CORPORACION UNIFICADA DE EDUCACION SUPERIOR

AUDITORIA
SISTEMAS-ACA 3
INGENIERIA DE SISTEMAS

INTEGRANTES:
LUIS ENRIQUE GALVAN BARRERA (56659)

BOGOTA
 INTRODUCCION

Una auditoria se realiza cuando se desea evaluar un proceso o con el fin de

buscar una certificación que permita a una organización destacarse entre otras,
cuando se realiza una auditoria Al cumplimiento legal del Reglamento de
Protección de Datos se busca demostrar que la empresa cumple con los
estándares establecidos en la protección de datos personales o corporativos.

OBJETIVO GENERAL

Evaluar el nivel de madurez del Reglamento de Protección de Datos de la

organización en relación con los requisitos de la Norma ISO 9001, identificar
áreas de mejora y proporcionar recomendaciones para fortalecer el sistema de
gestión de seguridad de la información

OBJETIVOS ESPECIFICOS

• Evaluar la efectividad de los controles de seguridad de la información

implementados en la organización.

• Verificar que los procesos de seguridad de la información se ajustan a los

requisitos de la Norma ISO 9001.

• Garantizar que la organización esté preparada para hacer frente a las

amenazas de seguridad de la información.
 DESARROLLO DEL TEMA

1 Que va a auditar.

Auditoría al cumplimiento legal del Reglamento de Protección de Datos.

Norma De Referencia: ISO 9001:2015

Al cumplimiento legal del Reglamento de Protección de Datos es un proceso de

verificación tanto de los tratamientos de datos personales que hace la empresa,
como de las medidas de seguridad implementadas por el responsable del
tratamiento de datos.

2 Alcance de la Auditoría.

Tiene un alcance del servicio TI centrado en los procedimientos establecidos que

capturen por cualquier medio información que necesite tratamiento de Protección
de Datos.

3 Programa de Auditoría.
Con el fin de obtener la certificación en cumplimiento legal del Reglamento de
Protección de Datos se programarán 2 auditorías internas dónde se reforzarán y
se preparara a la empresa para la auditoria externa.

Auditoria interna Auditoría al 18/03/2023

cumplimiento legal del
Reglamento de
Protección de Datos
Segunda auditoria Auditoría al 18/08/2023
interna cumplimiento legal del
Reglamento de
Protección de Datos
Auditoria de Auditoría al 18/11/2023
certificación cumplimiento legal del
Reglamento de
Protección de Datos

4 Plan de Auditoría.

En la auditoria se auditará el cumplimiento legal del Reglamento de Protección

de Datos por parte del área de TI.

El alcance de la auditoria es toda el área de TI.

Se auditará toda la información en medios digitales o escritos del área de TI.

Se examinarán los procesos dónde se obtengan datos personales o datos sensibles

de personas o de otras empresas.

La primera auditoria iniciará el 18/03/2023 a las 07:00 am y terminará a las

06:00 pm del mismo día.
La segunda auditoria iniciará el 18/08/2023 a las 07:00 am y terminará a las
06:00 pm del mismo día.

La tercera auditoria estará a cargo del ente auditor.

Las auditorias internas estarán a Cargo de Luis Enrique Galván.

La auditoría de tercer nivel estará a cargo de la empresa global Colombia

Certificación s.a.s.

5 Criterios de Auditoría.

La Auditoría al cumplimiento legal del Reglamento de Protección de Datos, que

se le realizo utilizando Objetivos de Control para tecnología de la información y
relacionada, nos permite realizar un examen crítico para evaluar la eficiencia,
eficacia y cumplimiento de los procesos de del Reglamento de Protección de
Datos.

6. Auditor (es).

Luis Enrique Galván

7. Evidencia de Auditoría.

La información se encuentra en carpetas compartidas dónde cualquiera puede

acceder modificarla o eliminarla, el CRM hay usuarios creados con privilegios
elevados no necesarios.

8. Competencia.

Certificado en auditor interno ISO 27001 o/y ISO 9001

Otras competencias:

Pensamiento analítico.

Habilidades de comunicación.

Integridad.

Capacidad de indagación

9. Experto Técnico.

Luis Enrique Galván certificado cómo auditor Junior en la norma 27001:2013

10. Hallazgos de la Auditoría.

Se podría definir un plan de capacitación más explícito para los agentes de TI

para que tengan un mayor conocimiento acerca del Reglamento de Protección de
Datos.

Retirar permisos a personas que no los necesiten de las carpetas compartidas y

del CRM.

11. Conclusión de la Auditoría.

En este trabajo de auditoría, que tiene como objetivo principal la revisión del
correcto funcionamiento del Reglamento de Protección de Datos, y su nivel de
cumplimiento de la normativa vigente en la actualidad, se aprecia una evolución
principalmente en la consolidación de procesos y el tratamiento de datos
personales y corporativos.
Se recomienda evaluar, a mediano plazo, un cambio en el software dónde se
guarda la información que es sensible a tratamiento de datos con el fin de
permitir un mejor acceso a dicha información y con mejores protocolos de
seguridad.

12. Observador.

Persona que no audita, solo observa el proceso de auditoría.

13. Auditado.

La empresa a auditar es una empresa del área de tecnología con sede en Bogotá,
cuenta con 200 empleados, en el área de tecnología tienen 4 técnicos y un
supervisor.
 BIBLIOGRAFIA

• ISO27001 Seguridad Información. (s. f.). DNV.

https://www.dnv.com/ar/services/iso-27001-sistema-de-gestion-de-seguridad-de-
lainformacion-3327

• ISO 9001:2015. (2021, 1 septiembre). ISO.

https://www.iso.org/standard/62085.html

• Razo, C. M. (2002). Auditoría en sistemas computacionales. Pearson

Educación.

• Naranjo, A. (2009). Conceptos de la auditoria de sistemas. El Cid Editor.