TALLER APLICACIÓN NORMA ISO 27001

OBJETIVO
Brindar una introducción al estudiante de la metodología de casos, utilizada durante el curso de
formación de auditores internos de un Sistema de Gestión de Seguridad de la información ISMS
ISO 27001.

METODOLOGÍA
Para cada una de las siguientes situaciones, registre en la siguiente tabla el cumplimiento o no y el
numeral o control respectivo.

Es importante que no asuma, no suponga y no imagine nada más allá de lo señalado en los casos.
Recuerde ¡los hechos son los hechos!

CASOS 

1. La organización establece intercambio de información con el organismo supervisor, esta

información es enviada por medio electrónico, la organización definió una excelente política
de intercambio de información y por lo tanto no fue necesario definir el procedimiento de
intercambio de información.
2. La organización incluyó en el programa de auditorías la realización de auditorías de segunda
parte al sistema de gestión de la seguridad de la información (proveedores potenciales de
servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos
para ejecutar las auditorías a estos proveedores potenciales en un período de seis meses. La
organización está decidiendo a quien designa como responsable de esta actividad.
3. La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano. En este
proceso se han establecido los controles para brindar conformidad de las funciones y
responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos legales y
reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene
establecido en su manual de funciones específicamente auditores Internos al SGSI, los
siguientes requisitos: Educación: Ingeniería, Formación: Auditor interno certificado de
aprobación, Experiencia: haber realizado dos auditorías internas o participar como
observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación
verbal y escrita, observador, persistente y manejo de situaciones difíciles.  En la revisión de
registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos
(Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y experiencia y
están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez
Ingeniero de Sistemas con su diploma como evidencia, certificado auditor interno aprobado y
verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta
profesional de Ingeniero Electrónico con especialización en auditorías internas al SGSI el cual
 evidenció con registro de aprobación. Por último, Gian Wu certificado de Ingeniero
Aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de
auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es Auditor del
SGSI pues con la experiencia de trabajar durante 10 años en la organización y por su
educación, ha sido más que suficiente.
4. La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de
servicio al SGSI con terceros, por ejemplo, para servicios de mantenimiento de UPS de centro
de datos, administración de Firewall, gestión de ingreso y salida de personal.  El responsable
indica que se han definido muy bien los contratos y los ANS, por lo tanto, no ha sido necesario
realizar auditorías a intervalos regulares.
5. En su revisión de las auditorías internas realizadas en el último año, usted evidencia la
inclusión de 2 auditorías internas en el programa de la organización XUAN Inc., registra en su
lista de verificación la realización de auditorías internas a todos los procesos del SGSI en el
primer semestre. En el último semestre evidencia que no se incluyó el proceso de gestión de
cambios ni gestión de capacidades, el responsable explica que estos procesos no se incluyeron
en el segundo ciclo porque en las últimas dos auditorías no se detectó ninguna no
conformidad.
6. La organización Zing productions S.A., tiene una red que es gestionada por el centro de datos
del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada
por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha
sucedido ningún incidente con respecto a la red.
7. La organización Online And Transaction S.A., utiliza las transacciones bancarias en línea (e-
banking) como medio de pago a sus proveedores y a través de internet también para el envió
de documentación importante a sus clientes. Se han implementado controles rigurosos para
garantizar la integridad de información transmitida. No se han identificado riesgos al respecto.
8. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al
encargado de este, los registros de mantenimiento de equipos, los cuales son gestionados en
la base Informática “ATENEA”, donde según la explicación recibida se almacena toda la
información de los computadores de la empresa, aproximadamente 500 equipos. Usted
observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el
nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento,
los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340,
1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No.
11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los
mantenimientos realizados.
9. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos
estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología,
criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de
los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los
controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no
se encontró la aprobación por parte de la alta dirección.
10. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la norma ISO
27001, el auditor evidenció que no hay una descripción de la metodología para valoración de
riesgos, es decir, no hay un enfoque hacia la valoración del riesgo.
11. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de la
empresa explica que cuando usted vaya al proceso de producción, no va a encontrar al
Director de Producción ni a dos Operadores considerados fundamentales para el mismo,
debido a que fueron retirados por problemas de bajo desempeño. Usted pregunta ¿cuánto
hace que fueron retirados? Le responden que, desde hace tres meses, pues el personal es
contratado a término fijo y no han sido reemplazados porque el jefe financiero aún no ha
designado los recursos necesarios. Usted escribe su comentario en su lista de chequeo. Así
mismo usted pregunta ¿Cómo ha definido las competencias para el director de producción,
Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente le
entrega unos documentos y explica que ha sido un trabajo muy bueno, realizado para definir
las características de cada cargo. Después de revisarlos, solo observa definidas las
responsabilidades. Usted verifica los registros de terminación de la contratación laboral y no
se encuentran.
12. En diciembre, usted es designado como auditor líder para realizar una auditoria interna a
Financiera Suprema S.A., ofrece servicios de financiación de créditos al sector solidario, al
llegar al proceso de mejora continua, usted solicita los registros de las auditorías realizadas,
usted evidencia ejecución en julio 15 y octubre 30. Usted pregunta ¿cuantas no conformidades
fueron encontradas?, el responsable indica que en Julio se encontraron once (11) y en octubre
trece (13), todas cerradas eficazmente, porque la alta Dirección está muy comprometida.
Usted revisa y observa que los problemas detectados durante el mes de octubre son los
mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen
en sus registros de lista de verificación.
13. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de
verificación de los sistemas de información?, entrega un programa que define una frecuencia
de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable
menciona que se cambió intervalo a un año y además por el cambio de la infraestructura
tecnológica.
14. En la auditoría realizada en la organización del sector estatal Ministerio Fomento Empresarial,
el auditor entrevistó al encargado del centro de cómputo ¿Cuáles controles se han establecido
para el centro de cómputo? El único procedimiento es el sistema de control de entrada por
llave. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo, el
encargado del centro de cómputo y el personal de limpieza, en particular la señora que realiza
la limpieza, la cual pertenece a la nómina de la agencia de limpieza ZZZ. El auditor entrevista a
la señora de limpieza que se encuentra en el centro de cómputo ¿Cuál es el procedimiento
utilizado para realizar la limpieza?  Ella responde que, al realizar la limpieza, deja la puerta
abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso al centro de
cómputo no evidencia registro de la persona entrevistada, además detalla que la última
revisión de los derechos de acceso fue hace dos años. Se revisó el listado de personal
 autorizado para disponer de llaves y no se encontró al personal de la limpieza y no hay
evidencia de la comunicación de la política de seguridad de la información a la agencia de
limpieza ZZZ.
15. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector
bancario el cual indica “todas las transacciones por internet deben usar llave electrónica”. La
alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de
cuatro (4) meses para tomar una decisión al respecto de su implementación.

Numeral
Caso Cumple o no Cumple
o Control
 No cumple porque el procedimiento de transferencia de ANEXO A
1 información debe implementarse, al igual que la política y el control A.13.2.1.
2  Si cumple. Las auditorias se planifican, se preparan y se asigna 9.2.
responsable, entre otras actividades. (c,d,e)
3  No cumple porque no hay evidencia física de información 7.2
documentada (diploma o certificado de auditor)
 No cumple porque no hay evaluación del desempeño y no hay un 9.2.
4 control sobre la seguridad de las operaciones Anexo A
A.12.7.
 No cumple porque no realizó el Control A12 Seguridad de las ANEXO A
Operaciones: La gestión de capacidad es necesaria para hacer A.12.12
5 proyecciones de los requisitos de capacidad futura A.12.13

 No cumple porque no hay valoración de riesgos de la seguridad de

6 la información, al omitir un riesgo potencial ni evidencia de 8.2.
información documentada
 Si cumple porque hay control de acceso a sistemas y aplicaciones ANEXO
7 A.9.4.

No cumple porque no hay evaluación del desempeño y tampoco hay 9.1.

8 evidencia documentada de los mantenimientos realizados, que ANEXO A
sirvan como evidencia de los resultados del seguimiento y la A.11.2.
medición
9 No cumple, porque debe haber aceptación por parte de los dueños 6.1.3.
de los riesgos
10   No cumple porque se debe conservar información documentada 6.1.2.
acerca del proceso de evaluación de riesgos
 No cumple porque la documentación de contratación laboral está 7.2.
incompleta, ni se determinaron las competencias necesarias para el ANEXO A
11 recurso humano faltante. A.7.1.
A.7.2.
 No cumple porque no hay evidencia que se hayan implementado
acciones correctivas para las No Conformidades de julio y octubre
12 10.1.
(las mismas) y no se determinaron las causas

 No cumple porque no hay continuidad en verificación, revisión y ANEXO A

evaluación de la seguridad de la información. A.17.1.
13

 No cumple porque no hay control de acceso físico, ni seguridad en ANEXO A

la oficina. Asimismo no se comunicó la Política para la seguridad de A.11.1
14 la información a un servicio tercerizado. A.5.1.1.

 Si cumple porque al planificar el SGSI, la organización debe

considerar las cuestiones referidas en 4.1 y los requisitos referidos
15 en 4.2 y determinar los riesgos y oportunidades 6.1.