Está en la página 1de 134

FORMACIÓN COMO

AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013

© SGS SA 2012 ALL RIGHTS RESERVED 1


OBJETIVOS
Interpretar la
importancia de los
Conocer e Interpretar Comprender el aspectos
la serie de normas enfoque basado en relacionados con
ISO/IEC 27001. procesos PHVA Análisis y Evaluación
de Riesgos para un
SGSI

Conocer técnicas y Conocer los


Conocer los
herramientas para aspectos
requisitos
realizar auditorias relacionados con los
establecidos por el
internas al SGSI. y objetivos y
estándar ISO27001,
Desarrollar actividades de
para implementar un
habilidades para la control del Anexo A
SGSI en las
realización de las del estándar
organizaciones.
mismas. ISO27001.

© SGS SA 2012 ALL RIGHTS RESERVED 2


MÓDULO I.

© SGS SA 2012 ALL RIGHTS RESERVED 3


FAMILIA ISO 27000

ISO/IEC 27000 Fundamentals and vocabulary


ISO/IEC 27001 ISMS - Requirements
ISO/IEC 27002 Code of practice for information security management
ISO/IEC 27003 ISMS implementation guidance
ISO/IEC 27004 Information security management measurement
ISO/IEC 27005 Information security risk management
ISO/IEC 27006 Requirements for bodies providing audit and certification of information
security management systems
ISO/IEC 27007 Guidelines for information security management systems auditing

Accreditation Standards
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems.
© SGS SA 2012 ALL RIGHTS RESERVED 4
ISO 27001:2013 – ISO 27001:2005

© SGS SA 2012 ALL RIGHTS RESERVED 5


ANEXO SL

Es una directriz de la ISO para la redacción de


normas de sistemas de gestión basada en tres pilares

DEFINICIONES
TÍTULOS IDÉNTICOS TEXTOS Y TÉRMINOS
PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS

• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
usando los mismos textos
• Para cada norma particular • Para cada norma podrán
(texto estándar – anexo
pueden adicionarse establecerse definiciones
SL).
subcapítulos y adicionales pero
subcláusulas. • En todas las normas se únicamente para términos
utilizarán términos iguales técnicos de la especialidad.
con significados iguales.

© SGS SA 2012 ALL RIGHTS RESERVED 6


ISO 27001:2013

La norma define seguridad como la preservación de:

SGSI

Confidencialidad Disponibilidad

Seguridad de que la información es Seguridad de que los


accesible solamente a quienes están usuarios autorizados
autorizados para ello. tienen acceso a la
Integridad
información en el momento
que la requieran.
Protección de la exactitud y
estado completo de la información
y métodos de procesamiento.
© SGS SA 2012 ALL RIGHTS RESERVED 7
ISO 27001:2013 - CONTENIDO

4. Contexto de la
Organización

© SGS SA 2012 ALL RIGHTS RESERVED 8


ISO 27001:2013 – ANEXO A

A5 Política de
Seguridad A6 Organización
de la Seguridad de
A11 Seguridad la información
Física y del
Entorno

A7 Recursos
Humanos
A10 Criptografía

A9 Control de A8 Gestión de Activos


Acceso

© SGS SA 2012 ALL RIGHTS RESERVED 9


ISO 27001:2013 – ANEXO A

A12 A13
Operaciones Comunicacione
A18
Cumplimiento s

A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento

A15
A16 Incidentes Proveedores

© SGS SA 2012 ALL RIGHTS RESERVED 10


INTRODUCCIÓN

0.1 GENERALIDADES
Esta norma internacional ha sido preparada para proveer un modelo
para:
• Establecer, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar un Sistema de Gestión de la Seguridad de la
información SGSI.

• La adopción de un SGSI debe ser una decisión estratégica para


una organización.

• El SGSI preserva la confidencialidad, la integridad y la


disponibilidad de la información, mediante la aplicación de un
proceso de gestión del riesgo, y brinda confianza a las partes
interesadas acercad de que los riesgos son gestionados
adecuadamente.
© SGS SA 2012 ALL RIGHTS RESERVED 11
1. OBJETO Y CAMPO DE
APLICACIÓN

Esta Norma Internacional especifica los requisitos para establecer, implementar,


mantener y mejorar continuamente un sistema de gestión de la seguridad de la
información dentro del contexto de la organización. La presente Norma
Internacional incluye también los requisitos para la evaluación y el tratamiento de
riesgos de seguridad de la información, adaptados a las necesidades de la
organización. Los requisitos establecidos en esta Norma Internacional son
genéricos y están previstos para ser aplicables a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. Cuando una organización
declara conformidad con esta Norma Internacional, no es aceptable excluir
cualquiera de los requisitos especificados de los apartados 4 a 10.

© SGS SA 2012 ALL RIGHTS RESERVED 12


2. REFERENCIAS
NORMATIVAS

Los siguientes documentos, en parte o en su totalidad, se referencian


normativamente en este documento y son indispensables para su aplicación.
Para referencias fechadas sólo se aplica la edición citada. Para referencias no
fechadas se aplica la edición más reciente del documento referenciado (incluida
cualquier enmienda).

ISO/IEC 27000, Information technology — Security techniques — Information


security management systems — Overview and vocabulary

© SGS SA 2012 ALL RIGHTS RESERVED 13


3. TÉRMINOS Y
DEFINICIONES

Para los propósitos de este documento se aplican


los términos y definiciones presentados en la
norma ISO/IEC 27000.

© SGS SA 2012 ALL RIGHTS RESERVED 14


CAPITULO 4

CONTEXTO DE LA ORGANIZACIÓN

4.1 4.2 4.3 4.4


CONOCIMIENTO DE COMPRENSIÓN DE LAS DETERMINACIÓN DEL SISTEMA DE GESTIÓN
LA ORGANIZACIÓN NECESIDADES Y ALCANCE DEL SGSI DE LA SEGURIDAD DE
Y DE SU CONTEXTO EXPECTATIVAS DE LAS LA INFORMACIÓN
PARTES INTERESADAS

© SGS SA 2012 ALL RIGHTS RESERVED 15


4. CONTEXTO DE LA
ORGANIZACIÓN

4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debe determinar las cuestiones externas e internas que son


pertinentes para su propósito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestión de la seguridad de la
información

© SGS SA 2012 ALL RIGHTS RESERVED 16


4. CONTEXTO DE LA
ORGANIZACIÓN

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES


INTERESADAS

La organización debe determinar:

a) las partes interesadas que son pertinentes al sistema de gestión de la


seguridad de la información; y

b) los requisitos de estas partes interesadas pertinentes a seguridad de la


información.

© SGS SA 2012 ALL RIGHTS RESERVED 17


4. CONTEXTO DE LA
ORGANIZACIÓN
4.3 DETERMINACION DEL ALCANCE DEL SGSI
La organización debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance.

Para determinar el alcance la organización debe considerar:


a) Aspectos internos y externos referidas en el 4.1. y
b) Los requisitos referidos en 4.2.; y
c) Las interfaces y dependencias entre las actividades realizadas y las que
realizan otras empresas.
 El alcance debe estar disponible como información documentada

© SGS SA 2012 ALL RIGHTS RESERVED 18


CAPITULO 5

LIDERAZGO

5.1 5.2 5.3


LIDERAZGO Y POLÍTICA ROLES,
COMPROMISO RESPONSABILIDADES
Y AUTORIDADES EN
LA ORGANIZACIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 19


5. LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI así:
a) Asegurado que se establece la política y los objetivos del SGSI.
b) Asegurando la integración de los requisitos del SGSI con los procesos de negocio
c) Asegurando la disponibilidad de los recursos necesarios
d) Comunicando la importancia de una gestión eficaz y de conformidad con los requisitos
del SGSI.
e) Asegurando que el SGSI logre los resultados previstos.
f) Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
g) Promoviendo mejora continúa.
h) Apoyando otros roles pertinentes de la dirección para demostrar liderazgo aplicado a sus
áreas de responsabilidad.

© SGS SA 2012 ALL RIGHTS RESERVED 20


5. LIDERAZGO

5.2 POLÍTICA
La Alta Dirección debe establecer una política que:
a) Sea adecuada al propósito de la organización.
b) Incluya objetivos de Seguridad de la Información o proporcione el marco para
el establecimiento de los mismos.
c) Incluya un compromiso de cumplir los requisitos aplicables relacionados con
la Seguridad.
d) Incluya compromiso de Mejora Continua

La política debe:
e) Estar como información documentada.
f) Comunicarse dentro de la empresa.
g) Estar disponible para las partes interesadas, según sea apropiado.
© SGS SA 2012 ALL RIGHTS RESERVED 21
5. LIDERAZGO

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN


La alta dirección debe asegurarse de que las responsabilidades y autoridades para
los roles pertinentes se asignen y comuniquen.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) asegurarse de que el sistema de gestión de la seguridad de la información sea


conforme con los requisitos de esta Norma Internacional; e

b) informar a la alta dirección sobre el desempeño del sistema de gestión de la


seguridad de la información.

© SGS SA 2012 ALL RIGHTS RESERVED 22


CAPITULO 6

PLANIFICACIÓN

6.2
6.1 OBJETIVOS DE
ACCIONES PARA
SEGURIDAD DE LA
TRATAR RIESGOS Y
INFORMACIÓN Y PLANES
OPORTUNIDADES
PARA LOGRARLOS

6.1.1
Generalidades

6.1.2
Valoración de
riesgos de la SI

6.1.3
Tratamiento de
Riesgos de la SI

© SGS SA 2012 ALL RIGHTS RESERVED 23


6. PLANIFICACIÓN
6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
6.1.1. GENERALIDADES

Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado


4.1. Y los requisitos a que se hace referencia en el apartado 4.2. Y determinar los
riesgos y oportunidades con el fin de:
a) Asegurar que el SGSI pueda lograr los resultados previstos.
b) Prevenir o reducir los efectos indeseados.
c) Lograr la mejorar continua.
La organización debe planificar:
d) Las acciones para tratar los riesgos y oportunidades
e) La manera de:
1. Integrar e implementar estas acciones en sus procesos
2. Evaluar la eficacia de estas acciones.
© SGS SA 2012 ALL RIGHTS RESERVED 24
6. PLANIFICACIÓN

6.1.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:


a) Establezca y mantenga criterios de riesgo de seguridad que incluya:
1. Criterios de Aceptación de riesgos.
2. Criterios para realizar valoraciones de riesgos.
b) Asegure que las valoraciones repetidas de riesgos produzcan resultados
consistentes, válidos y comparables.
c) Identifique los riesgos:
1. Aplicar el proceso de valoración de riesgos para identificar los riesgos
asociados con la pérdida de la confidencialidad, de integridad y de
disponibilidad de la información dentro del alcance.
2. Identificar a los dueños de los riesgos.

© SGS SA 2012 ALL RIGHTS RESERVED 25


6. PLANIFICACIÓN
6.1.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

d) Analice los riesgos:


1. Evaluar las consecuencias potenciales si se materializan los riesgos
identificados 6.1.2 c. 1.
2. Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c.
1.
3. Determinar los niveles de riesgo.
e) Evalúe los riesgos:
1. Comparar los resultados del análisis de riesgos con los criterios establecidos
en identificados 6.1.2 a.
2. Priorizar los riesgos analizados para el tratamiento de riesgos.

Se debe conservar información documentada acerca del proceso de evaluación de


riesgos.
© SGS SA 2012 ALL RIGHTS RESERVED 26
6. PLANIFICACIÓN
6.1.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN

Se debe definir y aplicar un proceso de tratamiento de riesgos para:


a) Seleccionar las opciones apropiadas de tratamiento de riesgos, teniendo en cuenta los
resultados de la evaluación de riesgos.
b) Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
c) Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que no
se han omitidos controles.
d) Producir una Declaración de Aplicabilidad que tenga los controles necesarios y la
justificación de las exclusiones, ya sea que se implementen o no y la justificación para
las exclusiones de los controles del Anexo A.
e) Formular un plan de tratamiento de riesgos.
f) Obtener la aprobación del plan te tratamiento de riesgos y la aceptación de riesgos
residuales por parte de los dueños de los riesgos
Se debe conservar información documentada acerca del proceso de tratamiento de riesgos
© SGS SA 2012 ALL RIGHTS RESERVED 27
6. PLANIFICACIÓN
6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS

La organización debe establecer los objetivos de SI en las funciones y niveles pertinentes.

Los objetivos deben:


a) Ser coherentes con la política
b) Ser medibles (si es posible)
c) Tener en cuenta los requisitos de SI aplicables y los resultados de la valoración y
tratamiento de los riesgos
d) Ser comunicados
e) Ser actualizados, según sea apropiado

Se debe conservar información documentada sobre los objetivos de SI

© SGS SA 2012 ALL RIGHTS RESERVED 28


6. PLANIFICACIÓN
6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS

Cuando se hace la planificación para lograr sus objetivos de SI, la organización


debe determinar:

a) Lo que se va a hacer
b) Que recursos se requerirán
c) Quien será responsable
d) Cuándo se finalizará
e) Cómo se evaluarán los resultados

© SGS SA 2012 ALL RIGHTS RESERVED 29


CAPITULO 7

SOPORTE

7.2 7.3 7.4 7.5


7.1 COMUNIACIÓN
RECURSOS COMPETENCIA TOMA DE CONCIENCIA INFORMACIÓN DOCUMENTADA

7.5.1
Generalidades

7.5.2 Creación y
Actualización

7.5.3 Control de la
Información
Documentada

© SGS SA 2012 ALL RIGHTS RESERVED 30


7. SOPORTE
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementación, mantenimiento y mejora contínua del SGSI

7.2 COMPETENCIA
Se debe:
a) Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeño de la seguridad de la información.
b) Asegurar que las personas sean competentes, basándose en: educación,
formación o experiencia adecuadas.
c) Tomar acciones para adquirir la competencia necesario y evaluar su eficacia
(cuando sea aplicable)
d) Conservar la información documentada apropiada como evidencia.

© SGS SA 2012 ALL RIGHTS RESERVED 31


7. SOPORTE
7.3 TOMA DE CONCIENCIA
Las personas deben tomar conciencia de:
a) La política.
b) Su contribución a la eficacia, incluyendo los beneficios de una mejora del desempeño.
c) Las implicaciones de la No Conformidad con los requisitos del SGSI.

7.4 COMUNICACIÓN
Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;
a) El contenido de la comunicación.
b) Cuando comunicar.
c) A quién comunicar.
d) Quién debe comunicar
e) Los procesos para llevar a cabo la comunicación.
© SGS SA 2012 ALL RIGHTS RESERVED 32
7. SOPORTE
7.5 INFORMACIÓN DOCUMENTADA
7.5.1 Generalidades

El SGSI debe incluir:


a) Información documentada requerida por la norma
b) Información documentada que la organización ha determinado que es necesaria para la
eficacia del SGSI.

Nota: El alcance de la información documentada puede ser diferente de una organización a


otra, debido a:
a) El tamaño de la organización y su tipo de actividades, procesos, productos y servicios.
b) La Complejidad de los procesos y sus interacciones.
c) La Competencia de las personas

© SGS SA 2012 ALL RIGHTS RESERVED 33


7. SOPORTE
7.5 INFORMACIÓN DOCUMENTADA
7.5.2 Creación y actualización

Cuando se crea o actualiza información documentada, se debe asegurar que sea apropiado:
a) La identificación y descripción (título, fecha, autor o número de referencia)
b) El formato (idioma, versión de Software, gráficos) y sus medios de soporte (papel,
electrónico).
c) La revisión y aprobación con respecto a la idoneidad y adecuación.

7.5.3 Control de la información documentada


La información documentada se debe controlar para asegurar que:
a) Esté disponible y adecuado para su uso, cuando y donde se requiere
b) Esté protegida adecuadamente (pérdida de confidencialidad, uso inadecuado o pérdida de
integridad).

© SGS SA 2012 ALL RIGHTS RESERVED 34


7. SOPORTE

7.5 INFORMACIÓN DOCUMENTADA


7.5.3 Control de la información documentada

Para el control de la documentación, la organización debe tratar las siguientes actividades,


según sea aplicable:

c) Distribución, acceso, recuperación y uso


d) Almacenamiento y preservación, incluido la legibilidad.
e) Control de Cambios (versión)
f) Retención y disposición.

Se debe identificar y controlar la información de origen externo, que la organización ha


determinado que es necesario para la planificación y operación del SGSI.

© SGS SA 2012 ALL RIGHTS RESERVED 35


CAPITULO 8

OPERACIÓN

8.1 8.2 8.3


PLANIFICACIÓN Y VALORACIÓN DE TRATAMIENTO DE
CONTROL RIESGOS DE LA LOS RIESGOS DE LA
OPERACIONAL SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 36


8. OPERACION

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL

Se debe planificar, implementar y controlar los procesos necesarios para cumplir


con los requisitos de SI y para implementar las acciones determinadas en el
numeral 6.1. y para lograr los objetivos de SI del numeral 6.2
Se debe mantener información documentada para tener la confianza en que los
procesos se han llevado a cabo según lo planeado.
Se deben controlar los cambios planificados y revisar las consecuencias de los
cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando
sea necesario.
Se debe asegurar que los procesos contratados externamente estén controlados.

© SGS SA 2012 ALL RIGHTS RESERVED 37


8. OPERACION

8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION


Se deben llevar a cabo valoraciones de riesgos de SI a intervalos planificados o
cuando se propongan u ocurran cambios significativos, teniendo en cuenta los
criterios establecidos en el numeral 6.1.2 a)
Se debe conservar información documentada de los resultados de las valoraciones
de riesgos de SI.

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION


Se debe implementar el plan de tratamiento de riesgos de la SI.
Se debe conservar información documentada de los resultados del tratamiento de
los riesgos de la SI.

© SGS SA 2012 ALL RIGHTS RESERVED 38


CAPITULO 9

EVALUACIÓN DEL DESEMPEÑO

9.1 9.2 9.3


SEGUIMIENTO, AUDITORIA INTERNA REVISIÓN POR LA
MEDICIÓN, DIRECCIÓN
ANALISIS Y
EVALUACIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 39


9. EVALUACIÓN DEL
DESEMPEÑO
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

Se debe evaluar el desempeño del SGSI y la eficacia del SGSI.

Se debe determinar:
a) A qué se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
b) Los métodos de seguimiento, medición, análisis y evaluación, para asegurar resultados válidos.
c) Cuándo se deben llevar a cabo el seguimiento y la medición.
d) Quien debe llevar a cabo el seguimiento y la medición.
e) Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
f) Quién debe analizar y evaluar estos resultados.

Se debe conservar información documentada apropiada como evidencia de los resultados del
monitoreo y la medición.

© SGS SA 2012 ALL RIGHTS RESERVED 40


9. EVALUACIÓN DEL
DESEMPEÑO
9.2 AUDITORIA INTERNA
La organización debe llevar a cabo auditorias internas a intervalos planificados,
para proporcionar información acerca de si el SGSI:

a) Es conforme con:
1. Los propios requisitos de la organización para el SGSI
2. Los requisitos de esta norma
b) Esta implementado y mantenido eficazmente

© SGS SA 2012 ALL RIGHTS RESERVED 41


9. EVALUACIÓN DEL
DESEMPEÑO
9.2 AUDITORIA INTERNA
La organización debe:

c) Planificar, establecer, implementar y mantener uno o varios programas de


auditoria. Estos programas deben tener en cuenta la importancia de los
procesos involucrados y los resultados de auditorías previas.
d) Para cada auditoría definir los criterios y alcance de esta
e) Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la
objetividad e imparcialidad del proceso de auditoría
f) Asegurarse de que los resultados se informan a la dirección pertinente;
g) Conservar información documentada de los de la implementación y resultados.

© SGS SA 2012 ALL RIGHTS RESERVED 42


9. EVALUACIÓN DEL
DESEMPEÑO
9.3 REVISIÓN POR LA DIRECCIÓN
La revisión por la dirección debe incluir:

a) Estado de las acciones de las revisiones anteriores.


b) Cambios en los aspectos externos e internos que afecten el SGSI
c) Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
1. No Conformidades y Acciones Correctivas.
2. Seguimiento y resultados de las mediciones.
3. Resultados de la auditoría.
4. Cumplimiento de los objetivos del SGSI
d) Retroalimentación de las partes interesadas.
e) Resultados de la valoración de riesgos y estado del plan de tratamiento.
f) Oportunidades de mejora.

Se debe conservar información documentada


© SGS SA 2012 ALL RIGHTS RESERVED 43
CAPITULO 10

MEJORA

10.1 10.2
NO MEJORA CONTINUA
CONFORMIDADES
Y ACCIONES
CORRECTIVAS

© SGS SA 2012 ALL RIGHTS RESERVED 44


10. MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Cuando se tenga una No Conformidad, se debe:

a) Reaccionar ante la No Conformidad, según aplique:


1. Tomar acciones para controlarla y corregirla.
2. Hacer frente a las consecuencias
b) Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no vuelvan a
ocurrir las No Conformidades, mediante:
1. Revisión de la No Conformidad.
2. Determinar las causas.
3. Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
c) Implementar acciones
d) Revisar la eficacia de las acciones tomadas.
e) Hacer cambios al SGSI cuando sea necesario.
© SGS SA 2012 ALL RIGHTS RESERVED 45
10. MEJORA
10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
Se debe conservar información documentada, como evidencia de:
f) La naturaleza de las no conformidades y cualquier acción posterior tomada
g) Los resultados de cualquier acción correctiva

10.2 MEJORA CONTINUA

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

© SGS SA 2012 ALL RIGHTS RESERVED 46


DOMINIOS ISO 27001

© SGS SA 2012 ALL RIGHTS RESERVED 47


A.5. POLÍTICA DE SEGURIDAD
DE LA INFORMACIÓN
A.5.1. Orientación de la dirección para la gestión de la seguridad de la
información.

Objetivo:
Brindar orientación y soporte, por pate de la dirección, para la seguridad
de la información de acuerdo con los requisitos del negocio y con las
leyes y reglamentos pertinentes.

Controles:
 Políticas para la seguridad de la información

 Revisión de las políticas para la seguridad de la información.

© SGS SA 2012 ALL RIGHTS RESERVED 48


A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A.6.1. Organización Interna.

Objetivo:
Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro
de la organización.

Controles:
 Roles y responsabilidades para la seguridad de la información
 Separación de deberes
 Contacto con autoridades
 Contacto con grupos de interés especial
 Seguridad de la información en la gestión de proyectos
© SGS SA 2012 ALL RIGHTS RESERVED 49
A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A.6.2. Dispositivos Móviles y Teletrabajo.

Objetivo:
Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

Controles:
 Políticas para dispositivos móviles

 Teletrabajo

© SGS SA 2012 ALL RIGHTS RESERVED 50


A.7. SEGURIDAD DE LOS
RECURSOS HUMANOS

A.7.1. Antes de asumir el empleo.

Objetivo:
Asegurar que los empleados y contratistas comprenden sus
responsabilidades y son idóneos en los roles para los que se
consideran.

Controles:
 Selección

 Términos y condiciones del empleo

© SGS SA 2012 ALL RIGHTS RESERVED 51


A.7. SEGURIDAD DE LOS
RECURSOS HUMANOS

A.7.2. Durante la ejecución del empleo.

Objetivo:
Asegurarse de que los empleados y contratistas tomen conciencia de
sus responsabilidades de seguridad de la información y las cumplan.

Controles:
 Responsabilidad de la dirección

 Toma de conciencia, educación y formación de la SI

 Proceso Disciplinario
© SGS SA 2012 ALL RIGHTS RESERVED 52
A.7. SEGURIDAD DE LOS
RECURSOS HUMANOS

A.7.3. Terminación y Cambio de empleo.

Objetivo:
Proteger los intereses de la organización como parte del proceso de
cambio o terminación de empleo.

Controles:
 Terminación o cambio de responsabilidades de empleo

© SGS SA 2012 ALL RIGHTS RESERVED 53


A.8. GESTIÓN DE ACTIVOS

A.8.1. Responsabilidad por los activos.

Objetivo:
Identificar los activos organizacionales y definir las responsabilidades de
protección apropiadas.

Controles:
 Inventario de Activos
 Propiedad de los Activos
 Uso aceptable de los Activos
 Devolución de Activos

© SGS SA 2012 ALL RIGHTS RESERVED 54


A.8. GESTIÓN DE ACTIVOS

A.8.2. Clasificación de la Información.

Objetivo:
Asegura que la información recibe un nivel apropiado de protección, de
acuerdo con su importancia para la organización.

Controles:
 Clasificación de la información.
 Etiquetado de la información
 Manejo de activos

© SGS SA 2012 ALL RIGHTS RESERVED 55


A.8. GESTIÓN DE ACTIVOS

A.8.3. Manejo de Medios.

Objetivo:
Evitar la divulgación, la modificación, el retiro o la destrucción no
autorizados de información almacenada en los medios.

Controles:
 Gestión de medios removibles
 Disposición de los medios
 Transferencia de medios físicos

© SGS SA 2012 ALL RIGHTS RESERVED 56


A.9. CONTROL DE ACCESO

A.9.1. Requisitos del negocio para control de acceso.

Objetivo:
Limitar el acceso a información y a instalaciones de procesamiento de
información.

Controles:
 Política de control de acceso
 Acceso a redes y a servicios en red.

© SGS SA 2012 ALL RIGHTS RESERVED 57


A.9. CONTROL DE ACCESO

A.9.2. Gestión de acceso de usuarios.

Objetivo:
Asegurar el acceso de los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.

Controles:
 Registro y cancelación del registro de usuarios.
 Suministro de acceso de usuarios
 Gestión de derechos de acceso privilegiado
 Gestión de información de autenticación secreta de usuarios.
 Revisión de los derechos de acceso de usuarios
 Retiro o ajuste de los derechos de acceso
© SGS SA 2012 ALL RIGHTS RESERVED 58
A.9. CONTROL DE ACCESO

A.9.3. Responsabilidad de los Usuarios.

Objetivo:
Hacer que los usuarios rindan cuentas por la salvaguarda de su
información de autenticación.

Controles:
 Uso de información de autenticación secreta.

© SGS SA 2012 ALL RIGHTS RESERVED 59


A.9. CONTROL DE ACCESO

A.9.4. Control de acceso a sistemas y aplicaciones.

Objetivo:
Evitar el acceso no autorizado a sistemas y aplicaciones.

Controles:
 Restricción de acceso a la información
 Procedimiento de ingreso seguro
 Sistema de gestión de contraseñas
 Uso de programas utilitarios privilegiados
 Control de acceso a códigos fuente de programas

© SGS SA 2012 ALL RIGHTS RESERVED 60


A.10. CRIPTOGRAFÍA

A.10.1. Controles criptográficos.

Objetivo:
Asegurar el uso apropiado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o la integridad de la información.

Controles:
 Política sobre el uso de controles criptográficos

 Gestión de Llaves

© SGS SA 2012 ALL RIGHTS RESERVED 61


A.11. SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.1. Áreas Seguras.

Objetivo:
Prevenir el acceso físico no autorizado, el daño y la interferencia a la
información y a las instalaciones de procesamiento de información de la
organización.

Controles:
 Perímetros de seguridad física
 Controles de acceso físico
 Seguridad de oficinas, recintos e instalaciones
 Protección contra amenazas externas y ambientales
 Trabajo en áreas seguras
 Áreas de despacho y carga
© SGS SA 2012 ALL RIGHTS RESERVED 62
A.11. SEGURIDAD FÍSICA Y DEL
ENTORNO
A.11.2. Equipos.

Objetivo:
Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las operaciones de
la organización.

Controles:
 Ubicación y protección de los equipos
 Servicios de suministro
 Seguridad del cableado
 Mantenimiento de equipos
 Retiro de activos
 Seguridad de los activos
 Seguridad de equipos y activos fuera de las instalaciones
 Disposición segura o reutilización de equipos
 Equipos de usuario desatendido
 Política de escritorio limpio y pantalla limpia

© SGS SA 2012 ALL RIGHTS RESERVED 63


A.12. SEGURIDAD DE LAS
OPERACIONES
A.12.1. Procedimientos operacionales y responsabilidades.

Objetivo:
Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.

Controles:
 Procedimientos de operación documentados
 Gestión de cambios
 Gestión de capacidad
 Separación de los ambientes de desarrollo, pruebas y operación

© SGS SA 2012 ALL RIGHTS RESERVED 64


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.2. Protección contra códigos maliciosos.

Objetivo:
Asegurarse de que la información y las instalaciones de procesamiento
de información estén protegidas contra códigos maliciosos.

Controles:
 Controles contra códigos maliciosos

© SGS SA 2012 ALL RIGHTS RESERVED 65


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.3. Copias de Respaldo.

Objetivo:
Proteger contra pérdida de datos.

Controles:
 Respaldo de la información

© SGS SA 2012 ALL RIGHTS RESERVED 66


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.4. Registro y Seguimiento.

Objetivo:
Registrar eventos y generar evidencia.

Controles:
 Registro de eventos
 Protección de la información de registro
 Registros del administrador y del operador
 Sincronización de relojes

© SGS SA 2012 ALL RIGHTS RESERVED 67


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.5. Control de software operacional.

Objetivo:
Asegurarse de la integridad de los sistemas operacionales.

Controles:
 Instalación de software en sistemas operativos

© SGS SA 2012 ALL RIGHTS RESERVED 68


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.6. Gestión de la vulnerabilidad técnica.

Objetivo:
Prevenir el aprovechamiento de las vulnerabilidades técnicas

Controles:
 Gestión de las vulnerabilidades técnicas

 Restricciones sobre la instalación de software

© SGS SA 2012 ALL RIGHTS RESERVED 69


A.12. SEGURIDAD DE LAS
OPERACIONES

A.12.7. Consideraciones sobre auditorías de sistemas de información.

Objetivo:
Minimizar el impacto de las actividades de auditoría sobre los sistemas
operativos

Controles:
 Controles de auditorías de sistemas de información

© SGS SA 2012 ALL RIGHTS RESERVED 70


A.13. SEGURIDAD DE LAS
COMUNICACIONES

A.13.1. Gestión de la Seguridad de las Redes.

Objetivo:
Asegurar la protección de la información en las redes y sus
instalaciones de procesamiento de información de soporte.

Controles:
 Controles de redes
 Seguridad de los servicios de red
 Separación en las redes

© SGS SA 2012 ALL RIGHTS RESERVED 71


A.13. SEGURIDAD DE LAS
COMUNICACIONES

A.13.2. Transferencia de información.

Objetivo:
Mantener la seguridad de la información transferida dentro de una
organización y con cualquier entidad externa.

Controles:
 Políticas y procedimientos de transferencia de información
 Acuerdos sobre transferencia de información
 Mensajería electrónica
 Acuerdos de confidencialidad o de no divulgación

© SGS SA 2012 ALL RIGHTS RESERVED 72


A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
A.14.1. Requisitos de seguridad de los sistemas de información.

Objetivo:
Asegurar que la seguridad de la información sea una parte integral de
los sistemas de información durante todo el ciclo de vida. Esto incluye
también los requisitos para sistemas de información que prestan
servicios sobre redes públicas.

Controles:
 Análisis y especificación de requisitos de seguridad de la
información.
 Seguridad de servicios de las aplicaciones en redes públicas
 Protección de transacciones de los servicios de las aplicaciones.

© SGS SA 2012 ALL RIGHTS RESERVED 73


A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
A.14.2. Seguridad en los procesos de desarrollo y de soporte.

Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo de
vida de desarrollo de los sistemas de información.

Controles:
 Política de desarrollo seguro
 Procedimientos de control de cambios en sistemas
 Revisión técnica de las aplicaciones después de cambios en la plataforma de operación
 Restricciones en los cambios a los paquetes de software
 Principios de construcción de los sistemas seguros
 Ambiente de desarrollo seguro
 Desarrollo contratado externamente
 Pruebas de seguridad de sistemas
 Prueba de aceptación de sistemas

© SGS SA 2012 ALL RIGHTS RESERVED 74


A.14. ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
A.14.3. Datos de prueba.

Objetivo:
Asegurar la protección de los datos usados para pruebas.

Controles:
 Protección de datos de prueba

© SGS SA 2012 ALL RIGHTS RESERVED 75


A.15. RELACIONES CON LOS
PROVEEDORES

A.15.1. Seguridad de la información en las relaciones con


proveedores.

Objetivo:
Asegurar la protección de los activos de la organización que sean
accesibles a los proveedores.

Controles:
 Política de seguridad de la información para las relaciones con
proveedores
 Tratamiento de la seguridad dentro de los acuerdos con
proveedores
 Cadena de suministro de tecnología de información y comunicación

© SGS SA 2012 ALL RIGHTS RESERVED 76


A.15. RELACIONES CON LOS
PROVEEDORES

A.15.2. Gestión de la prestación de servicios de proveedores.

Objetivo:
Mantener el nivel acordado de SI y de prestación del servicio en línea
con los acuerdos con los proveedores.

Controles:
 Seguimiento y revisión de los servicios de los proveedores

 Gestión de cambios en los servicios de los proveedores

© SGS SA 2012 ALL RIGHTS RESERVED 77


A.16. GESTIÓN DE INCIDENTES
DE SEGURIDAD DE LA
INFORMACIÓN
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.

Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad
de la información, incluida la comunicación sobre eventos de seguridad y
debilidades.

Controles:
 Responsabilidades y procedimientos
 Reporte de eventos de seguridad de la información
 Reporte de debilidades de seguridad de la información
 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
 Respuesta a incidentes de seguridad de la información
 Aprendizaje obtenido de las incidentes de seguridad de la información
 Recolección de evidencia
© SGS SA 2012 ALL RIGHTS RESERVED 78
A.17. ASPECTOS DE SEGURIDAD
DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL
NEGOCIO

A.17.1. Continuidad de la Seguridad de la Información.

Objetivo:
La continuidad de seguridad de la información se debe incluir en los
sistemas de gestión de la continuidad de negocio de la organización.

Controles:
 Planificación de la continuidad de la seguridad de la información
 Implementación de la continuidad de la seguridad de la información
 Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.

© SGS SA 2012 ALL RIGHTS RESERVED 79


A.17. ASPECTOS DE SEGURIDAD
DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL
NEGOCIO

A.17.2. Redundancia.

Objetivo:
Asegurar la disponibilidad de instalaciones de procesamiento de
información.

Controles:
 Disponibilidad de instalaciones de procesamiento de información

© SGS SA 2012 ALL RIGHTS RESERVED 80


A.18. CUMPLIMIENTO
A.18.1. Cumplimiento de requisitos legales y contractuales.

Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de
reglamentación o contractuales relacionadas con seguridad de la
información y de cualquier requisito de seguridad

Controles:
 Identificación de la legislación aplicable y de los requisitos
contractuales.
 Derechos de propiedad intelectual
 Protección de registros
 Privacidad y protección de información de datos personales
 Reglamentación de controles criptográficos.
© SGS SA 2012 ALL RIGHTS RESERVED 81
A.18. CUMPLIMIENTO
A.18.2. Revisiones de Seguridad de la Información.

Objetivo:
Asegurar que la seguridad de la información se implemente y opere de
acuerdo con las políticas y procedimientos organizacionales.

Controles:
 Revisión independiente de la seguridad de la información
 Cumplimiento con las políticas y normas de seguridad
 Revisión del cumplimiento técnico

© SGS SA 2012 ALL RIGHTS RESERVED 82


MÓDULO II.

© SGS SA 2012 ALL RIGHTS RESERVED 83


AUDITORIA DE CERTIFICACIÓN

Auditoria Interna
PRE auditoria (opcional)

Auditoría Primera (Segunda) Parte

Auditoria Interna
Oportunidades de Mejora

Auditoría de Certificación Acción Correctiva Mayor


Renovación A.I.
Certificación
Cierre Mayor

A.I.

Seguimiento V2
A.I.

Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria

A.I.
Seguimiento V5
A.I. Seguimiento V4

© SGS SA 2012 ALL RIGHTS RESERVED 84


TIPOS DE AUDITORÍA

 De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.

 De segunda parte
Una auditoria realizada por una organización a sus

 De tercera parte
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.

© SGS SA 2012 ALL RIGHTS RESERVED 85


LA CERTIFICACIÓN

Certificación y registro de organizaciones

Acredita a organismos de certificación para verificar y registrar el


cumplimiento de los estándares nacionales o internacionales en las
organizaciones.

También define el alcance de acreditación del organismo de


certificación.
 Reino Unido: (UKAS) United Kingdom Accreditation Service
 USA: (RAB)
 México: (EMA)
 Colombia: ONAC Organismo Nacional de Acreditación de Colombia

© SGS SA 2012 ALL RIGHTS RESERVED 86


DEFINICIONES DE LA NORMA
ISO 19011

AUDITORÍA
ALCANCE DE LA AUDITORÍA
PROGRAMA DE AUDITORÍA
PLAN DE AUDITORÍA
CRITERIOS DE AUDITORÍA
AUDITOR
EVIDENCIA DE AUDITORIA
COMPETENCIA
EXPERTO TÉCNICO
HALLAZGOS DE LA AUDITORÍA
CONCLUSION DE AUDITORÍA
OBSERVADOR
AUDITADO
GUIA

© SGS SA 2012 ALL RIGHTS RESERVED 87


DEFINICIONES DE LA NORMA
ISO 19011

AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.

ALCANCE DE LA AUDITORÍA (3.14.)


Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas,
las unidades organizacionales, actividades y procesos, así como el período de tiempo
cubierto.

PROGRAMA DE AUDITORÍA (3.13.)


Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar
y llevar a cabo las auditorias.

PLAN DE AUDITORÍA (3.15)


Descripción de las actividades y de los detalles acordados de una auditoria.

© SGS SA 2012 ALL RIGHTS RESERVED 88


DEFINICIONES DE LA NORMA
ISO 19011

CRITERIOS DE AUDITORÍA (3.2.)


Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.

AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.

EVIDENCIA DE AUDITORIA (3.3.)


Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable

COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.

EXPERTO TÉCNICO (3.10.)


Persona que provee conocimiento especifico o experiencia al equipo auditor.
No actúa como un auditor.

© SGS SA 2012 ALL RIGHTS RESERVED 89


DEFINICIONES DE LA NORMA
ISO 19011

HALLAZGOS DE LA AUDITORÍA (3.4.)


Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.

CONCLUSION DE AUDITORÍA (3.5.)


Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos de
la auditoria y todos los hallazgos resultado de la auditoria.

OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.

AUDITADO(3.7.)
Organización a ser auditada.

GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
© SGS SA 2012 ALL RIGHTS RESERVED 90
PRINCIPIOS DE AUDITORÍA
 INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.

 PRESENTACION ECUANIME: La obligación de informar con veracidad y exactitud.

 DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los


auditores deben proceder con el debido cuidado, de acuerdo con la importancia de la
tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoria y
por otras partes interesadas.

 CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la


discreción en el uso y protección, sobre la información obtenida en el curso de la
auditoría.

 INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las


conclusiones de auditoría. El auditor debe ser independiente y debe actuar en todos los
casos libre de cualquier conflicto de intereses

 ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar


conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria
sistemático. La evidencia de la auditoria es verificable. Está basada en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un período de
tiempo delimitado y con recursos finitos.
© SGS SA 2012 ALL RIGHTS RESERVED 91
ATRIBUTOS DE LOS AUDITORES

 Honesto , Diligente, Responsable;


 Observar y cumplir con requerimientos legales;
 Demostrar su competencia mientras desarrolla su trabajo;
 Imparcial;
 Cuidar su juicio de auditoría y ser sensible a cualquier circunstancia
que pueda afectarle.
 Saber escuchar, Paciente, Claro, Capacidad de comunicarse;
 Mostrar interés.

© SGS SA 2012 ALL RIGHTS RESERVED 92


EVIDENCIA OBJETIVA

 La evidencia existe
 No está influenciada por emociones o prejuicio
 Puede ser documentada (datos)
 Puede estar basada en la observación (hechos)
 Debe estar relacionada con el SGSI
 Puede ser cuantificada y cualitativa
 Puede verificarse (evidencia real)

© SGS SA 2012 ALL RIGHTS RESERVED 93


RESPONSABILIDADES DEL
AUDITOR INTERNO LÍDER

 Dirige el proceso de auditoria


 Ayuda en la selección del personal del equipo
 Es el responsable por todas las etapas de la auditoria.
 Ayuda en la preparación del plan de auditoria
 Establece el contacto inicial con el auditado
 Representa el equipo auditor ante la dirección
 Preparara y entrega el informe final de auditoria
 Dirige de las actividades de seguimiento
 Trata la información con la discreción debida

© SGS SA 2012 ALL RIGHTS RESERVED 94


RESPONSABILIDADES DEL
CO-AUDITOR

 Cumple con el 100% de los requisitos de auditoria


 Realiza efectivamente las actividades asignadas
 Documenta los hallazgos de auditoria
 Conserva y salvaguarda la documentación de la auditoria.
 Reporta los resultados de la auditoria
 Verifica la eficacia de las acciones aplicadas como resultado de la auditoria.
 Coopera y soporta al auditor líder.

© SGS SA 2012 ALL RIGHTS RESERVED 95


9.2 AUDITORÍAS INTERNAS

La organización debe llevar a cabo auditorias internas a intervalos


planificados, para proporcionar información acerca de si el SGSI:

a) Es conforme con:
• Los propios requisitos de la organización para su SGSI.

• Los requisitos de la norma.

b) Está implementado y mantenido eficazmente.

© SGS SA 2012 ALL RIGHTS RESERVED 96


FASES DE AUDITORIA

Programación Preparación Ejecución Entrega Seguimiento

© SGS SA 2012 ALL RIGHTS RESERVED 97


PROGRAMACIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 98


Programa de auditoria: Conjunto de una o más auditorias

planificadas para un período de tiempo determinado y dirigidas hacia un


propósito específico

NOTA: Un programa de auditoria incluye todas las actividades necesarias


para planificar, organizar y llevar a cabo las auditorias.

© SGS SA 2012 ALL RIGHTS RESERVED 99


DEFINICIÓN DE LOS CRITERIOS
DE AUDITORÍA

Incluye:
 Normas aplicables,
 Políticas
 Procedimientos
 Regulaciones
 Legislación
 Requisitos contractuales
 Códigos de Conducta del sector-industria-negocio

© SGS SA 2012 ALL RIGHTS RESERVED 100


EJEMPLO OBJETIVOS DE AUDITORÍA

 Confirmar que el sistema de gestión de la seguridad de la información es


capaz de lograr los objetivos del SGSI y cumple con la política del SGSI de
la organización.

 Confirmar que la organización ha establecido, implementado, operado, ha


hecho seguimiento, reviso, ha mantenido y mejorado su SGSI
documentado, en el contexto de las actividades globales del negocio de la
organización.

 Verificar conformidad de los requisitos contractuales con los proveedores


relacionados con el SGSI

 Proporcionar al auditado una oportunidad para MEJORAR su SGSI

© SGS SA 2012 ALL RIGHTS RESERVED 101


FORMATO DEL PROGRAMA DE
AUDITORÍA

© SGS SA 2012 ALL RIGHTS RESERVED 102


PREPARACIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 103


ANÁLISIS DE LA
DOCUMENTACIÓN

La revisión de la documentación debe tener en cuenta:


• Tamaño de la organización;
• La naturaleza de la organización;
• Complejidad de la organización;
• Objetivo y alcance de su SGSI

© SGS SA 2012 ALL RIGHTS RESERVED 104


PREPARACIÓN INDIVIDUAL
DEL EQUIPO AUDITOR

 Lea la documentación del SGSI y los procedimientos que la componen


con anticipación.

 Determine los lugares donde se realizarán las inspecciones.

 Utilice listas de verificación.

 Conozca la responsabilidad y posición de las Personas auditadas. No


llegue a preguntar que hace su entrevistado!!!

 Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.

© SGS SA 2012 ALL RIGHTS RESERVED 105


PLAN DE AUDITORIA

Organización:
Dirección: Fechas
en sitio:
Auditor Interno
Líder:
Grupo Auditor

Estándar: ISO 27001:2013

Lenguaje de
auditoria:

Objetivos de auditoria:

© SGS SA 2012 ALL RIGHTS RESERVED 106


PLAN DE AUDITORIA

Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave


Día 1 d 5 8:05 JCS Reunión de apertura
8:30 JCS Reclutamiento
9:00 JL Bases de Datos
10:00 SV Programación
11:30 JL Vinculación
12:30 Almuerzo
13:50 SV Departamento legal
14:30 JL Centro de datos Secundario
16:30 JCS Reunión de retroalimentación
17:00 Fin primer día

© SGS SA 2012 ALL RIGHTS RESERVED 107


LISTAS DE CHEQUEO O
VERIFICACIÓN

 Ayudan a Optimizar el tiempo de la revisión.


 Sirven como una guía
 Es una herramienta para recolectar evidencias
 Ayuda a identificar elementos y procesos
 Valorar el estado actual del SGSI
 Adecuar las siguientes preguntas del proceso auditado,
de allí se desprende la posibilidad de obtener evidencia
suficiente.
 Se sugiere la utilización de preguntas tipo:

QUÉ?, CUÁNDO?, CÓMO?, DÓNDE?,


CUAL (ES)?

© SGS SA 2012 ALL RIGHTS RESERVED 108


REALIZACIÓN DE LISTAS DE
CHEQUEO

¿Cómo? ¿Porqué?

¿Donde? Quién?

¿Cuáles? ¿Cuando?

¿Muéstreme? ¿Qué?
© SGS SA 2012 ALL RIGHTS RESERVED 109
EJECUCIÓN

© SGS SA 2012 ALL RIGHTS RESERVED 110


REUNIÓN DE APERTURA

Propósito:
 Confirmar Plan de auditoria.

 Se diligencian los Registros de reunión de apertura.

 Proporcionar un breve resumen de cómo se llevarán a cabo las actividades de


auditoría.

 Se identifican los conductos oficiales de comunicación.

 Se da una breve descripción de los Métodos utilizados en la auditoria.

 Se mencionan si es necesaria la utilización de recursos especiales.

 Se hace una breve explicación de que es una No Conformidad.

 Mencionar la Hora y fecha de la reunión de cierre

 Se le Proporciona al auditado la oportunidad de realizar preguntas.

© SGS SA 2012 ALL RIGHTS RESERVED 111


EJECUTANDO LA AUDITORIA

 Haga un muestreo de las actividades y evite centrarse en


una sola.
 Busque evidencia observando lo que ocurre, revisando
y si es necesario reprocesando algunos de los registros
(Muestreo).
 Haga anotaciones completas.
 Escuche las explicaciones del auditado.
 Escriba y confirme más adelante si es procedente. No de
la impresión de que no le cree al auditado.
 Escriba detalles tales como: procedimientos, registros,
ordenes, lotes, características especiales, etc.
 Una auditoria abierta y amigable resultará en la obtención
de acuerdos de que el problema existe (o no existe).
 Verifique si la No Conformidad es o no puntual.

© SGS SA 2012 ALL RIGHTS RESERVED 112


TÉCNICAS DE ENTREVISTA DEL
AUDITOR INTERNO

Durante la indagación o entrevista:


 Solicite explicación de las situaciones narradas.
 Escuche cuidadosamente lo que le indica su auditado.
 Mantenga Contacto cara a cara, no tome notas en portátil o agenda electrónica.
 Muéstrese interesado.
 Tome nota en corto tiempo.
 Observe el lenguaje corporal.
 Hable claro y cuidadosamente.
 Conozca sus preguntas (las de su lista de verificación).
 Sea sistemático al preguntar.
 Exprese en otra forma o con ejemplos si la pregunta no es bien entendida.
 Use preguntas abiertas y confirme lo entendido, no se quede con dudas.
 Agradezca el tiempo y las respuestas de su auditado.

© SGS SA 2012 ALL RIGHTS RESERVED 113


ACTITUDES A TOMAR PARA
CONTROLAR LA AUDITORÍA

Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.

Actitudes a evitar en una auditoria


No sea controvertido, ni negativo, no critique, no discuta, no haga comparaciones
de ninguna índole, no sea sarcástico, …

© SGS SA 2012 ALL RIGHTS RESERVED 114


¿CÓMO ENTORPECER LA
AUDITORÍA? (AUDITADO)

 Que le haga perder tiempo durante la auditoria.

 Que maneje al auditor.

 Que se invente o establezca situaciones inesperadas.

 Que pruebe el carácter del auditor.

 Que solamente entregue respuestas limitadas

 Que engañe al auditor

© SGS SA 2012 ALL RIGHTS RESERVED 115


HALLAZGO

Hallazgo de Auditoría es el resultado de la evaluación de la evidencia


recopilada frente a los criterios de la auditoria

Hasta que no es clasificado, un hallazgo de la auditoria puede ser


una:

 Conformidad;
 No conformidad o no concordancia o incumplimiento;
 Observación.

© SGS SA 2012 ALL RIGHTS RESERVED 116


REDACCIÓN DE LA NO
CONFORMIDAD

La redacción de una no conformidad debe


contener:
 Negación.
 Cual es la falla.
 Donde se falla.
 Evidencia.
 Incumplimiento y Criterio afectado.
© SGS SA 2012 ALL RIGHTS RESERVED 117
EJEMPLO REDACCIÓN
DE LA NO CONFORMIDAD

No se evidencia un control sobre los accesos directos a la información


que se maneja en los portátiles y en los computadores de la
organización, lo cual se soporta en el hecho que al solicitar ver el
escritorio de los computadores del líder del proceso de Operaciones,
este tenían accesos directos a información de la organización,
incumpliendo de esta forma con lo establecido en la política interna
de Seguridad de la información y el Control A.11.2.9 de la norma ISO
27001:2013, que indica: “Se debe adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de procesamiento
de la información”.

© SGS SA 2012 ALL RIGHTS RESERVED 118


CLASIFICACIÓN OBSERVACIONES

Los hallazgos de auditoria también pueden catalogarse como:

 “observaciones”,
 “oportunidades de mejora”.

Siempre se inicia con un verbo en infinitivo


 Asegurar…..
 Garantizar …
 Mejorar …
 Fortalecer …
 Diseñar….
 Implementar…..
 Evaluar ….

© SGS SA 2012 ALL RIGHTS RESERVED 119


EJEMPLO REDACCIÓN
DE OBSERVACIÓN
Estructurar la aprobación del riesgo residual que incluya un informe
gerencial con información relevante de riesgos tratados alto-medios, costo
del impacto, relación después del tratamiento con inclusión de inversión de
implantación y resultado verde riesgo residual, además disminuir el tiempo
de aprobación del riesgo residual por parte de la dirección. Ampliar la
identificación de riesgos para los activos intangibles "Marca" y diferenciar
para activos aplicaciones finales y "Diseños-Desarrollo".

Generar diferentes campañas de sensibilización a los funcionarios


operativos, en la importancia de evitar almacenar contraseñas.

Ajustar la política de Backup "solo recursos compartidos", dado que hay


información relevante almacenada en discos locales de la organización.
© SGS SA 2012 ALL RIGHTS RESERVED 120
REUNIÓN DE CIERRE

DIRIGIDA POR EL AUDITOR LIDER

PREPARACIÓN
 Cada auditor relata sus hallazgos.
 El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
 Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
 Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.

© SGS SA 2012 ALL RIGHTS RESERVED 121


LA REUNIÓN DE CIERRE

DIRIGIDA POR EL AUDITOR INTERNO LIDER


 Agradecimientos.
 Preguntas y discusiones al final.
 Confirmar alcance SGSI.
 Objetivo de auditoria y alcance de auditoria.
 No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
 Presentación de fortalezas.
 Presentación de No Conformidades por el equipo.
(Si hay hechos).
 Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
 Registros.
 Preguntas al respecto.
© SGS SA 2012 ALL RIGHTS RESERVED 122
ENTREGA

© SGS SA 2012 ALL RIGHTS RESERVED 123


INFORME Y SEGUIMIENTO DE
AUDITORÍA

PREPARACIÓN
DEL INFORME

PREPARACIÓN Y
REUNIR INFORMES
DISTRIBUCIÓN
CO AUDITORES
DEL INFORME

CIERRE EFECTIVO SEGUIMIENTO


NC.

© SGS SA 2012 ALL RIGHTS RESERVED 124


INFORME

Auditoria No

Fecha

Lugar

Auditores

Norma ISO27001:2013
Objetivo de la Auditoria

Personal entrevistado

Procesos Auditados

Resultado de Hallazgos NO CONFORMIDADES

OBSERVACIONES:

Firma de los Auditores

© SGS SA 2012 ALL RIGHTS RESERVED 125


¿QUÉ NO INCLUIR EN EL INFORME
DE AUDITORÍA?

 Evite incluir opiniones subjetivas sobre el SGSI o la auditoría.


 Información confidencial que le fue suministrada durante la
auditoría.
 Critica hacia alguno de los individuos que tienen relación con los
procesos y en general con el SGSI.
 Evite las declaraciones ambiguas.
 No incluya detalles triviales.
 NUNCA incluya Observaciones o no conformidades no discutidas
en la reunión de cierre.

© SGS SA 2012 ALL RIGHTS RESERVED 126


SEGUIMIENTO

© SGS SA 2012 ALL RIGHTS RESERVED 127


SEGUIMIENTO
VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS

NO SI

Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo

NO
Nueva
ESCALE
SAC

© SGS SA 2012 ALL RIGHTS RESERVED 128


RESPONSABILIDAD DUEÑO DEL
PROCESO AUDITADO

 Entendimiento y asimilación de la no conformidad.


 Investigación del problema raíz que dio pie a la No Conformidad.
 Determinación de las causas fundamentales, utilizando cualquier
metodología sugerida (5 porque, Lluvia de ideas, 4 M´s, entre otras).
 Elaboración del plan de acción para corregir las causas establecidas, que
incluya una breve descripción de las actividades, responsable, recursos y
fecha de ejecución.
 Fecha de seguimiento prevista para evaluación y posterior cierre de la No
Conformidad.
 Evaluación de la eficacia de la acción correctiva.
 Responsable del cierre.

© SGS SA 2012 ALL RIGHTS RESERVED 129


Metodología 5 porque (¿por qué puede suceder?)

Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque

Porque
Efecto

Porque 4 Porque 5
© SGS SA 2012 ALL RIGHTS RESERVED 130
Diagrama Causas Efecto:
Se utiliza para representar la relación entre algún efecto y todas las posibles causas que lo
influyen.

© SGS SA 2012 ALL RIGHTS RESERVED 131


Diagrama Causas Efecto:
Se utiliza para representar la relación entre algún efecto y todas las posibles causas que lo
influyen.

© SGS SA 2012 ALL RIGHTS RESERVED 132


Árbol de Causas:
Se utiliza para representar la relación entre algún efecto y todas las posibles causas que lo
influyen.

© SGS SA 2012 ALL RIGHTS RESERVED 133


GRACIAS