Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRAI MÓDULO 6
CURSANTE: RICHAR MAUCÓ
Una empresa de software, recibe la auditoria de otorgamiento de certificado basado en la ISO27001. Dando continuidad a la agenda de trabajo,
el auditor se ubica en el área de Gestión Integral, donde audita el control de la información documentada, pero evidencia que la información de
origen procedente del exterior de la compañía está en Mandarín, aquella relacionada con la infraestructura de TI, la cual es usada diariamente
por el personal de la empresa. Al preguntar a algunos empleados, no conocen este idioma por lo cual no tiene acceso a dicha información y que
la persona que se capacito en este tema, con el proveedor, ya no labora en la misma. Adicionalmente el jefe de Help Desk indica que los equipos
e infraestructura no poseen manuales que puedan entender los técnicos, por lo que se genera demoras en la atención a los usuarios de las
distintas áreas estratégicas de la empresa, a pesar que este servicio está contemplado en el plan de continuidad de la compañía.
1. ¿Cuál es el inconveniente que se presenta y que está en contraposición de lo solicitado por la norma?
El inconveniente que se presenta es que a pesar que está contemplado en el plan de continuidad de la empresa el servicio de atención al usuario
en lo referente a TI, resulta ser que dentro de la información de origen externo, no existen manuales de los equipos e infraestructura en el idioma
que pueda ser entendido por los técnicos, ya que toda la información relacionada con la infraestructura TI, se encuentra en el idioma Mandarín,
por lo que imposibilita el acceso a dicha información y la única persona que fue capacitada en el tema por el proveedor ya no labora en la
empresa, por lo que se ha generado demora en el servicio de atención al usuario en las distintas áreas estratégicas de la empresa.
Si bien la empresa contempla lo establecido por la Norma ISO 27001:2013, en su Numeral 7.5.1. Generalidades referido a que “El sistema de
gestión de la seguridad de la organización debe incluir: b) toda la información documentada que la organización ha determinado que es necesaria
para la eficacia del sistema de gestión de la seguridad de la información”; La empresa no contempló lo establecido en el Numeral 7.5.2. Creación
y actualización, que establece que “Cuando se crea y actualiza información documentada, la organización debe asegurarse de que lo siguiente
sea apropiado: b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo, papel,
electrónico) y c) la revisión y aprobación con respecto a la idoneidad y adecuación”.
Por otro lado, en cuanto al acceso de la información el Numeral 7.5.3 Control de la información documentada, contempla igualmente que “la
información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para
asegurarse que: a) esté disponible y adecuada para su uso, donde y cuando se necesite”; adicionalmente establece en el Numeral 7.5.3.
que “La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación
del sistema de gestión de la seguridad de la información, se debe identificar y controlar según sea adecuado.
2. Realice las Notas de Campo respectivas y documente el caso según formato anexo:
Firmado: Fecha
Acción Correctiva Propuesta
Firmado: Fecha:
REGISTRO DEL SISTEMA DE GERENCIA DE LA CALIDAD
Firmado: Fecha
Acción Correctiva Propuesta
Firmado: Fecha:
¿Qué conclusiones adicionales puede aportar respecto al escenario planteado?
1.- Se evidencia en la auditoría que no es revisada, ni actualizada la documentación de origen externo lo que trae como consecuencias
eficacia en los procesos operativos y de servicios de la empresa.
2.- Adicionalmente se observa que la empresa no cuenta con un plan alterno donde pueda tomar en cuenta contingencias como el
egreso de la única persona capacitada y entrenada por el proveedor para el manejo de los equipos e infraestructura IT, debiendo
considerar el adiestramiento y la capacitación del resto de los trabajadores del área.
3.- Es de suma importancia el Rol del Auditor, en cuanto a la planificación de la diferentes auditorías que se realizan a los procesos
de una organización o empresa ya que en el mismo se pueden evidenciar hallazgos que le permiten a la empresa, en la persona de
los diferentes lideres de procesos y con la buena pro de la Alta Dirección, tomar decisiones con la finalidad de mejorar los procesos
de la empresa, para que los mismos sean más eficaces y pueda darse la mejora continua.