Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundada en 1828
Tutores Lideres
Media tarde
Instalaciones
Acuerdos Locales
Sesiones dirigidas.
Discusiones.
Ejercicios.
Asistencia y puntualidad.
Individual.
Dos Horas.
Libro Abierto.
• ISO/IEC 27001:2013
• Material del Curso
• Notas Personales durante el Curso
• referencia iso 19011:2018
PD: Ningún otro libro o medios electrónicos como portátiles será permitido.
Ni el uso de teléfonos móviles durante el examen
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
CAPITULO 2
INTRODUCCIÓN ISO/IEC
27001:2013
CONTEXTO
Cambridge Analytica
Empresa británica dedicada a la minería de datos creada por el ex asesor de Trump
(Steve Bannon)
Monitoreaban los estados de animo de sus usuarios, junto con sus tendencia,
pensamientos, gustos, etc, esto a través de una app instalada en Facebook que
requería de una aprobación de un solo usuario y permitía conseguir la información
de sus contactos.
Esta información sin ser demostrable hasta el momento, que es lo que esta
investigación, fue utilizada para elecciones presidenciales y otras elecciones de
otros países, adicionalmente, la información fue vendida de manera ilegal, ya que
no tuvo autorización de Facebook ni de sus usuarios.
Andromeda
Presunto seguimiento a negociadores de la Habana desde una fachada de
inteligencia militar.
Sepulveda
Miembros de la Fuerza Armadas le entrega información clasificada a
Hacker Andres Sepulveda
Chuza-DAS
Interceptaciones ilegales a magistrados, políticos de oposición, periodistas
y ONG.
Por su parte Kaspersky informo que en el primer semestre del año 2017,
se presentaron 677 Millones de amenazas en latino américa, es decir cada
hora se presentan 117 ataques y 33 por segundo.
PHVA
Actuar Verificar
!Qué es la Información!
protegido adecuadamente.
ISO/IEC 27000:2014
Creada
Almacenada Procesada
Recolectada
Transmitida Usada
Papel Audio
Verbal Drives
Etc
Video
ISO/IEC 27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
TIENE LOS SIGUIENTES ELEMENTOS
LAS OPERACIONES
Deben soportar la seguridad que la organización requiere
a través de una serie de acciones diarias
http://www.iso27000.es/glosario.html
Información
Software:
Este grupo de activos contiene todos los programas de
computadora que se utilizan para la automatización de
procesos, es decir, acceso, lectura, tránsito y almacenamiento
de la información. Tales como:
programas institucionales
sistemas operativos
Hardware:
Estos activos representan toda la infraestructura
tecnológica que brinda soporte a la información durante su
uso, tránsito y almacenamiento.
Las computadoras
Los servidores
Organización:
En este grupo se incluyen los aspectos que
componen la estructura física y organizativa de las
empresas.
Información
Documentos
Tecnología
Medios
Personas
Procesos
Secreto
Confidencial
Pública
Restringido
Otros
Confidencialidad
El principio de la confidencialidad de la información tiene
como propósito el asegurar que sólo la persona correcta
acceda a la información que se quiere distribuir.
Integridad
La integridad consiste en garantizar que los datos,
objetos y recursos no han sido alterados en su
contenido y son fiables
Errores en software.
DISPONIBILIDAD
Principio asociado a la adecuada estructuración de un
ambiente tecnológico y humano que permita la continuidad
de las actividades de la organización, sin permitir la
aparición de impactos negativos debidos a la utilización de
la información.
Confidencialidad
Disponibilidad Integridad
a) Acceder a información
b) Manipular información
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
AMENAZAS
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
VULNERABILIDADES
Vulnerabilidades físicas
Los puntos débiles de orden físico son aquellos presentes en los
ambientes en los cuales la información se está Almacenando.
Vulnerabilidades naturales
Los puntos débiles naturales son aquellos relacionados con las
condiciones de la naturaleza que puedan poner en riesgo la
información.
Muchas veces, la humedad, el polvo y la contaminación podrán
causar daños a los activos.
La probabilidad de estar expuestos a las amenazas naturales es
determinante en la elección y montaje de cualquier ambiente. Se
deberán tomar cuidados especiales, de acuerdo con el tipo de
amenaza natural que pueda ocurrir en una determinada región
geográfica.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
VULNERABILIDADES
Vulnerabilidades Comunicación
Abarca todo el tránsito de la información. Donde sea que
la información transite, ya sea vía cable, satélite, fibra
óptica u ondas de radio, debe existir seguridad.
• Correo electrónico
• Cloud
Vulnerabilidades Comunicación
Intercambio de datos a través de medios de comunicación
donde se rompen barreras físicas tales como teléfono
(smartphone), Internet, fax, etc.
Vulnerabilidades Humanas
Los puntos débiles humanos también pueden ser intencionales o
no. muchas veces, los errores y accidentes que amenazan a la
seguridad de la información ocurren en ambientes institucionales.
La mayor vulnerabilidad es el desconocimiento de las medidas de
seguridad adecuadas para ser adoptadas por cada elemento
constituyente, principalmente los miembros internos de la empresa.
• El resultado de un
incidente de la seguridad
de la información.
Impacto
• El efecto de una amenaza
en la misión de una
organización y objetivos
de negocio
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
BENEFICIOS DE LA SEGURIDAD DE LA
INFORMACIÓN
Ventaja competitiva
Rentabilidad
Cumplimiento Legal
Imagen
• A los auditores
• A los reguladores
ISO/IEC 27002 in
2007
PROCESO
SISTEMA
GESTIÓN
Actividades coordinadas para dirigir y controlar una organización
•CONTROL
Gene Spafford
Director, Computer Operations, audit, and Security Technology (COAST)
Purdue University
0.1 General
Es una adopción de Toma de decisiones estratégicas.
0. Introducción
1. Alcance
2. Referencias Normativas
3. Términos y Definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación
10. Mejora
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
0. INTRODUCCIÓN
Partes interesadas:
Accionistas
Organización
Clientes Empleados
Gobiernos Comunidades
Investigadores gubernamentales
5.2 Política
Definir Política de Seguridad* en términos de las características del
negocio, la organización, su ubicación, sus activos, tecnología, que:
•COMO..!
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
6. PLANIFICACIÓN
ISO31000
organización’
•COHERENTES •MEDIBLES Y
PGSI OPORTUNOS
•OBJETIVOS SI
•EVALUACIÓN Y
TRATAMIENTO •COMUNICADOS
DE RIESGOS
7.2 Competencia.
7.4 Comunicación
f) Asegurar que los documentos estén disponibles para quien los necesite
y que se apliquen los procedimientos pertinentes , de acuerdo con su
clasificación, para su transferencia, almacenamiento y disposición final.
• 6.1
Planificar • Planes alineados a los objetivos de
seguridad y Negocio.
• 6.2
Ejecutar
• Dentro de los procesos del negocio.
• Información documentada
Controlar
• Control de Cambios
• Procesos Externalizados.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
8. FUNCIONAMIENTO
• 6.1.2
•Evaluación de
• Planificadas.
Riegos
• Modificaciones importantes o se producen.
• 6.1.3
•Tratamiento de riesgos
• Plan de tratamiento.
•Cuando se
analizarán y • Resultados
evaluaran?
ENTRADAS
ENTRADAS
RESULTADOS REVISION
b) la actualización de la evaluación de
riesgos y del plan de tratamiento de riesgos.
RESULTADOS
REVISION
La modificación de los
procedimientos y controles
que afectan la seguridad de la
información, según sea
necesario, para responder a
eventos internos o externos
que pueden tener impacto en
el SGSI, incluidos cambios a:
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
10. MEJORAMIENTO
•Definir el
Alcance •Definir la
•(Contexto y Partes Politica
Interesadas)
•Evaluación de •Tratamineto de
Riesgos de SI Riesgos
•Declaración de
Aplicabilidad
Consta de:
14 Dominios: 34 Objetivos de Control , 114 Controles
Ejercicio oral:
¿Qué controles de la organización no puede excluir y por qué?
¿Qué se puede excluir la organización de controles y por qué?
Ejercicio oral:
¿Qué controles de la organización no puede excluir y por qué?
¿Qué se puede excluir la organización de controles y por qué?
Ejercicio oral:
¿Qué controles de la organización no puede excluir y por qué?
¿Qué se puede excluir la organización de controles y por qué?
•El
software antivirus sin actualizar es apenas
•8 mejor que no tener uno
ISO/IEC 27001:2013
Considere:
Las operaciones normales, y operaciones
planificadas.
Las operaciones anormales de puesta en marcha,
parada y mantenimiento.
De los accidentes o situaciones de emergencia.
Valor del
Activo Tratam iento Activo Vulnerabilidad RIESGO Clasificaciòn
A xyz 3 5 15 2
B abc 2 6 12 3
C def 1 4 4 5
D pqr 4 2 8 4
E stu 5 5 25 1
F acd 3 1 3 6
Probability
Es el riesgo aceptable?
Improbable Probable Muy Probable
AUDITORÍAS
“UN PROCESO SISTEMATICO, INDEPENDIENTE Y
DOCUMENTADO PARA OBTENER EVIDENCIA DE
AUDITORIA Y EVALUARLA OBJETIVAMENTE CON EL
FIN DE DETERMINAR LA MEDIDA EN LA CUAL SE
CUMPLEN LOS CRITERIOS DE LA AUDITORIA”
CRITERIOS DE LA AUDITORÍA
Conjunto de políticas,
procedimientos o requisitos
utilizados como referencia.
EVIDENCIA DE LA AUDITORÍA
Registros, declaraciones de hechos o
cualquier información que son pertinentes
para los criterios de auditoría y son
verificables.
HALLAZGOS DE LA AUDITORÍA
Resultados de la evaluación de la evidencia de
la auditoría recopilada frente a los criterios de
la auditoría.
CONCLUSIONES DE LA AUDITORÍA
CLIENTE DE LA AUDITORÍA
AUDITOR
Persona con la competencia para llevar a
cabo una auditoría.
AUDITADO
Organización que es auditada.
PROGRAMA DE LA AUDITORÍA
Conjunto de una o más auditorías planificadas
para un período de tiempo determinado y
dirigidas hacia un propósito específico.
PLAN DE AUDITORÍA
Descripción de las actividades en el sitio y
arreglos para una auditoría.
ALCANCE DE LA AUDITORÍA
Extensión y límites de una auditoría.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
DEFINICIONES BÁSICAS
EQUIPO AUDITOR
EXPERTO TÉCNICO
Persona que aporta experiencia o conocimientos
específicos con respecto a un campo de actividad
determinado que se vaya a auditar.
AUDITORÍA INTERNA !
AUDITORÍA DE DOCUMENTACIÓN
Determina hasta qué punto el sistema de gestión
documentado, representado por el Manual de
Seguridad de la Información y los procedimientos
asociados, satisfacen los requisitos de la norma
adoptada.
AUDITORÍA DE CUMPLIMIENTO
Establece hasta qué punto el sistema de gestión
documentado está implantado y es tomado en cuenta
por el personal de la organización.
ISO 19011:
“GUÍA PARA LA AUDITORIA DE SISTEMAS DE GESTIÓN DE
CALIDAD Y/O AMBIENTAL”
2. Referencias normativas
3. Términos y definiciones
4. Principios de auditoría
6. Actividades de la Auditoría
AUDITORÍA DE CALIDAD
Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoría y evaluarías de manera objetiva con el fin de determinar la extensión en
que se cumplen los criterios de auditoría
AUDITOR DE CALIDAD
Persona con la competencia para llevar a cabo una auditoría .
CRITERIOS DE LA AUDITORÍA
Conjunto de políticas, procedimientos 0 requisitos utilizados como referencia.
EVIDENCIA DE LA AUDITORÍA
Registros, declaraciones de hechos o cualquier otra información que son
pertinentes para los criterios de auditoria y que son verificables.
HALLAZGOS DE LA AUDITORÍA
Resultados de la evaluación de la evidencia de la auditoría recogida frente a los
criterios de la auditoría
• PRIMERA PARTE
¿Quién? • SEGUNDA PARTE
• TERCERA PARTE
• INTERNA
• EXTERNA
• SUFICIENCIA
¿Qué se audita? • CUMPLIMIENTO
• PRODUCTO/
PROCESO/PROYECTO
1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
Considere:
La importancia de la actividad
Estado de la actividad
Resultado de auditorías previas
Disponibilidad de trabajadores
PLAN DE AUDITORIA
Organización: Representante de la dirección:
Alcance de la auditoría:
1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
Documentos de trabajo
Procedimientos de auditoría
Listas de verificación
Reportes de No Conformidad
Actas de Reunión
Informes de auditoría
HERRAMIENTA PARA
RELACIONAR LOS
RESULTADOS Y
LISTAS AYUDAR A HACER UNA
SÍNTESIS
DE CONTENIDO DEPENDE
VERIFICACIÓN DE LA SITUACIÓN A
EXAMINAR
AYUDA A PREPARAR LA
ENTREVISTA
PERMITE
ESTRUCTURAR LA
AUDITORÍA
1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
• Introducir el equipo
• Confidencialidad
• Manera de informar
• Preguntas
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
3. EVIDENCIA
• Revisando documentos
• Entrevistando personas
a todos los niveles
• Observando las prácticas
y el entorno físico
• Manual de seguridad
• Instrucciones de trabajo
• Registros
• ¿Quién lo utiliza?
• ¿Fue controlado?
• ¿Existe un registro?
Process Process
A C
Process Process
B D
Input
Output
Controls
Identificar el propósito
Dueño
Identificar entrada
Identificar la producción
Los activos de Información son identificados y sus
riesgos evaluados?
Establecer el flujo de actividades de
¿Qué recursos se utilizan?
¿Cuáles son los controles?
¿Cómo se comprueba esto?
¿Cuál es el método de medición de la efectividad de los controles?
Las responsabilidades y competencias
LA ENTREVISTA
DATOS DE DATOS DE
ENTRADA
PROCESO
SALIDA
Preguntar Resultados
Información Efectividad
Escuchar
Eficacia
Reformular
- objetivos
Tomar Notas
Requisitos
Agradecer Riesgos y consecuencias
Formulación de preguntas
Si le entendí bien, lo que
Comprobación
usted dijo fue ... ?
VERIFICAR
VERIFICAR
ACTUAR
VERIFICAR
MALOS HÁBITOS A
EVITAR DURANTE SUS
• Fingir atención
ENTREVISTAS:
• Ocuparse previamente
• Sobre reacción
• Interrumpir al que habla
• Escuchar solo lo que queremos oír
• Usar el tiempo de escuchar, para
pensar en otras cosas
VERIFICAR
Enfoques de la auditoría
Cuatro tipos de enfoque para auditar
Comments
Procedure
Auditor’s
ISO/IEC
Clause
Issue
Time
Item
• Al auditar encontrará
oportunidades interesantes que
investigar (pistas de la auditoría)
• Escoja pistas de auditoría
prometedoras:
• Sígalas hasta donde sea
necesario
• Interaccione con el equipo
• Completas
• Exactas
• Precisas
• Legibles
• AUDITA PROCESOS, NO
PERSONAS
• ESCUCHA, COMPRENDE, NO
JUZGA
• ADAPTA SU LENGUAJE
• VERIFICA EFICIENCIA Y
EFICACIA
ESTAR ATENTO A:
Manténgase observando
la evidencia física, en:
• operaciones
• productos
• equipos
• instrumentos
• condiciones
• controles
MAYOR: MENOR:
• Hay un rompimiento total de
algún procedimiento o • Cuando se ha identificado una
instrucción de trabajo crítico deficiencia (o deficiencias) en un
procedimiento o instrucción de trabajo,
• Hay una ausencia total de o en el funcionamiento del sistema de
algún procedimiento exigido por calidad de la organización, pero que
la norma aplicable. son menos graves que las que justifican
una Mayor
• Hay varias faltas menores en el
procedimiento,
• Un riesgo inmediato para la • No Genera Gran Impacto en la
Organización o Proceso
calidad del producto o servicio
que se ofrece.
• Genera Gran Impacto en la
Organización o Proceso
ES RECUPERABLE (TRAZABLE)
VERIFICAR
Informe de No Conformidad
►Sin reglas fijas; sin embargo un INC tiene tres partes:
VERIFICAR
►Precisa
►Objetiva
►Trazable
►Concisa
VERIFICAR
• Basada en hechos
• Precisa
• Objetiva
• Trazable
• Concisa
► Escenario:
REPORTE DE NO CONFORMIDAD
(NON CONFORMIRTY REPORT)
site Office Proceso Product No. Of NCR:
•Bogotá •Producción TI C. Computo Date: •14/feb/29
•Ubicación
Procedure: P-2 Clause: 5.2.2
•Clasificación Auditor : Pablo Mendez Auditee: Merlinda Casas
Non conformance Mayor X Menor
•Descripción •Se evidencian el incumplimiento en el centro de computo en
no controlar la bitacora de ingreso, ya que Se observan 3
personas pertenecientes a contratistas realizando labores de
•Evidencia mantenimiento a Servidores, Aire Acondicionado y
Cintotecas, de acuerdo con El procedimiento P-2 indica el
•Referencia registro obligatorio al ingresar al cual proceso categorizada
como área segura.
INFORME DE NO CONFORMIDAD
Descripción de la no conformidad:
Declaración de NC •La organización no ha gestionado el ambiente de trabajo
necesario para lograr la conformidad del producto
Evidencia Objetiva
VERIFICAR
ACTUAR
VERIFICAR
•1. PLANEACIÓN
5. SEGUIMIENTO
•2. PREPARACIÓN
•3. EJECUCIÓN
•4. INFORME
Contenido Forma
• Informativo • Conciso
• Basado en hechos • Legible
• Completo • Transparente
• Exacto y preciso • Claro
• Criterios de la auditoria
• La opinión del equipo sobre si el SGC cumple con los criterios de la auditoria
• No conformidades detectadas
• Lista de distribución
•1. PLANEACION
5. SEGUIMIENTO
•2. PREPARACION
•3. EJECUCION
•4. INFORME
•SI
NO
•ESTABLEZCA UNA
•NUEVA FECHA
NO
•ESCALE
•Reunión de apertura
•Reunión de enlace e •Informe
informativa
•Realización de la
•Seguimiento
•Auditoria
•Auditoría de
cumplimiento
•Cierre de NC.
SI
Acuerde RNC ? •Levante el RNC.
los hechos
NO •Fin
•1 •Acción correctiva
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
HABILIDADES DEL AUDITOR
COMPETENCIA DE LOS AUDITORES - 19011
•Conocimiento •Conocimiento y
•Conocimiento
y habilidades habilidades
y habilidades
específicos de específicos de
genérico
calidad medio ambiental
•Atributos personales
DESEABLES NO DESEABLES
PERCEPTIVIDAD
Habilidad para entender el
problema rápidamente sin
saltar a conclusiones
PERSISTENCIA
ENFOQUE DISCIPLINADO
• Habilidad para enfocar un problema lógica
y sistemáticamente.
• Habilidad para definir los límites de
responsabilidad del área de investigación.
HABILIDADES DE PRESENTACIÓN
HABILIDADES TÉCNICAS
Habilidad para investigar y
determinar el grado de cumplimiento
en todas las áreas y procesos
HABILIDADES SOCIALES
Comportamiento personal
Ético
(justo, veraz, sincero,
honesto y discreto)
Mente abierta
(dispuesto a considerar
ideas o puntos de vista
alternativos)
Comportamiento personal
Observador
(observando
activamente el entorno
físico y las actividades)
Diplomático
(discreto al tratar con
individuos)
Comportamiento personal
Versátil
(capaz de adaptarse
fácilmente a diferentes
situaciones)
Perceptivo
(consciente de y capaz de
comprender situaciones)
Otras Habilidades:
4. Realizar la evaluación.
Revisión de registros
Retroalimentación
Entrevista
Observación
Examen
C a lific a c ió n : B (B U E N O ), R (R E F O R Z A R ), D (P U E D E D IF IC U L T A R E L P R O C E S O ) o N A (N O A P L IC A )
H A B IL ID A D E S P E R S O N A L E S
C R IT E R IO C A L IF . O B S E R V A C IO N E S
P u n t u a lid a d ( C u m p lim ie n t o d e h o r a r io s )
C o m u n ic a c ió n f lu id a y c la r a
E s c u c h a ( c a p t a f á c ilm e n t e la s e x p r e s io n e s
d e l a u d ita d o )
C a lid a d h u m a n a
F le x ib ilid a d a n t e s it u a c io n e s q u e lo r e q u ie r e n
E lim in a c ió n d e b a r r e r a s ( f ís ic a s , in t e le c t u a le s
y e m o c io n a le s )
P R O C E S O D E A U D IT O R ÍA
C R IT E R IO C A L IF . O B S E R V A C IO N E S
C u m p lim ie n t o d e l p la n d e a u d it o r ía
M a n t e n im ie n t o d e n t r o d e l a lc a n c e
C o n o c im ie n t o d e lo s p r in c ip io s d e l S G C
C o n o c im ie n t o d e n e g o c io
R e u n ió n d e a p e r t u r a
R e u n ió n d e c ie r r e
R e t r o a lim e n t a c ió n a l a u d it a d o
C a l id a d d e l r e p o r t e d e a u d it o r í a
F in a liz a c ió n d e l p r o g r a m a d e a u d it o r í a
C u b r im ie n t o d e l s is t e m a d e g e s t ió n
M a n e jo d e l t ie m p o d e la a u d it o r í a
H A B IL ID A D E S D E E V A L U A C IÓ N
C R IT E R IO C A L IF . O B S E R V A C IO N E S
V e r if ic a c ió n d e lo s p r o c e d im ie n t o s d e lo s
a u d ita d o s
E la b o r a c ió n d e p r e g u n t a s ( a b ie r t a s , c e r r a d a s
y a c la r a to ria s )
A p l ic a c i ó n d e t é c n ic a s d e m u e s t r e o
C o n o c im ie n t o d e p r o c e s o s e I S O 9 0 0 1
P r o f u n d id a d d e a u d it o r ia
I d e n t ific a c ió n d e n o c o n f o r m id a d e s
R e c o le c c ió n d e e v id e n c ia s
E v a lu a c ió n d e e v id e n c ia s
R e p o rte d e n o c o n fo rm id a d e s
L is t a s d e v e r i f ic a c i ó n d i l i g e n c i a d a s d e
m a n e ra c la r a y o r d e n a d a
N o t a s c la r a s f r e n t e a la s it u a c ió n r e v is a d a
O B S E R V A C IO N E S :