Está en la página 1de 115

FORMACIÓN COMO

AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013

© SGS SA 2012 ALL RIGHTS RESERVED 1


OBJETIVOS
Interpretar la
importancia de los
Conocer e Interpretar Comprender el aspectos
la serie de normas enfoque basado en relacionados con
ISO/IEC 27001. procesos PHVA Análisis y Evaluación
de Riesgos para un
SGSI

Conocer técnicas y Conocer los


Conocer los
herramientas para aspectos
requisitos
realizar auditorias relacionados con los
establecidos por el
internas al SGSI. y objetivos y
estándar ISO27001,
Desarrollar actividades de
para implementar un
habilidades para la control del Anexo A
SGSI en las
realización de las del estándar
organizaciones.
mismas. ISO27001.

© SGS SA 2012 ALL RIGHTS RESERVED 2


NORMA

© SGS SA 2012 ALL RIGHTS RESERVED 3


FAMILIA ISO 27000

ISO/IEC 27000 Fundamentals and vocabulary


ISO/IEC 27001 ISMS - Requirements
ISO/IEC 27002 Code of practice for information security management
ISO/IEC 27003 ISMS implementation guidance
ISO/IEC 27004 Information security management measurement
ISO/IEC 27005 Information security risk management
ISO/IEC 27006 Requirements for bodies providing audit and certification of information
security management systems
ISO/IEC 27007 Guidelines for information security management systems auditing

Accreditation Standards
ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and
certification of management systems.
© SGS SA 2012 ALL RIGHTS RESERVED 4
ISO 27001:2013

GENERALIDADES
Esta norma internacional ha sido preparada para proveer un
modelo para:
• Establecer, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar un Sistema de Gestión de la
Seguridad de la información SGSI.
• La adopción de un SGSI debe ser una decisión estratégica
para una organización.
• Estos y los sistemas soportados cambian con el tiempo,
de acuerdo con las necesidades de la organización.

© SGS SA 2012 ALL RIGHTS RESERVED 5


ISO 27001:2013

© SGS SA 2012 ALL RIGHTS RESERVED 6


INTRODUCCIÓN
Es importante que el sistema de gestión de la seguridad de la información sea
parte de los procesos y de la estructura de gestión total de la información de la
organización y que esté integrado con ellos, y que la seguridad de la información
se considere en el diseño de procesos, sistemas de información y controles. Se
espera que la implementación de un sistema de gestión de seguridad de la
información se difunda de acuerdo con las necesidades de la organización.

La presente Norma Internacional puede ser usada por partes internas y externas
para evaluar la capacidad de la organización para cumplir los requisitos de
seguridad la propia organización.

© SGS SA 2012 ALL RIGHTS RESERVED 7


OBJETO Y CAMPO DE
APLICACIÓN

Esta Norma Internacional especifica los requisitos para establecer, implementar,


mantener y mejorar continuamente un sistema de gestión de la seguridad de la
información dentro del contexto de la organización. La presente Norma
Internacional incluye también los requisitos para la evaluación y el tratamiento de
riesgos de seguridad de la información, adaptados a las necesidades de la
organización. Los requisitos establecidos en esta Norma Internacional son
genéricos y están previstos para ser aplicables a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. Cuando una organización
declara conformidad con esta Norma Internacional, no es aceptable excluir
cualquiera de los requisitos especificados de los apartados 4 a 10.

© SGS SA 2012 ALL RIGHTS RESERVED 8


ISO 27001:2013

La norma define seguridad como la preservación de:

SGSI

Confidencialidad Disponibilidad

Seguridad de que la información es


accesible solamente a quienes están
autorizados para ello. Integridad

Protección de la exactitud y
estado completo de la información
y métodos de procesamiento.
© SGS SA 2012 ALL RIGHTS RESERVED 9
REFERENCIAS
NORMATIVAS

Los siguientes documentos, en parte o en su totalidad, se referencian


normativamente en este documento y son indispensables para su aplicación.
Para referencias fechadas sólo se aplica la edición citada. Para referencias no
fechadas se aplica la edición más reciente del documento referenciado (incluida
cualquier enmienda).

ISO/IEC 27000, Information technology — Security techniques — Information


security management systems — Overview and vocabulary

© SGS SA 2012 ALL RIGHTS RESERVED 10


TÉRMINOS Y
DEFINICIONES

Para los propósitos de este documento se aplican


los términos y definiciones presentados en la
norma ISO/IEC 27000.

© SGS SA 2012 ALL RIGHTS RESERVED 11


ISO 27001:2013 - CONTENIDO

4. Contexto de la
Organización

© SGS SA 2012 ALL RIGHTS RESERVED 12


ISO 27001:2013 - CONTENIDO

A5 Política de
Seguridad A6 Organización
de la Seguridad de
A11 Seguridad la información
Física y del
Entorno

A7 Recursos
Humanos
A10 Criptografía

A9 Control de A8 Gestión de Activos


Acceso

© SGS SA 2012 ALL RIGHTS RESERVED 13


ISO 27001:2013 - CONTENIDO

A12 A13
Operaciones Comunicacione
A18
Cumplimiento s

A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento

A15
A16 Incidentes Proveedores

© SGS SA 2012 ALL RIGHTS RESERVED 14


CONTEXTO DE LA
ORGANIZACIÓN

CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debe determinar las cuestiones externas e internas que son


pertinentes para su propósito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestión de la seguridad de la
información

© SGS SA 2012 ALL RIGHTS RESERVED 15


CONTEXTO DE LA
ORGANIZACIÓN

COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES


INTERESADAS

La organización debe determinar:

a) las partes interesadas que son pertinentes al sistema de gestión de la


seguridad de la información; y

b) los requisitos de estas partes interesadas pertinentes a seguridad de la


información.

© SGS SA 2012 ALL RIGHTS RESERVED 16


ALCANCE
 Se debe determinar los límites y la aplicabilidad del
SGSI para establecer su alcance.
 Para determinar el alcance la organización debe
considerar:
 Aspectos internos y externos referidas en el 4.1. y
 Los requisitos referidos en 4.2.; y
 Las interfaces y dependencias entre las actividades
realizadas y las que realizan otras empresas.
 El alcance debe estar disponible como información
documentada
© SGS SA 2012 ALL RIGHTS RESERVED 17
LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI así:
 Asegurado que se establece la política y los objetivos del SGSI.
 Asegurando la integración de los requisitos del SGSI con los procesos de negocio
 Asegurando la disponibilidad de los recursos necesarios
 Comunicando la importancia de una gestión eficaz y de conformidad con los requisitos
del SGSI.
 Asegurando que el SGSI logre los resultados previstos.
 Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
 Promoviendo mejora continúa.
 Apoyando otros roles pertinentes de la dirección para demostrar liderazgo aplicado a sus
áreas de responsabilidad.

© SGS SA 2012 ALL RIGHTS RESERVED 18


POLÍTICA
La Alta Dirección debe establecer una política que:
 Sea adecuada al propósito de la empresa.
 Incluya objetivos de Seguridad de la Información o proporcione el
marco para el establecimiento de los mismos.
 Incluya un compromiso de cumplir los requisitos aplicables
relacionados con la Seguridad.
 Incluya compromiso de Mejora Continua

La política debe:
 Estar como información documentada.
 Comunicarse dentro de la empresa.
 Estar disponible para las partes interesadas, según sea apropiado.
© SGS SA 2012 ALL RIGHTS RESERVED 19
ROLES, RESPONSABILIDADES
Y AUTORIDADES EN LA
ORGANIZACIÓN

La alta dirección debe asegurarse de que las responsabilidades y


autoridades para los roles pertinentes se asignen y comuniquen.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) asegurarse de que el sistema de gestión de la seguridad de la


información sea conforme con los requisitos de esta Norma Internacional; e

b) informar a la alta dirección sobre el desempeño del sistema de gestión de


la seguridad de la información.
© SGS SA 2012 ALL RIGHTS RESERVED 20
RIESGOS EN EL SGSI

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.


6.1.1. GENERALIDADES.

Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado 4.1. Y los
requisitos a que se hace referencia en el apartado 4.2. Y determinar los riesgos y
oportunidades con el fin de:

a. Asegurar que el SGSI pueda lograr los resultados previstos.


b. Prevenir o reducir los efectos indeseados.
c. Lograr la mejorar continua.

La organización debe planificar:


a. Las acciones para tratar los riesgos y oportunidades
b. La manera de:

© SGS SA 2012 ALL RIGHTS RESERVED
Integrar e implementar estas acciones en sus procesos 21
RIESGOS EN EL SGSI

6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

Se debe definir y aplicar un proceso de evaluación de riesgos del SGSI que:


 Establezca y mantenga criterios de riesgo de seguridad que incluya:
• Criterios de Aceptación de Riesgos.
• Criterios para realizar evaluaciones de riesgos.
 Asegure que las evaluaciones repetidas de riesgos produzcan resultados consistentes,
válidos y comparables.
 Identifique los riesgos:
• Aplicar el proceso de evaluación de riesgos para identificar los riesgos asociados con
la pérdida de la confidencialidad, de integridad y de disponibilidad de la información
dentro del alcance.
• Identificar a los dueños de los riesgos.

© SGS SA 2012 ALL RIGHTS RESERVED 22


RIESGOS EN EL SGSI

6.1.2. EVALUACIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

 Analice los riesgos:


• Evaluar las consecuencias potenciales si se materializan los riesgos identificados
6.1.2 c. 1.
• Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c. 1.
• Determinar los niveles de riesgo.
 Evalúe los riesgos:
• Comparar los resultados del análisis de riesgos con los criterios establecidos en
identificados 6.1.2 a.
• Priorizar los riesgos analizados para el tratamiento de riesgos.

Se debe conservar información documentada acerca del proceso de evaluación de riesgos.

© SGS SA 2012 ALL RIGHTS RESERVED 23


RIESGOS EN EL SGSI
6.1.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

Se debe definir y aplicar un proceso de tratamiento de riesgos para:


 Seleccionar las opciones apropiadas de tratamiento de riesgos, teniendo en cuenta los
resultados de la evaluación de riesgos.
 Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
 Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que no
se han omitidos controles.
 Elaborar una Declaración de Aplicabilidad que tenga los controles necesarios y la
justificación de las exclusiones, ya sea que se implementen o no y la justificación para
las exclusiones de los controles del Anexo A.
 Formular un plan de tratamiento de riesgos.
 Obtener la aprobación del plan te tratamiento de riesgos y la aceptación de riesgos
residuales por parte de los dueños de los riesgos
Se debe conservar información documentada acerca del proceso de tratamiento de riesgos
© SGS SA 2012 ALL RIGHTS RESERVED 24
TABLA MODELO VALORACIÓN
DE LOS CONTROLES
Se evalúan los controles, de acuerdo a los parámetros de la matriz de probabilidad e
impacto, se multiplica los valores seleccionados para determinar el puntaje de cada
ítem de valoración.
TIPOS DE CONTROL

PARAMETROS CRITERIOS PROBABILIDAD IMPACTO PUNTAJES

Herramientas Existen manuales, instructivos o procedimientos

para ejercer para el manejo de la herramienta.


Posee una herramienta para ejercer el control y ha
demostrado ser efectiva.
el control

Están definidos los responsables de la ejecución


del control y del seguimiento.

Seguimiento
al La frecuencia de ejecución del control y

control seguimiento de adecuada.

TOTAL
© SGS SA 2012 ALL RIGHTS RESERVED 25
TABLA MODELO VALORACIÓN
DE LOS CONTROLES
El valor total de la valoración de los controles, se revisa contra los rangos de
calificación de controles y se determina la disminución de la probabilidad e impacto.
Como resultado final, se genera una segunda evaluación del riesgo.

DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA

RANGOS DE CALIFICACIÓN EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS


DE LOS CONTROLES CUADRANTES A DISMINUIR CUADRANTES A DISMINUIR
EN LA PROBABILIDAD EN EL IMPACTO

ENTRE 0 - 50 0 0

ENTRE 51 - 75 1 1

ENTRE 76 - 100 2 2

© SGS SA 2012 ALL RIGHTS RESERVED 26


POLITICAS DE ADMINISTRACIÓN
Y GESTIÓN DEL RIESGO
TRATAMIENTO DEL RIESGO

ESTRUCTURACIÓN DE CRITERIOS PARA TOMA DE DECISIONES

Tratamiento de Riesgos Efectos al interior de la


Organización

© SGS SA 2012 ALL RIGHTS RESERVED 27


TIPOLOGÍA BÁSICA DE POLITICAS
DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO

Se pueden manejar independientes, interrelacionadas o en conjunto

EVITAR EL RIESGO

Prevenir la materialización del Riesgo mediante

Mejoramiento Rediseño Eliminación Adecuados Controles

© SGS SA 2012 ALL RIGHTS RESERVED 28


TIPOLOGIA BÁSICA DE POLITICAS
DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO
REDUCIR EL RIESGO
Disminuir la Probabilidad y el Impacto

Medidas de Prevención Medidas de Protección

Optimización de Procedimientos
Implementación y/o cambio de los controles existentes.
© SGS SA 2012 ALL RIGHTS RESERVED 29
TIPOLOGIA BÁSICA DE POLITICAS
DE ADMINISTRACIÓN Y GESTIÓN DEL RIESGO

COMPARTIR O TRANSFERIR EL RIESGO

Reducir el efecto a partir de la transferencia de las perdidas a otra entidad u


organización.

ASUMIR EL RIESGO

El riesgo ha sido manejado (reducido o transferido) pero han quedado vestigios del
riesgo, se establecen planes de contingencia para su manejo y seguimiento.

© SGS SA 2012 ALL RIGHTS RESERVED 30


RIESGOS EN EL SGSI

Comparación entre Probabilidad e Impacto

Impacto Insignificante Menor Moderada Mayor Extremo

Probabilidad 1 2 3 4 5

Raro 1 Verde Verde Verde Amarillo Amarillo

Improbable 2 Verde Verde Amarillo Amarillo Rojo

Moderado 3 Verde Amarillo Amarillo Amarillo Rojo

Probable 4 Verde Amarillo Amarillo Rojo Rojo

Casi seguro 5 Amarillo Amarillo Rojo Rojo Rojo

© SGS SA 2012 ALL RIGHTS RESERVED 31


MODELO MAPA DE RIESGOS

MAPA DE RIESGOS

PROCESO:
OBJETIVO DEL
PROCESO:

CALIFICACIÓN EVALUACIÓN CONTROLES NUEVA CALIFICACION NUEVA POLÍTICAS

RIESGO PROBABILIDAD IMPACTO RIESGO PROBABILIDAD IMPACTO CALIFICACIÓN DE MANEJO ACCIONES RESPONSABLE INDICADOR

© SGS SA 2012 ALL RIGHTS RESERVED 32


SOPORTE
COMPETENCIA
Se debe:
 Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeño de la seguridad de la información.
 Asegurar que las personas sean competentes, basándose en: educación, formación o
experiencia adecuadas.
 Tomar acciones para adquirir la competencia necesario y evaluar su eficacia (cuando sea
aplicable)
 Conservar la información documentada apropiada como evidencia.

TOMA DE CONCIENCIA
Las personas deben tomar conciencia de:
 La política.
 Su contribución a la eficacia, incluyendo los beneficios de una mejora del desempeño.
 Las implicaciones de la No Conformidad con los requisitos del SGSI.
© SGS SA 2012 ALL RIGHTS RESERVED 33
SOPORTE

COMUNICACIÓN

Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;


 El contenido de la comunicación.
 Cuando comunicar.
 A quién comunicar.
 Quién debe comunicar
 Los procesos para llevar a cabo la comunicación.

© SGS SA 2012 ALL RIGHTS RESERVED 34


INFORMACIÓN
DOCUMENTADA

GENERALIDADES.

Se debe incluir:
 Información documentada requerida por la norma
 Información documentada que la organización ha determinado que es necesaria para la
eficacia del SGSI.

Nota: El alcance de la información documentada puede ser diferente de una organización a


otra, debido a:
 El tamaño de la organización y su tipo de actividades, procesos, productos y servicios.
 La Complejidad de los procesos y sus interacciones.
 La Competencia de las personas.

© SGS SA 2012 ALL RIGHTS RESERVED 35


INFORMACIÓN
DOCUMENTADA

CREACIÓN Y ACTUALIZACIÓN.
 Cuando se crea o actualiza información documentada, se debe asegurar que:
 La identificación y descripción
 El formato y sus medios de soporte.
 La revisión y aprobación con respecto a la idoneidad y adecuación.

CONTROL DE LA INFORMACIÓN DOCUMENTADA.


La información documentada se debe controlar para asegurar que:
 Esté disponible y adecuado para su uso, cuando y donde se requiere
 Esté protegida adecuadamente.

© SGS SA 2012 ALL RIGHTS RESERVED 36


INFORMACIÓN
DOCUMENTADA

CONTROL DE LA INFORMACIÓN DOCUMENTADA.

Para controlar la información se debe tratar de:


 Distribución, acceso, recuperación y uso
 Almacenamiento y preservación, incluido la legibilidad.
 Control de Cambios
 Retención y disposición.

Se debe identificar y controlar la información de origen externo, que la organización ha


determinado que es necesario para la planificación y operación del SGSI.

© SGS SA 2012 ALL RIGHTS RESERVED 37


EVALUACIÓN DEL
DESEMPEÑO
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN.

Se debe evaluar el desempeño del SGSI y la eficacia del SGSI.

Se debe determinar:
A qué se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
• Los métodos de seguimiento, medición, análisis y evaluación, para asegurar resultados
válidos.
• Cuándo se deben llevar a cabo el seguimiento y la medición.
• Quien debe llevar a cabo el seguimiento y la medición.
• Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
• Quién debe analizar y evaluar estos resultados.

Se debe conservar información documentada apropiada como evidencia de los resultados del
monitoreo y la medición.
© SGS SA 2012 ALL RIGHTS RESERVED 38
AUDITORIAS INTERNAS

La organización debe realizar auditorias internas al SGSI a intervalos planificados,


para determinar si los objetivos de control, controles, procesos y procedimientos de
su SGSI:

a) Cumplen los requisitos de esta norma internacional y de la legislación o


reglamentaciones pertinentes;
b) Cumplen los requisitos identificados de seguridad de la información;
c) Están implementados y se mantienen eficazmente, y
d) Tienen un desempeño acorde con lo esperado.

© SGS SA 2012 ALL RIGHTS RESERVED 39


REVISION DEL SGSI POR LA
ALTA DIRECCION

La revisión por la dirección debe incluir:

 Estado de las acciones de las revisiones anteriores.


 Cambios en los aspectos externos e internos que afecten el SGSI
 Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
• No Conformidades y Acciones Correctivas.
• Seguimiento y resultados de las mediciones.
• Resultados de la auditoría.
• Cumplimiento de los objetivos del SGSI
 Retroalimentación de las partes interesadas.
 Resultados de la evaluación de riesgos y estado del plan de tratamiento.
 Oportunidades de mejora.
© SGS SA 2012 ALL RIGHTS RESERVED 40
REVISION DEL SGSI POR LA
ALTA DIRECCION
REVISIÓN DE ENTRADAS
Las entradas para la revisión por la dirección debe incluir:
a) resultados de las auditorias y revisiones del SGSI;
b) retroalimentación de las partes interesadas;
c) técnicas, productos o procedimientos que se pueden usar en la organización para
mejorar el desempeño y eficacia del SGSI;
d) estado de las acciones preventivas y correctivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoración previa de
los riesgos;
f) resultados de las mediciones de la eficacia;
g) acciones de seguimiento resultantes de revisiones anteriores por la dirección;
h) cualquier cambio que pueda afectar el SGSI; y
i) Retroalimentación para mejorar.

© SGS SA 2012 ALL RIGHTS RESERVED 41


MEJORA DEL SGSI

NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Cuando se tenga una No Conformidad, se debe:


 Reaccionar ante la No Conformidad, según aplique:
• Tomar acciones para controlarla y corregirla.
• Hacer frente a las consecuencias
 Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no vuelvan a
ocurrir las No Conformidades, mediante:
• Revisión de la No Conformidad.
• Determinar las causas.
• Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
 Implementar acciones
 Revisar la eficacia de las acciones tomadas.
 Hacer cambios al SGSI cuando sea necesario.
© SGS SA 2012 ALL RIGHTS RESERVED 42
ISO 27001:2013

¿Por qué implementar un SGSI y certificarlo?

 Proteger los activos de la información de una amplia gama de amenazas.


 Asegurar la continuidad del negocio.
 Minimizar los daños a la organización.
 Maximizar el retorno de las inversiones y la oportunidad de negocio.
 Brindar confianza a sus clientes y otras partes interesadas.
 Conocer los posibles riesgos en la seguridad de la información.
 Reducir el tiempo de respuesta en el caso de un evento.
 Proveer las mejores y oficiales practicas de la seguridad de la información.
 Ayudar a las empresas a desarrollar, implementar y mantener las mejores
prácticas efectivas de un sistema de gestión de la seguridad de la información.

© SGS SA 2012 ALL RIGHTS RESERVED 43


CAMBIOS NORMA ISO 27001
CONTROLES ELIMINADOS
CONTROL DESCRIPCIÓN
A.6.1.1 Compromiso de la dirección con la seguridad de la información
A.6.1.2 Coordinación de la seguridad de la información
A.6.1.3 Asignación de responsabilidades para la seguridad de la información
A.6.1.4 Proceso de autorización para los servicios de procesamiento de información.
A.6.1.5 Acuerdos sobre la Confidencialidad
A.6.2.1 Identificación de riesgos relacionados con las partes externas
A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes
A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes
A.10.2.1 Prestación del servicio
A.10.4.2 Controles contra códigos móviles
A.10.7.4 Seguridad de la documentación del sistema
A.10.8.5 Sistemas de información del negocio
A.10.9.1 Comercio electrónico
A.10.9.3 Información pública
A.10.10.1 Registro de auditorías
A.10.10.2 Monitoreo del uso del sistema
A.10.10.5 Registro de fallas
A.11.2.1 Registro de usuarios.
A.11.4.2 Autenticación de los usuarios para conexiones externas
A.11.4.3 Identificación de los equipos en las redes
© SGS SA 2012 ALL RIGHTS RESERVED 44
CAMBIOS NORMA ISO 27001
CONTROLES ELIMINADOS
CONTROL DESCRIPCIÓN
A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto
A.11.4.6 Control de conexión a las redes
A.11.4.7 Control de enrutamiento en la red
A.11.5.2 Identificación y autenticación de usuarios
A.11.5.5 Sesión de tiempo de espera
A.11.5.6 Limitación del tiempo de conexión
A.11.6.2 Aislamiento de sistemas sensibles
A.11.7.1 Computación y comunicaciones móviles
A.12.2.1 Validación de los datos de entrada
A.12.2.2 Control de procesamiento interno
A.12.2.3 Integridad del mensaje
A.12.2.4 Validación de los datos de salida
A.12.4.2 Protección de los datos de prueba del sistema
A.12.5.4 fuga de información
A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información
A.14.1.4 Estructura para la planificación de la continuidad del negocio
A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información
A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
© SGS SA 2012 ALL RIGHTS RESERVED 45
CAMBIOS NORMA ISO 27001
NUEVOS CONTROLES
CONTROL DESCRIPCIÓN
A.6.1.1 Seguridad de la información Roles y Responsabilidades
A.6.1.5 Seguridad de la información en gestión de Proyectos
A.6.2.1 Política para dispositivos móviles
A.8.2.3 Manejo de Activos
A.9.2.3 Gestión de derechos de acceso privilegiado
A.9.4.2 Procedimiento de conexión segura
A.12.4.1 Registro de eventos
A.12.6.2 Restricciones sobre la instalación de Software
A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas
A.14.2.1 Política de desarrollo seguro
A.14.2.5 Principios de construcción de sistemas seguros
A.14.2.6 Ambiente de desarrollo seguro
A.14.2.8 Pruebas de seguridad de sistemas
A.15.1.1 Política de seguridad de la información para las relaciones con proveedores
A.15.1.3 Cadena de suministro de tecnología de información y comunicación
A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
A.16.1.5 Respuesta a incidentes de seguridad de la información
A.17.1.2 Implementación de la continuidad de la seguridad de la información
A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
© SGS SA 2012 ALL RIGHTS RESERVED 46
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005

A.5. Políticas de la Seguridad de la Información

A.5.1. Orientación de la dirección para la Gestión de Seguridad de la


Información.
A.5.1.1. Políticas para la Seguridad de la Información A.5.1.1. Información de documento de Política de Seguridad
A.5.1.2. Revisión de las Políticas para seguridad de la información A.5.1.2. Revisión de la Política de Seguridad de la Información

A.6. Organización de la Seguridad de la Información

A.6.1. Organización Interna

A.6.1.3. Asignación de responsabilidades de seguridad de la


A.6.1.1. Seguridad de la información Roles y Responsabilidades información
A.8.1.1. Roles y Responsabilidades
A.6.1.2. Separación de deberes - Funciones A.10.1.3. Segregación de Funciones
A.6.1.3. Contacto con las autoridades A.6.1.4. Contacto con las autoridades
A.6.1.4. Contacto con grupos de interés Especial A.6.1.7. Contacto con grupos de Interés
A.6.1.5. Seguridad de la información en gestión de Proyectos

A.6.2. Dispositivos Móviles y Teletrabajo

A.6.2.1. Política para dispositivos móviles A.11.7.1. Información móvil y las comunicaciones
A.6.2.2. Teletrabajo A.11.7.2. Teletrabajo
© SGS SA 2012 ALL RIGHTS RESERVED 47
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005

A.7. Seguridad de los Recursos Humanos

A.7.1. Antes de Asumir el empleo


A.7.1.1. Selección A.8.1.1. Selección
A.7.1.2. Términos y condiciones del empleo A.8.1.2. Términos y condiciones de empleo
A.7.2. Durante la ejecución del Empleo
A.7.2.1. Responsabilidades de la Dirección A.8.2.1. Responsabilidades de la Dirección
A.7.2.2. Toma de Conciencia, educación y formación en la Seguridad de la A.8.2.2. Toma de Conciencia, educación y formación en la
información Seguridad de la información
A.7.2.3. Proceso Disciplinario A.8.2.3. Procesos Disciplinario
A.7.3. Terminación y Cambio de Empleo

A.7.3.1. Terminación o Cambio de responsabilidades de empleo A.8.3.1. Responsabilidades de terminación

A.8. Gestión de Activos

A.8.1. Responsabilidad por los activos


A.8.1.1. Inventario de activos A.7.1.1 Inventario de Activos
A.8.1.2. Propiedad de los Activos A.7.1.2. Propiedad de los Activos
A.8.1.3. Uso aceptable de los Activos A.7.1.3. Uso aceptable de los activos
A.8.1.4. Devolución de los Activos A.8.3.2. Devolución de los activos
© SGS SA 2012 ALL RIGHTS RESERVED 48
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.8.2. Clasificación de la información
A.8.2.1. Clasificación de la información A.7.2.1. Directrices de Clasificación
A.8.2.2. Etiquetado de la información A.7.2.2. Etiquetado y manejo de la información
A.8.2.3. Manejo de Activos A.10.7.3. Procedimientos de tratamiento de la información

A.8.3. Manejo de medios de soporte


A.8.3.1. Gestión de medios de soporte removibles A.10.7.1. Gestión de soportes extraíbles
A.8.3.2. Disposición de los medios de soporte A.10.7.2. Eliminación de los medios de comunicación
A.8.3.3. Transferencia de medios de soporte físico A.10.8.3 Medios físicos en Tránsito
A.9. Control de Acceso
A.9.1. Requisitos del negocio para control de acceso
A.9.1.1. Política de control de acceso A.11.1.1. Política de control de acceso
A.9.1.2. Acceso a redes y a servicios en red A.11.4.1. Política sobre el uso de los servicios de red

A.9.2. Gestión de acceso de usuarios.


A.9.2.1. Registro y cancelación de registro de usuarios A.8.3.3. Eliminación de los derechos de acceso
A.9.2.2. Suministro de acceso de usuarios A.11.2.2. Gestión de Privilegios
A.9.2.3. Gestión de derechos de acceso privilegiado
A.9.2.4. Gestión de Información de Autenticación secreta de usuarios A.11.2.3. Gestión de Contraseñas de Usuario

A.9.2.5. Revisión de los derechos de acceso de usuarios A.11.2.4. Revisión de los derechos de acceso de usuarios
A.9.2.6. Cancelación o ajuste de los derechos de acceso A.8.3.3. Eliminación de los derechos de acceso
© SGS SA 2012 ALL RIGHTS RESERVED 49
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.9.3. Responsabilidades de los usuarios
A.9.3.1. Uso de información de autenticación secreta A.11.3.1. Uso de Contraseña
A.9.4. Control de Acceso a Sistemas y Aplicaciones
A.9.4.1. Restricción de acceso a información A.11.6.1. Información restricción de acceso
A.11.5.1. Procedimientos de inicio de sesión seguros
A.9.4.2. Procedimiento de conexión segura A.11.5.5. Sesión de tiempo de espera
A.11.5.6. Limitación del tiempo de conexión
A.9.4.3. Sistema de gestión de contraseñas A.11.5.3. Sistema de Gestión de Contraseña
A.9.4.4. Uso de Programas utilitarios privilegiados A.11.5.4. Uso de utilidades del sistema
A.9.4.5. Control de Acceso a Códigos fuente de programas A.12.4.3. Control de acceso al código fuente del programa
A.10. Criptografía
A.10.1. Controles Criptográficos
A.10.1.1. Política sobre el uso de controles criptográficos A.12.3.1. Política sobre el uso de controles criptográficos
A.10.1.2. Gestión de Claves A.12.3.2. Gestión de Claves
A.11. Seguridad Física y del Ambiente
A.11.1. Áreas Seguras
A.11.1.1. Perímetro de seguridad física A.9.1..1. Perímetro de Seguridad Física
A.11.1.2. Controles físicos de entrada A.9.1.2. Controles de entrada físicas
A.11.1.3. Seguridad de oficinas, salones e instalaciones A.9.1.3. Seguridad de oficinas, recintos e instalaciones
A.11.1.4. Protección contra amenazas externas y ambientales A.9.1.4. Protección contra amenazas externas y ambientales
A.11.1.5. Trabajo en áreas seguras A.9.1.5. Trabajo en áreas seguras
A.11.1.6. Áreas de despacho y carga A.9.1.6 Áreas de Acceso público, de entrega y carga

© SGS SA 2012 ALL RIGHTS RESERVED 50


COMPARATIVO
ISO 27001:2013 – ISO 27001:2005

ISO 27001:2013 ISO 27001:2005


A.11.2. Equipos
A.11.2.1. Ubicación y protección de los equipos A.9.2.1. Ubicación y protección de los equipos
A.11.2.2. Servicios públicos de soporte A.9.2.2. Suministro de energía
A.11.2.3. Seguridad del cableado A.9.2.3. Seguridad del cableado
A.11.2.4. Mantenimiento de equipos A.9.2.4. Mantenimiento de equipos
A.11.2.5. Retiro de activos A.9.2.7. Retiro de activos
A.11.2.6. Seguridad de equipos y activos fuera del predio A.9.2.5. Seguridad de los equipos fuera de las instalaciones
A.11.2.7. Disposición segura o reutilización de equipos A.9.2.6. Seguridad en la reutilización o eliminación de equipos
A.11.2.8. Equipos sin supervisión de los usuarios A.11.3.2. Equipo de usuario desatendido
A.11.2.9. Política de escritorio limpio y pantalla limpia A.11.3.3. Política de escritorio despejado y pantalla despejada
A.12. Seguridad de las Operaciones
A.12.1. Procedimientos Operacionales y responsabilidades
A.12.1.1. Procedimientos de operación documentados A.10.1.1. Documentación de los procesos de operación
A.12.1.2. Gestión de Cambios A.10.1.2. Gestión del Cambio
A.12.1.3. Gestión de Capacidad A.10.3.1. Gestión de Capacidad
A.10.1.4. Separación de las instalaciones de desarrollo, prueba y
A.12.1.4. Separación de los ambientes de desarrollo, ensayo y operación
operación
A.12.2. Protección contra códigos maliciosos
A.12.2.1. Controles contra códigos maliciosos A.10.4.1. Controles contra códigos maliciosos
A.12.3. Copias de Respaldo.
A.12.3.1. Copias de respaldo de la información A.10.5.1. Información de respaldo

© SGS SA 2012 ALL RIGHTS RESERVED 51


COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.12.4. Registro y seguimiento
A.12.4.1. Registro de eventos A.10.10.1. Registro de auditorías
A.12.4.2. Protección de la información de registro A.10.10.3. Protección de la información del registro
A.10.10.3. Protección de la información del registro
A.12.4.3. Registros del administrador y del operador
A.10.10.4. Registros del Administrador y del Operador
A.12.4.4. Sincronización de relojes A.10.10.6. Sincronización de relojes
A.12.5. Control de Software Operacional
A.12.5.1. Instalación de software en Sistemas Operativos A.12.4.1. Control del Software Operativo
A.12.6. Gestión de la vulnerabilidad técnica
A.12.6.1. Gestión de las vulnerabilidades técnicas A.12.6.1. Control de las vulnerabilidades técnicas
A.12.6.2. Restricciones sobre la instalación de Software
A.12.7. Consideraciones sobre auditorias de sistemas de información
A.12.7.1. Controles sobre auditorias de sistemas de información A.15.3.1. Controles de auditoría de los sistemas de información
A.13. Seguridad de las comunicaciones
A.13.1. Gestión de la seguridad de redes
A.13.1.1. Controles de redes A.10.6.1. Controles de red
A.13.1.2. Seguridad de los servicios de red A.10.6.2. Seguridad de los servicios de red
A.13.1.3. Separación en las redes A.11.4.5. Separación en las redes
A.13.2. Transferencia de información
A.13.2.1. Políticas y procedimientos de transferencia de información A.10.8.1. Políticas y Procedimientos de intercambio de información
A.13.2.2. Acuerdos sobre transferencia de información A.10.8.2. Acuerdos de intercambio
A.13.2.3. Mensajes Electrónicos A.10.8.4. Mensajería electrónica
A.13.2.4. Acuerdos de confidencialidad o de no divulgación A.6.1.5. Acuerdos de confidencialidad
© SGS SA 2012 ALL RIGHTS RESERVED 52
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.14. Adquisición, desarrollo y mantenimiento de sistemas
A.14.1. Requisitos de seguridad de los sistemas de información
A.14.1.1. Análisis y especificación de requisitos de seguridad de la
A.12.1.1. Análisis y especificación de los requisitos de seguridad
información
A.10.9.1. Comercio electrónico
A.14.1.2. Seguridad de servicios de las aplicaciones en redes públicas
A.10.9.3. Información pública
A.14.1.3. Protección de transacciones de servicios de aplicaciones A.10.9.2. Transacciones en línea
A.14.2. Seguridad en los procesos de desarrollo y de soporte
A.14.2.1. Política de desarrollo seguro
A.14.2.2. Procedimientos de control de cambios en sistemas A.12.5.1. Procedimientos de control de cambios
A.14.2.3. Revisión técnica de aplicaciones después de cambios en la A.12.5.2. Revisión técnica de las aplicaciones después de los cambios
plataforma de operaciones en el sistema operativo
A.14.2.4. Restricciones sobre cambios en los paquetes de Software A.12.5.3. Restricciones en los cambios en los paquetes de software
A.14.2.5. Principios de construcción de sistemas seguros
A.14.2.6. Ambiente de desarrollo seguro
A.14.2.7. Desarrollo contratado externamente A.12.5.5. Desarrollo de Software contratado externamente
A.14.2.8. Pruebas de seguridad de sistemas
A.14.2.9. Pruebas de aceptación de sistemas A.10.3.2. Aceptación de Sistemas
A.15. Relaciones con los proveedores
A.15.1. Seguridad de la información en las relaciones con los proveedores
A.15.1.1. Política de seguridad de la información para las relaciones con A.6.2.3. Consideraciones de la Seguridad en los acuerdos con terceras
proveedores partes
A.15.1.2. Tratamiento de la seguridad dentro de los acuerdos con A.6.2.3. Consideraciones de la Seguridad en los acuerdos con terceras
proveedores partes
A.15.1.3. Cadena de suministro de tecnología de información y
comunicación
© SGS SA 2012 ALL RIGHTS RESERVED 53
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005
ISO 27001:2013 ISO 27001:2005
A.15.2. Gestión de la prestación de servicios de proveedores
A.15.2.1. Seguimiento y revisión de los servicios de los proveedores A.10.2.2. Monitoreo y revisión de los servicios de terceros
A.15.2.2. Gestión de cambios en los servicios de los proveedores A.10.2.3. Gestión de cambios en los servicios de terceros
A.16. Gestión de incidentes de seguridad de la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información
A.16.1.1. Responsabilidades y procedimientos A.13.2.1. Responsabilidades y Procedimientos
A.16.1.2. Informe de eventos de seguridad de la información A.13.1.1. Reporte sobre los eventos de seguridad de información
A.16.1.3. Informe de debilidades de seguridad de la información A.13.1.2. Reporte sobre las debilidades de la seguridad.
A.16.1.4. Evaluación de eventos de seguridad de la información y decisiones
sobre ellos
A.16.1.5. Respuesta a incidentes de seguridad de la información
A.16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la A.13.2.2. Aprendiendo de los incidentes de seguridad de la
información información
A.16.1.7. Recolección de Evidencia A.13.2.3. Recolección de evidencia
A.17. Aspectos de seguridad de la información de la gestión de continuidad
del negocio
A.17.1. Continuidad de la seguridad de la información
A.17.1.1. Planificación de la continuidad de la seguridad de la información A.14.1.2. Continuidad del negocio y evaluación de riesgos
A.17.1.2. Implementación de la continuidad de la seguridad de la información
A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad A.14.1.5. Pruebas, mantenimiento y reevaluación de los planes de
de la información continuidad del negocio
A.17.2. Redundancias
A.17.2.1. Disponibilidad de instalaciones de procesamiento de información
© SGS SA 2012 ALL RIGHTS RESERVED 54
COMPARATIVO
ISO 27001:2013 – ISO 27001:2005

ISO 27001:2013 ISO 27001:2005

A.18. Cumplimiento

A.18.1. Cumplimiento de requisitos legales y contractuales

A.18.1.1. Identificación de los requisitos de legislación y contractuales


A.15.1.1. Identificación de la legislación aplicable
aplicables

A.18.1.2. Derechos de propiedad intelectual A.15.1.2. Derechos de Propiedad Intelectual


A.18.1.3. Protección de los registros A.15.1.3. Protección de los registros de la organización
A.18.1.4. Privacidad y protección de información identificable A.15.1.4. Protección de los datos y privacidad de la información
personalmente personal
A.18.1.5. Reglamentación de controles criptográficos A.15.1.6. Reglamentación de los controles criptográficos

A.18.2. Revisiones de seguridad de la información

A.18.2.1. Revisión independiente de la seguridad de la información A.6.1.8. Revisión independiente de la Seguridad de la Información
A.18.2.2. Cumplimiento con las políticas y normas de seguridad A.15.2.1. Cumplimiento con las políticas y normas de seguridad
A.18.2.3. Revisión del cumplimiento técnico A.15.2.2. Comprobación de cumplimiento Técnico
© SGS SA 2012 ALL RIGHTS RESERVED 55
AUDITORÍA

© SGS SA 2012 ALL RIGHTS RESERVED 56


ISO 27001:2013
AUDITORIA BAJO ISO 19011:2011

Auditoria Interna
PRE auditoria (opcional)

Auditoría Primera (Segunda) Parte

Auditoria Interna
Oportunidades de Mejora

Auditoría de Certificación Acción Correctiva Mayor


Renovación A.I.
Certificación
Cierre Mayor

A.I.

Seguimiento V2
A.I.

Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria

A.I.
Seguimiento V5
A.I. Seguimiento V4

© SGS SA 2012 ALL RIGHTS RESERVED 57


TIPOS DE AUDITORÍA

 De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.

 De segunda parte
Una auditoria realizada por una organización a sus

 De tercera parte
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.

© SGS SA 2012 ALL RIGHTS RESERVED 58


LA CERTIFICACIÓN

Certificación y registro de organizaciones

Acredita a organismos de certificación para verificar y registrar el


cumplimiento de los estándares nacionales o internacionales en las
organizaciones.

También define el alcance de acreditación del organismo de


certificación.
 Reino Unido: (UKAS) United Kingdom Accreditation Service
 USA: (RAB)
 México: (EMA)
 Colombia: ONAC Organismo Nacional de Acreditación de Colombia

© SGS SA 2012 ALL RIGHTS RESERVED 59


CERTIFICACIÓN AUDITORES

Auditor líder ISMS ISO 27001


 International register of certification Auditors (IRCA)
en Reino Unido UK
 Register Accreditation Board (RAB)
en USA
 Quality Society of Australasia (QSA) ,
Sociedad de calidad Australia y Nueva Zelanda.

Auditor Interno ISMS ISO 27001

Fundamentos – Sensibilización ISMS ISO 27001

© SGS SA 2012 ALL RIGHTS RESERVED 60


CERTIFICACIÓN AUDITORES

Para asegurar que la auditoria es un herramienta efectiva y confiable


de gestión, la auditoria es basada en ciertos principios
fundamentales.

Competencias de auditores
 ISO 19011:2011, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)

© SGS SA 2012 ALL RIGHTS RESERVED 61


PRINCIPIOS DE AUDITORÍA
 INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.

 PRESENTACION ECUANIME: La obligación de informar con veracidad y exactitud.

 DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los


auditores deben proceder con el debido cuidado, de acuerdo con la importancia de la
tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoria y
por otras partes interesadas.

 CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la


discreción en el uso y protección, sobre la información obtenida en el curso de la
auditoría.

 INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las


conclusiones de auditoría. El auditor debe ser independiente y debe actuar en todos los
casos libre de cualquier conflicto de intereses

 ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar


conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria
sistemático. La evidencia de la auditoria es verificable. Está basada en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un período de
tiempo delimitado y con recursos finitos.
© SGS SA 2012 ALL RIGHTS RESERVED 62
CERTIFICACIÓN AUDITORES
ATRIBUTOS DE LOS AUDITORES

El auditor requiere ser (Ver numeral 4 ISO19011:2011):

 Honesto , Diligente, Responsable;


 Observar y cumplir con requerimientos legales;
 Demostrar su competencia mientras desarrolla su trabajo;
 Imparcial;
 Cuidar su juicio de auditoría y ser sensible a cualquier circunstancia
que pueda afectarle.
 Saber escuchar, Paciente, Claro, Capacidad de comunicarse;
 Mostrar interés.
© SGS SA 2012 ALL RIGHTS RESERVED 63
CALIFICACIÓN DE AUDITORES
19011

EDUCACIÓN
• Estudio formal
Certificate SGSOO1
FORMACIÓN
• Auditor interno (mínimo 24 horas)
certificado de aprobación
• Según la especialidad requerida
EXPERIENCIA
• 4 años en el sector ISO 27001:2005
• 6 meses con auditor interno
• 2 auditoria mínimo como observado

© SGS SA 2012 ALL RIGHTS RESERVED 64


9.2 AUDITORÍAS INTERNAS

La organización debe llevar a cabo auditorias internas a intervalos


planificados, para proporcionar información acerca de si el SGSI:

a) Es conforme con:
• Los propios requisitos de la organización para su SGSI.

• Los requisitos de la norma.

b) Está implementado y mantenido eficazmente.

© SGS SA 2012 ALL RIGHTS RESERVED 65


9.2. AUDITORÍAS INTERNAS

La organización debe :

 Planificar, establecer, implementar y mantener uno o varios programas de auditorias que


incluyan la frecuencia, los métodos , las responsabilidades, los requisitos de planificación
, y la elaboración de informes. El programa debe tener en cuenta la importancia de
los procesos y el resultado de las auditorías anteriores.

 Definir los criterios y el alcance de cada auditoria

 La selección de los auditores y la realización de la auditorías aseguren la objetividad e


imparcialidad del proceso de auditoria.

 Asegurar que los resultados se informan a la dirección pertinente y conservar la


información documentada como evidencia de la implementación del programa y sus
resultados.

© SGS SA 2012 ALL RIGHTS RESERVED 66


DEFINICIONES DE LA NORMA
ISO 19011

AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.

ALCANCE DE LA AUDITORÍA (3.14.)


Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas,
las unidades organizacionales, actividades y procesos, así como el período de tiempo
cubierto.

PROGRAMA DE AUDITORÍA (3.13.)


Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar
y llevar a cabo las auditorias.

PLAN DE AUDITORÍA (3.15)


Descripción de las actividades y de los detalles acordados de una auditoria.

© SGS SA 2012 ALL RIGHTS RESERVED 67


DEFINICIONES DE LA NORMA
ISO 19011

CRITERIOS DE AUDITORÍA (3.2.)


Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.

AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.

EVIDENCIA DE AUDITORIA (3.3.)


Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable

COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.

EXPERTO TÉCNICO (3.10.)


Persona que provee conocimiento especifico o experiencia al equipo auditor.
No actúa como un auditor.

© SGS SA 2012 ALL RIGHTS RESERVED 68


DEFINICIONES DE LA NORMA
ISO 19011

HALLAZGOS DE LA AUDITORÍA (3.4.)


Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.

CONCLUSION DE AUDITORÍA (3.5.)


Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos de
la auditoria y todos los hallazgos resultado de la auditoria.

OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.

AUDITADO(3.7.)
Organización a ser auditada.

GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
© SGS SA 2012 ALL RIGHTS RESERVED 69
FASES DE AUDITORIA

Programa Hallazgos

Necesidad de AI Programar Planear Realizar Revisar Informar Informe

Plan Conformidades
Lista de Verif. No Conformidades

© SGS SA 2012 ALL RIGHTS RESERVED 70


PROGRAMA AUDITORIA
1. PLANEAR

1.1 Definir el responsable del programa de auditoría.

 Establecer objetivos y amplitud programa auditoria


 Establecer responsabilidades y los procedimientos,
y asegurarse de asignación de recursos
 Asegurarse de implementación programa auditoria
 Asegurarse de mantener los registros
 Realizar seguimiento, revisar y mejorar el programa auditoria.

© SGS SA 2012 ALL RIGHTS RESERVED 71


PROGRAMA AUDITORÍA
PLANEAR
1.2 Establecer el programa de auditoría (alcance)
1.2.1 Objetivo
a) Cumplir con los requisitos del SGSI
b) Verificar la conformidad con los requisitos contractuales
c) Obtener y mantener la confianza en la capacidad de un
proveedor
d) Contribuir con la mejora del SGSI
1.2.2 Extensión
a) alcance y duración de cada auditoria que se realice
b) cualquier aspecto idiomático, cultural o social
c) el número, la importancia y la ubicación de las actividades
d) las normas, requisitos legales, reglamentarios y contractuales
1.2.3 Recursos
1.2.4 Procedimiento
© SGS SA 2012 ALL RIGHTS RESERVED 72
PROGRAMA AUDITORÍA
HACER
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA

2.1 Ejecución del calendario de auditorías


2.2 Selección del equipo auditor:
 Competencia del auditor y evaluación desempeño
 Selección equipo auditor (Acuerdo de confidencialidad).
2.3 Conducción de las actividades de auditoría.
2.4 Conservación de los registros:
 Plan de auditoria
 Informes de auditoria.
 Informe de no conformidades.
 Informe acciones correctivas y preventivas.
 Informes de seguimiento de la auditoria.

© SGS SA 2012 ALL RIGHTS RESERVED 73


PROGRAMA AUDITORÍA
VERIFICAR

SEGUIMIENTO Y REVISIÓN DEL PROGRAMA DE AUDITORÍA

 Resultados y tendencias
 Prácticas alternativas de auditoria o nuevas
 Conformidad procedimientos
 Expectativas de las partes interesadas
 Registros de resultados
 Desempeño equipo auditor

© SGS SA 2012 ALL RIGHTS RESERVED 74


PROGRAMA AUDITORÍA
ACTUAR

MEJORA DEL PROGRAMA DE AUDITORÍA

3.1 Identificación de la necesidad de acciones correctivas y preventivas.


3.2 Identificación de oportunidades de mejora
4.1 Capacitación de auditores (Mantenimiento y mejora de la
competencia)
4.2 Aumento en la eficiencia del programa
4.3 Adecuación a las necesidades cambiantes de las partes interesadas
4.4 Coherencia en la fiabilidad del equipo auditor.

© SGS SA 2012 ALL RIGHTS RESERVED 75


EJEMPLO OBJETIVOS DE AUDITORÍA

 Confirmar que el sistema de gestión de la seguridad de la información es


capaz de lograr los objetivos del SGSI y cumple con la política del SGSI de
la organización.

 Confirmar que la organización ha establecido, implementado, operado, ha


hecho seguimiento, reviso, ha mantenido y mejorado su SGSI
documentado, en el contexto de las actividades globales del negocio de la
organización.

 Verificar conformidad de los requisitos contractuales con los proveedores


relacionados con el SGSI

 Proporcionar al auditado una oportunidad para MEJORAR su SGSI

© SGS SA 2012 ALL RIGHTS RESERVED 76


GENERALIDADES PROGRAMA
AUDITORÍA

Alcances:
 Ubicación física;
 Unidades organizacionales;
 Actividades y procesos;
 Duración de la auditoria;

Criterios
 Normas o Estándares;
 Políticas;
 Procedimientos;
 Regulaciones;
 Legislación;
 Requisitos del SGSI;
 Requisitos contractuales;
 Códigos de conducta del sector comercial.

© SGS SA 2012 ALL RIGHTS RESERVED 77


EVIDENCIA OBJETIVA

 La evidencia existe
 No está influenciada por emociones o perjuicios
 Puede ser documentada (datos)
 Puede estar basada en la observación (hechos)
 Debe estar relacionada con el SGSI
 Puede ser cuantificada y cualitativa
 Puede verificarse (evidencia real)

© SGS SA 2012 ALL RIGHTS RESERVED 78


RESPONSABILIDADES DEL
AUDITOR LÍDER

 Dirige el proceso de auditoria


 Ayuda en la selección del personal del equipo
 Es el responsable por todas las etapas de la auditoria.
 Ayuda en la preparación del plan de auditoria
 Establece el contacto inicial con el auditado
 Representa el equipo auditor ante la dirección
 Preparara y entrega el informe final de auditoria
 Dirige de las actividades de seguimiento
 Trata la información con la discreción debida

© SGS SA 2012 ALL RIGHTS RESERVED 79


RESPONSABILIDADES DEL
CO-AUDITOR

 Cumple con el 100% de los requisitos de auditoria


 Realiza efectivamente las actividades asignadas
 Documenta los hallazgos de auditoria
 Conserva y salvaguarda la documentación de la auditoria.
 Reporta los resultados de la auditoria
 Verifica la eficacia de las acciones aplicadas como resultado de la auditoria.
 Coopera y soporta al auditor líder.

© SGS SA 2012 ALL RIGHTS RESERVED 80


ANÁLISIS DE LA
DOCUMENTACIÓN

La revisión de la documentación debe tener en cuenta:


• Tamaño de la organización;
• La naturaleza de la organización;
• Complejidad de la organización;
• Objetivo y alcance de su SGSI

© SGS SA 2012 ALL RIGHTS RESERVED 81


ANÁLISIS DE LA
DOCUMENTACIÓN

OBJETO Y CAMPO DE APLICACIÓN


Los requisitos establecidos en la norma son genéricos y
están previstos para ser aplicables a todas las
organizaciones, independientemente de su tamaño o
naturaleza.
Cuando una organización declara conformidad con la
Norma ISO 27001, no es aceptable excluir cualquiera de
los requisitos de los numerales del 4 al 10.
Solo se pueden excluir controles si no afectan a la
organización en cuanto al cumplimiento de los requisitos
de seguridad determinados por la valoración de riesgos o
requisitos legales o regulatorios.

© SGS SA 2012 ALL RIGHTS RESERVED 82


POLÍTICA

Se debe establecer una política de Seguridad de la


Información que:
a. Sea adecuada al propósito de la Organización.
b. Incluya objetivos de Seguridad de la Información (véase
Numeral 6.2.) o proporcione el marco para su
establecimiento,
c. Incluya un compromiso de cumplir los requisitos
aplicables relacionados con el SGSI
d. Incluya el compromiso de la mejora continua
La política debe:
e. Estar disponible como información documentada.
f. Comunicarse dentro de la organización
g. Estar disponible para las partes interesadas.

© SGS SA 2012 ALL RIGHTS RESERVED 83


INFORMACIÓN DOCUMENTADA

El SGSI de la organización debe incluir:

• La información documentada de esta norma.


• La información documentada que la organización ha
determinado que es necesaria para la eficacia del
SGSI.

La documentación del SGSI debe incluir registros de


las decisiones de la dirección, asegurar que las
decisiones sean trazables a las decisiones y políticas
de la gerencia, y que los resultados registrados sean
reproducibles.

Es importante estar en capacidad de demostrar la


relación entre los controles seleccionados y los
resultados del proceso de valoración y tratamiento de
riesgos, y seguidamente, con la política y objetivos del
SGSI.
© SGS SA 2012 ALL RIGHTS RESERVED 84
PREPARACIÓN INDIVIDUAL
DEL EQUIPO AUDITOR

 Lea la documentación del SGSI y los procedimientos que la componen


con anticipación.

 Determine los lugares donde se realizarán las inspecciones.

 Utilice listas de verificación.

 Conozca la responsabilidad y posición de las Personas auditadas. No


llegue a preguntar que hace su entrevistado!!!

 Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.

© SGS SA 2012 ALL RIGHTS RESERVED 85


LISTAS DE CHEQUEO O
VERIFICACIÓN

 Ayudan a Optimizar el tiempo de la revisión.


 Sirven como una guía
 Es una herramienta para recolectar evidencias
 Ayuda a identificar elementos y procesos
 Valorar el estado actual del SGSI
 Adecuar las siguientes preguntas del proceso auditado,
de allí se desprende la posibilidad de obtener evidencia
suficiente.
 Se sugiere la utilización de preguntas tipo:

QUÉ?, CUÁNDO?, CÓMO?, DÓNDE?,


CUAL (ES)?

© SGS SA 2012 ALL RIGHTS RESERVED 86


FUENTES DE INFORMACIÓN

 ENTREVISTAS CON LOS EMPLEADOS Y PERSONAS QUE TENGAN ALGO QUE


APORTAR A LA AUDITORIA.

 OBSERVACION DE LAS ACTIVIDADES Y DEL AMBIENTE DE TRABAJO

 DOCUMENTACION
Política, objetivos, planes, procedimientos, normas, riesgos …

 REGISTROS
Actas de reunión, informes de auditoria, seguimiento y mediciones

 TABLEROS O INDICADORES DE GESTION

 RETROALIMENTACION DE ALGUNAS PARTES INTERESADAS

 BASES DE DATOS E INTERNET

Puntos claves para recordar:

Pregunte, Escuche, Observe, Piense, Evalué y Registre.


© SGS SA 2012 ALL RIGHTS RESERVED 87
REALIZACIÓN DE ENTREVISTAS

 Haga sentir cómodo al auditado


 Sea amigable.

 Explique la razón de la entrevista y de las


notas tomadas ¿Cómo? ¿Porqué?
 Inicie con una descripción de las actividades
del auditado, eso le permite entender a su ¿Donde? Quién?
interlocutor que usted se preparó.
¿Cuáles? ¿Cuando?
 No realice preguntas inductivas. Evite
preguntas cuya respuesta sea SI o NO. ¿Muéstreme? ¿Qué?
 Todos los resultados deben estar acordados
con el auditado.

 Agradezca al auditado por su tiempo y


colaboración

© SGS SA 2012 ALL RIGHTS RESERVED 88


PLAN DE AUDITORIA

 Objetivos y alcance.
 Documento o Estándar de referencia.
 Lugares (direcciones) y contactos claves.
 Áreas o dependencias que serán auditadas.
 Determinación de las clausulas claves para preparar la lista de
verificación.
 Personal de contacto.
 Definición del rol de cada miembro del grupo de auditores.
 Fechas de la revisión.
 Hora y duración esperada para cada actividad principal.
 Programación de reuniones.
 Claridad en los requisitos de confidencialidad.
 Distribución del informe y fecha esperada de la publicación.
 Elaboración y preparación de los documentos de trabajo.

© SGS SA 2012 ALL RIGHTS RESERVED 89


PLAN DE AUDITORIA

Organización:
Dirección: Fechas
en sitio:
Auditor Líder:
Auditor:
Auditor experto:

Estándar: ISO 27001:2005

Lenguaje de
auditoria:

Objetivos de auditoria:

© SGS SA 2012 ALL RIGHTS RESERVED 90


PLAN DE AUDITORIA

Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave


Día 1 d 5 8:00 Todos Llegada a la organización
8:05 JCS Reunión de apertura
8:30 JCS Presentación del SGSI por la organización
9:00 JL Revisión documental del SGSI
10:00 SV Gestión de riesgos
11:30 JL Diseño y desarrollo
12:30 Almuerzo
13:50 SV Departamento legal
14:30 Centro de datos Secundario
16:30 Reunión de retroalimentación
17:00 Fin primer día

© SGS SA 2012 ALL RIGHTS RESERVED 91


REUNIÓN DE APERTURA

Propósito:
 Presentar el equipo auditor al personal.

 Revisar el alcance

 Revisar los objetivos de la auditoria interna

 Confirmar que el sistema de gestión de la seguridad de información ha sido


establecido e implementado de acuerdo con los requerimientos de ISO 27001:2005.
 Confirmar que la organización ha implementado en forma efectiva el SGSI
planeado.
 Confirmar que el sistema de gestión de la seguridad de la información es capaz de
lograr los objetivos del SGSI y cumple con la política del SGSI de la organización.
 Confirmar que la organización se encuentra preparada para recibir la auditoria de
certificación.

© SGS SA 2012 ALL RIGHTS RESERVED 92


REUNIÓN DE APERTURA

Propósito:
 Confirmar Plan de auditoria.

 Se diligencian los Registros de reunión de apertura.

 Proporcionar un breve resumen de cómo se llevarán a cabo las actividades de


auditoría.

 Se identifican los conductos oficiales de comunicación.

 Se da una breve descripción de los Métodos utilizados en la auditoria.

 Se mencionan si es necesaria la utilización de recursos especiales.

 Se hace una breve explicación de que es una No Conformidad.

 Mencionar la Hora y fecha de la reunión de cierre

 Se le Proporciona al auditado la oportunidad de realizar preguntas.

© SGS SA 2012 ALL RIGHTS RESERVED 93


EJECUTANDO LA AUDITORIA

 Haga un muestreo de las actividades y evite centrarse en


una sola.
 Busque evidencia observando lo que ocurre, revisando
y si es necesario reprocesando algunos de los registros
(Muestreo).
 Haga anotaciones completas.
 Escuche las explicaciones del auditado.
 Escriba y confirme más adelante si es procedente. No de
la impresión de que no le cree al auditado.
 Escriba detalles tales como: procedimientos, registros,
ordenes, lotes, características especiales, etc.
 Una auditoria abierta y amigable resultará en la obtención
de acuerdos de que el problema existe (o no existe).
 Verifique si la No Conformidad es o no puntual.

© SGS SA 2012 ALL RIGHTS RESERVED 94


TÉCNICAS DE ENTREVISTA DEL
AUDITOR INTERNO

Durante la indagación o entrevista:


 Solicite explicación de las situaciones narradas.
 Escuche cuidadosamente lo que le indica su auditado.
 Mantenga Contacto cara a cara, no tome notas en portátil o agenda electrónica.
 Muéstrese interesado.
 Tome nota en corto tiempo.
 Observe el lenguaje corporal.
 Hable claro y cuidadosamente.
 Conozca sus preguntas (las de su lista de verificación).
 Sea sistemático al preguntar.
 Exprese en otra forma o con ejemplos si la pregunta no es bien entendida.
 Use preguntas abiertas y confirme lo entendido, no se quede con dudas.
 Agradezca el tiempo y las respuestas de su auditado.

© SGS SA 2012 ALL RIGHTS RESERVED 95


ACTITUDES A TOMAR PARA
CONTROLAR LA AUDITORÍA

Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.

Actitudes a evitar en una auditoria


No sea controvertido, ni negativo, no critique, no discuta, no haga comparaciones
de ninguna índole, no sea sarcástico, …

© SGS SA 2012 ALL RIGHTS RESERVED 96


¿CÓMO ENTORPECER LA
AUDITORÍA? (AUDITADO)

 Que le haga perder tiempo durante la auditoria.

 Que maneje al auditor.

 Que se invente o establezca situaciones inesperadas.

 Que pruebe el carácter del auditor.

 Que solamente entregue respuestas limitadas

 Que engañe al auditor

© SGS SA 2012 ALL RIGHTS RESERVED 97


HALLAZGO

ISO 19011:2011 Numeral 3.4 – Hallazgo de Auditoría es el resultado


de la evaluación de la evidencia recopilada frente a los criterios de la
auditoria

Hasta que no es clasificado, un hallazgo de la auditoria puede ser


una:

 Conformidad;
 No conformidad o no concordancia o incumplimiento;
 Observación.

© SGS SA 2012 ALL RIGHTS RESERVED 98


HALLAZGO

Conformidad (3.18)
 Cumplimiento de un requisito (Norma, legal, reglamentario, contractual)
 El elemento se ajusta a la exigencia de la norma o la legislación
vigente.
 La implantación corresponde a la intención.
 La implantación es eficaz.

Mejores prácticas:
 Verificar los hechos verbales
 Definir la naturaleza de la no conformidad con el auditado, detallando la
evidencia de auditoria.
 Tomar notas y consultarlas posteriormente para realizar el reporte.
 Hacer un bosquejo del reporte de hallazgos durante la toma de
alimentos o al finalizar cada jornada y luego terminar en la revisión
privada.
© SGS SA 2012 ALL RIGHTS RESERVED 99
HALLAZGO NO CONFORME

ISO19011:2011 Numeral 3.19 define una no conformidad como el incumplimiento


a un requisito
 La ausencia o el fracaso al implementar y mantener uno ó mas requisitos
del SGSI.
 Una situación que, con base en la evidencia objetiva disponible, provocaría
dudas significativas en cuanto a la capacidad del SGSI para cumplir la
política y los objetivos de seguridad de información.
 Que pueda afectar la correcta funcionalidad del SGSI.
 Que pueda afectar la integridad, disponibilidad o confidencialidad de la
información.
 Que pueda afectar los intereses de alguna o todas las partes interesadas.
 Que exista una falla aislada en un requisito o que la falla sea generalizada
 Que exista un problema menor que requiere atención.
 Ausencia o falla completa de un requisito del SGSI.
© SGS SA 2012 ALL RIGHTS RESERVED 100
10
CLASIFICACIÓN SAC

Clasificación de Solicitud de Acción Correctiva - SAC Mayor

 Existe una falla total de un procedimiento o instrucción de trabajo


crítico en cuanto al SGSI, o bien en el funcionamiento efectivo del
SGSI.
 Hay una ausencia total de un requisito requerido por la norma o
por el SGSI.
 Existen numerosos errores menores en el procedimiento que al
unirse, en forma colectiva constituyen una falla total o importante
en el procedimiento.
 Falla total de un procedimiento o ausencia del mismo.
 Daño inmediato y total que afecten la disponibilidad, integridad y
confidencialidad de la información.

© SGS SA 2012 ALL RIGHTS RESERVED 101


CLASIFICACIÓN SAC

Clasificación de Solicitud de Acción Correctiva - SAC Menor

 Se levanta cuando se ha identificado una deficiencia (o


deficiencias) en un proceso en la operación del SGSI, pero
que no representa gravedad al SGSI (como lo pueda ser es
una SAC mayor).
 Cuando hay una falla puntual en un proceso,
procedimiento, control, metodología o criterio.
 Cuando hay una afectación leve en alguno de los
enunciados importantes de un procedimiento del SGSI.

© SGS SA 2012 ALL RIGHTS RESERVED 102


REDACCIÓN DE LA NO
CONFORMIDAD

La redacción de una no conformidad debe


contener:
 Negación.
 Cual es la falla.
 Donde se falla.
 Evidencia.
 Incumplimiento y Criterio afectado.
© SGS SA 2012 ALL RIGHTS RESERVED 103
EJEMPLO REDACCIÓN
DE LA NO CONFORMIDAD

No se evidencia un control sobre los accesos directos a la información


que se maneja en los portátiles y en los computadores de la
organización, lo cual se soporta en el hecho que al solicitar ver el
escritorio de los computadores del líder del proceso de Operaciones,
este tenían accesos directos a información de la organización,
incumpliendo de esta forma con lo establecido en la política interna
de Seguridad de la información y el Control A.11.2.9 de la norma ISO
27001:2013, que indica: “Se debe adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de procesamiento
de la información”.

© SGS SA 2012 ALL RIGHTS RESERVED 104


CLASIFICACIÓN OBSERVACIONES

Los hallazgos de auditoria también pueden catalogarse como:

 “observaciones”,
 “oportunidades de mejora”.

Siempre se inicia con un verbo en infinitivo


 Asegurar…..
 Garantizar …
 Mejorar …
 Fortalecer …
 Diseñar….
 Implementar…..
 Evaluar ….

© SGS SA 2012 ALL RIGHTS RESERVED 105


PREPARANDO LA REUNIÓN DE
CIERRE

DIRIGIDA POR EL AUDITOR LIDER

PREPARACIÓN
 Cada auditor relata sus hallazgos.
 El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
 Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
 Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.

© SGS SA 2012 ALL RIGHTS RESERVED 107


LA REUNIÓN DE CIERRE

DIRIGIDA POR EL AUDITOR LIDER


 Agradecimientos.
 Preguntas y discusiones al final.
 Confirmar alcance SGSI.
 Objetivo de auditoria y alcance de auditoria.
 No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
 Presentación de fortalezas.
 Presentación de No Conformidades por el equipo.
(Si hay hechos).
 Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
 Registros.
 Preguntas al respecto.
© SGS SA 2012 ALL RIGHTS RESERVED 108
INFORME

Auditoria No

Fecha

Lugar

Auditores

Norma ISO27001:2005
Objetivo de la Auditoria

Personal entrevistado

Procesos Auditados

Resultado de Hallazgos SAC MAYORES:


SAC MENORES:
OBSERVACIONES:

Firma de los Auditores

© SGS SA 2012 ALL RIGHTS RESERVED 109


¿QUÉ NO INCLUIR EN EL INFORME
DE AUDITORÍA?

 Evite incluir opiniones subjetivas sobre el SGSI o la auditoría.


 Información confidencial que le fue suministrada durante la
auditoría.
 Critica hacia alguno de los individuos que tienen relación con los
procesos y en general con el SGSI.
 Evite las declaraciones ambiguas.
 No incluya detalles triviales.
 NUNCA incluya Observaciones o no conformidades no discutidas
en la reunión de cierre.

© SGS SA 2012 ALL RIGHTS RESERVED 110


RESPONSABILIDAD DUEÑO DEL
PROCESO AUDITADO

 Entendimiento y asimilación de la no conformidad.


 Investigación del problema raíz que dio pie a la No Conformidad.
 Determinación de las causas fundamentales, utilizando cualquier
metodología sugerida (5 porque, Lluvia de ideas, 4 M´s, entre otras).
 Elaboración del plan de acción para corregir las causas establecidas, que
incluya una breve descripción de las actividades, responsable, recursos y
fecha de ejecución.
 Fecha de seguimiento prevista para evaluación y posterior cierre de la No
Conformidad.
 Evaluación de la eficacia de la acción correctiva.
 Responsable del cierre.

© SGS SA 2012 ALL RIGHTS RESERVED 111


AUDITORIA DEL SGSI
SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR

Proceso revisado: Estándar y Número de Elemento:

Hallazgo: …

Causas Fundamentales: (*)


(Metodología usada: Espina de pescado, mapas mentales, los cinco porque).

Planes de Acción:

Actividad Responsable Fecha Recursos


Implementación

Fecha de seguimiento:

Eficaz Si No Fecha de cierre: Firma auditor

En caso de no ser eficaz se genera nueva SAC

© SGS SA 2012 ALL RIGHTS RESERVED 112


Metodología 5 porque (¿por qué puede suceder?)

Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque

Porque
Efecto

Porque 4 Porque 5
© SGS SA 2012 ALL RIGHTS RESERVED 113
OBSERVACIONES
 Determinar las oportunidades de mejora.
 Determinar las fortalezas para ejecutarlas.
 Medir la capacidad instalada para cumplir con la recomendación.
 Analizar alternativas o elementos alternos que puedan minimizar la
potencial amenaza.
 Plantear acciones preventivas.
 Implementar la acción preventiva.
 Registrar y Revisar su efectividad.

© SGS SA 2012 ALL RIGHTS RESERVED 114


SEGUIMIENTO
VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS

NO SI

Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo

NO
Nueva
ESCALE
SAC

© SGS SA 2012 ALL RIGHTS RESERVED 115


GRACIAS

También podría gustarte