Auditor Interno Formación ISO27001

FORMACIÓN COMO
AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013
© SGS SA 2012 ALL RIGHTS RESERVED 1

OBJETIVOS
Interpretar la
importancia de los
Conocer e Interpretar Comprender el aspectos
la serie de normas enfoque basado en relacionados con
ISO/IEC 27001. procesos PHVA Análisis y Evaluación
de Riesgos para un
SGSI
Conocer técnicas y Conocer los

Conocer los
herramientas para aspectos
requisitos
realizar auditorias relacionados con los
establecidos por el
internas al SGSI. y objetivos y
estándar ISO27001,
Desarrollar actividades de
para implementar un
habilidades para la control del Anexo A
SGSI en las
realización de las del estándar
organizaciones.
mismas. ISO27001.

NORMA

FAMILIA ISO 27000
ISO/IEC 27000 Fundamentals and vocabulary

ISO/IEC 27001 ISMS - Requirements
ISO/IEC 27002 Code of practice for information security management
ISO/IEC 27003 ISMS implementation guidance
ISO/IEC 27004 Information security management measurement
ISO/IEC 27005 Information security risk management
ISO/IEC 27006 Requirements for bodies providing audit and certification of information
security management systems
ISO/IEC 27007 Guidelines for information security management systems auditing
Accreditation Standards
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems.
ISO 27001:2013
GENERALIDADES
Esta norma internacional ha sido preparada para proveer un
modelo para:
• Establecer, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar un Sistema de Gestión de la
Seguridad de la información SGSI.
• La adopción de un SGSI debe ser una decisión estratégica
para una organización.
• Estos y los sistemas soportados cambian con el tiempo,
de acuerdo con las necesidades de la organización.

ISO 27001:2013

INTRODUCCIÓN
Es importante que el sistema de gestión de la seguridad de la información sea
parte de los procesos y de la estructura de gestión total de la información de la
organización y que esté integrado con ellos, y que la seguridad de la información
se considere en el diseño de procesos, sistemas de información y controles. Se
espera que la implementación de un sistema de gestión de seguridad de la
información se difunda de acuerdo con las necesidades de la organización.
La presente Norma Internacional puede ser usada por partes internas y externas
para evaluar la capacidad de la organización para cumplir los requisitos de
seguridad la propia organización.

OBJETO Y CAMPO DE
APLICACIÓN
Esta Norma Internacional especifica los requisitos para establecer, implementar,

mantener y mejorar continuamente un sistema de gestión de la seguridad de la
información dentro del contexto de la organización. La presente Norma
Internacional incluye también los requisitos para la evaluación y el tratamiento de
riesgos de seguridad de la información, adaptados a las necesidades de la
organización. Los requisitos establecidos en esta Norma Internacional son
genéricos y están previstos para ser aplicables a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. Cuando una organización
declara conformidad con esta Norma Internacional, no es aceptable excluir
cualquiera de los requisitos especificados de los apartados 4 a 10.

ISO 27001:2013
La norma define seguridad como la preservación de:
SGSI
Confidencialidad Disponibilidad
Seguridad de que la información es

accesible solamente a quienes están
autorizados para ello. Integridad
Protección de la exactitud y
estado completo de la información
y métodos de procesamiento.
REFERENCIAS
NORMATIVAS
Los siguientes documentos, en parte o en su totalidad, se referencian

normativamente en este documento y son indispensables para su aplicación.
Para referencias fechadas sólo se aplica la edición citada. Para referencias no
fechadas se aplica la edición más reciente del documento referenciado (incluida
cualquier enmienda).
ISO/IEC 27000, Information technology — Security techniques — Information

security management systems — Overview and vocabulary

TÉRMINOS Y
DEFINICIONES
Para los propósitos de este documento se aplican

los términos y definiciones presentados en la
norma ISO/IEC 27000.

ISO 27001:2013 - CONTENIDO
4. Contexto de la
Organización

A5 Política de
Seguridad A6 Organización
de la Seguridad de
A11 Seguridad la información
Física y del
Entorno
A7 Recursos
Humanos
A10 Criptografía
A9 Control de A8 Gestión de Activos

Acceso

A12 A13
Operaciones Comunicacione
A18
Cumplimiento s
A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento
A15
A16 Incidentes Proveedores

CONTEXTO DE LA
ORGANIZACIÓN
CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
La organización debe determinar las cuestiones externas e internas que son

pertinentes para su propósito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestión de la seguridad de la
información

CONTEXTO DE LA
ORGANIZACIÓN
COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS
La organización debe determinar:
a) las partes interesadas que son pertinentes al sistema de gestión de la

seguridad de la información; y
b) los requisitos de estas partes interesadas pertinentes a seguridad de la

información.

ALCANCE
 Se debe determinar los límites y la aplicabilidad del
SGSI para establecer su alcance.
 Para determinar el alcance la organización debe
considerar:
 Aspectos internos y externos referidas en el 4.1. y
 Los requisitos referidos en 4.2.; y
 Las interfaces y dependencias entre las actividades
realizadas y las que realizan otras empresas.
 El alcance debe estar disponible como información
documentada
LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI así:
 Asegurado que se establece la política y los objetivos del SGSI.
 Asegurando la integración de los requisitos del SGSI con los procesos de negocio
 Asegurando la disponibilidad de los recursos necesarios
 Comunicando la importancia de una gestión eficaz y de conformidad con los requisitos
del SGSI.
 Asegurando que el SGSI logre los resultados previstos.
 Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
 Promoviendo mejora continúa.
 Apoyando otros roles pertinentes de la dirección para demostrar liderazgo aplicado a sus
áreas de responsabilidad.

POLÍTICA
La Alta Dirección debe establecer una política que:
 Sea adecuada al propósito de la empresa.
 Incluya objetivos de Seguridad de la Información o proporcione el
marco para el establecimiento de los mismos.
 Incluya un compromiso de cumplir los requisitos aplicables
relacionados con la Seguridad.
 Incluya compromiso de Mejora Continua
La política debe:
 Estar como información documentada.
 Comunicarse dentro de la empresa.
 Estar disponible para las partes interesadas, según sea apropiado.
ROLES, RESPONSABILIDADES
Y AUTORIDADES EN LA
ORGANIZACIÓN
La alta dirección debe asegurarse de que las responsabilidades y

autoridades para los roles pertinentes se asignen y comuniquen.
La alta dirección debe asignar la responsabilidad y autoridad para:
a) asegurarse de que el sistema de gestión de la seguridad de la

información sea conforme con los requisitos de esta Norma Internacional; e
b) informar a la alta dirección sobre el desempeño del sistema de gestión de

la seguridad de la información.
RIESGOS EN EL SGSI
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.

6.1.1. GENERALIDADES.
Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado 4.1. Y los
requisitos a que se hace referencia en el apartado 4.2. Y determinar los riesgos y
oportunidades con el fin de:
a. Asegurar que el SGSI pueda lograr los resultados previstos.

b. Prevenir o reducir los efectos indeseados.
c. Lograr la mejorar continua.
La organización debe planificar:

a. Las acciones para tratar los riesgos y oportunidades
b. La manera de:
•
© SGS SA 2012 ALL RIGHTS RESERVED
Integrar e implementar estas acciones en sus procesos 21
RIESGOS EN EL SGSI
6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.
Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:

 Establezca y mantenga criterios de riesgo de seguridad que incluya:
• Criterios de Aceptación de Riesgos.
• Criterios para realizar evaluaciones de riesgos.
 Asegure que las evaluaciones repetidas de riesgos produzcan resultados consistentes,
válidos y comparables.
 Identifique los riesgos:
• Aplicar el proceso de evaluación de riesgos para identificar los riesgos asociados con
la pérdida de la confidencialidad, de integridad y de disponibilidad de la información
dentro del alcance.
• Identificar a los dueños de los riesgos.

RIESGOS EN EL SGSI
6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.
 Analice los riesgos:

• Evaluar las consecuencias potenciales si se materializan los riesgos identificados
6.1.2 c. 1.
• Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c. 1.
• Determinar los niveles de riesgo.
 Evalúe los riesgos:
• Comparar los resultados del análisis de riesgos con los criterios establecidos en
identificados 6.1.2 a.
• Priorizar los riesgos analizados para el tratamiento de riesgos.
Se debe conservar información documentada acerca del proceso de evaluación de riesgos.

RIESGOS EN EL SGSI
6.1.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.
Se debe definir y aplicar un proceso de tratamiento de riesgos para:

 Seleccionar las opciones apropiadas de tratamiento de riesgos, teniendo en cuenta los
resultados de la evaluación de riesgos.
 Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
 Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que no
se han omitidos controles.
 Elaborar una Declaración de Aplicabilidad que tenga los controles necesarios y la
justificación de las exclusiones, ya sea que se implementen o no y la justificación para
las exclusiones de los controles del Anexo A.
 Formular un plan de tratamiento de riesgos.
 Obtener la aprobación del plan te tratamiento de riesgos y la aceptación de riesgos
residuales por parte de los dueños de los riesgos
Se debe conservar información documentada acerca del proceso de tratamiento de riesgos
TABLA MODELO VALORACIÓN
DE LOS CONTROLES
Se evalúan los controles, de acuerdo a los parámetros de la matriz de probabilidad e
impacto, se multiplica los valores seleccionados para determinar el puntaje de cada
ítem de valoración.
TIPOS DE CONTROL
PARAMETROS CRITERIOS PROBABILIDAD IMPACTO PUNTAJES
Herramientas Existen manuales, instructivos o procedimientos
para ejercer para el manejo de la herramienta.

Posee una herramienta para ejercer el control y ha
demostrado ser efectiva.
el control
Están definidos los responsables de la ejecución

del control y del seguimiento.
Seguimiento
al La frecuencia de ejecución del control y
control seguimiento de adecuada.
TOTAL
TABLA MODELO VALORACIÓN
DE LOS CONTROLES
El valor total de la valoración de los controles, se revisa contra los rangos de
calificación de controles y se determina la disminución de la probabilidad e impacto.
Como resultado final, se genera una segunda evaluación del riesgo.
DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA
RANGOS DE CALIFICACIÓN EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

DE LOS CONTROLES CUADRANTES A DISMINUIR CUADRANTES A DISMINUIR
EN LA PROBABILIDAD EN EL IMPACTO
ENTRE 0 - 50 0 0
ENTRE 51 - 75 1 1
ENTRE 76 - 100 2 2

POLITICAS DE ADMINISTRACIÓN
Y GESTIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO
ESTRUCTURACIÓN DE CRITERIOS PARA TOMA DE DECISIONES
Tratamiento de Riesgos Efectos al interior de la

Organización

TIPOLOGÍA BÁSICA DE POLITICAS
DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO
Se pueden manejar independientes, interrelacionadas o en conjunto
EVITAR EL RIESGO
Prevenir la materialización del Riesgo mediante
Mejoramiento Rediseño Eliminación Adecuados Controles

TIPOLOGIA BÁSICA DE POLITICAS
REDUCIR EL RIESGO
Disminuir la Probabilidad y el Impacto
Medidas de Prevención Medidas de Protección
Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
TIPOLOGIA BÁSICA DE POLITICAS
COMPARTIR O TRANSFERIR EL RIESGO
Reducir el efecto a partir de la transferencia de las perdidas a otra entidad u

organización.
ASUMIR EL RIESGO
El riesgo ha sido manejado (reducido o transferido) pero han quedado vestigios del
riesgo, se establecen planes de contingencia para su manejo y seguimiento.

RIESGOS EN EL SGSI
Comparación entre Probabilidad e Impacto
Impacto Insignificante Menor Moderada Mayor Extremo
Probabilidad 1 2 3 4 5
Raro 1 Verde Verde Verde Amarillo Amarillo
Improbable 2 Verde Verde Amarillo Amarillo Rojo
Moderado 3 Verde Amarillo Amarillo Amarillo Rojo
Probable 4 Verde Amarillo Amarillo Rojo Rojo
Casi seguro 5 Amarillo Amarillo Rojo Rojo Rojo

MODELO MAPA DE RIESGOS
MAPA DE RIESGOS
PROCESO:
OBJETIVO DEL
PROCESO:
CALIFICACIÓN EVALUACIÓN CONTROLES NUEVA CALIFICACION NUEVA POLÍTICAS
RIESGO PROBABILIDAD IMPACTO RIESGO PROBABILIDAD IMPACTO CALIFICACIÓN DE MANEJO ACCIONES RESPONSABLE INDICADOR

SOPORTE
COMPETENCIA
Se debe:
 Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeño de la seguridad de la información.
 Asegurar que las personas sean competentes, basándose en: educación, formación o
experiencia adecuadas.
 Tomar acciones para adquirir la competencia necesario y evaluar su eficacia (cuando sea
aplicable)
 Conservar la información documentada apropiada como evidencia.
TOMA DE CONCIENCIA
Las personas deben tomar conciencia de:
 La política.
 Su contribución a la eficacia, incluyendo los beneficios de una mejora del desempeño.
 Las implicaciones de la No Conformidad con los requisitos del SGSI.
SOPORTE
COMUNICACIÓN
Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;

 El contenido de la comunicación.
 Cuando comunicar.
 A quién comunicar.
 Quién debe comunicar
 Los procesos para llevar a cabo la comunicación.

INFORMACIÓN
DOCUMENTADA
GENERALIDADES.
Se debe incluir:
 Información documentada requerida por la norma
 Información documentada que la organización ha determinado que es necesaria para la
eficacia del SGSI.
Nota: El alcance de la información documentada puede ser diferente de una organización a

otra, debido a:
 El tamaño de la organización y su tipo de actividades, procesos, productos y servicios.
 La Complejidad de los procesos y sus interacciones.
 La Competencia de las personas.

INFORMACIÓN
DOCUMENTADA
CREACIÓN Y ACTUALIZACIÓN.
 Cuando se crea o actualiza información documentada, se debe asegurar que:
 La identificación y descripción
 El formato y sus medios de soporte.
 La revisión y aprobación con respecto a la idoneidad y adecuación.
CONTROL DE LA INFORMACIÓN DOCUMENTADA.

La información documentada se debe controlar para asegurar que:
 Esté disponible y adecuado para su uso, cuando y donde se requiere
 Esté protegida adecuadamente.

INFORMACIÓN
DOCUMENTADA
CONTROL DE LA INFORMACIÓN DOCUMENTADA.
Para controlar la información se debe tratar de:

 Distribución, acceso, recuperación y uso
 Almacenamiento y preservación, incluido la legibilidad.
 Control de Cambios
 Retención y disposición.
Se debe identificar y controlar la información de origen externo, que la organización ha

determinado que es necesario para la planificación y operación del SGSI.

EVALUACIÓN DEL
DESEMPEÑO
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN.
Se debe evaluar el desempeño del SGSI y la eficacia del SGSI.
Se debe determinar:
A qué se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
• Los métodos de seguimiento, medición, análisis y evaluación, para asegurar resultados
válidos.
• Cuándo se deben llevar a cabo el seguimiento y la medición.
• Quien debe llevar a cabo el seguimiento y la medición.
• Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
• Quién debe analizar y evaluar estos resultados.
Se debe conservar información documentada apropiada como evidencia de los resultados del
monitoreo y la medición.
AUDITORIAS INTERNAS
La organización debe realizar auditorias internas al SGSI a intervalos planificados,

para determinar si los objetivos de control, controles, procesos y procedimientos de
su SGSI:
a) Cumplen los requisitos de esta norma internacional y de la legislación o

reglamentaciones pertinentes;
b) Cumplen los requisitos identificados de seguridad de la información;
c) Están implementados y se mantienen eficazmente, y
d) Tienen un desempeño acorde con lo esperado.

REVISION DEL SGSI POR LA
ALTA DIRECCION
La revisión por la dirección debe incluir:
 Estado de las acciones de las revisiones anteriores.

 Cambios en los aspectos externos e internos que afecten el SGSI
 Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
• No Conformidades y Acciones Correctivas.
• Seguimiento y resultados de las mediciones.
• Resultados de la auditoría.
• Cumplimiento de los objetivos del SGSI
 Retroalimentación de las partes interesadas.
 Resultados de la evaluación de riesgos y estado del plan de tratamiento.
 Oportunidades de mejora.
REVISION DEL SGSI POR LA
ALTA DIRECCION
REVISIÓN DE ENTRADAS
Las entradas para la revisión por la dirección debe incluir:
a) resultados de las auditorias y revisiones del SGSI;
b) retroalimentación de las partes interesadas;
c) técnicas, productos o procedimientos que se pueden usar en la organización para
mejorar el desempeño y eficacia del SGSI;
d) estado de las acciones preventivas y correctivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoración previa de
los riesgos;
f) resultados de las mediciones de la eficacia;
g) acciones de seguimiento resultantes de revisiones anteriores por la dirección;
h) cualquier cambio que pueda afectar el SGSI; y
i) Retroalimentación para mejorar.

MEJORA DEL SGSI
NO CONFORMIDADES Y ACCIONES CORRECTIVAS
Cuando se tenga una No Conformidad, se debe:

 Reaccionar ante la No Conformidad, según aplique:
• Tomar acciones para controlarla y corregirla.
• Hacer frente a las consecuencias
 Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no vuelvan a
ocurrir las No Conformidades, mediante:
• Revisión de la No Conformidad.
• Determinar las causas.
• Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
 Implementar acciones
 Revisar la eficacia de las acciones tomadas.
 Hacer cambios al SGSI cuando sea necesario.
ISO 27001:2013
¿Por qué implementar un SGSI y certificarlo?
 Proteger los activos de la información de una amplia gama de amenazas.

 Asegurar la continuidad del negocio.
 Minimizar los daños a la organización.
 Maximizar el retorno de las inversiones y la oportunidad de negocio.
 Brindar confianza a sus clientes y otras partes interesadas.
 Conocer los posibles riesgos en la seguridad de la información.
 Reducir el tiempo de respuesta en el caso de un evento.
 Proveer las mejores y oficiales practicas de la seguridad de la información.
 Ayudar a las empresas a desarrollar, implementar y mantener las mejores
prácticas efectivas de un sistema de gestión de la seguridad de la información.

CAMBIOS NORMA ISO 27001
CONTROLES ELIMINADOS
CONTROL DESCRIPCIÓN
A.6.1.1 Compromiso de la dirección con la seguridad de la información
A.6.1.2 Coordinación de la seguridad de la información
A.6.1.3 Asignación de responsabilidades para la seguridad de la información
A.6.1.4 Proceso de autorización para los servicios de procesamiento de información.
A.6.1.5 Acuerdos sobre la Confidencialidad
A.6.2.1 Identificación de riesgos relacionados con las partes externas
A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes
A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes
A.10.2.1 Prestación del servicio
A.10.4.2 Controles contra códigos móviles
A.10.7.4 Seguridad de la documentación del sistema
A.10.8.5 Sistemas de información del negocio
A.10.9.1 Comercio electrónico
A.10.9.3 Información pública
A.10.10.1 Registro de auditorías
A.10.10.2 Monitoreo del uso del sistema
A.10.10.5 Registro de fallas
A.11.2.1 Registro de usuarios.
A.11.4.2 Autenticación de los usuarios para conexiones externas
A.11.4.3 Identificación de los equipos en las redes
CONTROLES ELIMINADOS
A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto
A.11.4.6 Control de conexión a las redes
A.11.4.7 Control de enrutamiento en la red
A.11.5.2 Identificación y autenticación de usuarios
A.11.5.5 Sesión de tiempo de espera
A.11.5.6 Limitación del tiempo de conexión
A.11.6.2 Aislamiento de sistemas sensibles
A.11.7.1 Computación y comunicaciones móviles
A.12.2.1 Validación de los datos de entrada
A.12.2.2 Control de procesamiento interno
A.12.2.3 Integridad del mensaje
A.12.2.4 Validación de los datos de salida
A.12.4.2 Protección de los datos de prueba del sistema
A.12.5.4 fuga de información
A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información
A.14.1.4 Estructura para la planificación de la continuidad del negocio
A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información
A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
NUEVOS CONTROLES
A.6.1.1 Seguridad de la información Roles y Responsabilidades
A.6.1.5 Seguridad de la información en gestión de Proyectos
A.6.2.1 Política para dispositivos móviles
A.8.2.3 Manejo de Activos
A.9.2.3 Gestión de derechos de acceso privilegiado
A.9.4.2 Procedimiento de conexión segura
A.12.4.1 Registro de eventos
A.12.6.2 Restricciones sobre la instalación de Software
A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas
A.14.2.1 Política de desarrollo seguro
A.14.2.5 Principios de construcción de sistemas seguros
A.14.2.6 Ambiente de desarrollo seguro
A.14.2.8 Pruebas de seguridad de sistemas
A.15.1.1 Política de seguridad de la información para las relaciones con proveedores
A.15.1.3 Cadena de suministro de tecnología de información y comunicación
A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
A.16.1.5 Respuesta a incidentes de seguridad de la información
A.17.1.2 Implementación de la continuidad de la seguridad de la información
A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.5. Políticas de la Seguridad de la Información
A.5.1. Orientación de la dirección para la Gestión de Seguridad de la

Información.
A.5.1.1. Políticas para la Seguridad de la Información A.5.1.1. Información de documento de Política de Seguridad
A.5.1.2. Revisión de las Políticas para seguridad de la información A.5.1.2. Revisión de la Política de Seguridad de la Información
A.6. Organización de la Seguridad de la Información
A.6.1. Organización Interna
A.6.1.3. Asignación de responsabilidades de seguridad de la

A.6.1.1. Seguridad de la información Roles y Responsabilidades información
A.8.1.1. Roles y Responsabilidades
A.6.1.2. Separación de deberes - Funciones A.10.1.3. Segregación de Funciones
A.6.1.3. Contacto con las autoridades A.6.1.4. Contacto con las autoridades
A.6.1.4. Contacto con grupos de interés Especial A.6.1.7. Contacto con grupos de Interés
A.6.1.5. Seguridad de la información en gestión de Proyectos
A.6.2. Dispositivos Móviles y Teletrabajo
A.6.2.1. Política para dispositivos móviles A.11.7.1. Información móvil y las comunicaciones
A.6.2.2. Teletrabajo A.11.7.2. Teletrabajo
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.7. Seguridad de los Recursos Humanos
A.7.1. Antes de Asumir el empleo

A.7.1.1. Selección A.8.1.1. Selección
A.7.1.2. Términos y condiciones del empleo A.8.1.2. Términos y condiciones de empleo
A.7.2. Durante la ejecución del Empleo
A.7.2.1. Responsabilidades de la Dirección A.8.2.1. Responsabilidades de la Dirección
A.7.2.2. Toma de Conciencia, educación y formación en la Seguridad de la A.8.2.2. Toma de Conciencia, educación y formación en la
información Seguridad de la información
A.7.2.3. Proceso Disciplinario A.8.2.3. Procesos Disciplinario
A.7.3. Terminación y Cambio de Empleo
A.7.3.1. Terminación o Cambio de responsabilidades de empleo A.8.3.1. Responsabilidades de terminación
A.8. Gestión de Activos
A.8.1. Responsabilidad por los activos

A.8.1.1. Inventario de activos A.7.1.1 Inventario de Activos
A.8.1.2. Propiedad de los Activos A.7.1.2. Propiedad de los Activos
A.8.1.3. Uso aceptable de los Activos A.7.1.3. Uso aceptable de los activos
A.8.1.4. Devolución de los Activos A.8.3.2. Devolución de los activos
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.8.2. Clasificación de la información
A.8.2.1. Clasificación de la información A.7.2.1. Directrices de Clasificación
A.8.2.2. Etiquetado de la información A.7.2.2. Etiquetado y manejo de la información
A.8.2.3. Manejo de Activos A.10.7.3. Procedimientos de tratamiento de la información
A.8.3. Manejo de medios de soporte

A.8.3.1. Gestión de medios de soporte removibles A.10.7.1. Gestión de soportes extraíbles
A.8.3.2. Disposición de los medios de soporte A.10.7.2. Eliminación de los medios de comunicación
A.8.3.3. Transferencia de medios de soporte físico A.10.8.3 Medios físicos en Tránsito
A.9. Control de Acceso
A.9.1. Requisitos del negocio para control de acceso
A.9.1.1. Política de control de acceso A.11.1.1. Política de control de acceso
A.9.1.2. Acceso a redes y a servicios en red A.11.4.1. Política sobre el uso de los servicios de red
A.9.2. Gestión de acceso de usuarios.

A.9.2.1. Registro y cancelación de registro de usuarios A.8.3.3. Eliminación de los derechos de acceso
A.9.2.2. Suministro de acceso de usuarios A.11.2.2. Gestión de Privilegios
A.9.2.3. Gestión de derechos de acceso privilegiado
A.9.2.4. Gestión de Información de Autenticación secreta de usuarios A.11.2.3. Gestión de Contraseñas de Usuario
A.9.2.5. Revisión de los derechos de acceso de usuarios A.11.2.4. Revisión de los derechos de acceso de usuarios
A.9.2.6. Cancelación o ajuste de los derechos de acceso A.8.3.3. Eliminación de los derechos de acceso
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.9.3. Responsabilidades de los usuarios
A.9.3.1. Uso de información de autenticación secreta A.11.3.1. Uso de Contraseña
A.9.4. Control de Acceso a Sistemas y Aplicaciones
A.9.4.1. Restricción de acceso a información A.11.6.1. Información restricción de acceso
A.11.5.1. Procedimientos de inicio de sesión seguros
A.9.4.2. Procedimiento de conexión segura A.11.5.5. Sesión de tiempo de espera
A.11.5.6. Limitación del tiempo de conexión
A.9.4.3. Sistema de gestión de contraseñas A.11.5.3. Sistema de Gestión de Contraseña
A.9.4.4. Uso de Programas utilitarios privilegiados A.11.5.4. Uso de utilidades del sistema
A.9.4.5. Control de Acceso a Códigos fuente de programas A.12.4.3. Control de acceso al código fuente del programa
A.10. Criptografía
A.10.1. Controles Criptográficos
A.10.1.1. Política sobre el uso de controles criptográficos A.12.3.1. Política sobre el uso de controles criptográficos
A.10.1.2. Gestión de Claves A.12.3.2. Gestión de Claves
A.11. Seguridad Física y del Ambiente
A.11.1. Áreas Seguras
A.11.1.1. Perímetro de seguridad física A.9.1..1. Perímetro de Seguridad Física
A.11.1.2. Controles físicos de entrada A.9.1.2. Controles de entrada físicas
A.11.1.3. Seguridad de oficinas, salones e instalaciones A.9.1.3. Seguridad de oficinas, recintos e instalaciones
A.11.1.4. Protección contra amenazas externas y ambientales A.9.1.4. Protección contra amenazas externas y ambientales
A.11.1.5. Trabajo en áreas seguras A.9.1.5. Trabajo en áreas seguras
A.11.1.6. Áreas de despacho y carga A.9.1.6 Áreas de Acceso público, de entrega y carga

COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005

A.11.2. Equipos
A.11.2.1. Ubicación y protección de los equipos A.9.2.1. Ubicación y protección de los equipos
A.11.2.2. Servicios públicos de soporte A.9.2.2. Suministro de energía
A.11.2.3. Seguridad del cableado A.9.2.3. Seguridad del cableado
A.11.2.4. Mantenimiento de equipos A.9.2.4. Mantenimiento de equipos
A.11.2.5. Retiro de activos A.9.2.7. Retiro de activos
A.11.2.6. Seguridad de equipos y activos fuera del predio A.9.2.5. Seguridad de los equipos fuera de las instalaciones
A.11.2.7. Disposición segura o reutilización de equipos A.9.2.6. Seguridad en la reutilización o eliminación de equipos
A.11.2.8. Equipos sin supervisión de los usuarios A.11.3.2. Equipo de usuario desatendido
A.11.2.9. Política de escritorio limpio y pantalla limpia A.11.3.3. Política de escritorio despejado y pantalla despejada
A.12. Seguridad de las Operaciones
A.12.1. Procedimientos Operacionales y responsabilidades
A.12.1.1. Procedimientos de operación documentados A.10.1.1. Documentación de los procesos de operación
A.12.1.2. Gestión de Cambios A.10.1.2. Gestión del Cambio
A.12.1.3. Gestión de Capacidad A.10.3.1. Gestión de Capacidad
A.10.1.4. Separación de las instalaciones de desarrollo, prueba y
A.12.1.4. Separación de los ambientes de desarrollo, ensayo y operación
operación
A.12.2. Protección contra códigos maliciosos
A.12.2.1. Controles contra códigos maliciosos A.10.4.1. Controles contra códigos maliciosos
A.12.3. Copias de Respaldo.
A.12.3.1. Copias de respaldo de la información A.10.5.1. Información de respaldo

COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.12.4. Registro y seguimiento
A.12.4.1. Registro de eventos A.10.10.1. Registro de auditorías
A.12.4.2. Protección de la información de registro A.10.10.3. Protección de la información del registro
A.10.10.3. Protección de la información del registro
A.12.4.3. Registros del administrador y del operador
A.10.10.4. Registros del Administrador y del Operador
A.12.4.4. Sincronización de relojes A.10.10.6. Sincronización de relojes
A.12.5. Control de Software Operacional
A.12.5.1. Instalación de software en Sistemas Operativos A.12.4.1. Control del Software Operativo
A.12.6. Gestión de la vulnerabilidad técnica
A.12.6.1. Gestión de las vulnerabilidades técnicas A.12.6.1. Control de las vulnerabilidades técnicas
A.12.6.2. Restricciones sobre la instalación de Software
A.12.7. Consideraciones sobre auditorias de sistemas de información
A.12.7.1. Controles sobre auditorias de sistemas de información A.15.3.1. Controles de auditoría de los sistemas de información
A.13. Seguridad de las comunicaciones
A.13.1. Gestión de la seguridad de redes
A.13.1.1. Controles de redes A.10.6.1. Controles de red
A.13.1.2. Seguridad de los servicios de red A.10.6.2. Seguridad de los servicios de red
A.13.1.3. Separación en las redes A.11.4.5. Separación en las redes
A.13.2. Transferencia de información
A.13.2.1. Políticas y procedimientos de transferencia de información A.10.8.1. Políticas y Procedimientos de intercambio de información
A.13.2.2. Acuerdos sobre transferencia de información A.10.8.2. Acuerdos de intercambio
A.13.2.3. Mensajes Electrónicos A.10.8.4. Mensajería electrónica
A.13.2.4. Acuerdos de confidencialidad o de no divulgación A.6.1.5. Acuerdos de confidencialidad
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.14. Adquisición, desarrollo y mantenimiento de sistemas
A.14.1. Requisitos de seguridad de los sistemas de información
A.14.1.1. Análisis y especificación de requisitos de seguridad de la
A.12.1.1. Análisis y especificación de los requisitos de seguridad
información
A.10.9.1. Comercio electrónico
A.14.1.2. Seguridad de servicios de las aplicaciones en redes públicas
A.10.9.3. Información pública
A.14.1.3. Protección de transacciones de servicios de aplicaciones A.10.9.2. Transacciones en línea
A.14.2. Seguridad en los procesos de desarrollo y de soporte
A.14.2.1. Política de desarrollo seguro
A.14.2.2. Procedimientos de control de cambios en sistemas A.12.5.1. Procedimientos de control de cambios
A.14.2.3. Revisión técnica de aplicaciones después de cambios en la A.12.5.2. Revisión técnica de las aplicaciones después de los cambios
plataforma de operaciones en el sistema operativo
A.14.2.4. Restricciones sobre cambios en los paquetes de Software A.12.5.3. Restricciones en los cambios en los paquetes de software
A.14.2.5. Principios de construcción de sistemas seguros
A.14.2.6. Ambiente de desarrollo seguro
A.14.2.7. Desarrollo contratado externamente A.12.5.5. Desarrollo de Software contratado externamente
A.14.2.8. Pruebas de seguridad de sistemas
A.14.2.9. Pruebas de aceptación de sistemas A.10.3.2. Aceptación de Sistemas
A.15. Relaciones con los proveedores
A.15.1. Seguridad de la información en las relaciones con los proveedores
A.15.1.1. Política de seguridad de la información para las relaciones con A.6.2.3. Consideraciones de la Seguridad en los acuerdos con terceras
proveedores partes
A.15.1.2. Tratamiento de la seguridad dentro de los acuerdos con A.6.2.3. Consideraciones de la Seguridad en los acuerdos con terceras
proveedores partes
A.15.1.3. Cadena de suministro de tecnología de información y
comunicación
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.15.2. Gestión de la prestación de servicios de proveedores
A.15.2.1. Seguimiento y revisión de los servicios de los proveedores A.10.2.2. Monitoreo y revisión de los servicios de terceros
A.15.2.2. Gestión de cambios en los servicios de los proveedores A.10.2.3. Gestión de cambios en los servicios de terceros
A.16. Gestión de incidentes de seguridad de la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información
A.16.1.1. Responsabilidades y procedimientos A.13.2.1. Responsabilidades y Procedimientos
A.16.1.2. Informe de eventos de seguridad de la información A.13.1.1. Reporte sobre los eventos de seguridad de información
A.16.1.3. Informe de debilidades de seguridad de la información A.13.1.2. Reporte sobre las debilidades de la seguridad.
A.16.1.4. Evaluación de eventos de seguridad de la información y decisiones
sobre ellos
A.16.1.5. Respuesta a incidentes de seguridad de la información
A.16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la A.13.2.2. Aprendiendo de los incidentes de seguridad de la
información información
A.16.1.7. Recolección de Evidencia A.13.2.3. Recolección de evidencia
A.17. Aspectos de seguridad de la información de la gestión de continuidad
del negocio
A.17.1. Continuidad de la seguridad de la información
A.17.1.1. Planificación de la continuidad de la seguridad de la información A.14.1.2. Continuidad del negocio y evaluación de riesgos
A.17.1.2. Implementación de la continuidad de la seguridad de la información
A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad A.14.1.5. Pruebas, mantenimiento y reevaluación de los planes de
de la información continuidad del negocio
A.17.2. Redundancias
A.17.2.1. Disponibilidad de instalaciones de procesamiento de información
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.18. Cumplimiento
A.18.1. Cumplimiento de requisitos legales y contractuales
A.18.1.1. Identificación de los requisitos de legislación y contractuales

A.15.1.1. Identificación de la legislación aplicable
aplicables
A.18.1.2. Derechos de propiedad intelectual A.15.1.2. Derechos de Propiedad Intelectual

A.18.1.3. Protección de los registros A.15.1.3. Protección de los registros de la organización
A.18.1.4. Privacidad y protección de información identificable A.15.1.4. Protección de los datos y privacidad de la información
personalmente personal
A.18.1.5. Reglamentación de controles criptográficos A.15.1.6. Reglamentación de los controles criptográficos
A.18.2. Revisiones de seguridad de la información
A.18.2.1. Revisión independiente de la seguridad de la información A.6.1.8. Revisión independiente de la Seguridad de la Información
A.18.2.2. Cumplimiento con las políticas y normas de seguridad A.15.2.1. Cumplimiento con las políticas y normas de seguridad
A.18.2.3. Revisión del cumplimiento técnico A.15.2.2. Comprobación de cumplimiento Técnico
AUDITORÍA

ISO 27001:2013
AUDITORIA BAJO ISO 19011:2011
Auditoria Interna
PRE auditoria (opcional)
Auditoría Primera (Segunda) Parte
Auditoria Interna
Oportunidades de Mejora
Auditoría de Certificación Acción Correctiva Mayor

Renovación A.I.
Certificación
Cierre Mayor
A.I.
Seguimiento V2
A.I.
Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria
A.I.
Seguimiento V5
A.I. Seguimiento V4

TIPOS DE AUDITORÍA
 De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.
 De segunda parte
Una auditoria realizada por una organización a sus
 De tercera parte
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.

LA CERTIFICACIÓN
Certificación y registro de organizaciones
Acredita a organismos de certificación para verificar y registrar el

cumplimiento de los estándares nacionales o internacionales en las
organizaciones.
También define el alcance de acreditación del organismo de

certificación.
 Reino Unido: (UKAS) United Kingdom Accreditation Service
 USA: (RAB)
 México: (EMA)
 Colombia: ONAC Organismo Nacional de Acreditación de Colombia

CERTIFICACIÓN AUDITORES
Auditor líder ISMS ISO 27001

 International register of certification Auditors (IRCA)
en Reino Unido UK
 Register Accreditation Board (RAB)
en USA
 Quality Society of Australasia (QSA) ,
Sociedad de calidad Australia y Nueva Zelanda.
Auditor Interno ISMS ISO 27001
Fundamentos – Sensibilización ISMS ISO 27001

Para asegurar que la auditoria es un herramienta efectiva y confiable

de gestión, la auditoria es basada en ciertos principios
fundamentales.
Competencias de auditores
 ISO 19011:2011, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)

PRINCIPIOS DE AUDITORÍA
 INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.
 PRESENTACION ECUANIME: La obligación de informar con veracidad y exactitud.
 DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los

auditores deben proceder con el debido cuidado, de acuerdo con la importancia de la
tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoria y
por otras partes interesadas.
 CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la

discreción en el uso y protección, sobre la información obtenida en el curso de la
auditoría.
 INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las

conclusiones de auditoría. El auditor debe ser independiente y debe actuar en todos los
casos libre de cualquier conflicto de intereses
 ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar

conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria
sistemático. La evidencia de la auditoria es verificable. Está basada en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un período de
tiempo delimitado y con recursos finitos.
ATRIBUTOS DE LOS AUDITORES
El auditor requiere ser (Ver numeral 4 ISO19011:2011):
 Honesto , Diligente, Responsable;

 Observar y cumplir con requerimientos legales;
 Demostrar su competencia mientras desarrolla su trabajo;
 Imparcial;
 Cuidar su juicio de auditoría y ser sensible a cualquier circunstancia
que pueda afectarle.
 Saber escuchar, Paciente, Claro, Capacidad de comunicarse;
 Mostrar interés.
CALIFICACIÓN DE AUDITORES
19011
EDUCACIÓN
• Estudio formal
Certificate SGSOO1
FORMACIÓN
• Auditor interno (mínimo 24 horas)
certificado de aprobación
• Según la especialidad requerida
EXPERIENCIA
• 4 años en el sector ISO 27001:2005
• 6 meses con auditor interno
• 2 auditoria mínimo como observado

9.2 AUDITORÍAS INTERNAS
La organización debe llevar a cabo auditorias internas a intervalos

planificados, para proporcionar información acerca de si el SGSI:
a) Es conforme con:
• Los propios requisitos de la organización para su SGSI.
• Los requisitos de la norma.
b) Está implementado y mantenido eficazmente.

9.2. AUDITORÍAS INTERNAS
La organización debe :
 Planificar, establecer, implementar y mantener uno o varios programas de auditorias que

incluyan la frecuencia, los métodos , las responsabilidades, los requisitos de planificación
, y la elaboración de informes. El programa debe tener en cuenta la importancia de
los procesos y el resultado de las auditorías anteriores.
 Definir los criterios y el alcance de cada auditoria
 La selección de los auditores y la realización de la auditorías aseguren la objetividad e

imparcialidad del proceso de auditoria.
 Asegurar que los resultados se informan a la dirección pertinente y conservar la

información documentada como evidencia de la implementación del programa y sus
resultados.

DEFINICIONES DE LA NORMA
ISO 19011
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.
ALCANCE DE LA AUDITORÍA (3.14.)

Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas,
las unidades organizacionales, actividades y procesos, así como el período de tiempo
cubierto.
PROGRAMA DE AUDITORÍA (3.13.)

Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar
y llevar a cabo las auditorias.
PLAN DE AUDITORÍA (3.15)

Descripción de las actividades y de los detalles acordados de una auditoria.

ISO 19011
CRITERIOS DE AUDITORÍA (3.2.)

Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.
AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.
EVIDENCIA DE AUDITORIA (3.3.)

Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
EXPERTO TÉCNICO (3.10.)

Persona que provee conocimiento especifico o experiencia al equipo auditor.
No actúa como un auditor.

ISO 19011
HALLAZGOS DE LA AUDITORÍA (3.4.)

Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.
CONCLUSION DE AUDITORÍA (3.5.)

Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos de
la auditoria y todos los hallazgos resultado de la auditoria.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
AUDITADO(3.7.)
Organización a ser auditada.
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
FASES DE AUDITORIA
Programa Hallazgos
Necesidad de AI Programar Planear Realizar Revisar Informar Informe
Plan Conformidades
Lista de Verif. No Conformidades

PROGRAMA AUDITORIA
1. PLANEAR
1.1 Definir el responsable del programa de auditoría.
 Establecer objetivos y amplitud programa auditoria

 Establecer responsabilidades y los procedimientos,
y asegurarse de asignación de recursos
 Asegurarse de implementación programa auditoria
 Asegurarse de mantener los registros
 Realizar seguimiento, revisar y mejorar el programa auditoria.

PROGRAMA AUDITORÍA
PLANEAR
1.2 Establecer el programa de auditoría (alcance)
1.2.1 Objetivo
a) Cumplir con los requisitos del SGSI
b) Verificar la conformidad con los requisitos contractuales
c) Obtener y mantener la confianza en la capacidad de un
proveedor
d) Contribuir con la mejora del SGSI
1.2.2 Extensión
a) alcance y duración de cada auditoria que se realice
b) cualquier aspecto idiomático, cultural o social
c) el número, la importancia y la ubicación de las actividades
d) las normas, requisitos legales, reglamentarios y contractuales
1.2.3 Recursos
1.2.4 Procedimiento
PROGRAMA AUDITORÍA
HACER
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA
2.1 Ejecución del calendario de auditorías

2.2 Selección del equipo auditor:
 Competencia del auditor y evaluación desempeño
 Selección equipo auditor (Acuerdo de confidencialidad).
2.3 Conducción de las actividades de auditoría.
2.4 Conservación de los registros:
 Plan de auditoria
 Informes de auditoria.
 Informe de no conformidades.
 Informe acciones correctivas y preventivas.
 Informes de seguimiento de la auditoria.

PROGRAMA AUDITORÍA
VERIFICAR
SEGUIMIENTO Y REVISIÓN DEL PROGRAMA DE AUDITORÍA
 Resultados y tendencias
 Prácticas alternativas de auditoria o nuevas
 Conformidad procedimientos
 Expectativas de las partes interesadas
 Registros de resultados
 Desempeño equipo auditor

PROGRAMA AUDITORÍA
ACTUAR
MEJORA DEL PROGRAMA DE AUDITORÍA
3.1 Identificación de la necesidad de acciones correctivas y preventivas.

3.2 Identificación de oportunidades de mejora
4.1 Capacitación de auditores (Mantenimiento y mejora de la
competencia)
4.2 Aumento en la eficiencia del programa
4.3 Adecuación a las necesidades cambiantes de las partes interesadas
4.4 Coherencia en la fiabilidad del equipo auditor.

EJEMPLO OBJETIVOS DE AUDITORÍA
 Confirmar que el sistema de gestión de la seguridad de la información es

capaz de lograr los objetivos del SGSI y cumple con la política del SGSI de
la organización.
 Confirmar que la organización ha establecido, implementado, operado, ha

hecho seguimiento, reviso, ha mantenido y mejorado su SGSI
documentado, en el contexto de las actividades globales del negocio de la
organización.
 Verificar conformidad de los requisitos contractuales con los proveedores

relacionados con el SGSI
 Proporcionar al auditado una oportunidad para MEJORAR su SGSI

GENERALIDADES PROGRAMA
AUDITORÍA
Alcances:
 Ubicación física;
 Unidades organizacionales;
 Actividades y procesos;
 Duración de la auditoria;
Criterios
 Normas o Estándares;
 Políticas;
 Procedimientos;
 Regulaciones;
 Legislación;
 Requisitos del SGSI;
 Requisitos contractuales;
 Códigos de conducta del sector comercial.

EVIDENCIA OBJETIVA
 La evidencia existe
 No está influenciada por emociones o perjuicios
 Puede ser documentada (datos)
 Puede estar basada en la observación (hechos)
 Debe estar relacionada con el SGSI
 Puede ser cuantificada y cualitativa
 Puede verificarse (evidencia real)

RESPONSABILIDADES DEL
AUDITOR LÍDER
 Dirige el proceso de auditoria

 Ayuda en la selección del personal del equipo
 Es el responsable por todas las etapas de la auditoria.
 Ayuda en la preparación del plan de auditoria
 Establece el contacto inicial con el auditado
 Representa el equipo auditor ante la dirección
 Preparara y entrega el informe final de auditoria
 Dirige de las actividades de seguimiento
 Trata la información con la discreción debida

RESPONSABILIDADES DEL
CO-AUDITOR
 Cumple con el 100% de los requisitos de auditoria

 Realiza efectivamente las actividades asignadas
 Documenta los hallazgos de auditoria
 Conserva y salvaguarda la documentación de la auditoria.
 Reporta los resultados de la auditoria
 Verifica la eficacia de las acciones aplicadas como resultado de la auditoria.
 Coopera y soporta al auditor líder.

ANÁLISIS DE LA
DOCUMENTACIÓN
La revisión de la documentación debe tener en cuenta:

• Tamaño de la organización;
• La naturaleza de la organización;
• Complejidad de la organización;
• Objetivo y alcance de su SGSI

ANÁLISIS DE LA
DOCUMENTACIÓN
OBJETO Y CAMPO DE APLICACIÓN

Los requisitos establecidos en la norma son genéricos y
están previstos para ser aplicables a todas las
organizaciones, independientemente de su tamaño o
naturaleza.
Cuando una organización declara conformidad con la
Norma ISO 27001, no es aceptable excluir cualquiera de
los requisitos de los numerales del 4 al 10.
Solo se pueden excluir controles si no afectan a la
organización en cuanto al cumplimiento de los requisitos
de seguridad determinados por la valoración de riesgos o
requisitos legales o regulatorios.

POLÍTICA
Se debe establecer una política de Seguridad de la

Información que:
a. Sea adecuada al propósito de la Organización.
b. Incluya objetivos de Seguridad de la Información (véase
Numeral 6.2.) o proporcione el marco para su
establecimiento,
c. Incluya un compromiso de cumplir los requisitos
aplicables relacionados con el SGSI
d. Incluya el compromiso de la mejora continua
La política debe:
e. Estar disponible como información documentada.
f. Comunicarse dentro de la organización
g. Estar disponible para las partes interesadas.

INFORMACIÓN DOCUMENTADA
El SGSI de la organización debe incluir:
• La información documentada de esta norma.

• La información documentada que la organización ha
determinado que es necesaria para la eficacia del
SGSI.
La documentación del SGSI debe incluir registros de

las decisiones de la dirección, asegurar que las
decisiones sean trazables a las decisiones y políticas
de la gerencia, y que los resultados registrados sean
reproducibles.
Es importante estar en capacidad de demostrar la

relación entre los controles seleccionados y los
resultados del proceso de valoración y tratamiento de
riesgos, y seguidamente, con la política y objetivos del
SGSI.
PREPARACIÓN INDIVIDUAL
DEL EQUIPO AUDITOR
 Lea la documentación del SGSI y los procedimientos que la componen

con anticipación.
 Determine los lugares donde se realizarán las inspecciones.
 Utilice listas de verificación.
 Conozca la responsabilidad y posición de las Personas auditadas. No

llegue a preguntar que hace su entrevistado!!!
 Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.

LISTAS DE CHEQUEO O
VERIFICACIÓN
 Ayudan a Optimizar el tiempo de la revisión.

 Sirven como una guía
 Es una herramienta para recolectar evidencias
 Ayuda a identificar elementos y procesos
 Valorar el estado actual del SGSI
 Adecuar las siguientes preguntas del proceso auditado,
de allí se desprende la posibilidad de obtener evidencia
suficiente.
 Se sugiere la utilización de preguntas tipo:
QUÉ?, CUÁNDO?, CÓMO?, DÓNDE?,

CUAL (ES)?

FUENTES DE INFORMACIÓN
 ENTREVISTAS CON LOS EMPLEADOS Y PERSONAS QUE TENGAN ALGO QUE

APORTAR A LA AUDITORIA.
 OBSERVACION DE LAS ACTIVIDADES Y DEL AMBIENTE DE TRABAJO
 DOCUMENTACION
Política, objetivos, planes, procedimientos, normas, riesgos …
 REGISTROS
Actas de reunión, informes de auditoria, seguimiento y mediciones
 TABLEROS O INDICADORES DE GESTION
 RETROALIMENTACION DE ALGUNAS PARTES INTERESADAS
 BASES DE DATOS E INTERNET
Puntos claves para recordar:
Pregunte, Escuche, Observe, Piense, Evalué y Registre.

REALIZACIÓN DE ENTREVISTAS
 Haga sentir cómodo al auditado

 Sea amigable.
 Explique la razón de la entrevista y de las

notas tomadas ¿Cómo? ¿Porqué?
 Inicie con una descripción de las actividades
del auditado, eso le permite entender a su ¿Donde? Quién?
interlocutor que usted se preparó.
¿Cuáles? ¿Cuando?
 No realice preguntas inductivas. Evite
preguntas cuya respuesta sea SI o NO. ¿Muéstreme? ¿Qué?
 Todos los resultados deben estar acordados
con el auditado.
 Agradezca al auditado por su tiempo y

colaboración

PLAN DE AUDITORIA
 Objetivos y alcance.
 Documento o Estándar de referencia.
 Lugares (direcciones) y contactos claves.
 Áreas o dependencias que serán auditadas.
 Determinación de las clausulas claves para preparar la lista de
verificación.
 Personal de contacto.
 Definición del rol de cada miembro del grupo de auditores.
 Fechas de la revisión.
 Hora y duración esperada para cada actividad principal.
 Programación de reuniones.
 Claridad en los requisitos de confidencialidad.
 Distribución del informe y fecha esperada de la publicación.
 Elaboración y preparación de los documentos de trabajo.

PLAN DE AUDITORIA
Organización:
Dirección: Fechas
en sitio:
Auditor Líder:
Auditor:
Auditor experto:
Estándar: ISO 27001:2005
Lenguaje de
auditoria:
Objetivos de auditoria:

PLAN DE AUDITORIA
Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave

Día 1 d 5 8:00 Todos Llegada a la organización
8:05 JCS Reunión de apertura
8:30 JCS Presentación del SGSI por la organización
9:00 JL Revisión documental del SGSI
10:00 SV Gestión de riesgos
11:30 JL Diseño y desarrollo
12:30 Almuerzo
13:50 SV Departamento legal
14:30 Centro de datos Secundario
16:30 Reunión de retroalimentación
17:00 Fin primer día

REUNIÓN DE APERTURA
Propósito:
 Presentar el equipo auditor al personal.
 Revisar el alcance
 Revisar los objetivos de la auditoria interna
 Confirmar que el sistema de gestión de la seguridad de información ha sido

establecido e implementado de acuerdo con los requerimientos de ISO 27001:2005.
 Confirmar que la organización ha implementado en forma efectiva el SGSI
planeado.
 Confirmar que el sistema de gestión de la seguridad de la información es capaz de
lograr los objetivos del SGSI y cumple con la política del SGSI de la organización.
 Confirmar que la organización se encuentra preparada para recibir la auditoria de
certificación.

REUNIÓN DE APERTURA
Propósito:
 Confirmar Plan de auditoria.
 Se diligencian los Registros de reunión de apertura.
 Proporcionar un breve resumen de cómo se llevarán a cabo las actividades de

auditoría.
 Se identifican los conductos oficiales de comunicación.
 Se da una breve descripción de los Métodos utilizados en la auditoria.
 Se mencionan si es necesaria la utilización de recursos especiales.
 Se hace una breve explicación de que es una No Conformidad.
 Mencionar la Hora y fecha de la reunión de cierre
 Se le Proporciona al auditado la oportunidad de realizar preguntas.

EJECUTANDO LA AUDITORIA
 Haga un muestreo de las actividades y evite centrarse en

una sola.
 Busque evidencia observando lo que ocurre, revisando
y si es necesario reprocesando algunos de los registros
(Muestreo).
 Haga anotaciones completas.
 Escuche las explicaciones del auditado.
 Escriba y confirme más adelante si es procedente. No de
la impresión de que no le cree al auditado.
 Escriba detalles tales como: procedimientos, registros,
ordenes, lotes, características especiales, etc.
 Una auditoria abierta y amigable resultará en la obtención
de acuerdos de que el problema existe (o no existe).
 Verifique si la No Conformidad es o no puntual.

TÉCNICAS DE ENTREVISTA DEL
AUDITOR INTERNO
Durante la indagación o entrevista:

 Solicite explicación de las situaciones narradas.
 Escuche cuidadosamente lo que le indica su auditado.
 Mantenga Contacto cara a cara, no tome notas en portátil o agenda electrónica.
 Muéstrese interesado.
 Tome nota en corto tiempo.
 Observe el lenguaje corporal.
 Hable claro y cuidadosamente.
 Conozca sus preguntas (las de su lista de verificación).
 Sea sistemático al preguntar.
 Exprese en otra forma o con ejemplos si la pregunta no es bien entendida.
 Use preguntas abiertas y confirme lo entendido, no se quede con dudas.
 Agradezca el tiempo y las respuestas de su auditado.

ACTITUDES A TOMAR PARA
CONTROLAR LA AUDITORÍA
Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.
Actitudes a evitar en una auditoria

No sea controvertido, ni negativo, no critique, no discuta, no haga comparaciones
de ninguna índole, no sea sarcástico, …

¿CÓMO ENTORPECER LA
AUDITORÍA? (AUDITADO)
 Que le haga perder tiempo durante la auditoria.
 Que maneje al auditor.
 Que se invente o establezca situaciones inesperadas.
 Que pruebe el carácter del auditor.
 Que solamente entregue respuestas limitadas
 Que engañe al auditor

HALLAZGO
ISO 19011:2011 Numeral 3.4 – Hallazgo de Auditoría es el resultado

de la evaluación de la evidencia recopilada frente a los criterios de la
auditoria
Hasta que no es clasificado, un hallazgo de la auditoria puede ser

una:
 Conformidad;
 No conformidad o no concordancia o incumplimiento;
 Observación.

HALLAZGO
Conformidad (3.18)
 Cumplimiento de un requisito (Norma, legal, reglamentario, contractual)
 El elemento se ajusta a la exigencia de la norma o la legislación
vigente.
 La implantación corresponde a la intención.
 La implantación es eficaz.
Mejores prácticas:
 Verificar los hechos verbales
 Definir la naturaleza de la no conformidad con el auditado, detallando la
evidencia de auditoria.
 Tomar notas y consultarlas posteriormente para realizar el reporte.
 Hacer un bosquejo del reporte de hallazgos durante la toma de
alimentos o al finalizar cada jornada y luego terminar en la revisión
privada.
HALLAZGO NO CONFORME
ISO19011:2011 Numeral 3.19 define una no conformidad como el incumplimiento

a un requisito
 La ausencia o el fracaso al implementar y mantener uno ó mas requisitos
del SGSI.
 Una situación que, con base en la evidencia objetiva disponible, provocaría
dudas significativas en cuanto a la capacidad del SGSI para cumplir la
política y los objetivos de seguridad de información.
 Que pueda afectar la correcta funcionalidad del SGSI.
 Que pueda afectar la integridad, disponibilidad o confidencialidad de la
información.
 Que pueda afectar los intereses de alguna o todas las partes interesadas.
 Que exista una falla aislada en un requisito o que la falla sea generalizada
 Que exista un problema menor que requiere atención.
 Ausencia o falla completa de un requisito del SGSI.
10
CLASIFICACIÓN SAC
Clasificación de Solicitud de Acción Correctiva - SAC Mayor
 Existe una falla total de un procedimiento o instrucción de trabajo

crítico en cuanto al SGSI, o bien en el funcionamiento efectivo del
SGSI.
 Hay una ausencia total de un requisito requerido por la norma o
por el SGSI.
 Existen numerosos errores menores en el procedimiento que al
unirse, en forma colectiva constituyen una falla total o importante
en el procedimiento.
 Falla total de un procedimiento o ausencia del mismo.
 Daño inmediato y total que afecten la disponibilidad, integridad y
confidencialidad de la información.

CLASIFICACIÓN SAC
Clasificación de Solicitud de Acción Correctiva - SAC Menor
 Se levanta cuando se ha identificado una deficiencia (o

deficiencias) en un proceso en la operación del SGSI, pero
que no representa gravedad al SGSI (como lo pueda ser es
una SAC mayor).
 Cuando hay una falla puntual en un proceso,
procedimiento, control, metodología o criterio.
 Cuando hay una afectación leve en alguno de los
enunciados importantes de un procedimiento del SGSI.

REDACCIÓN DE LA NO
CONFORMIDAD
La redacción de una no conformidad debe

contener:
 Negación.
 Cual es la falla.
 Donde se falla.
 Evidencia.
 Incumplimiento y Criterio afectado.
EJEMPLO REDACCIÓN
DE LA NO CONFORMIDAD
No se evidencia un control sobre los accesos directos a la información

que se maneja en los portátiles y en los computadores de la
organización, lo cual se soporta en el hecho que al solicitar ver el
escritorio de los computadores del líder del proceso de Operaciones,
este tenían accesos directos a información de la organización,
incumpliendo de esta forma con lo establecido en la política interna
de Seguridad de la información y el Control A.11.2.9 de la norma ISO
27001:2013, que indica: “Se debe adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de procesamiento
de la información”.

CLASIFICACIÓN OBSERVACIONES
Los hallazgos de auditoria también pueden catalogarse como:
 “observaciones”,
 “oportunidades de mejora”.
Siempre se inicia con un verbo en infinitivo

 Asegurar…..
 Garantizar …
 Mejorar …
 Fortalecer …
 Diseñar….
 Implementar…..
 Evaluar ….

PREPARANDO LA REUNIÓN DE
CIERRE
DIRIGIDA POR EL AUDITOR LIDER
PREPARACIÓN
 Cada auditor relata sus hallazgos.
 El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
 Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
 Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.

LA REUNIÓN DE CIERRE
DIRIGIDA POR EL AUDITOR LIDER

 Agradecimientos.
 Preguntas y discusiones al final.
 Confirmar alcance SGSI.
 Objetivo de auditoria y alcance de auditoria.
 No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
 Presentación de fortalezas.
 Presentación de No Conformidades por el equipo.
(Si hay hechos).
 Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
 Registros.
 Preguntas al respecto.
INFORME
Auditoria No
Fecha
Lugar
Auditores
Norma ISO27001:2005
Objetivo de la Auditoria
Personal entrevistado
Procesos Auditados
Resultado de Hallazgos SAC MAYORES:

SAC MENORES:
OBSERVACIONES:
Firma de los Auditores

¿QUÉ NO INCLUIR EN EL INFORME
DE AUDITORÍA?
 Evite incluir opiniones subjetivas sobre el SGSI o la auditoría.

 Información confidencial que le fue suministrada durante la
auditoría.
 Critica hacia alguno de los individuos que tienen relación con los
procesos y en general con el SGSI.
 Evite las declaraciones ambiguas.
 No incluya detalles triviales.
 NUNCA incluya Observaciones o no conformidades no discutidas
en la reunión de cierre.

RESPONSABILIDAD DUEÑO DEL
PROCESO AUDITADO
 Entendimiento y asimilación de la no conformidad.

 Investigación del problema raíz que dio pie a la No Conformidad.
 Determinación de las causas fundamentales, utilizando cualquier
metodología sugerida (5 porque, Lluvia de ideas, 4 M´s, entre otras).
 Elaboración del plan de acción para corregir las causas establecidas, que
incluya una breve descripción de las actividades, responsable, recursos y
fecha de ejecución.
 Fecha de seguimiento prevista para evaluación y posterior cierre de la No
Conformidad.
 Evaluación de la eficacia de la acción correctiva.
 Responsable del cierre.

AUDITORIA DEL SGSI
SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estándar y Número de Elemento:
Hallazgo: …
Causas Fundamentales: (*)

(Metodología usada: Espina de pescado, mapas mentales, los cinco porque).
Planes de Acción:
Actividad Responsable Fecha Recursos

Implementación
Fecha de seguimiento:
Eficaz Si No Fecha de cierre: Firma auditor
En caso de no ser eficaz se genera nueva SAC

Metodología 5 porque (¿por qué puede suceder?)
Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque
Porque
Efecto
Porque 4 Porque 5
OBSERVACIONES
 Determinar las oportunidades de mejora.
 Determinar las fortalezas para ejecutarlas.
 Medir la capacidad instalada para cumplir con la recomendación.
 Analizar alternativas o elementos alternos que puedan minimizar la
potencial amenaza.
 Plantear acciones preventivas.
 Implementar la acción preventiva.
 Registrar y Revisar su efectividad.

SEGUIMIENTO
VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS
NO SI
Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC

GRACIAS

Idioma

Auditor Interno Formación ISO27001

Cargado por

Información del documento

Derechos de autor

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Auditor Interno Formación ISO27001

Cargado por

Copyright:

FORMACIÓN COMO

© SGS SA 2012 ALL RIGHTS RESERVED 1

Conocer técnicas y Conocer los

© SGS SA 2012 ALL RIGHTS RESERVED 2

© SGS SA 2012 ALL RIGHTS RESERVED 3

ISO/IEC 27000 Fundamentals and vocabulary

© SGS SA 2012 ALL RIGHTS RESERVED 5

© SGS SA 2012 ALL RIGHTS RESERVED 6

© SGS SA 2012 ALL RIGHTS RESERVED 7

Esta Norma Internacional especifica los requisitos para establecer, implementar,

© SGS SA 2012 ALL RIGHTS RESERVED 8

La norma define seguridad como la preservación de:

Seguridad de que la información es

Los siguientes documentos, en parte o en su totalidad, se referencian

ISO/IEC 27000, Information technology — Security techniques — Information

© SGS SA 2012 ALL RIGHTS RESERVED 10

Para los propósitos de este documento se aplican

© SGS SA 2012 ALL RIGHTS RESERVED 11

© SGS SA 2012 ALL RIGHTS RESERVED 12

A9 Control de A8 Gestión de Activos

© SGS SA 2012 ALL RIGHTS RESERVED 13

© SGS SA 2012 ALL RIGHTS RESERVED 14

CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debe determinar las cuestiones externas e internas que son

© SGS SA 2012 ALL RIGHTS RESERVED 15

COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

La organización debe determinar:

a) las partes interesadas que son pertinentes al sistema de gestión de la

b) los requisitos de estas partes interesadas pertinentes a seguridad de la

© SGS SA 2012 ALL RIGHTS RESERVED 16

5.1 LIDERAZGO Y COMPROMISO

© SGS SA 2012 ALL RIGHTS RESERVED 18

La alta dirección debe asegurarse de que las responsabilidades y

La alta dirección debe asignar la responsabilidad y autoridad para:

a) asegurarse de que el sistema de gestión de la seguridad de la

b) informar a la alta dirección sobre el desempeño del sistema de gestión de

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.

a. Asegurar que el SGSI pueda lograr los resultados previstos.

La organización debe planificar:

6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:

© SGS SA 2012 ALL RIGHTS RESERVED 22

6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

 Analice los riesgos:

Se debe conservar información documentada acerca del proceso de evaluación de riesgos.

© SGS SA 2012 ALL RIGHTS RESERVED 23

Se debe definir y aplicar un proceso de tratamiento de riesgos para:

PARAMETROS CRITERIOS PROBABILIDAD IMPACTO PUNTAJES

Herramientas Existen manuales, instructivos o procedimientos

para ejercer para el manejo de la herramienta.

Están definidos los responsables de la ejecución

control seguimiento de adecuada.

DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA

RANGOS DE CALIFICACIÓN EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

© SGS SA 2012 ALL RIGHTS RESERVED 26

ESTRUCTURACIÓN DE CRITERIOS PARA TOMA DE DECISIONES

Tratamiento de Riesgos Efectos al interior de la

© SGS SA 2012 ALL RIGHTS RESERVED 27

Se pueden manejar independientes, interrelacionadas o en conjunto

Prevenir la materialización del Riesgo mediante

Mejoramiento Rediseño Eliminación Adecuados Controles

© SGS SA 2012 ALL RIGHTS RESERVED 28

Medidas de Prevención Medidas de Protección

COMPARTIR O TRANSFERIR EL RIESGO

Reducir el efecto a partir de la transferencia de las perdidas a otra entidad u

© SGS SA 2012 ALL RIGHTS RESERVED 30