CASO OBJETO DE ESTUDIO DE AUDITORÍA INTERNA

PRAI MÓDULO 6
CURSANTE: RICHAR MAUCÓ

Una empresa de software, recibe la auditoria de otorgamiento de certificado basado en la ISO27001. Dando continuidad a la agenda de trabajo,
el auditor se ubica en el área de Gestión Integral, donde audita el control de la información documentada, pero evidencia que la información de
origen procedente del exterior de la compañía está en Mandarín, aquella relacionada con la infraestructura de TI, la cual es usada diariamente
por el personal de la empresa. Al preguntar a algunos empleados, no conocen este idioma por lo cual no tiene acceso a dicha información y que
la persona que se capacito en este tema, con el proveedor, ya no labora en la misma. Adicionalmente el jefe de Help Desk indica que los equipos
e infraestructura no poseen manuales que puedan entender los técnicos, por lo que se genera demoras en la atención a los usuarios de las
distintas áreas estratégicas de la empresa, a pesar que este servicio está contemplado en el plan de continuidad de la compañía.

1. ¿Cuál es el inconveniente que se presenta y que está en contraposición de lo solicitado por la norma?

El inconveniente que se presenta es que a pesar que está contemplado en el plan de continuidad de la empresa el servicio de atención al usuario
en lo referente a TI, resulta ser que dentro de la información de origen externo, no existen manuales de los equipos e infraestructura en el idioma
que pueda ser entendido por los técnicos, ya que toda la información relacionada con la infraestructura TI, se encuentra en el idioma Mandarín,
por lo que imposibilita el acceso a dicha información y la única persona que fue capacitada en el tema por el proveedor ya no labora en la
empresa, por lo que se ha generado demora en el servicio de atención al usuario en las distintas áreas estratégicas de la empresa.

Si bien la empresa contempla lo establecido por la Norma ISO 27001:2013, en su Numeral 7.5.1. Generalidades referido a que “El sistema de
gestión de la seguridad de la organización debe incluir: b) toda la información documentada que la organización ha determinado que es necesaria
para la eficacia del sistema de gestión de la seguridad de la información”; La empresa no contempló lo establecido en el Numeral 7.5.2. Creación
y actualización, que establece que “Cuando se crea y actualiza información documentada, la organización debe asegurarse de que lo siguiente
sea apropiado: b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo, papel,
electrónico) y c) la revisión y aprobación con respecto a la idoneidad y adecuación”.

Por otro lado, en cuanto al acceso de la información el Numeral 7.5.3 Control de la información documentada, contempla igualmente que “la
información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para
asegurarse que: a) esté disponible y adecuada para su uso, donde y cuando se necesite”; adicionalmente establece en el Numeral 7.5.3.
que “La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación
del sistema de gestión de la seguridad de la información, se debe identificar y controlar según sea adecuado.
2. Realice las Notas de Campo respectivas y documente el caso según formato anexo:

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO 27001:2013

NOTAS DE CAMPO VERSIÓN: 1.01
EMPRESA: Consultores CDR C.A. FECHA: 30MAYO2019 AUDITOR: Lic. RICHAR MAUCÓ
OBJETIVO DE LA AUDITORÍA: Validar el sistema de gestión integral para lograr la auditoria de otorgamiento de ISO27001:2013
CRITERIO DE AUDITORÍA: ISO 27001:7.5
PROCESO: Gestión Integral NÚMERO DE AUDITORÍA: 1/2019
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
7.5.1. ¿Se dispone de la documentación requerida por la La empresa cuenta con la información Técnica NO APLICA
norma más la requerida por la organización documental referida a los equipos e infraestructura TI
incluyendo Los Documentos propios de Seguridad suministrada por el proveedor.
de la Información identificados por la empresa
(manuales e instrucciones técnicas etc.); necesarios
para la eficacia del Sistema de Gestión?
7.5.2. ¿Existe un control documental donde se verifica, La empresa no posee los manuales de los equipos e NFC A1
quién identifica, pública, autoriza y revisa el tipo de infraestructura TI; en un idioma que pueda ser
formato (idioma), estilo y medios de soporte de la entendido por los técnicos, ya que toda la información
documentación, su almacenamiento y protección? relacionada con los equipo e infraestructura TI, se
encuentra en el idioma mandarín.
7.5.3. ¿Se controlan los documentos de origen externo, se El personal técnico de la empresa no tiene acceso, ni NFC A2
encuentra disponible la información documentada disponibilidad a los manuales de los equipos e
través de una política de control para la distribución, infraestructura TI; ya que, al entrevistar a algunos
accesos, uso y recuperación de la información empleados, estos no conocen el idioma en el que
documental? están escritos dichos manuales.
Personas entrevistadas / cargo:
JEFE DE HELP DESK
EMPLEADOS DEL AREA
 REGISTRO DEL SISTEMA DE GERENCIA DE LA CALIDAD

EMPRESA: Consultores CDR C.A.

Consecutivo A1
Proceso: Gestión Integral
Fecha: 07/06/2019
Reporte de la No Conformidad
Clasificación Mayor X Menor Obs.
La empresa no posee los manuales de los equipos e infraestructura TI; en un idioma que pueda ser entendido por los técnicos
conforme lo solicita la norma ISO27001 en el numeral 7.5.2.b ¨ el formato, (por ejemplo, idioma, versión del software,
gráficos) y sus medios de soporte (por ejemplo, papel, electrónico)¨
Firmado: Richard Maucó Fecha: 07/06/2019
Análisis de Causas

Firmado: Fecha
Acción Correctiva Propuesta

Revisión de la Acción Correctiva (Seguimiento)

Cumplido SI No Nueva Fecha

Eficacia de la Solución:

Firmado: Fecha:
 REGISTRO DEL SISTEMA DE GERENCIA DE LA CALIDAD

EMPRESA: Consultores CDR C.A.

Consecutivo A2
Proceso: Gestión Integral
Fecha: 07/06/2019
Reporte de la No Conformidad
Clasificación Mayor X Menor Obs.
El personal técnico de la empresa no tiene acceso, ni disponibilidad a los manuales de los equipos e infraestructura TI, conforme
lo solicita la norma ISO27001 en el numeral 7.5.3.a ¨esté disponible y adecuada para su uso, donde y cuando se
necesite; ¨
Firmado: Richard Maucó Fecha: 07/06/2019
Análisis de Causas

Firmado: Fecha
Acción Correctiva Propuesta

Revisión de la Acción Correctiva (Seguimiento)

Cumplido SI No Nueva Fecha

Eficacia de la Solución:

Firmado: Fecha:
¿Qué conclusiones adicionales puede aportar respecto al escenario planteado?
1.- Se evidencia en la auditoría que no es revisada, ni actualizada la documentación de origen externo lo que trae como consecuencias
eficacia en los procesos operativos y de servicios de la empresa.
2.- Adicionalmente se observa que la empresa no cuenta con un plan alterno donde pueda tomar en cuenta contingencias como el
egreso de la única persona capacitada y entrenada por el proveedor para el manejo de los equipos e infraestructura IT, debiendo
considerar el adiestramiento y la capacitación del resto de los trabajadores del área.
3.- Es de suma importancia el Rol del Auditor, en cuanto a la planificación de la diferentes auditorías que se realizan a los procesos
de una organización o empresa ya que en el mismo se pueden evidenciar hallazgos que le permiten a la empresa, en la persona de
los diferentes lideres de procesos y con la buena pro de la Alta Dirección, tomar decisiones con la finalidad de mejorar los procesos
de la empresa, para que los mismos sean más eficaces y pueda darse la mejora continua.