Está en la página 1de 12

INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX

PROGRAMA DE TRABAJO DE AUDITORÍA ___________


ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 1 de 12

OBJETO A AUDITAR SISTEMA DE GESTIÓN DE LA FECHA


SEGURIDAD DE LA 22 / 05 / 2017 – 26/ 05 /
INFORMACIÓN 2017

RESPONSABLE DEL OBJETO A AUDITAR Erika Tarazona


Adriana Sanchez

PROCEDIMIENTOS AUDITADOS
- Sistema operativo
- Infraestructura

OBJETIVO
General

● Realizar una auditoría interna del SGSI de la organizacion Informatica & Tecnologia Stefanini,
recopilando datos o información requerida sobre la gestión SGSI, como en el análisis de los controles
y los procedimientos del Sistema de Gestión de Seguridad de la Información se encuentren,
conformes con los requisitos que establece el estándar internacional ISO 27001.

Específicos

● Definir el alcance, objetivos y políticas del SGSI


● Identificar los riesgos sobre los activos definidos en el alcance del SGSI
● Implementar controles sobre los activos, basado en un plan de tratamiento de riesgo.

ALCANCE

El plan de auditoría interna tiene como fin poder lograr la certificación bajo la normativa ISO 27001 de
seguridad de la información principalmente se iniciará bajo la observación del área de SGSI donde se
validaron cada uno de los requisitos dados por el estándar, es elaborado teniendo en cuenta la Política de
Seguridad de información de Informática & Tecnología Stefanini S.A., por consiguiente la finalidad del
alcance, se encuentra sujeto a toda la organización.

PRUEBAS A APLICAR
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 2 de 12

REQUISITO PRUEBA CONFORMIDAD OBSERVACIÓN / COMENTARIO

SI NO
Prueba: X Ver anexo A.5.2.1 de la ISO 27001
5.2.1 ¿La alta dirección realiza revisiones
periódicas al Sistema de Gestión de
Seguridad de la Información?

Control:
llevar a cabo revisiones cuando sea
necesario, y reaccionar
apropiadamente a los resultados de
estas revisiones.

Objetivo:
La organización debe determinar y
suministrar los recursos necesarios
A.11.5.1 Prueba: X Ver anexo A.11.5.1 de la ISO
¿Existen mecanismos de inicio de 27001
sesión seguro, como bloqueo de
contraseña por intentos fallidos,
comunicación cifrada de la
contraseña, etc ?

Control:
El acceso a los sistemas operativos
se debe controlar mediante un
procedimiento de registro de inicio
seguro.

Objetivo:
Evitar el acceso no autorizado a los
sistemas operativos
A.10.5.1 Prueba: X Hallazgo No. 1
¿Existe una política para las copias
de respaldo y seguridad de la Ver anexo A.10.5.1 de la ISO
información? 27001

Control:
Se deben hacer copias de respaldo
de la información y del software, y
se deben poner a prueba con
regularidad de acuerdo con la
política de respaldo acordada.

Objetivo:
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 3 de 12

mantener la integridad y
disponibilidad de la información y de
los servicios de procesamiento de
información.
A.8.2 Prueba: X Hallazgo No. 2
¿Se realiza algún programa de
concienciación, formación o Ver anexo A.8.2.2 de la ISO 27001
capacitación sobre la seguridad de
la información?

Control:
Durante la ejecución del empleo,
indica que: Todos los empleados de
la organización, y en donde sea
pertinente, los contratistas, deben
recibir la educación y la formación
en toma de conciencia apropiada, y
actualizaciones regulares sobre las
políticas y procedimientos de la
organización pertinentes para su
cargo.

Objetivo:
asegurar que todos los empleados,
contratistas y usuarios de terceras
partes estén conscientes de las
amenazas y preocupaciones
respecto a la seguridad de la
información, sus responsabilidades
y sus deberes, y que estén
equipados para apoyar
la política de seguridad de la
organización en el transcurso de su
trabajo normal, al igual que reducir
el riesgo de error humano.
A.10.4.1 Prueba: X Adicionalmente se aplican
Todos los equipos y servidores protecciones en las zonas en
tienen instalados antivirus locales contacto con internet.
(centralizados), con sus
correspondientes firewalls. Ver anexo A.10.4.1 de la ISO
27001
Control:
Se deben implementar controles de
detección, prevención y
recuperación para proteger contra
códigos maliciosos, así como
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 4 de 12

procedimientos apropiados de
concientización de los usuarios.

Objetivo:
proteger la integridad del software y
de la información.
A.7.2.1 Prueba: X Hallazgo No.3
¿Se encuentra correctamente
clasificada la información en cuanto Ver anexo A.7.2.1. de la ISO 27001
a su privacidad y requisitos legales
?.
Control:
información se debe clasificar en
términos de su valor, de los
requisitos legales, de la sensibilidad
y la importancia para la
organización.

Objetivo:
asegurar que la información recibe
el nivel de protección adecuado.
A.8.3.2 Prueba: Ver Anexo A.8.3.2 de la ISO 27001
¿Se Verifica correctamente los
procedimientos adecuados para el
etiquetado y el manejo de la
información?

Control:
Se deben desarrollar e implementar
un conjunto de procedimientos
adecuados para el etiquetado y el
manejo de la información de
acuerdo al esquema de clasificación
adoptado por la organización.

Objetivo:
asegurar que los empleados, los
contratistas y los usuarios de
terceras partes salen de la
organización o
cambian su contrato laboral de
forma ordenada.

A.6.1.3 Prueba: X Hallazgo No. 4


¿Se encuentran definidas y
asignadas las funciones y Ver Anexo A.6.1.3 de la ISO 27001
responsabilidades de la
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 5 de 12

información?

Control:
Establecer funciones y
responsabilidades de seguridad de
la información.

Objetivo:
gestionar la seguridad de la
información dentro de la
organización.

A.11.2.2 Prueba: Ver Anexo A.11.2.2 de la ISO


¿Se encuentra restringido y 27001
controlado el uso de privilegios?

Control:
Se debe restringir y controlar la
asignación y uso de privilegios.

Objetivo:
asegurar el acceso de usuarios
autorizados y evitar el acceso de
usuarios no autorizados a los
sistemas de información.
A.6.1.5 Prueba: X Hallazgo No. 5
¿Se han establecido los acuerdos
de confidencialidad y se revisan de Ver anexo A.6.1.5. de la ISO 27001
forma periódica?

Control:
Se deben identificar y revisar con
regularidad los requisitos de
confidencialidad o los acuerdos de
no-divulgación que reflejan las
necesidades de la organización para
la protección de la información

Objetivo:
Gestionar la seguridad de la
información dentro de la
organización.

A.6.1.7 Prueba: X Ver anexo A.6.1.7 de la ISO 27001


La organización posee contactos
apropiados y relacionados con la
seguridad de la información
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 6 de 12

Control:
Se deben mantener los contactos
apropiados con grupos de interés
especiales, otros foros
especializados en seguridad de la
información, y asociaciones de
profesionales.

Objetivo:
gestionar la seguridad de la
información dentro de la
organización.

A10.7.3 Prueba:¿Se encuentran Ver Anexo A.10.7.3 de la ISO


establecidos procedimientos para el 27001
manejo y almacenamiento de la
información?

Control:
Establecer procedimientos para el
manejo y almacenamiento de la
información con el fin de proteger
dicha información contra divulgación
no autorizada o uso inadecuado

Objetivo:
evitar la divulgación, modificación,
retiro o destrucción de activos no
autorizada, y la interrupción en las
actividades del negocio.
A.11.6.1 Prueba: Ver Anexo A.11.6.1 de la ISO
¿Se tiene restringido el acceso a la 27001
información y a las funciones del
sistema?

Control:
Se debe restringir el acceso a la
información y a las funciones del
sistema de aplicación por parte de
los usuarios y del personal de
soporte, de acuerdo con la política
definida de control de acceso.

Objetivo:
evitar el acceso no autorizado a la
información contenida en los
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 7 de 12

sistemas de
información.
A.11.6.1 Prueba Ver Anexo A.11.6.1 de la ISO
¿Esta restringido el acceso a la 27001
información por parte del personal
autorizado?

Control:
Solo el personal autorizado
dispondrá del acceso a la
información y a los sistemas en el
momento que así lo requieran.

Objetivo:
evitar el acceso no autorizado a la
información contenida en los
sistemas de
información.
A.6.1.3 Prueba Ver Anexo A.6.1.3 de la ISO 27001
:¿Se encuentra guardada la
información generada?

Control:
Salvaguardar la precisión y
completitud de la información
generada.

Objetivo:
gestionar la seguridad de la
información dentro de la
organización.

A.11.5.4 Prueba: X Ver anexo A.11.5.4 de la ISO


¿Se encuentran limitadas o 27001
bloqueadas las herramientas y
utilidades del sistema operativo que
puedan afectar la información ?

Control:
Se debe restringir y controlar
estrictamente el uso de programas
utilitarios que pueden anular los
controles del sistema y de la
aplicación.

Objetivo:
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 8 de 12

evitar el acceso no autorizado a los


sistemas operativos.
A.6.1.2 Prueba Ver Anexo A.6.1.2 de la ISO 27001
:¿Se ha desarrollado e e
implementado procedimientos para
el etiquetado de la información?

Control:
Se debe desarrollar e implementar
un conjunto adecuado de
procedimientos para el etiquetado
de la información, de acuerdo con el
esquema de clasificación de
información adoptado por la
organización.

Objetivo:
gestionar la seguridad de la
información dentro de la
organización.
A.5.1.1 Prueba: Ver Anexo A.5.1.1 de la ISO 27001
¿Se conocen los posibles riesgos
que atenten la seguridad de la
información?

Control:
Conocer, administrar y minimizar los
posibles riesgos que atenten contra
la seguridad de la información de la
organización.

Objetivo:
Brindar apoyo y orientación a la
dirección con respecto a la
seguridad de la información,
de acuerdo con los requisitos del
negocio y los reglamentos y las
leyes pertinentes.
A.10.3.2 Prueba : Ver Anexo A.10.3.2 de la ISO
¿Se han creado tiempos para 27001
generar actualizaciones que no
afecten el sistema?
Control:
Crear tiempos de bajo uso por los
clientes del sistema para generar
actualizaciones sin afectar el uso del
sistema
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 9 de 12

Objetivo:
minimizar el riesgo de fallas de los
sistemas.
A.9.2.1 Prueba: X Tener en cuenta que las
Los equipos y dispositivos de la instalaciones no se encuentran
organización, se encuentran acondicionadas para los problemas
adecuadamente ubicados y ambientales (goteras)
protegidos?
Ver anexo A.9.2.1.de la ISO 27001
Control:
Los equipos deben de estar
ubicados y protegidos para reducir
los riesgos de amenazas y peligros
del entorno, y las posibilidades de
acceso no autorizado.

Objetivo:
evitar pérdida, daño, robo o puesta
en peligro de los activos y la
interrupción
de las actividades de la
organización.
A.8.1.2 Prueba: X Ver anexo A.8.1.2 de la ISO 27001
¿La documentación solicitada a los
candidatos sobre sus antecedente
es la original?

Control:
Se deben realizar revisiones para la
verificación de antecedentes de los
candidatos a ser empleados,
contratistas o usuarios de terceras
partes, de acuerdo con los
reglamentos, la ética y las leyes
pertinentes, y deben ser
proporcionales a los requisitos del
negocio, la clasificación de la
información a la cual se va a tener
acceso y los riesgos percibidos

Objetivo:
asegurar que los empleados,
contratistas y usuarios por tercera
parte
entienden sus responsabilidades y
son adecuados para los roles para
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 10 de 12

los que se los


considera, y reducir el riesgo de
robo, fraude o uso inadecuado de
las instalaciones.
A.7.1.3 Prueba: X Hay publicado un código de
¿Existe documentación sobre como conducta y una guía general sobre
dar buen uso de los recursos de el buen uso de los recursos de la
información? información de la organización

Control: Ver anexo A.7.1.3 de la ISO 27001


Se deben identificar, documentar e
implementar reglas para el uso
aceptable de información y de
activos asociados con información e
instalaciones de procesamiento de
información.

Objetivo:
lograr y mantener la protección
adecuada de los activos
organizacionales.
A.8.1.1 Prueba: X Ver anexo A.8.1.1 de la ISO 27001
¿Existe un documento descriptivo
de todos los cargos, donde se
describe cuales son sus funciones y
responsabilidades?

Control:
Se deben definir y documentar los
roles y responsabilidades de los
empleados, contratistas y usuarios
de terceras partes por la seguridad,
de acuerdo con la política de
seguridad de la información de la
organización

Objetivo:
asegurar que los empleados,
contratistas y usuarios por tercera
parte entienden sus
responsabilidades y son adecuados
para los roles para los que se los
considera, y reducir el riesgo de
robo, fraude o uso inadecuado de
las instalaciones.
A.11.1.1 Prueba:¿Se tiene monitoreado el Ver Anexo A.11.1.1 de la ISO
ingreso a las instalaciones 27001
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 11 de 12

informática?

Control:
Monitorización de ingresos a las
instalaciones de informática.

Objetivo:
controlar el acceso a la información
A.9.1.1. Prueba: X Ver anexo A.9.1.1 de la ISO 27001
¿Las instalaciones de la
organización están cerradas al
personal ajeno?

Control:
Se deben utilizar perímetros de
seguridad (barreras tales como
paredes, puertas de acceso
controladas con tarjeta o
mostradores de recepción
atendidos) para proteger las áreas
que contienen información y
servicios de procesamiento de
información.

Objetivo:
evitar el acceso físico no autorizado,
el daño e interferencia a las
instalaciones
y a la información de la
organización.
A.5.1.1 Prueba : Ver anexo A.5.1.1 de la ISO 27001
¿ Se han verificado correctamente
las políticas de protección ?

Control:
Verificar que las políticas de
protección estén funcionando
adecuadamente.

Objetivo:
Brindar apoyo y orientación a la
dirección con respecto a la
seguridad de la información,
de acuerdo con los requisitos del
negocio y los reglamentos y las
leyes pertinentes.
A.5.1.2 Prueba : Ver anexo A.5.1.2 de la ISO 27001
INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________
ACTUALIZACION No XX

AUDITORÍA INTERNA
Página 12 de 12

Se encuentran establecidos
procedimientos para el manejo y
almacenamiento de la información
Control:
Se deben establecer procedimientos
para el manejo y almacenamiento
de la información con el fin de
proteger dicha información contra
divulgación no autorizada o uso
inadecuado.
Objetivo:
Brindar apoyo y orientación a la
dirección con respecto a la
seguridad de la información,
de acuerdo con los requisitos del
negocio y los reglamentos y las
leyes pertinentes.
A.5.1.1 Prueba :
¿Se ha aprobado documento de Ver anexo A.5.1.1 de la ISO 27001
politica de seguridad?
Control:
La dirección debe aprobar un
documento de política de seguridad
de la información y lo debe publicar
y comunicar a todos los empleados
y partes externas pertinentes.
Objetivo:
Brindar apoyo y orientación a la
dirección con respecto a la
seguridad de la información,
de acuerdo con los requisitos del
negocio y los reglamentos y las
leyes pertinentes.

RESPONSABLES
NOMBRE AUDITOR FIRMA
Elaboró

Aprobó

Auditor Líder