprendizaje con respecto a los documentos requeridos por la norma ISO

27001:2005.

METODOLOGIA

Analizar el Manual del SGSI suministrado en el taller.

Verificar los documentos requeridos por ISO 27001

Realizar este Taller en grupo de trabajo y redactar sus comentarios en la hoja de trabajo.

TIEMPO

Tiene un tiempo máximo de 50 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

Recuerde que las cuatro (4) metodologías documentadas exigidas por ISO 27001 no son procesos, si se integran pueden ser un proceso. Control de Documentos + Auditorias Internas + Acción Correctiva + Acción Preventiva = Ejemplo: Proceso de Gestión del SGSI o Proceso de Mejora Continua.

Curso de Auditores Internos de Norma ISO 27001:2005

HOJA DE TRABAJO

INTEGRANTES:

INTEGRANTES:
INTEGRANTES:
INTEGRANTES:
INTEGRANTES:

ANALISIS DEL MANUAL de SGSI SI CUMPLE O NO CUMPLE. EL EQUIPO DE TRABAJO DEBE ENTREGAR LOS HALLAZGOS DE CUMPLIMIENTO O INCUMPLIMIENTO. (Incluir cláusula)

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

*

* * * * * * * * * * * * * * * *

Curso de Auditores Internos de Norma ISO 27001:2005

MANUAL DEL SGSI

Este manual contiene los detalles organizacionales del Sistema de Gestión de la seguridad de la información hacia el cumplimento de la organización de los requisitos de la norma ISO/IEC

27001:2005.

1.0

ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

La compañía Xuam Services Inc., se define para sus actividades que incluye: Proveedor de servicios de tecnologías de la información y consultoría en soluciones de gestión de conocimiento, comercio electrónico y gestión de hosting en la ciudad de Miami y Atlanta. Excluye A.12.1 y A.12.6.

2.0

INTRODUCCIÓN A LA COMPAÑÍA Y ANTECEDENTES

3.0

ORGANIGRAMA Ver SGSI-ORG-00 V1.

4.0

PROPÓSITO Y ALCANCE DEL MANUAL

Este manual aplica a las actividades detalladas en el alcance del sistema de gestión de seguridad de la información en la ciudad de Bogotá.

la

5.0

FORMATO Y REVISIÓN El formato de este manual está diseñado por secciones, las cuales brindan conformidad con los requisitos de la norma ISO/IEC 27001:2005. El SGSI esta apoyado en la definición de los documentos requeridos como el alcance, política, objetivos, procedimientos, metodología de valoración de riesgos, informe de tratamiento de riesgos, plan de tratamiento de riesgos y registros exigidos por la norma.

6.0

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

6.1 Requisitos Generales: La compañía ha documentado, implementado y mantenido un

SGSI que cumple con los requisitos de la ISO 27001.

6.2 Requisitos de documentación

El SGSI descrito en este manual intenta proporcionar directrices que deben seguirse para alcanzar de forma efectiva nuestra política de seguridad de la información y los objetivos asociados, teniendo en cuenta los requerimientos del negocio, legales y reguladores.

La organización adopta el enfoque basado en procesos, definidos como:

a) Estratégicos:

Planeación y dirección estratégica Gestión seguridad de la información Gestión de riesgos Gestión control interno - auditorias

b) Operación:

Comercialización Consultoría soluciones de gestión conocimiento Servicio Comercio electrónico Servicio Hosting Gestión continuidad del negocio

c) Apoyo.

Gestión contratación y legal Gestión servicios de tecnología Gestión recursos Gestión incidentes Gestión legal

Se ha definido la descripción e interacción de procesos, en:

Planeación y dirección estratégica SGSI-DIR-00 V1.

Curso de Auditores Internos de Norma ISO 27001:2005

Gestión de Riesgos SGSI-RIE-00 V3. Gestión de la Continuidad del Negocio SGSI-DIR-00 V3.

Documentación complementaria como:

Declaración de aplicabilidad SGSI-RIE-05 V5. 6.3 Control de documentos. Todos los documentos de este manual se controlan de acuerdo con la norma de creación de documentos e procedimiento de control de documentos. Los documentos de origen externo relacionados con el SGSI serán controlados y los documentos obsoletos deben ser identificados. 6.4 Control de registros. Según lo definido en el procedimiento documentado de control de registros.

5.0

RESPONSABILIDAD DE LA DIRECCIÓN

 

5.1

Compromiso de la dirección: Comunicando a todo el personal la necesidad de cumplir

con los requisitos de los clientes, legales y reglamentarios. En la importancia de cumplir con los objetivos de seguridad de la información y ajustarse a la política de seguridad de la información, sus responsabilidades con la ley y la necesidad de mejora contínua. Llevar a cabo reuniones de revisión de la gestión para asegurar la conveniencia y la

efectividad de nuestro SGSI. Animar para implantar una cultura de mejora continua en

todos los aspectos del negocio de la compañía y monitorear y medir continuamente los niveles aceptables de riesgo en la organización.

5.2 Política de seguridad de la información (Ver SGSI-POL-00 V00).

5.3 Responsabilidad y autoridad, el equipo de dirección debe asegurar que las

responsabilidades y autoridades estén definidas y sean comunicadas a la organización para asegurar la efectiva implementación y el mantenimiento de nuestro SGSI. La organización ha definido el organigrama. Esta estructura identifica las funciones y sus interrelaciones en la compañía. El manual del SGSI específica los requisitos del trabajo y los recursos y personal responsable por las actividades definidas. Todo el personal está

formado en los requisitos del sistema, particularmente en lo referente a la monitorización del nivel del servicio proporcionado. La organización tiene definido el manual de funciones.

5.4

Gestión de recursos

5.4.1

Provisión de recursos para asegurar que los procedimientos de seguridad de la

información dan apoyo a los requisitos del negocio.

5.4.2

Formación, conocimiento y competencia, este requisito se cumple al contratar

personal competente.

6.0

REVISIÓN DE GESTIÓN DEL SGSI

 

6.1

Generalidades, el equipo de dirección debe revisar el SGSI, a intervalos de seis (6)

meses para asegurar la conveniencia y efectividad del SGSI. Se deja registro en las actas de revisión al SGSI. Se tiene en cuenta todos los requisitos estipulados en las entradas y

salidas de la revisión y se deja registrado en las actas de revisión al SGSI.

6.2

Auditorias internas, se ha definido un procedimiento documentado. Los resultados de

las auditorias son registrados. Se tienen auditores internos calificados.

7.0

MEJORA DEL SGSI

7.1 Mejora continua, cubre la metodología utilizada en el registro, recolección, análisis,

resumen y comunicación de todos los datos pertinentes para monitorear y mejorar la efectividad del funcionamiento y del SGSI.

7.2 Acción preventiva, se ha establecido un instructivo documentado para las no

conformidades potenciales y las medidas preventivas se disponen para eliminar o minimizar que ocurran (Cláusula 8.3 ISO 27001).

Curso de Auditores Internos de Norma ISO 27001:2005

Anexos:

SGSI-DIR-00 V1. Planeación y dirección estratégica

CARACTERIZACION PROCESO PLANEACIÓN Y DIRECCIÓN

ESTRATÉGICA

Codigo: Versión:1 Pag
Codigo:
Versión:1
Pag
 

OBJETIVO DEL PROCESO

 

RESPONSABLE

Este proceso tiene por objeto brindar evidencia de compromiso de la alta dirección

Gerente

con

el

SGSI,

gestionar

recursos

al

SGSI

y

revisar

el

SGSI

a

intervalos

planificados.

 

PROCESO

ENTRADA

 

ACTIVIDADES

 

SALIDA

PROCESO

     

Acciones

 

Requisitos y

expectativas

P

Establecer y aprobar políticas

SGSI,objetivos, procesos.

 

correctivas y

preventivas

Todos los

procesos

 

P

Aprobar metodología de valoración de

   

G.

Riesgos

riesgos, autorizar para implementar y

Actas

G. Riesgos

operar el SGSI, decidir criterios aceptación

 

riesgo y niveles de riesgo aceptable.

   
   

Manual

 

P

Establecer funciones y

 

funciones,

Procesos

internos

responsabilidades del SGSI,

Comunicación del SGSI.

 

responsabilida

des.

RH

 

Comunicados

 

Partes

   

Presupuesto y

SGSI,

interesadas

Procesos

internos

P

Asignar recursos para implementar plan

tratamiento de riesgos.

plan de

personal

Financiero y

TI

G.

Riesgos

H

Decidir los riesgos residuales

 

Registros de

 

propuestos y operar el SGSI

riesgos

 

V

Realizar seguimiento y revisión regular

   

Revisión

Gerencial

del SGSI, medición de la eficacia de los

controles, revisar la valoración de riesgos

a intervalos planificados, verificando la

realización auditorias internas, actualizar

los planes de seguridad de la información.

Acta de

revisión

gerencial,

decisiones

tomadas

Todos los

procesos

 

A

Implementar mejoras identificadas,

   

Revisiones

Implementar acciones correctivas y

 

Planes de

Partes

preventivas, comunicar y asegurar que las

mejora

interesadas

mejoras logren los objetivos del SGSI

Curso de Auditores Internos de Norma ISO 27001:2005

DOCUMENTOS Y/O REGISTROS

Control de Documentos DO-PR-

GC-01,Control de Registros DO-

PR-GC-02, Auditorias AP-PR-GC-

 

DOCUMENTOS EXTERNOS

NUMERALES AP

Legislación aplicable

4.1, 4.2.1 y 7

RECURSO DEL PROCESO

HUMANOS

Personal relacionado con el alcance del SGSI

INFRAESTRUCTURA

Instalaciones fisicas y lógicas, maquinaria y equipo, equipos de comunicación interna, software

CONTROLES APLICABLES AL PROCESO

QUE SE CONTROLA

ESPONSABLE DEL CONTRO

METODOLOGIA DE CONTROL

FRECUENCIA CONTROL

Indicadores

Responsable

Informes de Indicador, Monitoreo, Reunión comite seguridad

Mensual -

del proceso -

información, Reunión de Revisión SGSI.

semestral

Gerente

MEDICION DEL PROCESO

INDICADOR

INDICE DE GESTIÓN

PERIODICIDAD

RESPONSABLE

META

Mensual

80%

Gestión de Riesgos SGSI-RIE-00 V3. Se realiza gestión de riesgos a los procesos del SGSI, al contratar proveedores que afecten el SGSI, cuando hay cambio en el SGSI. Se deberán identificar: Activos, amenazas más probables, salvaguardas, responsables que protegen de dichas amenazas. Categoría BASICA no se tiene en cuenta y se focaliza en resultados medios y altos. Si la categoría es MEDIA, el análisis de riesgos deberá ser más formal, catálogo básico de amenazas. Además, se deberán identificar los mismos puntos de la categoría básica (activos, propietarios, amenazas, salvaguardas) y además deberán valorarse. Para la categoría ALTA, el análisis de riesgos deberá ser totalmente formal y deberá identificarse las vulnerabilidades. El análisis de riesgos debe garantizar resultados comparables y reproducibles. El análisis de riesgos debe incluir los siguientes puntos: Valoración del impacto de la materialización de la amenaza sobre la confidencialidad, integridad y disponibilidad de cada activo. Valoración de la probabilidad teniendo en cuenta amenazas, vulnerabilidades, impacto y controles de seguridad ya implantados. Valoración de los riesgos con clasificación de los riesgos en aceptables y no aceptables según el criterio de aceptación del riesgo y los niveles de riesgo aceptable. Tratamiento del riesgo con aceptación del riesgo (criterio de aceptación del riesgo y deben identificarse los niveles de aceptación del riesgo) y transferir a otras partes los riesgos, resultados registrados en el plan de tratamiento de riesgo y actualización de la declaración de aplicabilidad. Revisión del análisis de riesgos para mantener permanentemente actualizado cada dos (2) meses o teniendo en cuenta cambios en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas, efectividad de los controles implantados, eventos externos, legales o regulatorios, contractuales, sociales, económicos, etc.

Declaración de aplicabilidad SGSI-RIE-05 V5.

Clausula

Detalle

Aplicación

Aplicabilidad

4.2.1

Establecer SGSI

Manual SGSI, documentos requeridos, operando SGSI desde 1/09/2010. Definido en la interacción de los procesos como G. Riesgos.

4.2.2

Implementar y operar el SGSI

Si

Definido en la definición de los procesos “Actividades H”

4.2.3

Seguimiento y revisión del SGSI

Si

Definido en la definición de los procesos Actividades “V”

4.2.4

Mantener y mejorar el SGSI

Si

Definido en la definición de los procesos Actividades “A”

4.3

Requerimientos

de

Si

Documentación definida e incluida en

Curso de Auditores Internos de Norma ISO 27001:2005

 

documentación

   

la definición de los procesos y control de procedimientos de Control documentos y registros.

5

Responsabilidad de la dirección

 

SI

 

6

Auditorias internas

 

Si

Procedimiento auditorias internas

7

Revisión de la dirección

 

Si

Revisión anual del SGSI

8

Mejora del SGSI

 

Si

Procedimiento acciones correctivas y preventivas

A.5

Política del SGSI

 

Si

 

A.6

Organización de la seguridad de la información

Si

 

A.7

Gestión de activos

 

Si

 

A.7.1.1

Inventario de activos

 

Si

Se ha implementado y se mantiene un sistema de información, el cual relaciona todos los activos de la organización, sean tangibles o intangibles, este control se realiza desde su adquisición o relación con la organización.

A.7.1.2

Propiedad de activos

 

Si

En el sistema de información de control de activos, se ha designado un “propietario o responsable”, también se han designado responsables a los procesos, procesamiento de información y áreas sensibles de la organización.

A.7.1.3

Uso aceptable de los activos

 

Si

Política de gestión de activos

A.72.1

Directrices de clasificación

 

Si

Procedimiento de clasificación de activos etiquetado y manejo de información

A.7.2.2

Etiquetado

y

manejo

de

Si

Procedimiento de clasificación de activos etiquetado y manejo de información

información

8.2

Seguridad de RH

 

Antes de la contratación laboral con roles y responsabilidades, Selección de personal y término y condiciones laborales.

A.9.1.1

Seguridad física

 

Documentos de definición perímetro físico, procedimiento de control de acceso, herramientas y políticas de control de acceso físico, Diseño seguridad.

A.9.1.2

A.9.1.3

 

A.9.1.4

A.9.1.5

A.10

Comunicaciones y Operaciones

 

Procedimiento de operaciones G. Cambios, G. Capacidad, G. Monitoreo, Backup. Herramienta OpManager, OpStaar, OppUtils.

A.11

Control de acceso

 

Si

Active Directory. Procedimiento control de acceso

A.13

Gestión de

incidentes

de

Procedimiento gestión incidentes, definición responsabilidades, Herramienta cuantificación y monitores incidentes eventos. Procedimiento recolección evidencias

seguridad en la información

Curso de Auditores Internos de Norma ISO 27001:2005

A.14

Gestión Continuidad del negocio

 

A.15

Conformidad

Procedimiento cumplimiento políticas y normas de seguridad. Procedimiento auditoria TI.

Procedimiento Acción correctiva: (Parte del procedimiento)

Edición: 0

Xuam Services Inc.

Fecha:

PROCEDIMIENTO DE ACCIÓN CORRECTIVA

Código:

P - AC - 03

OBJETO

ALCANCE

Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia, las acciones correctivas deben ser apropiadas a las causas y problemas encontrados. Aplica para todos los procesos del SGSI

ACTIVIDADES RESPONSABLES REGISTROS 1. Detectar problemas o no conformidades: (Auditorías internas, g. incidentes, g.
ACTIVIDADES
RESPONSABLES
REGISTROS
1.
Detectar problemas o no conformidades:
(Auditorías internas, g. incidentes, g.
cambios, monitoreo, auditoria proveedores,
auditorias externas, revisión de la
dirección, etc.)
1. Cualquier colaborador
Herramienta
Herramienta
2. Jefe de área, Representante de la
Formato de
2.
Registrar problemas.
dirección
acción
correctiva
Formato de
3.
Analizar las causas
3. Jefe de área o proceso
acción
correctiva
4. Jefe de área, Representante de la
F.
acción
4.
Determinar acción correctiva y registrar.
dirección
correctiva
5.
Implementar acción.
F.
acción
5. Dueño del proceso
correctiva
6.
Seguimiento a la acción.
6. Jefe de área, Representante de la
F.
acción
dirección
correctiva
SI
7. Eficaz
Cierre
F.
acción
7.
Auditores internos
correctiva
NO
8.
Generar nueva solicitud de acción
9.
Jefe de área, Representante de la
F.
acción
correctiva
dirección
correctiva
9.
Cerrar acción correctiva.
F.
acción
10.
Auditores internos
correctiva
10. Registro indicadores
10.
Representante SGSI - dirección
Indicadores
Reporte
11. Ingresar información al reporte y
11.
Alta Dirección
Revisión
revisión dirección
dirección

Curso de Auditores Internos de Norma ISO 27001:2005

Gestión Configuración - Formato Servidor FILE SERVER CONFIGURATION

Location File Server Name Date NetWare Version Name User license File Server Brand File Server
Location
File Server Name
Date
NetWare Version
Name
User license
File Server Brand
File Server Model
Base Memory
Extended Memory
Total Memory
Boot Method
UPS Capacity
Power Monitoring
Network Boards
Name
Driver
I/O Port
Address
IRQ
DMA
Node
Slot
Net No
Floppy Disk Drives
Letter
Size
Capacity
CD-ROM Drive
Letter
Speed
Type
Brand
Model
Internal Hard Drives
Letter
Size (Mb)
Controller
DOS part.
Net part.
Brand
Model
Disk/Device Sub-Systems
Device
Device
Device
Netware
Drive
Drive
Number
Type
Controller
Size (Mb)
Partition
Brand
Model
Comments
0
1
2
3

Curso de Auditores Internos de Norma ISO 27001:2005

Procedimiento clasificación y control de activos - etiquetado

Edición: 0

Fecha:

Xuam Services Inc.

PROCEDIMIENTO CLASIFICACIÓN Y CONTROL DE ACTIVOS ETIQUETADO

Código:

P - AT - 01

1. OBJETIVO

Determinar las actividades requeridas para la gestión e inventario de activos del SGSI. Garantizar el etiquetado de los activos y manejo de la información de acuerdo con la definición de clasificación de activos de la organización.

2. ALCANCE

Este procedimiento aplica para todos los activos del SGSI de la organización.

3.

DEFINICIONES:

4.

PUNTOS IMPORTANTES:

NORMAS RELACIONADAS / REFERENCIAS N/A DESCRIPCIÓN DE ROLES Y RESPONSABILIDADES

Comité de Seguridad de la información

Definir los métodos de etiquetado y manejo de información. Definir los procesos y actividades que requieren de etiquetado y manejo de información.

Responsable de la Gestión del Sistema de Seguridad de la información Soportar la gestión de etiquetado y manejo de información

Gestor de activos

Coordinar actividades para la identificación de los activos del SGSI.

Procesos a cargo

Todos los responsables de los procesos, gestión de compras, gestión de seguridad física son responsables de la gestión de activos y propietarios de los activos.

Comité de Seguridad de la información Ejecutar actividades para el cumplimiento de este procedimiento.

5. EXPLICACIÓN:

Se aplica este procedimiento:

Cuando se ingresa un activo de información al SGSI

Cuando hay una salida de un activo de información del SGSI

Cuando hay uso de etiquetas (físicas o electrónicas) en el SGSI.

Tipos de activos de seguridad de la información:

a) Información

b) Software

c) Físicos

d) Servicios

e) Personas y sus calificaciones, habilidades y experiencia

f) Intangibles

Curso de Auditores Internos de Norma ISO 27001:2005

Toda información considerada como CONFIDENCIAL y de USO INTERNO debe estar etiquetada, sin importar su medio (físico o digital).

5.1 Etiquetado de documentos

Según procedimiento de control de documentos.

5.2 Etiquetado de correos electrónicos.

Los correos electrónicos que están clasificados como USO INTERNO y CONFIDENCIAL, deben contener la siguiente leyenda:

“Este mensaje puede contener información confidencial o de uso interno de la organización, … “

5.3 Etiquetado de paquetes

Los paquetes para almacenar y transferir información clave, deben ser identificados “etiqueta” que indica CONFIDENCIAL.

5.4 Etiquetado de presentaciones

En el caso de que alguna presentación, contenga información de tipo CONFIDENCIAL o de USO INTERNO, debe incluir muy claro lo siguiente: USO CONFIDENCIAL DE LA ORGANIZACIÓN”.

5.5 Etiquetado de Telecomunicaciones

Si hay transferencia de datos con organizaciones externas se debe:

Según procedimiento y directrices de transmisión de datos. Habilitado uso de trafic filter y firewall. Uso llaves criptográficas. Clasificación información:

Uso interno

Confidencial

Secreta

Altamente secreto

MANEJO DE LA INFORMACIÓN Información pública:

Información privada:

Información confidencial

Se debe tener en cuenta los siguientes cuidados y controles de seguridad para mantener de forma confidencial:

No podrá ser divulgada o transferida a personas o funcionarios no autorizados.

Evite ubicar información en lugares de fácil acceso por personas no autorizadas.

Destruya de forma segura toda la información confidencial, cuando deje de ser necesaria.

La información confidencial, debe ser almacenada en sistemas seguros.

La información confidencial, almacenada en portátiles debe estar de forma cifrada. REQUERIMIENTO DE ACCESO

6. APROBACIÓN Y GESTIÓN DE CAMBIOS

Elaborado por:

Revisado por:

Versión

Fecha

Nombre

Cambio

Aprobación

aprobador

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 6

ISO 27001 PLAN DE AUDITORIA

OBJETIVO

Clarificar los conceptos referentes a programa y plan de auditoria.

METODOLOGIA

Determinar las cláusulas a incluir en el programa de auditoria y generar el plan de auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en lo visto en clase y en la Norma ISO 27001.

Trabajo en grupo. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los resultados del taller.

TIEMPO

Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO

Parte A. Programa de auditoria:

Se ha determinado en el programa el proceso denominado “contratación SGSI”, determine que cláusulas se deben considerar para evidenciar conformidad con respecto a la norma ISO 27001:2005. (No hay exclusiones).

Organización Join Ingenieria S.A.

Organización Join Ingenieria S.A. Proceso contratación de servicios

Proceso contratación de servicios

Organización Join Ingenieria S.A. Proceso contratación de servicios

Parte B. Plan de auditoria:

Generar el plan de auditoria, puede considerar auditar otras áreas/funciones o procesos necesarios para evidenciar conformidad. La alta Dirección decide incluir en el programa de auditoria interna el proceso de producción ubicado en 3 sucursales Bogotá, Cali y Medellín. Se detalla los 3 Subprocesos operativos: Para cada subproceso se encuentran seleccionados e implementados todos los controles que le aplican,

- Procesamiento de datos: revisar los logs del centro de cómputo, operar los servidores, generar e imprimir los informes y enviar información a clientes internos y externos.

Bogotá, Cali y Medellín. En Medellín se realiza remotamente la gestión de revisión de logs del centro de cómputo y es gestionado desde Bogota.

Curso de Auditores Internos de Norma ISO 27001:2005

- Medios de almacenamiento: Administrar todos los medios de almacenamiento de la organización y de los clientes (tales como cintas, cd´s, dvd´s y discos extraíbles).

Bogotá y Medellín.

- Comunicaciones: Instalar y mantener todos los equipos de comunicaciones tales como routers, switches, VPN, MODEM, firewall y monitoreo del servicio de canales, correo e Internet.

Bogotá, Cali y Medellín.

Curso de Auditores Internos de Norma ISO 27001:2005

PLAN DE AUDITORIA

Curso de Auditores Internos de Norma ISO 27001:2005 PLAN DE AUDITORIA Página 24
Curso de Auditores Internos de Norma ISO 27001:2005 PLAN DE AUDITORIA Página 24

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 7

ISO 27001 LISTA DE VERIFICACIÓN

OBJETIVO

Practicar la generación de preguntas de acuerdo con las cláusulas de la Norma ISO/IEC 27001:2005.

METODOLOGIA

Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en Norma ISO 27001. Realizar una lista de verificación del SGSI para evidenciar conformidad de las cláusulas 5 y 6 y Anexo A.10.

Se divide el curso en grupos y se asigna cláusulas a cada grupo.

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. El equipo de trabajo debe sustentar los resultados del taller.

TIEMPO

Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO LISTA DE VERIFICACIÓN

Organización: Auditores: Proceso: No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
Organización:
Auditores:
Proceso:
No.
CLAUSULA
PREGUNTA
Observaciones
Cumple(s/n

Curso de Auditores Internos de Norma ISO 27001:2005

No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
No.
CLAUSULA
PREGUNTA
Observaciones
Cumple(s/n

Comentarios:

Nombre y Firma Auditor:

Nombre y Firma Auditado:

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 8

ISO 27001 REUNIÓN DE APERTURA

OBJETIVO

Mejorar el entendimiento de los temas vistos hasta el momento.

METODOLOGIA

Preparar el contenido de una reunión de apertura de la organización (taller 11), la organización es Do brasil Electronic S.A., se dedica al diseño, ensamble y venta de componentes electrónicos de seguridad. La organización está ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Río de Janeiro en donde ensambla alarmas de seguridad para edificios. La auditoria se realizara en Sao Paulo.

Para realizar este Taller se integran grupos de trabajo.

TIEMPO

Tiempo de preparación 35 minutos y tiempo para su presentación por grupos.

DESARROLLO

Aspectos adicionales a tener en cuenta al momento de realizar la reunión de apertura presentación de auditores, confirmar estándar, alcance SGSI, alcance de auditoria, criterios, confirmar el plan de auditoria que incluye las reuniones de retroalimentación, horas de almuerzo y cierre de auditoria, métodos de la auditoria (aclaración que la auditoria sólo se basará en una muestra seleccionada por el grupo de auditores, se confirma los canales de comunicación, confirmación de los recursos requeridos para la realización de la auditoria, confirmar los acuerdos de confidencialidad y confirmar algún lineamiento adicional que los auditores deben de conocer con respecto a la seguridad, permitir preguntas de los auditados.

adicional que los auditores deben de conocer con respecto a la seguridad, permitir preguntas de los

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 9

ISO 27001 COMO PREGUNTAR

OBJETIVO

Realizar y practicar preguntas a realizar en una auditoria en sitio.

METODOLOGIA

Se tienen diferentes situaciones de una organización real, en la cual se debe preparar las preguntas y realizar directamente al auditado:

Situación a) Dirección

Situación b) Recurso Humano

Situación c) Mejora del SGSI

Situación d) Centro de cómputo

Situación e) Legal

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso.

Retroalimentación guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria.

TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO

tiempo máximo de 40 minutos para el desarrollo del Taller.  Se destina tiempo para revisión.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 10

REDACCION DE HALLAZGOS DE INCUMPLIMIENTO

OBJETIVO

Generar habilidad en el auditor para detectar no conformidades, mejora su redacción, clasificación y sustentación.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de técnicas de auditoria interna debe determinar si hay hallazgo de incumplimiento, clasificar de acuerdo a la cláusula Norma ISO 27001 y realizar la redacción respectiva. Realizar este taller en grupo determinado por el tutor y debe sustentar sus conclusiones en las hojas respectivas.

TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

 

Hallazgos:

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

 

Hallazgos:

Curso de Auditores Internos de Norma ISO 27001:2005

Auditor

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

 

Hallazgos:

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

 

Hallazgos:

Auditor

CASOS

La organización “YING SEG INC, construye Sistemas de Control Electrónico según las especificaciones de los diseños de los clientes. Usted forma parte de un equipo de auditoria que revisa el Proceso de Gestión del SGSI (Control de documentos y registros) en este proceso se tiene establecido que los originales de la documentación del sistema operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de los equipos de la empresa deben estar en la sala de control de documentos. También se audita al proceso de Gestión del Talento Humano. Cuando se acerca a la sala de control de documentos, usted observa la puerta abierta, observa a los empleados de producción en la sala de control de documentos buscando en el archivo de documentos obsoletos unos planos de los diseños del control electrónico del proyecto “Gate Close II”, usted solicita los registros de ingreso y evidencia que los empleados no están en la planilla de

Curso de Auditores Internos de Norma ISO 27001:2005

ingreso, además revisa los derechos asignados y ninguno tiene registro de asignación de ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos establecidos. Roberta se disculpa por el hecho de que el área parece desordenada, explica que estuvo de vacaciones por Navidad y Año Nuevo. Usted pregunta como auditor líder ¿Cómo se controla la documentación del sistema operativo? Roberta lo lleva al archivero que contiene dicha documentación; usted selecciona cinco (5) documentos para revisar, solicita el listado de documentos maestros y observa los niveles de revisión de los documentos elegidos del archivo contra la lista maestra, todos salvo el Manual uno tiene la revisión correcta, este documento debe ser revisión 2, solicita la aprobación de la nueva versión y no está disponible, Roberta dice que cree que la versión del documento nuevo está entre los documentos pendientes. Usted solicita a Roberta ver el procedimiento de control de documentos establecido por la organización, ella confiesa que presto su copia a otra área de la organización, pero hay una copia del procedimiento enmarcada y fijada en la pared, junto a la puerta, para que todos la lean, usted observa las fotocopias no controladas. Usted pregunta a Roberta ¿como se controla el listado maestro de documentos?; ella dice que este es un registro codificado F-LD-GSGSI-001 Revisión 2 e invoca una hoja electrónica en su computadora y muestra cómo asienta los nuevos documentos que se reciben. Al indagar ¿Cómo se controla la entrada a la computadora? Roberta responde que la puerta de la sala siempre está cerrada con llave, cuando ella no está. Luego solicita cómo se controlan y distribuyen los cambios de ingeniería, Roberta muestra el archivo maestro de informes de cambios de ingeniería, selecciona seis (6) y observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuyó los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta explica que falta personal y ha tenido que depender de la secretaria de ingeniería para pasar las copias a los trabajadores de producción y que la secretaria no le devuelve las hojas de acuses de recibo. Usted observa un estante con catálogos de varios distribuidores de electrónica, usted pregunta a Roberta si están controlados, ella responde que sólo se usan como referencia y nunca salen de la sala, dice que los Ingenieros usan el catálogo de partes computarizado cuando necesitan publicar las especificaciones de las partes y como son tantos y muy poco se utilizan no se han incluido en el SGSI. Roberta lo lleva al proceso de gestión de talento humano, donde encuentran al Director, Aníbal Ramírez usted se presenta y solicita donde están establecidas las competencias del personal, las funciones y responsabilidades en seguridad en la información, entrega un archivo. En el archivo evidencia cumplimiento de selección de personal, términos y condiciones de la relación laboral, conformidad con educación y formación en la seguridad en la información. Al solicitar cinco (5) hojas de vida al azar, también verifica el proceso disciplinario de algunos empleados y contratista, es conforme con los requisitos, por último revisa la devolución de activos y comunicación de la eliminación de derechos del personal que salió de la organización en los últimos ocho (8) meses y encuentra los registros pertinentes, Aníbal explica que a través de una interacción estrecha entre gerentes y empleados han evitado una descripción específica de perfiles de cargos, usted busca en el listado maestro de documentos y no hay existencia de la definición indicada por Aníbal, al hablar con Aníbal sobre los contratos de trabajo de cuatro (4) cargos distintos, Aníbal explica que en estos se encuentran los controles adecuados, usted verifica la información y esta de acuerdo, usted registra en su lista de verificación. Agradece a Roberta y Aníbal y regresa a la sala de reuniones privada para redactar el informe de auditoria.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 11

REDACCION DE OBSERVACIONES

OBJETIVO

Mejorar las habilidades para utilizar adecuadamente las observaciones u oportunidades de mejora y su redacción respectiva.

METODOLOGIA

En cada una de las situaciones de este taller, el participante debe determinar si hay una oportunidad de mejora u observación con respecto a la Norma ISO 27001 y realizar la redacción respectiva.

Trabajo en grupo. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. Sustentar sus redacciones.

TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO

Con los casos del taller anterior, determinar si hay observaciones u oportunidades de mejora.

Casos:

Pasan al proceso de gestión de tarjetas donde observan que el encargado Rafael Núñez, guarda las tarjetas en una caja fuerte y las claves en otra. El software que controla la expedición de tarjetas esta temporalmente suspendido debido a que le están incluyendo otras rutinas de validación y control.

Al pasar por el cuarto de servidores ven que la puerta tiene una cantonera que restringe el acceso y al preguntar a Carlos Álvarez, Director del área ¿Ha definido controles para el control de acceso físico y lógico?, él dice que si y enseña reglamentación sobre registros tanto de acceso físico como lógico, al revisar los registros y observa que solo están hasta el mes pasado, a lo cual el gerente comenta que mensualmente se están enviando los registros al departamento de archivo para su almacenamiento dado que la organización estableció un tiempo de retención de 1 año.

Al preguntar al gerente de servicios de tecnología si existe un procedimiento de continuidad del negocio en caso de desastres o causas mayores, el comenta que se ha establecido un procedimiento y se ha validado el plan de continuidad del negocio. Se tiene un servidor idéntico al de producción donde se carga diariamente la información actualizada y se encuentra ubicado en otro sitio diferente al centro de cómputo, con todas las acometidas independientes,

Curso de Auditores Internos de Norma ISO 27001:2005

igualmente se encuentra protegido por ups y planta eléctrica. Se realizó la valoración de los riesgos para los activos críticos y se tiene un plan de pruebas y actualización de cambios. Así mismo existen funciones y responsabilidades definidas en caso de ser necesario utilizarlo. Se solicitaron estos documentos y se encontró conformidad en los mismos.

En la revisión del sistema de backup encuentra que algunas cintas son almacenadas en la oficina de sistemas sobre un mueble.

Estándar

/Elemento

Observaciones u Oportunidades de Mejora

ISO 27001

ELEMENTO

ISO 27001

ELEMENTO

ISO 27001

ELEMENTO

PROCESO:

ISO 27001

ELEMENTO

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 12

ISO 27001 ANALISIS DE LOS PROCESOS

OBJETIVO Fortalecer el conocimiento de la determinación de no conformidad, observaciones, su clasificación, redacción y sustentación.

METODOLOGIA

La auditoria simulada debe seguir los siguientes pasos:

1. Reunión del equipo auditor (Análisis de Hallazgos).

2. Clasificación de los hallazgos con respecto a una cláusula de la norma.

3. Determinación de observaciones u oportunidades de mejora

4. Solicitud de acciones correctivas.

El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una observación (oportunidad de mejora) con respecto a la Norma ISO 27001.

Determinar la cláusula de ISO 27001, relacionada con el hallazgo de la posible no conformidad u observación. Si se declara que el hallazgo es una No Conformidad debe ser redactada en el formato “Solicitud de Acción Correctiva (SAC)”. Si se declara que el hallazgo es una Observación debe ser redactada en el formato “Observaciones/Oportunidades de Mejora”.

Taller en grupo y sustentación de resultados en la reunión de cierre formal. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso.

TIEMPO

Tiene un tiempo máximo de 50 minutos para el desarrollo del Taller.

Se destina tiempo para revisión.

DESARROLLO

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

Hallazgos:

Curso de Auditores Internos de Norma ISO 27001:2005

Auditor

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI

SOLICITUD DE ACCIONES CORRECTIVAS

MAYOR

MENOR

Proceso revisado:

Estándar y Número de Elemento:

Hallazgos:

Auditor

Estándar

/Elemento

Observaciones u Oportunidades de Mejora

ISO 27001

ELEMENTO

ISO 27001

ELEMENTO

ISO 27001

ELEMENTO

Curso de Auditores Internos de Norma ISO 27001:2005

Do Brasil Electronic S.A. Se dedica al diseño, ensamble y venta de componentes electrónicos de seguridad. La organización está ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Río de Janeiro en donde ensambla alarmas de seguridad para edificios.

Auditoría en sitio es realizada por dos auditores. Para el caso el oficial de seguridad y responsable del SGSI es el Ing. Rodiño Paez.

LA AUDITORIA Se realizó la reunión de apertura en la organización Do Brasil Electronic S.A., en la ciudad de Sao Paulo.

Auditoria Ciudad de Sao Paulo:

Se visita el Proceso de almacenamiento, en el están los componentes electrónicos para ensamble, los productos terminados y lo más importante para la organización los diseños exclusivos y propios de los productos y en algunos casos únicos en Brasil. El auditor esta acompañado por el responsable del SGSI. Se comprueba ubicación de los elementos almacenados, ubicación de extintores, demarcación de zonas, identificación de piezas, registro de ingreso de componentes, registros de salida de equipos terminados, inventario y sistema de información, el auditor registra todo, está de acuerdo con el procedimiento definido SGSI-PR-ALM-001 del proceso de Almacén. Usted observa a 3 personas trabajando en una de las esquinas del almacén, usted se presenta y pregunta a uno de los contratistas: ¿Cual trabajo están realizando? Estamos instalando un nuevo sensor de humedad y temperatura en esta zona. Usted pregunta al responsable de Almacén Roberta Díaz, ¿Si tienen las autorizaciones correspondientes para estar en la zona? Roberta informa que por supuesto. Ellos son contratistas de Mantenimientos JKF que están desde hace cuatro (4) meses trabajando todos los días en la organización. Usted solicita la identificación respectiva No. 123789 Alberto Rin, 123790 Jhonatan Ribño y 011156 Luis Ribereido. ¿Cuantas entradas hay en el almacén? Roberta muy atenta responde solo dos. Una entrada para el personal que labora en el almacén y contratistas; otra que solo se utiliza para ingreso de componentes y entrega de productos terminados. Usted observa la puerta No. 2 y detalla un Camión “Security JKF” que esta parqueado en el área de cargue de productos y descargue de componentes electrónicos. Usted continúa revisando la zona de almacén y observa en una esquina papel de desperdicio y basura desordenada. Luego se dirige a un cuarto pequeño, pregunta que se almacena en ese lugar, Roberta informa que lógicamente las cintas de backup y algunos equipos de computo para dar de baja, es una zona reservada para IT. Usted registra la cinta con la etiqueta XXX-001, XXX-002 y XXX-003. Los siguientes computadores son equipos para dar de baja: INV-AF-PC-234, INV-AF-PC-132, INV-AF-PC-133, INV-AF-PC-134, INV-AF- PC-145, INV-AF-IMP-14, INV-AF-UPS-113, INV-AF-UPS-15 y INV-AF-SCAN-56. Usted solicita verificar la información de los discos de los equipos INV-AF-PC-234, INV-AF-PC- 132 y INV-AF-PC-145. En el proceso de gestión de seguridad de la información, usted solicita al Ingeniero Rodiño Paez, ¿el procedimiento de auditorias internas? Rodino entrega los registros de auditorias internas. Usted revisa los registros entregados y encuentra el programa anual de auditorias, la designación de responsables, los planes de las auditorias programadas, las listas de verificación, verifica que los auditores no auditaran su propio proceso, evidencia que se realizó auditorias a todos los procesos y detalla los reportes de auditorias internas, detalla otros aspectos y escribe en su lista de verificación los hallazgos. En el Proceso IT, se verifica el equipo INV-AF-PC-234 en el inventario y no aparece como activo. También analiza en los equipos registrados para dar de baja a INV-AF-PC-132 y no se encuentra. Adicionalmente solicita al Sr. Robert Robles

Curso de Auditores Internos de Norma ISO 27001:2005

prender el equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de baja y que no debe tener información; se verifica en los equipos registrados para dar de baja se encuentra registrado. Robert prende el equipo etiquetado INV-AF-PC-145 y con sorpresa aparece el sistema operativo. Usted verifica el Proceso de administración de servicios tecnológicos como es el ingreso de personal a la organización, le informan que el personal puede ingresar únicamente por la entrada principal, todos tienen tarjetas de control de acceso personalizado. En el listado de personal autorizado para ingresar en la sección de Almacén se encuentran Ingeniero Rodiño Paez, Roberta Díaz, los 3 almacenistas, Identifica las credenciales No. 123789, 123790, las cuales corresponde claramente al permiso del día para el contratista Security JKF. Se solicita los registros de Backup, usted busca en sus apuntes las anotaciones de las etiqueta encontradas en almacén XXX-001, XXX-002 y XXX-003, busca en la realización de backup y encuentra evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-001. Le informan que esta cinta no se registró porque se utilizó de prueba al momento de instalar el servidor de backup, pero se guarda para estos fines. Nuevamente el Ingeniero Rodiño Paez, los lleva al proceso de gestión de seguridad de la información, usted solicita las acciones correctivas y preventivas realizadas en el presente año, el gerente del proceso entrega un archivo con esta información, allí encuentra 6 acciones correctivas y 1 acción preventiva, todas cerradas a la fecha, previamente se había observado en las actas del comité de seguridad una queja repetitiva de varios clientes acerca de que no tenían acceso a su cuenta porque la claves no habían sido desbloqueadas oportunamente, y esta no estaba registrada como acción correctiva. Al preguntar al responsable acerca de este inconveniente, dijo que la persona encargada de desbloquear las claves era nueva en el puesto y no se encontraba capacitada, y como el comité de seguridad decidió capacitarla no se registro como acción correctiva. En el Proceso Financiero usted valida las aprobaciones para dar de baja los equipos por parte del Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente Financiero, persona responsable de la aprobación y asignación de dar de baja los activos de la organización. Al observar el área de tesorería encuentra que no hay ninguna persona laborando en esta oficina, usted se acerca a la ventanilla y alcanza a visualizar varias chequeras, dos contratos No. 13456-RIO y 34346-SAO PAULO Confidenciales, además de otros papeles sobre el escritorio. Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicitó permiso para salir temprano el día de hoy. Usted comenta al Gerente financiero sobre los documentos importantes, él índica que ella es muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados. Finalmente termina el proceso de auditoría, muchas gracias al Ingeniero Rodiño Páez, realiza la reunión de auditores internos para definir el respectivo informe.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 13

ISO 27001- JUEGO DE ROLES

OBJETIVO Fortalecer el conocimiento de la norma ISO 27001 en situaciones extremas.

METODOLOGIA Tutor explica la situación a los alumnos que se encuentran en el salón. Se debe realizar una auditoria en sitio. (Utilización lista verificación).

Se destina un tiempo límite para realizar la auditoria.

La auditoria simulada debe seguir los siguientes pasos:

1. Saludo al auditado.

2. Ejecución de la auditoria (Entrevista)

Trabajo en grupo y retroalimentación guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria.

TIEMPO

Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller.

Roles:

El tutor explica a los estudiantes que se deben conformar grupos de 2 estudiantes. En cada grupo un estudiante asumirá el rol de auditor Otro estudiante asumirá el rol de entrevistado y el tutor le asignará una forma de comportarse en la auditoria. Las posibles opciones son:

Auditado es nuevo en el proceso y no tiene información suficiente para responder

Auditado tiene muchos años en el proceso y quiere explicar todas las actividades al auditado

Auditado contesta con respuestas mínimas y cerradas

Auditado no sigue los procedimientos y quiere que el auditor no registres esas fallas

Auditado está inconforme con la organización y opina que todo está mal

Auditado considera que la auditoria busca una excusa para despedirlo

Auditado es desordenado y no encuentra la información solicitada

Auditado entrega información que no es la solicitada

Auditado trata de engañar al auditor con charlas y explicaciones técnicas.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 14

ISO 27001 REUNIÓN DE CIERRE

OBJETIVO

Mejorar las habilidades del auditor para comunicar los resultados de auditoria y sustentar sus decisiones.

METODOLOGIA

Con el taller Análisis de procesos, presentar la justificación de los hallazgos y su clasificación.

Para realizar este Taller el participante en el curso de auditoria interna deberá soportarse en la norma ISO 27001.

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso.

Presentación grupo de evidencias de conformidad, solicitud de acción correctiva y observaciones.

TIEMPO

Tiene un tiempo máximo de (30) minutos para el desarrollo del Taller.

Curso de Auditores Internos de Norma ISO 27001:2005

TALLER No 15

ISO 27001 Seguimiento y Acción correctiva

OBJETIVO

Determinar en el auditor interno la concientización requerida para garantizar la verificación de las no conformidades y cierre eficaz del proceso auditoria interna.

METODOLOGIA

Con el taller de análisis de procesos (registro de no conformidades), seleccionar una (1) no conformidad y determinar las cláusulas que usted revisaría para garantizar que el análisis de causa y actividades son eficaces para realizar el cierre de la no conformidad.

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. El equipo de trabajo presentará los resultados del Taller al tutor.

TIEMPO

Tiene un tiempo máximo de (25) minutos para el desarrollo del Taller.

DESARROLLO

Verificación

Cláusula Evidencias
Cláusula
Evidencias

Eficaz Si

No

Fecha de cierre:

Firma auditor

En caso de no ser eficaz se genera nueva SAC