AUDITOR INTERNO SGSI ISO/IEC 27001:2013

GUÍA DE APRENDIZAJE No.3– MÓDULO 3

REDACCIÓN DE NO CONFORMIDADES – OBSERVACIONES

1. PRESENTACIÓN
En la presente guía de aprendizaje se entregan tres (3) casos, el participante debe
clasificar el hallazgo con respecto a sus conocimientos de auditoria.

2. OBJETIVO
Ejecutar y reportar el resultado de una auditoria interna en Sistemas de Gestión de
Seguridad de la Información ISO/IEC 27001:2013, específicamente no conformidades y
observaciones.

3. METODOLOGÍA
Para realizar esta guía, el participante de debe realizar individual.
Si detecta que hay una no conformidad debe diligenciar la casilla “No conformidad”, si
considera que hay una oportunidad de mejora, puede utilizar la casilla “Observación”, si
necesita más información debe diligenciar la casilla “Falta Información”.
Deben sustentar sus respuestas al tutor del curso con sus respuestas.

4. RECURSOS
Cuaderno de los participantes.

5. DURACIÓN DE LA ACTIVIDAD
40 minutos.

6. RETROALIMENTACIÓN
20 minutos para revisión.

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 1
 AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3

7. ACTIVIDAD DE APRENDIZAJE
Caso 1: En la Auditoria realizada en el Proceso de Soporte técnico nivel 2 de la empresa
“Inc Tecnologìa”, El auditor observa que los ingenieros deben ejecutar su servicio en la
mayoría de casos en las instalaciones de los clientes. Para esto deben llevar sus equipos
portátiles con el ánimo de hacer pruebas de verificación y satisfacción de servicios.
Al preguntar a tres de los ingenieros sobre las medidas de seguridad que tienen los
equipos, estos informan que los equipos entregados tienen una cuenta de administrador
con la cual acceden al mismo, adicionalmente pueden instalar cualquier clase de
aplicativo.
El Auditor se dirige al Proceso de IT encontrando registros de la entrega de los Equipos,
adicionalmente en dicha evidencia se encontraron comentarios de que estos equipos
fueron entregados con acceso de Administrador ya que los ingenieros los necesitaban con
carácter urgente para prestar un servicio y no tuvieron tiempo para configurarlos.
El Auditor pudo verificar la existencia del Procedimiento SOP-EQUI Versión 3 el cual
indica que los equipos deben estar configurados con un usuario y restricciones de
seguridad (No instalación de aplicativos) y que sin excepción ningún equipo debe tener
cuenta de acceso como Administrador más aún si estos deben salir de la oficina.

Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 2
 AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 3
 AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3

Caso 2: Se pudo establecer que la Organización tecnológica XYZ ha determinado una

serie de riesgos sobre posibles disrupciones que se pueden presentar en la
Organización, para esto uno de los controles definidos fue la creación de planes de
Continuidad (En total 3).
El Auditor hace un seguimiento a estos planes de Continuidad encontrándolos
documentados a las necesidades de los riesgos identificados. Al preguntar sobre la
verificación y revisión de dichos planes, El Responsable de incidentes informa que no
vio necesario que se planificara alguna verificación o revisión ya que la Alta Dirección
considero que los documentos están muy completos.

Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 4
 AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3

Caso 3: La Organización “EHS” ha implementado un sistema de gestión de seguridad

de la Información el cual ha sido revisado por la Dirección de la Compañía cada seis
meses con el ánimo de garantizar el cumplimiento del sistema y de la norma.
En la revisión del mes de enero se indicó que se presentaron tres incidentes de
seguridad que afectaron de forma negativa a la Organización. Para esto el Presidente
de “EHS” determino la asignación de presupuesto para las actividades que aseguraran
que estos incidentes no se volvieran a presentar, adicionalmente se determinó
seguimiento mensual al cumplimiento de actividades y se presentara un informe en la
siguiente revisión por la Dirección.
En la revisión de junio se observó que dicho informe no se presentó, y que la Alta
dirección no genero comentarios o decisiones debido a la no entrega de dicho informe.

Proceso
Auditado
Auditor(es)
No
N° Falta
Conformida Observación
Requisito(s) Información
d
Descripción

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 5
 AUDITOR INTERNO SGSI ISO/IEC 27001:2013
GUÍA DE APRENDIZAJE No.3– MÓDULO 3

8. RÚBRICA DE LA ACTIVIDAD

Rúbrica de evaluación para Redacción de no conformidades – Observaciones

Objetivo de la actividad: Ejecutar y reportar el resultado de una auditoría interna en un SGSI
ISO/IEC 27001:2013, específicamente no conformidades y observaciones.
Niveles de desempeño
Definir nivel y Definir nivel y
Definir nivel y puntaje Máximo puntaje por
puntaje puntaje
Aspectos a evaluar Deficiente aspecto evaluado 5
Aceptable Sobresaliente puntos
(1-2)
(3) (4- 5)
El Participante
Detecta hallazgos detecta hallazgos
de no conformidad de no conformidad El Participante
El Participante no
y redacta y redacta el detecta con
detecta hallazgos de
adecuadamente hallazgo. facilidad los
no conformidad y por
incluyendo el El participante hallazgos de
lo tanto no redacta el
hallazgo y presenta alguna no
hallazgo. El
requisitos de debilidad en conformidad y
participante no detecta
incumplimiento. El alguno de los redacta el
el requisito de
requisito es casos en hallazgo.
incumplimiento.
adecuado al determinar el
incumplimiento. requisito de
incumplimiento.

AC-GA-I-F-01-05
V1 – Septiembre 2019
Pág. 6