Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORÍA DE SISTEMAS
DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN (SGSI)
Edita:
© FUNDACIÓN CONFEMETAL
Príncipe de Vergara, 74 – 28006 Madrid
Tel.: 91 782 36 30. Fax: 91 563 17 41
editorial@fundacionconfemetal.es
www.fundacionconfemetal.com
ISBN: 978-84-15683-97-1
Depósito Legal: M-8603-2014
QUEDA PROHIBIDA TODA REPRODUCCIÓN TOTAL O PARCIAL DE LA OBRA POR CUALQUIER MEDIO
O PROCEDIMIENTO SIN AUTORIZACIÓN PREVIA.
CREDITOS 1-8_CREDITOS 1-4 24/03/14 19:12 Página 5
ÍNDICE
Capítulo 1.
Sistema de Gestión de Seguridad de la Información ............... 9
Capítulo 2.
Conceptos Generales de Auditoría de Tecnologías
de la Información .................................................................. 23
Capítulo 3.
Auditoría de Sistemas de Gestión .......................................... 33
Capítulo 4.
Proyecto de Auditoría de un SGSI .......................................... 51
Capítulo 5.
Técnicas de auditoría ............................................................ 229
Capítulo 6.
Anexos ................................................................................. 243
CAPÍTULO 1.
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
CAP 01_CAP 1 24/03/14 19:12 Página 10
CAP 01_CAP 1 24/03/14 19:12 Página 11
11
CAP 01_CAP 1 24/03/14 19:12 Página 12
12
CAP 01_CAP 1 24/03/14 19:12 Página 13
13
CAP 01_CAP 1 24/03/14 19:12 Página 14
14
CAP 01_CAP 1 24/03/14 19:12 Página 15
Las siglas PDCA son el acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Comprobar, Actuar).
15
CAP 01_CAP 1 24/03/14 19:12 Página 16
PLANIFICAR
HACER
COMPROBAR
ACTUAR
• Modificar los procesos según las conclusiones del paso anterior para
alcanzar los objetivos con las especificaciones iniciales, si fuese
necesario.
• Aplicar nuevas mejoras, si se han detectado errores en el paso anterior.
• Documentar el proceso.
16
CAP 01_CAP 1 24/03/14 19:12 Página 17
PLANIFICAR
17
CAP 01_CAP 1 24/03/14 19:12 Página 18
HACER
COMPROBAR
ACTUAR
18
CAP 01_CAP 1 24/03/14 19:12 Página 19
19
CAP 01_CAP 1 24/03/14 19:12 Página 20
• Errores humanos.
• Acciones malintencionadas.
• Falta de control.
• Fallo de los sistemas.
• Carencia de formación y concienciación.
• Incidentes externos.
• Incumplimiento legal.
• Pérdida documental.
• Pérdida de confidencialidad.
• Indisponibilidad de la información.
• Alto tiempo de recuperación.
• Baja productividad.
• Aumento de los costes.
• Disminución del nivel de servicio.
• Pérdida reputacional.
• Pérdida de oportunidades de negocio.
• Pérdida de clientes.
20
CAP 01_CAP 1 24/03/14 19:12 Página 21
• Reducción de riesgos
Esto se consigue realizando un análisis de riesgos, y elaborando un
conjunto de planes de acción derivado del mismo, que contemplará la
implementación de un conjunto de salvaguardas, lo que reducirá los
riesgos hasta el nivel asumible por la Organización, este proceso esta-
rá alineado los objetivos de negocio de esta.
• Aumento del retorno sobre la inversión en seguridad (ROSI)
La implantación de un SGSI permite una optimización de recursos y un
incremento de la eficacia y eficiencia en el empleo de los mismos, lo
que supone una mejora en el retorno de la inversión. Además de que
la toma de decisiones podrá estar basada en prioridades y datos cuan-
titativos, no sólo cualitativos, lo que permite gestionar mejor la inver-
sión en seguridad, evitándose gastos innecesarios, inesperados, y
sobredimensionados.
• Aumenta la madurez en la gestión de la seguridad
La implementación de un SGSI transforma la seguridad en una activi-
dad de gestión, como cualquier otro proceso de la Organización. Este
concepto es importante dado que la seguridad deja de ser un conjun-
to de actividades técnicas organizadas, para transformarse en un pro-
ceso con un ciclo de vida metódico y controlado. De este modo va
aumentando el nivel de madurez de la Organización en cuanto a la
seguridad y mejorando en cada vuelta de ciclo.
• Cumplimiento legal
Durante la implementación de un SGSI se evalúa el cumplimiento de
la legislación vigente y se verifica la adecuación y el cumplimiento. Por
lo tanto, se crea un marco legal en evaluación continua.
• Generación de valor y factor diferenciador
Es en un importante factor diferenciador con la competencia, por las
ventajas derivadas de la mejora de la imagen y de otras ventajas com-
petitivas en el mercado.
21
CAP 01_CAP 1 24/03/14 19:12 Página 22
22
CAP 02_CAP 1 24/03/14 19:14 Página 23
CAPÍTULO 2.
CONCEPTOS GENERALES
DE AUDITORÍA DE TECNOLOGÍAS
DE LA INFORMACIÓN
CAP 02_CAP 1 24/03/14 19:14 Página 24
CAP 02_CAP 1 24/03/14 19:14 Página 25
2.1. INTRODUCCIÓN
25
CAP 02_CAP 1 24/03/14 19:14 Página 26
2.2. GENERALIDADES
1
Durante el libro nos referiremos al Equipo auditor independientemente de si la auditoría se planifica
con una o más personas.
26
CAP 02_CAP 1 24/03/14 19:14 Página 27
27
CAP 02_CAP 1 24/03/14 19:14 Página 28
2.2.2. Limitaciones
2.2.3. El auditor
28
CAP 02_CAP 1 24/03/14 19:14 Página 29
29
CAP 02_CAP 1 24/03/14 19:14 Página 30
Auditoría interna
La auditoría interna forma parte del control interno, y tiene como uno
de sus objetivos fundamentales el perfeccionamiento y protección de
dicho control interno.
30
CAP 02_CAP 1 24/03/14 19:14 Página 31
Auditoría externa
31
CAP 02_CAP 1 24/03/14 19:14 Página 32
CAP 03_CAP 1 24/03/14 19:16 Página 33
CAPÍTULO 3.
3.1. INTRODUCCIÓN
35
CAP 03_CAP 1 24/03/14 19:16 Página 36
1. Integridad:
2. Presentación imparcial:
36
CAP 03_CAP 1 24/03/14 19:16 Página 37
4. Confidencialidad:
5. Independencia:
37
CAP 03_CAP 1 24/03/14 19:16 Página 38
Para conseguir que las auditorías se realicen de una forma eficaz y efi-
ciente, el programa de auditoría debe incluir la información y los recursos
necesarios para llevarla a cabo.
PLAN
38
CAP 03_CAP 1 24/03/14 19:16 Página 39
— Número de personas.
— Unidades organizacionales.
— Actividades y procesos a ser auditados.
— Duración de la auditoría.
— Ubicaciones físicas.
DO
CHECK
ACT
39
CAP 03_CAP 1 24/03/14 19:16 Página 40
40
CAP 03_CAP 1 24/03/14 19:16 Página 41
3.3.2. Preparación
41
CAP 03_CAP 1 24/03/14 19:16 Página 42
42
CAP 03_CAP 1 24/03/14 19:16 Página 43
El plan debe ser revisado y aceptado por las partes antes del comien-
zo de la auditoría.
43
CAP 03_CAP 1 24/03/14 19:16 Página 44
• Plan de auditoría.
• Lista de representantes del auditado.
• Resumen de la auditoría y confirmación de que se han cumplido los
objetivos planificados inicialmente.
• Las áreas no cubiertas durante la auditoría.
• Los planes de acción acordados si los hubiera.
• Lista de distribución de dicho informe.
44
CAP 03_CAP 1 24/03/14 19:16 Página 45
Una vez que han finalizado todas las actividades descritas en el plan
de auditoría y el informe es aprobado y distribuido, la auditoría se puede
dar por finalizada.
45
CAP 03_CAP 1 24/03/14 19:16 Página 46
46
CAP 03_CAP 1 24/03/14 19:16 Página 47
47
CAP 03_CAP 1 24/03/14 19:16 Página 48
Las normas ISO a las que nos referimos, se basan en el ciclo PDCA y
por lo tanto existen nexos comunes que se integran completamente y se
relacionan entre sí, lo que además de facilitar su implantación también
facilita la auditoría.
48
CAP 03_CAP 1 24/03/14 19:16 Página 49
49
CAP 03_CAP 1 24/03/14 19:16 Página 50
CAP 04_CAP 1 24/03/14 19:19 Página 51
CAPÍTULO 4.
53
CAP 04_CAP 1 24/03/14 19:19 Página 54
54
CAP 04_CAP 1 24/03/14 19:19 Página 55
• Planificación.
• Ejecución.
• Cierre.
55
CAP 04_CAP 1 24/03/14 19:19 Página 56
El nivel de detalle del plan de auditoría debe estar fijado en función del
alcance de esta y de la complejidad del SGSI a auditar. En la elaboración
del plan de auditoría hay que tener en consideración, entre otras cosas,
al menos lo siguiente:
Por otra parte, tanto el nivel de detalle como el contenido del plan de
auditoría de un SGSI, también deben fijarse en función del tipo de audi-
toría que se trate, y por lo tanto existirán diferencias entre la auditoría ini-
cial y las posteriores, así como entre las auditorías internas y externas.
El plan de auditoría debe ser lo suficientemente flexible para permitir dar
cabida a los cambios que sea necesario efectuar en función de los resul-
tados de las actividades de auditoría que se vayan realizando.
56
CAP 04_CAP 1 24/03/14 19:19 Página 57
57
CAP 04_CAP 1 24/03/14 19:19 Página 58
El auditor jefe convocará reuniones del equipo auditor tanto para dis-
tribuir las asignaciones de trabajo previstas en el plan de auditoría, como
cuando sea necesario introducir cambios a las asignaciones iniciales.
Los cambios en las asignaciones de trabajo iniciales pueden surgir a
medida que la auditoría se va llevando a cabo, y pueden ser necesarias
para lograr el cumplimiento de los objetivos de la auditoría.
58
CAP 04_CAP 1 24/03/14 19:19 Página 59
4.3.1. Introducción
Cabe destacar que mientras que la norma ISO / IEC 27007 se centra
en la auditoría de los elementos del sistema de gestión de un SGSI según
se describe en la norma ISO / IEC 27001, existe otra norma, la ISO / IEC
TR 27008 Information technology —Security techniques— Guidelines for
auditors on information security controls que se centra en la comprobación
de algunos de los controles de seguridad de la información, tales como
pueden ser los que se indica en el Anexo A de la norma ISO / IEC 27001
y se describen en la norma ISO / IEC 27002.
59
CAP 04_CAP 1 24/03/14 19:19 Página 60
A continuación vemos con más detalle cada una de estas dos fases.
4.3.2. Fase I
60
CAP 04_CAP 1 24/03/14 19:19 Página 61
— Requerimientos generales.
— Establecimiento y mantenimiento del SGSI:
* Establecimiento del SGSI.
* Implementación y operación del SGSI.
* Monitorización y revisión del SGSI.
* Mantenimiento y mejora del SGSI.
* Requisitos documentales: procedimientos generales, control
de documentación, control de objetivos…).
— Auditorías internas.
— Revisión por la dirección:
61
CAP 04_CAP 1 24/03/14 19:19 Página 62
* Aspectos generales.
* Entradas de la revisión.
* Salidas de la revisión.
— Mejora del SGSI:
* Establecimiento de la mejora continua.
* Acciones correctivas.
* Acciones preventivas.
62
CAP 04_CAP 1 24/03/14 19:19 Página 63
63
CAP 04_CAP 1 24/03/14 19:19 Página 64
64
CAP 04_CAP 1 24/03/14 19:19 Página 65
1.4. Tarea 4: Revisión del alcance del SGSI: El equipo auditor debe
comprobar que la Organización dispone de un documento donde se
especifica claramente cuál es el alcance del SGSI. Es muy impor-
tante que el equipo auditor entienda perfectamente qué incluye el
alcance definido por la Organización auditada, para poder asegurar
que se comprueba y analiza exactamente todo lo que se debe, ni
más, ni menos. Independientemente de dónde se encuentre defini-
do el alcance, en un documento específico o incluido como parte
de un documento más amplio, este debe incluir al menos:
65
CAP 04_CAP 1 24/03/14 19:19 Página 66
66
CAP 04_CAP 1 24/03/14 19:19 Página 67
67
CAP 04_CAP 1 24/03/14 19:19 Página 68
• Actas de reunión.
• Actas de revisiones de la dirección.
• Entrevistas con la dirección.
• Entrevistas con el personal para saber si ha entendido y com-
prendido la política.
• Cómo se ha implantado, difundido o se está desarrollando la
política.
• Cómo se ha realizado la comunicación de la política a la
Organización (intranet, correo electrónico, formación…).
68
CAP 04_CAP 1 24/03/14 19:19 Página 69
69
CAP 04_CAP 1 24/03/14 19:19 Página 70
70
CAP 04_CAP 1 24/03/14 19:19 Página 71
71
CAP 04_CAP 1 24/03/14 19:19 Página 72
72
CAP 04_CAP 1 24/03/14 19:19 Página 73
73
CAP 04_CAP 1 24/03/14 19:19 Página 74
74
CAP 04_CAP 1 24/03/14 19:19 Página 75
75
CAP 04_CAP 1 24/03/14 19:19 Página 76
76
CAP 04_CAP 1 24/03/14 19:20 Página 77
77
CAP 04_CAP 1 24/03/14 19:20 Página 78
78
CAP 04_CAP 1 24/03/14 19:20 Página 79
79
CAP 04_CAP 1 24/03/14 19:20 Página 80
80
CAP 04_CAP 1 24/03/14 19:20 Página 81
81
CAP 04_CAP 1 24/03/14 19:20 Página 82
82
CAP 04_CAP 1 24/03/14 19:20 Página 83
83
CAP 04_CAP 1 24/03/14 19:20 Página 84
84
CAP 04_CAP 1 24/03/14 19:20 Página 85
85
CAP 04_CAP 1 24/03/14 19:20 Página 86
86
CAP 04_CAP 1 24/03/14 19:20 Página 87
87
CAP 04_CAP 1 24/03/14 19:20 Página 88
88
CAP 04_CAP 1 24/03/14 19:20 Página 89
• Planes de acción.
• Informes de seguimiento.
• Actas de revisión del SGSI.
• Informe de auditoría.
• Informes de incumplimiento.
• Informes de incidencias.
• Informes de indicadores de gestión.
89
CAP 04_CAP 1 24/03/14 19:20 Página 90
• La Organización auditada.
• La tecnología.
• Los objetivos y requisitos de la propia Organización.
• Las amenazas identificadas.
• La eficacia de los controles implantados.
• El contexto externo, como por ejemplo los cambios de la nor-
mativa legal o reglamentaria aplicable a la propia Organización.
90
CAP 04_CAP 1 24/03/14 19:20 Página 91
Como ocurre con otras tareas, las evidencias con las que puede
verificar el equipo auditor que la Organización auditada tiene su
enfoque en un proceso de mejora continua pueden encontrarse en
los siguientes documentos:
91
CAP 04_CAP 1 24/03/14 19:20 Página 92
92
CAP 04_CAP 1 24/03/14 19:20 Página 93
93
CAP 04_CAP 1 24/03/14 19:20 Página 94
94
CAP 04_CAP 1 24/03/14 19:20 Página 95
95
CAP 04_CAP 1 24/03/14 19:20 Página 96
96
CAP 04_CAP 1 24/03/14 19:20 Página 97
97
CAP 04_CAP 1 24/03/14 19:20 Página 98
98
CAP 04_CAP 1 24/03/14 19:20 Página 99
99
CAP 04_CAP 1 24/03/14 19:20 Página 100
100
CAP 04_CAP 1 24/03/14 19:20 Página 101
101
CAP 04_CAP 1 24/03/14 19:20 Página 102
102
CAP 04_CAP 1 24/03/14 19:20 Página 103
103
CAP 04_CAP 1 24/03/14 19:20 Página 104
104
CAP 04_CAP 1 24/03/14 19:20 Página 105
105
CAP 04_CAP 1 24/03/14 19:20 Página 106
• Qué se comunica.
• Cuándo se comunica.
• A quién se comunica.
• Qué proceso de comunicación se utiliza.
106
CAP 04_CAP 1 24/03/14 19:20 Página 107
107
CAP 04_CAP 1 24/03/14 19:20 Página 108
108
CAP 04_CAP 1 24/03/14 19:20 Página 109
109
CAP 04_CAP 1 24/03/14 19:20 Página 110
9.3. Tarea 3: Revisión de los registros del SGSI: El auditor debe evaluar
que los registros se protegen de acuerdo a la clasificación de la
información del propio registro y se adoptan las medidas adecua-
das y proporcionales para su protección contra distintas amenazas.
Los registros a los que nos referimos pueden ser por ejemplo:
• Libros de visita.
• Formularios de autorización de acceso.
• Formularios de cambio de acceso.
• Otros registros de aplicación al SGSI.
110
CAP 04_CAP 1 24/03/14 19:20 Página 111
111
CAP 04_CAP 1 24/03/14 19:20 Página 112
112
CAP 04_CAP 1 24/03/14 19:20 Página 113
113
CAP 04_CAP 1 24/03/14 19:20 Página 114
114
CAP 04_CAP 1 24/03/14 19:20 Página 115
115
CAP 04_CAP 1 24/03/14 19:20 Página 116
116
CAP 04_CAP 1 24/03/14 19:20 Página 117
117
CAP 04_CAP 1 24/03/14 19:20 Página 118
118
CAP 04_CAP 1 24/03/14 19:20 Página 119
119
CAP 04_CAP 1 24/03/14 19:20 Página 120
120
CAP 04_CAP 1 24/03/14 19:20 Página 121
121
CAP 04_CAP 1 24/03/14 19:20 Página 122
122
CAP 04_CAP 1 24/03/14 19:20 Página 123
123
CAP 04_CAP 1 24/03/14 19:20 Página 124
124
CAP 04_CAP 1 24/03/14 19:20 Página 125
125
CAP 04_CAP 1 24/03/14 19:20 Página 126
126
CAP 04_CAP 1 24/03/14 19:20 Página 127
4.3.3. Fase II
127
CAP 04_CAP 1 24/03/14 19:20 Página 128
• Comprobar que los registros del sistema de gestión son los adecua-
dos y cumplen de manera suficiente los requisitos de la norma ISO
27001.
• Verificar in situ los requisitos aplicables al SGSI mediante la compro-
bación de los controles establecidos en las distintas instalaciones,
áreas y departamentos de la Organización con el fin de:
128
CAP 04_CAP 1 24/03/14 19:20 Página 129
129
CAP 04_CAP 1 24/03/14 19:20 Página 130
130
CAP 04_CAP 1 24/03/14 19:20 Página 131
2.4. Tarea 1: Comprobación del alcance del SGSI: Aunque esta tarea
se ha comprobado en la auditoría de fase I, en este punto el equi-
po auditor suele revisar el alcance del SGSI a modo recordatorio.
No es habitual que se realicen cambios en el alcance entre la
auditoría de fase I y de fase II. Si esto ocurriera el equipo auditor
debería verificar que dichos cambios no influyen en lo que se ha
revisado en la fase I. Por ejemplo, no es lo mismo dar una nueva
redacción al alcance y que incluya los mismos activos que antes
de la modificación, que incluir un nuevo proceso. En este último
caso, el equipo auditor incluso podría decidir no seguir con la
auditoría y planificar de nuevo una fase I. En cualquier caso, el
equipo auditor debe recabar la información necesaria de la
Organización auditada para comprobar que en la definición del
alcance del SGSI consta lo siguiente:
131
CAP 04_CAP 1 24/03/14 19:20 Página 132
Para esto, el equipo auditor puede obtener evidencias por medio de:
Para esto el equipo auditor puede obtener evidencias por medio de:
132
CAP 04_CAP 1 24/03/14 19:20 Página 133
Para esto, el equipo auditor puede obtener evidencias por medio de:
133
CAP 04_CAP 1 24/03/14 19:20 Página 134
134
CAP 04_CAP 1 24/03/14 19:20 Página 135
Para esto el equipo auditor puede obtener evidencias por medio de:
135
CAP 04_CAP 1 24/03/14 19:20 Página 136
136
CAP 04_CAP 1 24/03/14 19:20 Página 137
Para esto, el equipo auditor puede obtener evidencias por medio de:
137
CAP 04_CAP 1 24/03/14 19:20 Página 138
138
CAP 04_CAP 1 24/03/14 19:20 Página 139
139
CAP 04_CAP 1 24/03/14 19:20 Página 140
Para esto, el equipo auditor puede obtener evidencias por medio de:
140
CAP 04_CAP 1 24/03/14 19:20 Página 141
141
CAP 04_CAP 1 24/03/14 19:20 Página 142
Para esto el equipo auditor puede obtener evidencias por medio de:
142
CAP 04_CAP 1 24/03/14 19:20 Página 143
— Aspectos legales.
— Uso correcto de los recursos.
— Comunicación de incidentes.
— Otros que la Organización auditada considere oportunos.
• La comprobación, mediante muestreo, que las especificaciones
de seguridad revisadas en la terea anterior de los contratos de
trabajo se llevan a cabo. A continuación se incluyen algunos
ejemplos:
— Verificación de contraseña de arranque en ordenador portá-
til.
— Verificación de disco duro cifrado.
— Verificación de puertos USB deshabilitados.
— Verificación de perfiles de acceso a la red corporativa.
— Otros que pudieran estar incluidos en los contratos.
143
CAP 04_CAP 1 24/03/14 19:20 Página 144
Para esto, el equipo auditor puede obtener evidencias por medio de:
144
CAP 04_CAP 1 24/03/14 19:20 Página 145
145
CAP 04_CAP 1 24/03/14 19:20 Página 146
Para esto, el equipo auditor puede obtener evidencias por medio de:
146
CAP 04_CAP 1 24/03/14 19:20 Página 147
147
CAP 04_CAP 1 24/03/14 19:20 Página 148
Para esto, el equipo auditor puede obtener evidencias por medio de:
148
CAP 04_CAP 1 24/03/14 19:20 Página 149
Para esto, el equipo auditor puede obtener evidencias por medio de:
149
CAP 04_CAP 1 24/03/14 19:20 Página 150
150
CAP 04_CAP 1 24/03/14 19:20 Página 151
Para esto el equipo auditor puede obtener evidencias por medio de:
151
CAP 04_CAP 1 24/03/14 19:20 Página 152
152
CAP 04_CAP 1 24/03/14 19:20 Página 153
Para esto, el equipo auditor puede obtener evidencias por medio de:
153
CAP 04_CAP 1 24/03/14 19:20 Página 154
154
CAP 04_CAP 1 24/03/14 19:20 Página 155
155
CAP 04_CAP 1 24/03/14 19:20 Página 156
Para esto, el equipo auditor puede obtener evidencias por medio de:
156
CAP 04_CAP 1 24/03/14 19:20 Página 157
157
CAP 04_CAP 1 24/03/14 19:20 Página 158
Para esto, el equipo auditor puede obtener evidencias por medio de:
158
CAP 04_CAP 1 24/03/14 19:20 Página 159
159
CAP 04_CAP 1 24/03/14 19:20 Página 160
160
CAP 04_CAP 1 24/03/14 19:20 Página 161
Para esto, el equipo auditor puede obtener evidencias por medio de:
161
CAP 04_CAP 1 24/03/14 19:20 Página 162
162
CAP 04_CAP 1 24/03/14 19:20 Página 163
163
CAP 04_CAP 1 24/03/14 19:20 Página 164
164
CAP 04_CAP 1 24/03/14 19:20 Página 165
165
CAP 04_CAP 1 24/03/14 19:20 Página 166
Para esto el equipo auditor puede obtener evidencias por medio de:
166
CAP 04_CAP 1 24/03/14 19:20 Página 167
167
CAP 04_CAP 1 24/03/14 19:20 Página 168
168
CAP 04_CAP 1 24/03/14 19:20 Página 169
169
CAP 04_CAP 1 24/03/14 19:20 Página 170
Para esto, el equipo auditor puede obtener evidencias por medio de:
170
CAP 04_CAP 1 24/03/14 19:20 Página 171
171
CAP 04_CAP 1 24/03/14 19:20 Página 172
172
CAP 04_CAP 1 24/03/14 19:20 Página 173
173
CAP 04_CAP 1 24/03/14 19:20 Página 174
174
CAP 04_CAP 1 24/03/14 19:20 Página 175
175
CAP 04_CAP 1 24/03/14 19:20 Página 176
Para ello, el equipo auditor puede obtener evidencias por medio de:
176
CAP 04_CAP 1 24/03/14 19:20 Página 177
Para esto, el equipo auditor puede obtener evidencias por medio de:
177
CAP 04_CAP 1 24/03/14 19:20 Página 178
178
CAP 04_CAP 1 24/03/14 19:20 Página 179
Para ello el equipo auditor puede obtener evidencias por medio de:
179
CAP 04_CAP 1 24/03/14 19:20 Página 180
180
CAP 04_CAP 1 24/03/14 19:20 Página 181
Para esto el equipo auditor puede obtener evidencias por medio de:
181
CAP 04_CAP 1 24/03/14 19:20 Página 182
182
CAP 04_CAP 1 24/03/14 19:20 Página 183
Para esto, el equipo auditor puede obtener evidencias por medio de:
183
CAP 04_CAP 1 24/03/14 19:20 Página 184
Para esto el equipo auditor puede obtener evidencias por medio de:
184
CAP 04_CAP 1 24/03/14 19:20 Página 185
Para esto el equipo auditor puede obtener evidencias por medio de:
185
CAP 04_CAP 1 24/03/14 19:20 Página 186
Para esto el equipo auditor puede obtener evidencias por medio de:
186
CAP 04_CAP 1 24/03/14 19:20 Página 187
Para esto el equipo auditor puede obtener evidencias por medio de:
187
CAP 04_CAP 1 24/03/14 19:20 Página 188
188
CAP 04_CAP 1 24/03/14 19:20 Página 189
Para esto, el equipo auditor puede obtener evidencias por medio de:
189
CAP 04_CAP 1 24/03/14 19:20 Página 190
190
CAP 04_CAP 1 24/03/14 19:20 Página 191
Para esto, el equipo auditor puede obtener evidencias por medio de:
191
CAP 04_CAP 1 24/03/14 19:20 Página 192
192
CAP 04_CAP 1 24/03/14 19:20 Página 193
193
CAP 04_CAP 1 24/03/14 19:20 Página 194
Para esto, el equipo auditor puede obtener evidencias por medio de:
194
CAP 04_CAP 1 24/03/14 19:20 Página 195
195
CAP 04_CAP 1 24/03/14 19:20 Página 196
Para esto, el equipo auditor puede obtener evidencias por medio de:
196
CAP 04_CAP 1 24/03/14 19:20 Página 197
197
CAP 04_CAP 1 24/03/14 19:20 Página 198
198
CAP 04_CAP 1 24/03/14 19:20 Página 199
Para esto el equipo auditor puede obtener evidencias por medio de:
199
CAP 04_CAP 1 24/03/14 19:20 Página 200
200
CAP 04_CAP 1 24/03/14 19:20 Página 201
201
CAP 04_CAP 1 24/03/14 19:20 Página 202
202
CAP 04_CAP 1 24/03/14 19:20 Página 203
Para esto el equipo auditor puede obtener evidencias por medio de:
203
CAP 04_CAP 1 24/03/14 19:20 Página 204
204
CAP 04_CAP 1 24/03/14 19:20 Página 205
205
CAP 04_CAP 1 24/03/14 19:20 Página 206
Para esto el equipo auditor puede obtener evidencias por medio de:
206
CAP 04_CAP 1 24/03/14 19:20 Página 207
207
CAP 04_CAP 1 24/03/14 19:20 Página 208
208
CAP 04_CAP 1 24/03/14 19:20 Página 209
Para esto, el equipo auditor puede obtener evidencias por medio de:
209
CAP 04_CAP 1 24/03/14 19:20 Página 210
210
CAP 04_CAP 1 24/03/14 19:20 Página 211
Para esto, el equipo auditor puede obtener evidencias por medio de:
211
CAP 04_CAP 1 24/03/14 19:20 Página 212
212
CAP 04_CAP 1 24/03/14 19:20 Página 213
Para esto, el equipo auditor puede obtener evidencias por medio de:
213
CAP 04_CAP 1 24/03/14 19:20 Página 214
214
CAP 04_CAP 1 24/03/14 19:20 Página 215
Para esto, el equipo auditor puede obtener evidencias por medio de:
215
CAP 04_CAP 1 24/03/14 19:20 Página 216
Una vez que han finalizado todas las actividades y tareas descritas en
el plan de auditoría, el equipo auditor realiza el informe de auditoría que
será distribuido a la Organización auditada para su aprobación.
216
CAP 04_CAP 1 24/03/14 19:20 Página 217
217
CAP 04_CAP 1 24/03/14 19:20 Página 218
218
CAP 04_CAP 1 24/03/14 19:20 Página 219
219
CAP 04_CAP 1 24/03/14 19:20 Página 220
220
CAP 04_CAP 1 24/03/14 19:20 Página 221
221
CAP 04_CAP 1 24/03/14 19:20 Página 222
O cuando:
222
CAP 04_CAP 1 24/03/14 19:20 Página 223
223
CAP 04_CAP 1 24/03/14 19:20 Página 224
224
CAP 04_CAP 1 24/03/14 19:20 Página 225
225
CAP 04_CAP 1 24/03/14 19:20 Página 226
226
CAP 04_CAP 1 24/03/14 19:20 Página 227
227
CAP 04_CAP 1 24/03/14 19:20 Página 228
228
CAP 05_CAP 1 24/03/14 19:23 Página 229
CAPÍTULO 5.
TÉCNICAS DE AUDITORÍA
CAP 05_CAP 1 24/03/14 19:23 Página 230
CAP 05_CAP 1 24/03/14 19:23 Página 231
Técnicas de Auditoría
231
CAP 05_CAP 1 24/03/14 19:23 Página 232
232
CAP 05_CAP 1 24/03/14 19:23 Página 233
Técnicas de Auditoría
233
CAP 05_CAP 1 24/03/14 19:23 Página 234
Una vez que han finalizado todas las actividades descritas en el plan
de auditoría y el informe es aprobado y distribuido, la auditoría se puede
dar por finalizada.
234
CAP 05_CAP 1 24/03/14 19:23 Página 235
Técnicas de Auditoría
235
CAP 05_CAP 1 24/03/14 19:23 Página 236
Una vez que se dispone de la aprobación para hablar con los usuarios,
se hace la convocatoria de la entrevista enviando la información oportu-
na y fijando los objetivos, el método de trabajo que se va a seguir y el
tiempo del que se dispone.
236
CAP 05_CAP 1 24/03/14 19:23 Página 237
Técnicas de Auditoría
— Preguntas abiertas.
— Utilizar las palabras y las frases apropiadas, evitando tecnicismos.
— Asentir y dar muestras de escucha.
— Repetir las respuestas dadas.
— Pausas.
• Ser imparcial.
• Ser ponderado.
• Ser buen oyente.
• Tener cierto grado de habilidad en el trato.
237
CAP 05_CAP 1 24/03/14 19:23 Página 238
Como las entrevistas son uno de los medios más efectivos de recopi-
lar información, deben llevarse a cabo de un modo adaptado a la situación
y a la persona entrevistada, y el auditor debe tener presente, tanto en la
planificación de las entrevistas, como en su desarrollo, lo siguiente:
5.3. MUESTREO
238
CAP 05_CAP 1 24/03/14 19:23 Página 239
Técnicas de Auditoría
239
CAP 05_CAP 1 24/03/14 19:23 Página 240
240
CAP 05_CAP 1 24/03/14 19:23 Página 241
Técnicas de Auditoría
241
CAP 05_CAP 1 24/03/14 19:23 Página 242
242
CAP 06_CAP 1 24/03/14 19:23 Página 243
CAPÍTULO 6.
ANEXOS
CAP 06_CAP 1 24/03/14 19:24 Página 244
CAP 06_CAP 1 24/03/14 19:24 Página 245
Anexos
PLANIFICACIÓN FASE I
ORGANIZACIÓN AUDITADA
NORMA DE APLICACIÓN
Nº EXPEDIENTE TIPO DE ACTIVIDAD FECHA
O REGLAMENTO
UNE-EN
XXXXX AUDITORÍA – FASE I XX/XX/XXXX
ISO 27001:2013
245
CAP 06_CAP 1 24/03/14 19:24 Página 246
DATOS DE LA EMPRESA
ORGANIZACIÓN/EMPRESA: ORGANIZACIÓN AUDITADA
REPRESENTANTE DE LA DIRECCIÓN: EL REPRESENTANTE DE LA ORGANIZACIÓN AUDITADA
DATOS DEL EQUIPO AUDITOR
AUDITOR JEFE: nombre y apellidos del auditor jefe
AUDITOR: nombre y apellidos del auditor
AUDITOR: nombre y apellidos del auditor
AUDITOR EN PRÁCTICAS: nombre y apellidos del auditor en prácticas
OBSERVADOR: nombre y apellidos del observador
EXPERTO: nombre y apellidos del experto
DIRECCIONES DE LOS CENTROS A AUDITAR
Centro 1
Dirección completa del Centro 1
OBJETIVO Y ALCANCE DE LA AUDITORÍA
El objetivo de la auditoría es evaluar el sistema de gestión de la Organización/empresa para
las actividades de:
“Alcance del SGSI definido por la Organización auditada” con el fin de determinar el nivel de
implantación y cumplimiento de los requisitos de la/s norma/s/reglamentos de referencia.
FECHA INICIO AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)
NOTAS:
1. Toda la documentación que se emplee o se genere durante la auditoría es de carácter confidencial,
no pudiendo transcribirse a terceros o reproducirse sin permiso expreso de la empresa.
2. La reunión inicial tiene como fin presentar el equipo auditor a la empresa (dirección y responsables
de departamentos, áreas, etc.), informar del objeto y alcance de la auditoría, confirmar la planifica-
ción aclarando la secuencia de realización y explicar la sistemática de realización de la auditoría.
Tendrá lugar a la llegada del equipo auditor el primer día de auditoría.
3. La reunión final tiene por objeto dar lectura al informe de auditoría donde se reflejan los resultados
de la auditoría. Deberían estar presentes las mismas personas indicadas en la reunión inicial.
4. El orden y horario de las actividades y tareas son orientativos y pueden modificarse durante el desa-
rrollo de la auditoría, en función de su evolución.
5. En caso de recusación de auditores rogamos nos lo comuniquen con la mayor brevedad posible.
6. Los requisitos a tener en cuenta durante la auditoría son los establecidos en la documentación del
sistema de gestión de la empresa, la norma ISO 27001 y el reglamento de certificación.
246
CAP 06_CAP 1 24/03/14 19:24 Página 247
Anexos
REUNIÓN INICIAL
247
CAP 06_CAP 1 24/03/14 19:24 Página 248
REUNIÓN FINAL
248
CAP 06_CAP 1 24/03/14 19:24 Página 249
Anexos
249
CAP 06_CAP 1 24/03/14 19:24 Página 250
250
CAP 06_CAP 1 24/03/14 19:24 Página 251
Anexos
PLANIFICACIÓN FASE II
ORGANIZACIÓN AUDITADA
NORMA DE APLICACIÓN
Nº EXPEDIENTE TIPO DE ACTIVIDAD FECHA
O REGLAMENTO
UNE-EN
XXXXX AUDITORÍA – FASE II XX/XX/XXXX
ISO 27001:2013
Fecha: XX-XX-XXXX Revisión: 1.0
251
CAP 06_CAP 1 24/03/14 19:24 Página 252
DATOS DE LA EMPRESA
ORGANIZACIÓN/EMPRESA: ORGANIZACIÓN AUDITADA
REPRESENTANTE DE LA DIRECCIÓN: EL REPRESENTANTE DE LA ORGANIZACIÓN AUDITADA
DATOS DEL EQUIPO AUDITOR
AUDITOR JEFE: nombre y apellidos del auditor jefe
AUDITOR: nombre y apellidos del auditor
AUDITOR: nombre y apellidos del auditor
AUDITOR EN PRÁCTICAS: nombre y apellidos del auditor en prácticas
OBSERVADOR: nombre y apellidos del observador
EXPERTO: nombre y apellidos del experto
DIRECCIONES DE LOS CENTROS A AUDITAR
Centro 1
Dirección completa del Centro 1
OBJETIVO Y ALCANCE DE LA AUDITORÍA
El objetivo de la auditoría es evaluar el sistema de gestión de la Organización/empresa para
las actividades de:
“Alcance del SGSI definido por la Organización auditada” con el fin de determinar el nivel de
implantación y cumplimiento de los requisitos de la/s norma/s/reglamentos de referencia.
FECHA INICIO AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)
FECHA FIN AUDITORÍA: (FECHA XX/XX/XX) (HORA – XX:XX.)
NOTAS:
1. Toda la documentación que se emplee o se genere durante la auditoría es de carácter confidencial,
no pudiendo transcribirse a terceros o reproducirse sin permiso expreso de la empresa.
2. La reunión inicial tiene como fin presentar el equipo auditor a la empresa (dirección y responsables
de departamentos, áreas, etc.), informar del objeto y alcance de la auditoría, confirmar la planifica-
ción aclarando la secuencia de realización y explicar la sistemática de realización de la auditoría.
Tendrá lugar a la llegada del equipo auditor el primer día de auditoría.
3. La reunión final tiene por objeto dar lectura al informe de auditoría donde se reflejan los resultados
de la auditoría. Deberían estar presentes las mismas personas indicadas en la reunión inicial.
4. El orden y horario de las actividades y tareas son orientativos y pueden modificarse durante el desa-
rrollo de la auditoría, en función de su evolución.
5. En caso de recusación de auditores rogamos nos lo comuniquen con la mayor brevedad posible.
6. Los requisitos a tener en cuenta durante la auditoría son los establecidos en la documentación del
sistema de gestión de la empresa, la norma ISO 27001 y el reglamento de certificación.
7. El equipo auditor verificará el cumplimiento del Sistema de Gestión de Seguridad de la Información
de la Organización auditada contra los apartados de la norma de referencia y además, realizará
pruebas de cumplimiento de los objetivos de control y controles implantados en la Organización.
8. Para ello, el equipo auditor seleccionará las pruebas de cumplimiento a realizar sobre los controles
implantados en base al análisis de riesgos y a la declaración de aplicabilidad vigente y el ANEXO A
de la norma UNE-ISO/IEC 27001:2013.
9. A continuación se adjuntan los anexos específicos de la planificación de la auditoría.
252
CAP 06_CAP 1 24/03/14 19:24 Página 253
Anexos
253
CAP 06_CAP 1 24/03/14 19:24 Página 254
254
CAP 06_CAP 1 24/03/14 19:24 Página 255
Anexos
255
CAP 06_CAP 1 24/03/14 19:24 Página 256
256
CAP 06_CAP 1 24/03/14 19:24 Página 257
Anexos
Auditor Jefe
257
CAP 06_CAP 1 24/03/14 19:24 Página 258
ÍNDICE
DATOS DE LA ORGANIZACIÓN
1. OBJETO Y ALCANCE DE LA AUDITORÍA INTERNA
2. INFORME EJECUTIVO
3. DETALLE TÉCNICO DE LA AUDITORÍA
4. CONTEXTO DEL SGSI
4.1. Contexto de la Organización
4.2. Necesidades de las partes interesadas
4.3. Alcance del SGSI
5. LIDERAZGO
5.1. Liderazgo y compromiso
5.2. Política de seguridad de la información
5.3. Roles y responsabilidades
6. PLANIFICACIÓN
6.1. Análisis de riesgos
6.2. Objetivos de seguridad de la información
7. SOPORTE
7.1. Recursos
7.2. Competencias
7.3. Concienciación
7.4. Comunicación
7.5. Documentación
8. OPERACIÓN
8.1. Planificación y control
8.2. Evaluación de riesgos
8.3. Tratamiento de riesgos
9. EVALUACIÓN DEL DESEMPEÑO
9.1. Seguimiento, medición, análisis y evaluación
9.2. Auditoría interna
9.3. Revisión de la gestión
10. MEJORA
10.1. No conformidades y acciones correctivas
10.2. Mejora continua
11. RESUMEN DE LOS RESULTADOS
11.1. No Conformidades
11.2. Observaciones y oportunidades de mejora
12. DISTRIBUCIÓN DEL INFORME
258
CAP 06_CAP 1 24/03/14 19:24 Página 259
Anexos
259
CAP 06_CAP 1 24/03/14 19:24 Página 260
260
CAP 06_CAP 1 24/03/14 19:24 Página 261
Anexos
261
CAP 06_CAP 1 24/03/14 19:24 Página 262
262
CAP 06_CAP 1 24/03/14 19:24 Página 263
Anexos
263
CAP 06_CAP 1 24/03/14 19:24 Página 264
264