Modulo - Auditorias - ISO 270012013

ESTRUCTURA NORMA ISO 27001:2013
Y FORMACION DE AUDITORES INTERNOS
I&F/TRG/ IT27-05 Rev 02 / Feb-14

CAPITULO 1
FUNDAMENTOS
GRUPO BUREAU VERITAS
Fundada en 1828
Más de 14,000 personas
Más de 580 oficinas en 150 países
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

NUESTROS TUTOR(ES)
Tutores Lideres
Auditores con Experiencia

multidisciplinaria
Tutor (es) Expertos
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

LOS PARTICIPANTES TENDRÁN LA
CAPACIDAD DE:
Entender los conceptos básicos de la Gestión de la

Seguridad de la Información.
Entender el propósito de los requisitos del estándar
ISO/IEC 27001:2013 .
Entender el propósito de las Auditorias Internas y el Rol
del Auditor.
Entender los principios y prácticas de Auditoría.
Preparar el Plan de la Auditoria Interna.
Recopilar y analizar la evidencia objetiva.
Realizar la auditoría e informe de sus resultados.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

TIEMPOS DEL CURSO
Día 1: 08:00 - 17:00
Día 2: 08:00 - 17:00
Día 3: 08:00 - 17:00
Día 4: 08:00 - 17:00
Almuerzo: 12:00 - 13:00
Break: Media mañana
Media tarde
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

REGLAS DE LA CASA
Instalaciones
Normas de Seguridad y Rutas de

Evacuación
Cortesía (celulares y portátiles).
Acuerdos Locales
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ESTRUCTURACIÓN DEL CURSO
Sesiones dirigidas.
Discusiones.
Ejercicios.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EVALUACIÓN CONTINUA
Contribución a los debates y cuestionamientos tutores.
Comunicación (Escucho cuando otro habla).
Precisión en los Reportes.
Participación efectiva en las actividades del equipo.
Claridad y la solidez técnica de los trabajos escritos.
Actitud, manera y conveniencia como auditor / auditor

líder.
Asistencia y puntualidad.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EXAMEN ESCRITO
Individual.
Dos Horas.
Libro Abierto.
• ISO/IEC 27001:2013
• Material del Curso
• Notas Personales durante el Curso
• referencia iso 19011:2018
PD: Ningún otro libro o medios electrónicos como portátiles será permitido.
Ni el uso de teléfonos móviles durante el examen
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
CAPITULO 2
INTRODUCCIÓN ISO/IEC
27001:2013
CONTEXTO
Los diez mayores ataques

informáticos de 2016
(https://www.economiadigital.es/tecnologia-y-tendencias)
Los ataques informáticos suponen ya una de las principales amenazas a
la seguridad de las empresas en todo el mundo. El Instituto Nacional de
Seguridad (INCIBE), dependiente del ministerio de Energía (España)
publico la lista de los diez principales incidentes de
ciberseguridad acontecidos a lo largo del año 2016.
El ranking se elaboró teniendo en cuenta criterios como el impacto
económico final sobre la víctima, la dimensión de las fugas o robos de
información de usuarios, empresas o instituciones, así como el daño
causado a la reputación y los efectos globales sobre la red de redes.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
1. Robo de 81 millones al Banco Central de Bangladés

Varios piratas informáticos lograron acceder a los sistemas del Banco
Central de Bangladés y transferir 81 millones de dólares a varios casinos
de Filipinas. Un error ortográfico evitó la catástrofe: el nombre mal escrito
de uno de los destinatarios levantó las alarmas y permitió bloquear el
ataque, planeado para obtener casi mil millones de dólares.
2. Robo de 64 millones en bitcoins a Bitfinex

El mayor operador mundial de intercambio de bitcoin basado en
dólares, Bitfinex, radicado en Hong Kong, fue el objeto de este ataque. La
cotización del bitcoin superior cayó un 23% en los días posteriores
3. Publicación de los datos de 154 millones de votantes de EEUU
Los datos incluían información personal de los electores, como la
dirección, el correo electrónico, el número de teléfono o enlaces a sus
redes sociales.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
4. Publicación de información personal de 93 millones de

mexicanos
Un fallo en la configuración de la base de datos de MongoDB, utilizada por
el Instituto Nacional Electoral de México, provocó una difusión masiva de
datos personales en el país. Un hecho que provocó gran revuelo en
México, donde los secuestros son un crimen relativamente habitual.
5. Robo de mil millones de cuentas de Yahoo

Una piedra más en el nefasto año de la tecnológica. Además de fechas de
nacimiento, direcciones de correo electrónico, números de teléfono,
contraseñas en MD5, la información robada también contenía preguntas y
respuestas de seguridad sin cifrar.
6. Robo de 500 millones de cuentas a Yahoo (en 2014)
Otro suceso relacionado con la misma compañía. Este ataque, según la
información desvelada hasta el momento, podría haber sido respaldado
por un Estado extranjero. Entre los datos robados, de nuevo se
encontraban preguntas y respuestas de seguridad sin cifrar.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
7. Robo de 400 millones de cuentas a Friend Finder Network Inc.

El masivo robo a Friend Finder Network Inc., compañía que gestiona
diferentes páginas de citas, incluyó datos personales de sus usuarios,
como el correo electrónico, los patrones de navegación, los patrones de
compra y su orientación sexual.
8. Ataque de denegación de servicio (DDoS) a Play Station y Twitter,
entre otros
Se trata del mayor ataque de DDoS producido hasta la fecha con
dispositivos de Internet de las cosas (IoT). Producido por la botnet Mirai,
compuesta por cientos de miles de cámaras IP junto a otros dispositivos
IoT, dejó fuera de juego a múltiples servicios de Internet, llegando a afectar
a Play Station Network y Twitter, entre otros. Se sospecha que este
ciberataque habría sido también una prueba de concepto para afectar al
funcionamiento de los sistemas de voto electrónico de EE.UU., antes de
las elecciones del 8 de noviembre.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
9. Fallo en la implementación de la pila TCP en sistemas Linux

El fallo en la implementación de la pila TCP en sistemas Linux --
posteriores a la versión de Kermel 3.6.-- permitió la infección de malware
de forma remota o incluso el secuestro del tráfico de usuarios con sistema
operativo Android y en televisores inteligentes. El ataque, además,
degradó las conexiones a la red mediante el protocolo Https, redirigiendo
el tráfico.
10. Fallo en los procesadores Qualcomm

El fallo en procesadores Qualcomm permitió a los piratas acceder a
información cifrada sin que se activasen los mecanismos de borrados en
millones de teléfonos. Esta vulnerabilidad en la generación de las claves
de cifrado afectó aproximadamente al 60% de los móviles Android del
mercado.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
Cambridge Analytica
Empresa británica dedicada a la minería de datos creada por el ex asesor de Trump
(Steve Bannon)
Monitoreaban los estados de animo de sus usuarios, junto con sus tendencia,
pensamientos, gustos, etc, esto a través de una app instalada en Facebook que
requería de una aprobación de un solo usuario y permitía conseguir la información
de sus contactos.
Esta información sin ser demostrable hasta el momento, que es lo que esta
investigación, fue utilizada para elecciones presidenciales y otras elecciones de
otros países, adicionalmente, la información fue vendida de manera ilegal, ya que
no tuvo autorización de Facebook ni de sus usuarios.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
Andromeda
Presunto seguimiento a negociadores de la Habana desde una fachada de
inteligencia militar.
Sepulveda
Miembros de la Fuerza Armadas le entrega información clasificada a
Hacker Andres Sepulveda
Chuza-DAS
Interceptaciones ilegales a magistrados, políticos de oposición, periodistas
y ONG.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO-tipos de ataque
Ataque destinados a páginas y portales web

Las páginas web dado su carácter público son un foco perfecto para los
atacantes. Basados en varios aspectos técnicos del sitio, determinan de
qué forma pueden obtener el control parcial o total de este y utilizarlo
para sus propósitos.
Cross Site Scripting (XSS): se basan en insertar código o script en el
sitio web de la víctima, y hacer que el visitante al ingresar al sitio lo ejecute
y cumpla el cometido para el que fue escrito, como robo de sesiones o
datos vulnerables.
Fuerza bruta: crean procesos automatizados que mediante prueba y error
logran dar con el usuario y contraseña, generando estos mismos al azar.
Este ataque se puede dar en cualquier página que requiera hacer un login
para ingresar, aunque hoy en día son muchas las técnicas utilizadas para
evitarlo.
Inyección de código: este tipo de ataques inyecta código fuente como
SQL, SSI, HTML al sitio web atacado, cambiando su funcionalidad original
o revelando datos que se encuentran almacenados en las bases de datos
que utilizan.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
CONTEXTO
Denegación del servicio (DOS): el atacante aprovecha algún error en la

programación del sitio web, y hace que el servidor utilice los recursos
como procesador y memoria, hasta llegar al punto límite del mismo, y
colapsar el servidor web por no dar más recursos. En consecuencia, logra
sacar el sitio web del aire.
Fuga de información: este más que ser un ataque, es un error del
administrador del sitio, el cual consiste en dejar público el registro de
errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar
provecho de estas, y obtener el control parcial o total del sitio.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
Ataques destinados a personas y usuarios de Internet

Al igual que una persona del común que anda por la calle, entre el tráfico y
la gente, cualquier usuario conectado a Internet está expuesto a riesgos
de seguridad, y de él depende estar protegido y atento para no ser víctima
de un ataque virtual.
Phishing (pesca de datos): el atacante a través de diversos métodos
intenta obtener datos personales de su víctima, una de las más conocidas
es suplantar páginas web, crean un sitio similar al sitio original con el fin
de que el visitante ingrese y deje sus datos personales como claves,
números de tarjeta etc. Obviamente estos datos llegan al atacante el cual
los aprovecha. Por lo general dichos ataques llegan al correo, suplantando
empresas y entidades financieras, haciéndolos ingresar al sitio web falso.
Spoofing: este ataque consiste en suplantar la identidad de la máquina de
una persona, a través de sustitución de datos. Por lo general se realiza
cuando se crea la conexión entre dos máquinas y una tercera ingresa en
medio de la comunicación, haciéndose pasar por la otra utilizando datos
como la IP de la máquina.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
Scam: cuando se regala dinero a cambio de más dinero, el atacante

ofrece extrañas recompensas, herencias de origen desconocido o premios
de otros países, los cuales para ser reclamados tienen que dar una suma
de dinero inferior a la que se recibirá a cambio. Por eso es importante
verificar la identidad de las personas que circulan esta información a
través de Internet.
Ingeniería social: el atacante busca suplantar personas y entidades para
obtener datos personales, por lo general, estos ataques se realizan
mediante llamadas telefónicas, mensajes de texto o falsos funcionarios.
Su objetivo no es otro que el de obtener datos importantes para después
manipularlos, analizarlos y utilizarlos en contra de la persona. Otros
métodos que buscan estafar a las personas son falsos correos que
prometen premios.
Troyano: haciendo referencia al famoso "caballo de Troya" de la Odisea,
este ataque informático consiste en instalar programas espías dentro del
computador afectado, para realizar diversas acciones en él como manejo
remoto, cambio de archivos, robo de información, captura de datos
personales, entre otras.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTEXTO
CUARTA REVOLUCIÓN INDUSTRIAL

La tensión principal por este tema, es una total independencia de la mano
de obra no cualificada, por lo que se estima que para el año 2030 el 47%
de estas ocupaciones desaparecerán.
• Internet de las cosas https://www.youtube.com/watch?v=-_tyaBHYvGA
• Inteligencia de datos
• The machine learning
• Nube inteligente https://www.youtube.com/watch?v=A5x-_OqU42U
• Inteligencia artificial https://www.youtube.com/watch?v=v4cKDzTyOek
• https://www.youtube.com/watch?v=Kf6iLFuxC14
• Big Data
• Realidad aumentada
• Robotica https://www.youtube.com/watch?v=O2-7n5MM-Yc
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entre agosto de 2016 a agosto de 2017 se presentaron 198 Millones de
ataques según Digiware, igualmente manifiesta que en promedio al dia se
presentan 542.465 ataques, generando perdidas con corte a 30 de agosto
de 2017 por 6.179 millones de Dólares al país.
Por su parte Kaspersky informo que en el primer semestre del año 2017,
se presentaron 677 Millones de amenazas en latino américa, es decir cada
hora se presentan 117 ataques y 33 por segundo.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PANORAMA
Under cyber attack

EY’s Global Information 2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
PANORAMA
2014 Security Pressures Report

Based on a survey COMMISSIONED by Trustwave
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
PANORAMA
Under cyber attack
EY’s Global Information 2013

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
PANORAMA
De igual forma se muestra alguna de la tecnología utilizada hoy

en día para minimizar los ataques a los sistemas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Para poder tener seguridad, debemos comprender el negocio
Según SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT, se requiere

comprender el negocio en sí, para poder repensarlo y evolucionar hacia nuevas fuentes
de utilidad y desequilibrio requerido para posicionar a nuestra empresa en el mercado.
1. ¿Quién es nuestro cliente objetivo?

2. ¿Cuál es la necesidad que debemos satisfacer?
3. ¿Qué debemos ofrecerle para satisfacer su necesidad?
4. ¿Cómo nuestro cliente tendrá acceso a nuestra oferta?
5. ¿Dónde debemos operar en la cadena?
6. ¿Cómo obtenemos las ganancias?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Para poder tener seguridad, debemos comprender el negocio
Jeimy J.Cano M. Manual CISO 2016 Plantea:
¿Que pasa cuando se materializan los riesgos?

¿Qué acciones se deben tomar cuando se materializan los riesgos?
¿La confianza lo es todo?, (Competencia y credibilidad)
Los ejecutivos de seguridad buscan reducir la incertidumbre propia de
un ambiente hostil, dinámico e impredecible que tiene los negocios
actuales.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Elementos para la protección de la información en su contexto
de negocio (Gartner)
1. Gobierno de la seguridad de la información

Definir y alinear la estrategia de la seguridad con la del
negocio. (Equipo Directivo)
2. Administración o gerencia de la seguridad informática.
Responsable de coordinar la implementación de la
estrategia en la organización y bajar la estrategia a lo
táctico (CISO, Director Tecnología, Jefes Planeación)
3.Operación de la seguridad de la información.
Implementación de controles y atención de incidentes
(Todos los ejecutores de proceso)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DEFINICIONES Y FUNDAMENTOS
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Enfoque basado en procesos-Directrices de la OCDE para la
seguridad de sistemas y redes de información Julio 2002
• Definir la política y objetivos de Implementar y operar la política, los

seguridad controles, procesos y procedimientos
• Establecer el alcance, procesos, del SGSI
procedimientos del SGSI
• Realizar los análisis de riesgos
• Seleccionar los controles Planificar Hacer
PHVA
Actuar Verificar
Emprender acciones correctivas y Evaluar, y, en donde sea aplicable,

preventivas con base en los medir el desempeño del proceso
resultados de la auditoria interna del contra la política y los objetivos de
SGSI y la revisión por la dirección, seguridad y la experiencia práctica, y
para lograr la mejora continua del reportar los resultados a la dirección,
SGSI para su revisión
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Aceptación del riesgo Decisión de asumir un riesgo
Análisis de riesgo Uso sistemático de la información para identificar las
fuentes y estimar el riesgo
Declaración de Documentos que describe los objetivos de control y los
aplicabilidad controles pertinentes y aplicables para el SGSI de la
organización.
Evaluación del riesgo Proceso de comparar el riesgo estimado contra criterios de
riesgo dados, para determinar la importancia del riesgo
Gestión del riesgo Actividades coordinadas para dirigir y controla una

organización en relación con el riesgo
Riesgo residual Nivel restante de riesgo después del tratamiento del riesgo
Tratamiento del riesgo Proceso de selección e implementación de medidas para
modificar el riesgo
Valoración del riesgo Proceso global de análisis y evaluación del riesgo
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Evento de seguridad de la Presencia identificada de una condición de un sistema,
información servicio o red, que indica una posible violación de la
política de seguridad de la información o falla de las
salvaguardas, o una situación desconocida previamente
que puede ser pertinente a la seguridad.
Incidente de seguridad Un evento o serie de eventos de seguridad de la
de la información información no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones
del negocio y amenazar la seguridad e la información.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DEFINICIÓN
!Qué es la Información!
La información es un activo que, al igual que otros

activos importantes del negocio, es esencial para una
organización de negocio y por lo tanto debe ser
protegido adecuadamente.
ISO/IEC 27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

!QUÉ ES INFORMACIÓN, AQUELLA QUE ES¡
Creada
Almacenada Procesada
Recolectada
Transmitida Usada
Destruida Corrupta Perdida

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
!QUÉ ES INFORMACIÓN¡
Papel Audio
Discos Discos Opticos
Verbal Drives
Etc
Video
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

SEGURIDAD DE LA INFORMACIÓN
¿Qué incluye? tres dimensiones principales: la confidencialidad,

disponibilidad e integridad.
¿En qué consiste? en la aplicación y gestión de las medidas de
seguridad adecuadas que implica la consideración de una
amplia gama de amenazas , con el fin de garantizar el éxito
comercial sostenido y la continuidad, y la minimización de
los impactos de los incidentes de seguridad de la información.
¿Cómo se obtiene? a través de la implementación de los
controles, en un proceso de gestión de riesgo elegido y
administrado mediante un SGSI Se espera que los controles de
seguridad de la información puedan integrarse a la perfección
con los procesos de negocio de la organización.
ISO/IEC 27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
TIENE LOS SIGUIENTES ELEMENTOS
“ La seguridad de la organización es el resultado

de operaciones realizadas por personas y
soportadas por tecnología.”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
LAS PERSONAS
Deben Garantizar la seguridad de la información.
Deben concientizarse de la necesidad de gestionar la

seguridad de la información desde la propia Dirección
de la organización.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

LA TECNOLOGÍA
Es uno de los puntos que recibe mayor atención y

presupuesto cuando se implantan mecanismos de
seguridad de la información
La tecnología, sin un sistema global de gestión de la
seguridad, resulta ineficaz y produce una falsa
sensación de seguridad, defraudando las expectativas
generadas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

FUNDAMENTOS DE LA SEGURIDAD DE LA
INFORMACIÓN
LAS OPERACIONES
Deben soportar la seguridad que la organización requiere
a través de una serie de acciones diarias
Ejemplos de operaciones son:

• Evaluación de la seguridad en las medidas implantadas
mediante auditorias
• Análisis de Eventos e Incidentes
• Pruebas/Ejecución del Plan de Continuidad del negocio
• Pruebas/Ejecución del Plan de Recuperación ante desastres,

entre otros.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
ACTIVOS
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ACTIVOS DE INFORMACIÓN
“En relación con la seguridad de la información, se

refiere a cualquier información o elemento relacionado
con el tratamiento de la misma (sistemas, soportes,
edificios, personas...) que tenga valor para la
organización..”
http://www.iso27000.es/glosario.html
El activo más importante de unan

Organización es la Información
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
Los activos son elementos que la seguridad de la

información busca proteger.
Los activos poseen valor para las empresas y como

consecuencia de ello, necesitan recibir una protección
adecuada para que sus negocios no sean perjudicados.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Información
• Los elementos que contienen información registrada, en

medio electrónico o físico, dentro de los más importantes
tenemos:
documentos código de programación
informes reportes financieros
libros archivos de configuración
manuales planillas de sueldos de
empleados
correspondencias
plan de negocios de una
patentes empresa, etc.
información de
mercado
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
Software:
Este grupo de activos contiene todos los programas de
computadora que se utilizan para la automatización de
procesos, es decir, acceso, lectura, tránsito y almacenamiento
de la información. Tales como:
las aplicaciones comerciales
programas institucionales
sistemas operativos
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

La seguridad de la información busca evaluar la forma en que

se crean las aplicaciones
• cómo están colocadas a disposición de los usuarios
• la forma como son utilizadas por los usuarios y por otros

sistemas, para detectar y corregir problemas existentes en
la comunicación entre ellos.
Las aplicaciones deberán estar protegidas para que la

comunicación entre las bases de datos, otras aplicaciones y los
usuarios se operen de forma segura, atendiendo a los
principios básicos de la seguridad de la información.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ejemplos de este tipo de activos:

Sistemas operativos
(Unix, Windows, Linux, etc.)
Programas de correo electrónico
Bases de datos
Aplicaciones específicas
Sistemas de respaldo
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Hardware:
Estos activos representan toda la infraestructura
tecnológica que brinda soporte a la información durante su
uso, tránsito y almacenamiento.
Las computadoras
Los servidores
Los equipos portátiles
Los medios de almacenamiento
Los equipos de conectividad, enrutadores, switchs y

cualquier otro elemento de una red de computadoras por
donde transita ó almacena la información.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
Organización:
En este grupo se incluyen los aspectos que
componen la estructura física y organizativa de las
empresas.
Se refiere a la organización lógica y física que tiene

el personal dentro de la empresa en cuestión.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Como ejemplos de estructura organizativa:
• La estructura departamental y funcional
• El cuadro de asignación de funcionarios
• La distribución de funciones y los flujos de información de

la empresa
En lo que se refiere al ambiente físico, se consideran entre

otros:
• Salas y armarios donde están localizados los documentos,

fototeca, cintoteca, sala de servidores de archivos.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Los Activos de Información pueden ser:
Información
Documentos
Tecnología
Medios
Personas
Procesos
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Los Activos pueden ser clasificados como:
Secreto
Confidencial
Pública
Restringido
Otros
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

TALLER No 1 – 20 minutos.
Verificar la Norma ISO 27001, y

describir cuantos documentos
obligatorios son solicitados?
PRINCIPIOS FUNDAMENTALES DE SGSI
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PRINCIPIOS FUNDAMENTALES DE LA SI
Confidencialidad
El principio de la confidencialidad de la información tiene
como propósito el asegurar que sólo la persona correcta
acceda a la información que se quiere distribuir.
Cuanto más valiosa sea la información, mayor debe ser su grado

de confidencialidad, y cuanto mayor sea el grado de
confidencialidad, mayor será el nivel de seguridad necesario de
la estructura tecnológica y humana que participa de este
proceso.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

La Pérdida de confidencialidad significa pérdida de

secreto.
Si una información (W) es confidencial, es secreta, se

deberá guardar con seguridad y no ser divulgada para
personas no autorizadas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Pensemos en el caso de una tarjeta de crédito, el número de la

tarjeta sólo podrá ser conocido por su dueño y por el vendedor de la
tienda donde lo usaW.
Si este número es descubierto por alguien malintencionado, como en

los casos denunciados en los diarios de delitos en Internet, el daño de
esa pérdida de confidencialidad podrá ser muy elevado, pues este
número podrá ser usado por alguien para hacer compras vía Internet,
trayendo pérdidas financieras y un gran dolor de cabeza para el
propietario de la tarjeta.
Lo mismo sucede en el caso de uso indebido de contraseñas de

acceso a sistemas de bancos, por ejemplo. Miles de dólares se roban
diariamente por la acción de criminales virtuales que se dedican a
invadir sistemas para quebrar la confidencialidad de las personas y
empresas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
Garantizar la confidencialidad es uno de los factores

determinantes para la seguridad y una de las tareas más
difíciles de implementar, pues involucra a todos los
elementos que forman parte de la comunicación de la
información, desde su emisor, el camino que ella recorre,
hasta su receptor.
Emisor Medio Receptor
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entre los ataques o amenazas más frecuentes

a la confidencialidad:
Sniffers: Software que captura el tráfico que circula por

una RED. Toda información que no sea cifrada será
conocida por los atacantes.
Acceso No autorizado a Archivos: personas no
autorizadas ingresan a los datos.
Acceso Remoto No Autorizado a Bases de datos: errores
de configuración en el control de acceso.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Contramedidas para Confidencialidad:

Cifrado de Datos: Garantiza que la información no sea legible
para individuos, entidades o procesos no autorizados. Algunos
algoritmos de clave secreta usados son DES, Triple DES, RC4,
RC5, AES, para llave publica RSA
Autenticación de usuarios: Asegura la identidad en la
comunicación ó sesión de trabajo, mediante contraseñas, biometría,
, tarjetas inteligentes ó banda magnética.
Autorización de Usuarios: Una vez que la identidad del sujeto ha
sido correctamente verificada, debe dársele privilegios para efectuar
ciertas operaciones con los datos, objetos y recursos protegidos en
lectura, modificación, creación, impresión. Las listas de control de
acceso – ACL sobre archivos del sistemas NTFS.
Clasificación de datos: No todos los datos poseen los mismos
niveles de privacidad, sensibilidad ó confidencialidad.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
Integridad
La integridad consiste en garantizar que los datos,
objetos y recursos no han sido alterados en su
contenido y son fiables
Una información se podrá alterar tanto en su contenido

como en el ambiente que la soportas.
Buscar la integridad es asegurarse que sólo las personas
autorizadas puedan hacer modificaciones en la forma y
contenido de una información, así como en el ambiente en
el cual la misma es almacenada y por el cual transita.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
“Una información íntegra es aquella que no ha sido

alterada de forma indebida o no autorizada.”
Para que la información se pueda utilizar, deberá estar

íntegra.
Cuando ocurre una alteración no autorizada de la

información en un documento, quiere decir que el
documento ha perdido su integridad.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ataques más frecuentes Integridad
Modificación de los datos durante el almacenamiento,

transporte ó procesamiento por personal no autorizado.
Los virus ó puertas traseras, caballos de troya
Errores en software.
Fallos humanos involuntarios.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

¿Qué tan importante es para usted que la información

de sueldos en su empresa no se vea alterada por
accidente o delito?
¿Sabe usted si la información sobre proyectos de

negocio confidenciales está segura y libre de poder ser
alterada por terceros?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Contramedidas para Integridad:
Cifrado de Datos: Si los datos han sido cifrados, cualquier

manipulación sobre ellos será detectada inmediatamente al
descifrarlos.
Autenticación de usuarios: Permite discriminar quien es un
usuario autorizado y quien no.
Autorización de Usuarios: A usuario autenticados se les permite el
acceso, pero dependiendo de su nivel o no modificaciones sobre los
datos.
Sistemas de Detección de intrusos: Los IDS detectan la
actuación de un intruso dentro del sistema informático, alertando al
administrador de su presencia, normalmente detectan alteración no
autorizada de datos.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DISPONIBILIDAD
Principio asociado a la adecuada estructuración de un
ambiente tecnológico y humano que permita la continuidad
de las actividades de la organización, sin permitir la
aparición de impactos negativos debidos a la utilización de
la información.
La información deberá ser accesible en forma segura para que

se pueda usar en el momento en que se solicita y que se
garantice su integridad y confidencialidad .
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Se refiere a la disponibilidad de la información y de toda

la estructura física y tecnológica que permite el acceso,
tránsito y almacenamiento.
La disponibilidad de la información permite que:

• Se utilice cuando sea necesario
• Que esté al alcance de sus usuarios y destinatarios
• Se pueda acceder en el momento adecuado
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ataques más frecuentes Disponibilidad

Denegación de Servicios - Dos, estos ataques pueden
ser remotamente. Los ataques más comunes son:
LAND, Smurf, Inundación SYN, Teardrop, fragmentación
IP, inundación PING-
Destrucción de archivos: Virus específicamente.
Recomendación sacar Backup.
Cortes en las líneas de Comunicación: se trata de
interrumpir la operación de una empresa en particular
con el exterior.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Contramedidas para Disponibilidad

Control de Acceso: Control de acceso a todos los
sistemas, medios físicos y lógicos.
Monitorización: del trafico para dimensionar adecuadamente
los servidores y recursos de Red-
Cortafuegos y routers: para evitar ataques DoS
Sistemas Redundantes: en aplicaciones criticas y el
mantenimiento de copias de respaldo.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Confidencialidad
Disponibilidad Integridad
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AMENAZAS
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AMENAZAS
Es la posibilidad de un intento deliberado y no autorizado de:
a) Acceder a información
b) Manipular información
c) Convertir un sistema en no-confiable o inutilizable.
“Causa potencial de un incidente no deseado, que puede

resultar en daño a un sistema u organización”
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
AMENAZAS
“Las amenazas son agentes capaces de explotar los

fallos de seguridad que denominamos puntos débiles y,
como consecuencia de ello, causar pérdidas o daños a
los activos de una empresa, afectando sus negocios.”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AMENAZAS
Se considera una amenaza a cualquier evento accidental o

intencionado que pueda ocasionar algún daño en un
sistema informático ó de información, provocando pérdidas
materiales, financieras o de otro tipo a la organización.
Amenazas naturales: inundación, incendio, tormenta, fallo

eléctrico, explosión, etc.
Amenazas de agentes externos: virus informáticos, ataques de
una organización criminal, sabotajes terroristas, disturbios y
conflictos sociales, intrusos en la red, robos, estafas, etc.
Amenazas de agentes internos: empleados descuidados con una
formación inadecuada o descontentos, errores en la utilización de
las herramientas y recursos del sistema, etc.
¿Las amenazas pueden ser consideradas Problemas Externos e

internos que afectan la capacidad de tener éxito?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
VULNERABILIDADES “PUNTOS DEBILES”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

VULNERABILIDADES
• Punto en el cual un Activo de

información ó recurso es
susceptible de ataque.
Vulnerabilidad • Cuantas más vulnerabilidades

posee un sistema de seguridad
de información tanto será mayor
la posibilidad de que sea
atacado con éxito.
•“Debilidad de un activo o de control (2.16) que puede

ser explotada por una o más amenazas”
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
VULNERABILIDADES
Vulnerabilidades físicas
Los puntos débiles de orden físico son aquellos presentes en los
ambientes en los cuales la información se está Almacenando.
Vulnerabilidades naturales
Los puntos débiles naturales son aquellos relacionados con las
condiciones de la naturaleza que puedan poner en riesgo la
información.
Muchas veces, la humedad, el polvo y la contaminación podrán
causar daños a los activos.
La probabilidad de estar expuestos a las amenazas naturales es
determinante en la elección y montaje de cualquier ambiente. Se
deberán tomar cuidados especiales, de acuerdo con el tipo de
amenaza natural que pueda ocurrir en una determinada región
geográfica.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
VULNERABILIDADES
Vulnerabilidades Medios de Almacenamiento

Los medios de almacenamiento son los soportes físicos
o magnéticos que se utilizan para almacenar la
información.
Entre los tipos de soporte o medios de almacenamiento
de la información que están expuestos a usos no
adecuados el contenido es vulnerable podemos citar:
• Disquetes
• CD-roms – DVD
• Cintas magnéticas
• Discos duros internos y externos.
• Registrado en papel.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

VULNERABILIDADES
Vulnerabilidades Comunicación
Abarca todo el tránsito de la información. Donde sea que
la información transite, ya sea vía cable, satélite, fibra
óptica u ondas de radio, debe existir seguridad.
El éxito en el tránsito de los datos es un aspecto crucial en

la implementación de la seguridad de la información:
• Correo electrónico
• Cloud
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

VULNERABILIDADES
Vulnerabilidades Comunicación
Intercambio de datos a través de medios de comunicación
donde se rompen barreras físicas tales como teléfono
(smartphone), Internet, fax, etc.
La información sea alterada en su estado original, afectando

su integridad.
La información sea capturada por usuarios no autorizada,

afectando su confidencialidad.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

VULNERABILIDADES
Vulnerabilidades Humanas
Los puntos débiles humanos también pueden ser intencionales o
no. muchas veces, los errores y accidentes que amenazan a la
seguridad de la información ocurren en ambientes institucionales.
La mayor vulnerabilidad es el desconocimiento de las medidas de
seguridad adecuadas para ser adoptadas por cada elemento
constituyente, principalmente los miembros internos de la empresa.
Puntos débiles humanos por su grado de frecuencia:

Falta de capacitación específica para la ejecución de las actividades
inherentes a las funciones de cada uno,
Falta de conciencia de seguridad para las actividades de rutina, los
errores, omisiones, insatisfacciones etc..
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

IMPACTO
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

IMPACTO
• El resultado de un
incidente de la seguridad
de la información.
Impacto
• El efecto de una amenaza
en la misión de una
organización y objetivos
de negocio
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

SGSI - ISMS
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

¿QUÉ ES ISMS - (SGSI)?
Information Security Management System Information

ISMS es un sistema de gestión como QMS (ISO 9001:2008) y
EMS (ISO 14001:2006) diseñado para proteger los activos de
información de la organización al nivel de seguridad
necesario mediante el establecimiento y mantenimiento de
un conjunto de políticas, procedimientos, controles y buenas
prácticas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

¿QUÉ ES ISMS - (SGSI)?
Un SGSI es un enfoque sistemático para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información de una organización para alcanzar
los objetivos de negocio. Se basa en una evaluación de
riesgos y niveles de aceptación de riesgo de la
organización diseñados para tratar y gestionar los riesgos de
manera efectiva.
ISO27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
BENEFICIOS DE LA SEGURIDAD DE LA
INFORMACIÓN
Ventaja competitiva
Rentabilidad
Cumplimiento Legal
Imagen
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

BENEFICIOS DE LA SI (CONTT.)
Proporciona una excelente lista de controles disponibles

Constituye una base sólida para la Seguridad de la
Información basado en Políticas de Seguridad.
Apoya el cumplimiento de
normavita/regulaciòn/requerimientos contractuales.
Demuestra tangiblemente las buenas prácticas adecuadas
• Para los clientes de negocios
• Para los clientes del usuario final
• A los auditores
• A los reguladores
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CAPITULO 3
ISO/IEC 27001:2013
¿QUE ES ISO/IEC 27001:2013?
“Proporcionar los requisitos para establecer,

implementar, mantener y mejorar continuamente un
Sistema de Gestión de Seguridad de la Información
(SGSI ). “
La adopción de un sistema de gestión de
seguridad de la información es una decisión
estratégica
Proporciona orientación estratégica y táctica
Reconoce que la seguridad de la información es una
cuestión de gestión
No técnico
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

HISTORIA DE LA NORMA
BS 7799 parte de publicación - febrero 1995

BS 7799 parte de publicación - febrero 1998
Publicado ISO 17799 - diciembre 2000
BS 7799 parte de publicación - mayo de 1999 y
modificado febrero 2001 Numeradas
BS 7799 Publicado - 5 de septiembre 2002
ISO/IEC 27002 in
2007
ISO/IEC 17799 revised – June 2005

ISO/IEC 27001 issued new – October 2005
ISO/IEC 27001 issued new – October 2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTENIDO DE ISO/IEC 27001:2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONTENIDO DE ISO/IEC 27001:2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DEFINICIONES BÁSICAS
PROCESO
“Conjunto de actividades mutuamente relacionadas o que

interactúan, las cuales transforman elementos de entrada
en resultados.”
Entrada Proceso Salida
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

SISTEMA
Conjunto de elementos mutuamente relacionados o que interactúan.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

GESTIÓN
Actividades coordinadas para dirigir y controlar una organización
•CONTROL
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

FAMILIA – NORMAS DE LA ISO 27000
•ISO/IEC 27000:2014 proporcionará una visión general del

marco normativo y un vocabulario común utilizado por todas las
normas de la serie.
•ISO/IEC 27001:2013. Especificaciones para la creación de un
sistema de gestión de la seguridad de la información (SGSI).
Publicada en 2005.
•ISO/IEC 27002:2013. Código de buenas prácticas para la
gestión de la seguridad de la información describe el conjunto de
objetivos de control y controles a utilizar en la construcción de un
SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada
en el 2007 como ISO 27002:2005). Publicada en 2005 y
renombrada en 2007.
•ISO/IEC 27003 proporcionará una guía de implantación de la
norma ISO/IEC 27001.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

NORMAS DE LA ISO 27000
ISO/IEC 27004:2009 describirá los criterios de medición y gestión para

lograr la mejora continua y la eficacia de los SGSI.
ISO/IEC 27005:2011 proporcionará criterios generales para la
realización de análisis y gestión de riesgos en materia de seguridad. Se
espera su publicación en breve.
ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las
entidades de certificación de los SGSI. Publicada en 2007.
ISO/IEC 27007:2011 Guía para auditar SGSI.
ISO/IEC TR 27008 proporcionará una guía para auditar los controles de
seguridad de la norma ISO 27002:2005.
ISO/IEC 27010 proporcionará una guía específica para el sector de las
comunicaciones y sistemas de interconexión de redes de industrias y
Administraciones, a través de un conjunto de normas más detalladas
que comenzarán a partir de la ISO/IEC 27011.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
NORMAS DE LA ISO 27000
ISO/IEC 27011 será una guía para la gestión de la seguridad en

telecomunicaciones (conocida también como X.1051).
ISO/IEC 27031 estará centrada en la continuidad de negocio.
ISO/IEC 27032 será una guía para la cyberseguridad.
ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad
en redes de comunicaciones.
ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de
aplicaciones.
ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000
aunque proporcionará una guía para el desarrollo de SGSI para el sector
específico de la salud.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
NIVEL DE SEGURIDAD
“El único sistema que es realmente seguro es aquel que está

apagado y desenchufado, encerrado en una caja forrada de
titanio, enterrado en un búnker de hormigón, y está rodeado de
gas nervioso y guardias armados muy bien pagos. Incluso
entonces, no me jugaría mi vida en ella .
Gene Spafford
Director, Computer Operations, audit, and Security Technology (COAST)
Purdue University
ISMS Internal Auditor Training Course-ISO/IEC 27001:2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ESTANDAR - ISO 27001:2013
“Estándar diseñado para proveer un modelo para las

Organizaciones que permita el establecer,
implementar, mantener y mejorar continuamente el
SGSI, la adopción del SGSI debe ser una decisión
estratégica de la organización W.”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

0. INTRODUCCIÓN
0.1 General
Es una adopción de Toma de decisiones estratégicas.
SGSI diseñado para la aplicación cualquier organizaciónes.
Estándar puede ser utilizado por las partes internas y

externas para evaluar la capacidad de satisfacer al cliente,
de reglamentación y los requisitos propios de la organización
Se implementa con el objetivo de dar confianza a las partes

interesadas respecto a la gestión adecuada de riesgos.
Notas son sólo para orientación o aclaraciones

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
0. INTRODUCCIÓN
0.2 Compatibilidad con otras normas de sistemas de

gestión.
Anexo SL de la norma ISO/IEC, Parte 1
Mantiene la compatibilidad con otras normas de sistemas

de gestión que han adoptado el anexo SL.
Útil para aquellas organizaciones que optan por operar

un sistema de gestión que cumple con los requisitos de
dos o más normas de sistemas de gestión.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ANEXO SL
Todas las normas tendrán la misma estructura común.

Guía para las partes interesadas en el mercado de la Normalización.
4 cláusulas informativas (0-3), y requerimientos (4-10).
0. Introducción
1. Alcance
2. Referencias Normativas
3. Términos y Definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación
10. Mejora
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
0. INTRODUCCIÓN
0.2 Compatibilidad con otros sistemas de gestión.

Norma es diseñada para ser compatible con otros
sistemas.
Está en consonancia con la norma ISO 9001:2008 e ISO

14000:2004 para mejorar la compatibilidad.
No se incluyen las necesidades de otros sistemas de

gestión tales como EMS, OHSM, o la gestión financiera.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. ALCANCE
Norma especifica los requisitos para SGSI:
Establecer, implementar, mantener, monitorear, y mejorar

continuamente un SGSI en el contexto de la
organización.
La evaluación y el tratamiento de los riesgos de

seguridad de información adaptados a las
necesidades de la organización.
El cumplimiento de la norma en sí misma no confiere inmunidad de las

obligaciones legales, normativas o contractuales.
ISMS Internal Auditor Training Course ISO/IEC 27001:213

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
1. ALCANCE
La exclusión de las cláusulas 4, 5, 6, 7, 8, 9 y 10 no

son aceptables cuando una organización solicite su
conformidad con esta norma.
Los requisitos establecidos en esta Norma Internacional

son genéricos y se pretende que sean aplicables a todas
las organizaciones, sin importar su tipo, tamaño o
naturaleza.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

2. REFERENCIA NORMATIVA
ISO / IEC 27000, Tecnología de la información - Técnicas

de seguridad - Sistemas de gestión de seguridad de la
información - Información general y vocabulario.
ISO 19011:2018 Directrices para la auditoría de calidad y

sistemas de gestión medioambiental, aunque no obligatorio,
se hace referencia en la Nota del de auditoría interna (Cl.6).
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. TERMINOS Y DEFINICIONES
ISO / IEC 27000, Tecnología de la información - Técnicas de

seguridad - Sistemas de gestión de seguridad de la
información - Información general y vocabulario.
Todas las definiciones necesarias para efectos prácticos ahora

disponibles en la norma ISO / IEC 27000:2014
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4. CONTEXTO DE LA ORGANIZACIÓN.
4.1. Comprender la organización y su contexto.
Determinar los problemas externos e internos que

afectan el logro del resultado deseado con el SGSI.
Establecimiento del contexto – ISO31000 5.3.1.

• Objetivos
• Parametros ext. e int. - GR
• Criterios y Alcance - GR
• Proceso de Gestión de Riesgos.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4.2. Comprensión de las necesidades y expectativas de

las partes interesadas
Partes interesadas:
•Relevates para el SGSI (Empleados, Terceros,

Socios, Gobierno entre otros),
•Requisitos (Legales, contractuales, normativos).
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONCEPTO GENERAL DE LAS PARTES
INTERESADAS
Accionistas
Organización
Clientes Empleados
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Por Asuntos de
Globalización (TLC)
Competencia Global
Exposición Global
Presiones sobre las Empresas

Competencia - Mercado
Legislación
Responsabilidad
Imagen Pública
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
LAS PARTES INTERESADAS Y LA PRESIÓN
DE LOS SECTORES PRODUCTIVOS
Clientes Compañías / Minoristas
Consumidores Trabajadores y sus
Gobiernos Comunidades
Comunidad Contratistas y subcontratistas
Internacional Los sindicatos
Comunidad Local Organizaciones no
Investigadores gubernamentales
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

•TALLER No 2 - 15 minutos.
Verificar la Norma ISO 27001:2013 y el

Anexo A, y describir cuantos DEBE –
DEBERA son solicitados ?
4.3 Determinación del alcance del sistema de gestión de

seguridad de la información.
Determinar los límites y aplicabilidad del SGSI:
a) Los problemas externos e internos mencionados en el 4,1;
b) Los requisitos indicados en el punto 4.2 ; y
c) Las interfaces y las dependencias entre las actividades
propias, y de terceros.
El alcance* deberá estar disponible como información
documentada.
4.4 Información del sistema de gestión de la seguridad.
Establecer, implementar, mantener y mejorar
continuamente el SGSI
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
5. LIDERAZGO
5.1 Liderazgo y compromiso.

•La alta dirección debe demostrar su liderazgo y compromiso a través de:
•Garantizar la política de seguridad de la información y de los objetivos

de SI.
•Garantizar la integración con los procesos de la organización;
•Velar por que los recursos necesarios están disponibles;
•Comunicar la importancia del SGSI.
•Garantizar los resultados previstos.
•La promoción de la mejora continua.
•El apoyo a otras funciones de gestión pertinentes para demostrar su

liderazgo , ya que se aplica a sus áreas de responsabilidad.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
5. LIDERAZGO
5.2 Política
Definir Política de Seguridad* en términos de las características del
negocio, la organización, su ubicación, sus activos, tecnología, que:
1. Incluya un marco de referencia para fijar objetivos y establezca un

sentido general de dirección y principios para acción con relación a la
S.I.
2. Tenga en cuenta los requisitos del negocio, los legales o

reglamentarios y las obligaciones de seguridad contractuales
3. Esté alineada con el contexto organizacional estratégico de gestión

del riesgo en el cual tendrá lugar el establecimiento y mantenimiento del
SGSI.
4. Establezca el compromiso de al alta dirección con cumplir los

requisitos aplicables y la mejora continua del SGSI
5. Haya sido aprobada y comunicada por la dirección

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
5. LIDERAZGO
5.3 Funciones de organización, responsabilidades y

autoridades.
“La alta dirección debe asegurarse de que las responsabilidades y
autoridades para las funciones relacionadas con la seguridad de
información son asignados y comunicados.
La alta dirección debe asignar la responsabilidad y autoridad para:
a) garantizar que el sistema de gestión de seguridad de la información

se ajusta a los requisitos de esta Norma Internacional ; y
b) informar sobre el desempeño del sistema de gestión de seguridad

de la información a la alta dirección .
NOTA: La alta dirección también puede asignar las responsabilidades y

autoridades para informar sobre el desempeño del SGSI dentro de la
organización.”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

6. PLANIFICACIÓN
6.1 Acciones para abordar los riesgos y oportunidades.

6.1.1 Consideraciones generales.
Considerar 4.1 y 4.2, determinar los riesgos y oportunidades orientados para:
•Lograr su resultado ( s ) previsto.
•Prevenir o reducir los efectos no deseados.
•Lograr la mejora continua.
La organización debe planificar :
•Las acciones para hacer frente a estos riesgos y oportunidades :
•Integrar y poner en práctica estas acciones en sus procesos del sistema de

gestión de seguridad de la información.
•evaluar la eficacia de estas acciones.
•COMO..!
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
6. PLANIFICACIÓN
6.1.2 Evaluación de riesgos de seguridad de la

información.
Definir un proceso de evaluación de riesgos. •Proceso ERSI (Evaluación de Riesgos de
Seguridad de la Información)
•“Definir Enfoque Organizacional para la
valoración del riesgo” •Periodicidad
•Resultados consistentes, Validos y
•Marco de Trabajo Comparables.
•Contexto Organizacional. •Riesgos asociados a la perdida de
Confidencialidad.
•Criterios:
•De riesgo. •Propietario del riesgo.
•De aceptación. •Consecuencias – Impacto.
•Niveles de Riesgo. •Probabilidad Realista.
Identificar Analizar Evaluar Compara

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
6. PLANIFICACIÓN
6.1.3 Tratamiento de riesgos de seguridad

de información
Seleccionar opciones de tratamiento

Eliminar
Determinar controles necesario
Transferir
Aceptar Diseño propio de
controles Vs Anexo SOA DECLARACIÓN APLICABILIDAD
Tratar !!
A. Justificar:
Inclusión
Exclusión
ISO31000
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DECLARACIÓN DE APLICABILIDAD (SOA):
‘describe los objetivos de control y los controles que son

pertinentes aplicables y NO aplicables a los SGSI de la
organización’
•NOTA: los objetivos de control y los controles se basan en los

resultados y conclusiones de la evaluación de riesgos y procesos de
tratamiento del riesgo, los requisitos legales o reglamentarias, las
obligaciones contractuales y los requisitos de negocio de la
organización para la Seguridad de la Información.
•( refer to Annexure A in ISO/IEC 27001:2013)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

6. PLANIFICACIÓN
6.2 Objetivos y planes para alcanzarlos

seguridad de la información
•COHERENTES •MEDIBLES Y
PGSI OPORTUNOS
•OBJETIVOS SI
•EVALUACIÓN Y
TRATAMIENTO •COMUNICADOS
DE RIESGOS
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

7. APOYO
7.1 Recursos. Establecimiento

Implementación
Mantenimiento
Mejora continua
7.2 Competencia.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

7. APOYO
7.3 Conciencia (Awareness)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

7. APOYO
7.4 Comunicación
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

NORMA ISO 27001
REQUISITOS DE
DOCUMENTACIÓN
7. APOYO
7.5 Información documentada

7.5.1 generales
La documentación debe incluir registros de las decisiones de la dirección
tomadas, asegurar que las acciones sean trazables a las decisiones y políticas de
la Gerencia y que los resultados sean reproducibles.
La documentación debe incluir:
• Declaraciones documentadas de la política y objetivos del SGSI
• El alcance del SGSI
• Procesos de evaluación de riesgos de seguridad de información.
• Proceso de tratamiento de riesgos de seguridad de información.
• Resultados de las evaluaciones de riesgos de seguridad de información.
• Prueba de los resultados del monitoreo y medición.
• Programa(s) de auditoría y los resultados de la auditoría
• Evidencia de la Competencia del personal.
• Procedimientos documentados que necesita la Organización
• Los registros exigidos por esta norma
• La declaración de aplicabilidad.
• Evidencia de los resultados de las revisiones por la dirección
• NC & AC.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
7. APOYO
7.5.2 Creación y actualización.

7.5.3 Control de la información documentada.
Todos los documentos requeridos por el ISMS serán protegidos y

controlados. Un procedimiento documentado deberá establecer las
acciones de administración necesarias para:
a)Aprobar documentos y prioridades en cuanto a su suficiencia antes

de su publicación.
b) Revisiones, actualizaciones y reprobaciones de documentos.
c) Asegurar que los cambios y las revisiones de documentos sean
identificados.
d) Asegurar que las últimas versiones de los documentos aplicables
estén disponibles y listas para ser usadas.
e) Asegurar que los documentos permanezcan legibles y fácilmente
identificables.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

7. APOYO
7.5.2 Creación y actualización.

7.5.3 Control de la información documentada.
f) Asegurar que los documentos estén disponibles para quien los necesite
y que se apliquen los procedimientos pertinentes , de acuerdo con su
clasificación, para su transferencia, almacenamiento y disposición final.
g) Asegurar que los documentos de origen externo estén identificados.
h) Asegurar el control de la distribución de documentos.
i) Prevenir el empleo no deseado de documentos obsoletos.

j) y aplicar una clara identificación para cualquier propósito.
El acceso implica una decisión sobre el permiso para ver la información

documentada solamente, o el permiso y la autoridad para ver y cambiar
la información documentada, etc
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
8. FUNCIONAMIENTO
8.1 Planificación y control operacional.
• 6.1
Planificar • Planes alineados a los objetivos de
seguridad y Negocio.
• 6.2
Ejecutar
• Dentro de los procesos del negocio.
• Información documentada
Controlar
• Control de Cambios
• Procesos Externalizados.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
8. FUNCIONAMIENTO
8.2 Evaluación de riesgos de Seguridad de la información .

8.3 Información de tratamiento de riesgos de seguridad.
• 6.1.2
•Evaluación de
• Planificadas.
Riegos
• Modificaciones importantes o se producen.
• 6.1.3
•Tratamiento de riesgos
• Plan de tratamiento.
•Controlar • Información documentada
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

9. LA EVALUACIÓN DEL DESEMPEÑO
9.1. Seguimiento, medición, análisis y evaluación.

• Procesos.
•Que se mide y que
• Controles.
se analizará ?
• Modificaciones importantes o se producen.
• Métodos – Seguimiento, análisis y evaluación

•Como?
• Producir resultados comparables.
•Cuando se
analizarán y • Resultados
evaluaran?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
9.2 La auditoría interna.

Realizar Auditoria a intervalos planificados, para determinar si los objetivos
de control, controles, procesos y procedimientos de su SGSI.
a. Cumplen los requisitos de la presente norma y de la legislación o

reglamentaciones
b. Cumplen con los requisitos identificados de seguridad de la información
c. Están implantados y se mantienen eficazmente y
d. Tienen un desempeño acorde con lo esperado
Se debe planificar un programa de auditorias tomando en cuenta el
estado e importancia de los procesos y las áreas que se van a auditar así
como los resultados de la auditorias previas.
Se debe definir los criterios, el alcance, la frecuencia y los métodos de la
auditorías.
• NOTA. La norma NTC-ISO 19011-2018, Directrices para la auditoría de los
sistemas de gestión de la calidad y/o ambiente puede brindar orientación útil para
la realización de auditorías internas del SGSI
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
9.2 La auditoría interna.
• Seleccionar los auditores internos, las auditorias deben

asegurar la objetividad e imparcialidad del proceso de
auditoria. Los auditores no deben auditar su propio trabajo.
• Definir procedimiento documentado las responsabilidades
para el planeamiento y la conducción de las actividades de
auditoría, los informes resultantes y el mantenimiento de
los registros.
• “Conservar la información documentada como prueba del programa ( s ) de
auditoría y los resultados de la auditoría”.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

• 9.3 Revisión por la dirección.
ENTRADAS
Resultados de las auditorías y revisiones

previas del SGSI
Cambios en los problemas externos e

inTernos relevantes.
Técnicas, productos o procedimientos que se

pueden usar en la organización para mejorar
el desempeño y eficacia del SGSI;
Estado y tendencias de las no conformidades

y acciones correctivas y preventiva
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
ENTRADAS
Resultados de la evaluación del riesgo y el

estado del plan de tratamiento de riesgos.
Resultados de las mediciones de eficacia

acciones de seguimiento resultantes de
revisiones anteriores
acciones de seguimiento resultantes de

revisiones anteriores por la direcciòn;por la
direcciòn;
cualquier cambio que pueda afectar el SGSI; y

recomendaciones al SGSI.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

RESULTADOS REVISION
Los resultados de la revisión por la dirección

deben incluir cualquier decisión y acción
relacionada con:
a) las oportunidades de mejora continua;
b) la actualización de la evaluación de
riesgos y del plan de tratamiento de riesgos.
La organización conservará información

documentada como evidencia de los resultados de
las revisiones por la dirección
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
•9.3 Revisión por la dirección.
RESULTADOS
REVISION
La modificación de los
procedimientos y controles
que afectan la seguridad de la
información, según sea
necesario, para responder a
eventos internos o externos
que pueden tener impacto en
el SGSI, incluidos cambios a:
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
10. MEJORAMIENTO
10.1. No conformidad y acciones correctivas

10.2 Mejora continua.
Reaccionar a la no conformidad ,
•Tomar medidas para controlar y corregirlo, hacer frente a las consecuencias.
•evaluar la necesidad de acciones para eliminar las causas de no conformidad.
•1 ) La revisión de la no conformidad;
•2 ) determinar las causas
•3 ) determinar si existen incumplimientos similares o podrían producirse;
•4 ) poner en práctica las medidas oportunas;
•5 ) revisar la eficacia de las medidas correctivas adoptadas; y
•6 ) realizar cambios en el sistema de gestión de seguridad de la información, si es
necesario.
•Las acciones correctivas deben ser apropiadas a los efectos de las no
conformidades encontradas.
•La organización conservará información documentada como evidencia de la naturaleza de
las no conformidades y de cualquier acción tomada posteriormente, y los resultados de
cualquier acción correctiva.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
¿CÓMO IMPLEMENTAR ISO27001:2013 CON
LO ESTUDIADO?
•Definir el
Alcance •Definir la
•(Contexto y Partes Politica
Interesadas)
•Evaluación de •Tratamineto de
Riesgos de SI Riesgos
•Declaración de
Aplicabilidad
•ISMS Internal Auditor Training Course ISO/IEC 27001:2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CAPITULO 4
ISO/IEC 27001:2013
(ANEXO A)
TALLER
Describir cuantos
DEBE – DEBERA tiene la norma
ISO/IEC 27001:2013 (ANEXO A)
CONTENIDO ANEXO A
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Para más detalles referirse al Anexo A
de la Norma ISO/IEC 27001:2013
Anexo A se deriva de la Norma ISO/IEC 17799:2005.
Consta de:
14 Dominios: 34 Objetivos de Control , 114 Controles
Si algunos de los controles mencionados en la anexo A no puede no ser

aplicable, se debe demostrar. La organización se permite excluir sujetos al
cumplimiento de requisito según el apartado 6.1.3.
Podría haber más controles para un tipo particular de organización.

La organización está autorizada a definir y añadirlos.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Veamos:
A.5 Política de seguridad.
A.6 Organización de la seguridad de la información.
A.7 Recursos Humanos Seguridad.
A.8 Gestión de Activos.
A.9 Control de Acceso.
Ejercicio oral:
¿Qué controles de la organización no puede excluir y por qué?
¿Qué se puede excluir la organización de controles y por qué?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Veamos:
A.10 Criptografía.
A.11 Seguridad Física y ambiental.
A.12 Seguridad en las Operaciones.
A.13 Transferencia de información.
A.14 Adquisición de Sistemas, desarrollo y mantenimiento.
Ejercicio oral:
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Veamos:
A.15 Gestión con proveedores.
A.16 Gestión de la información de incidentes de seguridad.
A.17 Gestión de la continuidad del negocio.
A.18 Cumplimiento.
Ejercicio oral:
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

TALLER
Referenciación de requisitos y
dominios por proceso en su
organización
TALLER # 4
Diseño de 5 indicadores claves

del SGSI, con los requerimientos
de medición establecidos en la
ISO27001:2013.
REGLAS DE SEGURIDAD
LAS DIEZ LEYES DE SEGURIDAD
•Si el atacante le puede persuadir de ejecutar su

•1 programa en su PC, dejará de ser su PC
•Si un atacante puede alterar el sistema operativo en

•2 su PC, dejará de ser su PC
•Si un atacante tiene acceso físico sin restricciones a

•3 su PC, dejará de ser su PC
•Si permite que un atacante cargue programas a su

•4 sitio Web, ya no es su sitio Web
•Las contraseñas débiles prevalecen sobre una

•5 seguridad fuerte
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

LAS DIEZ LEYES DE SEGURIDAD
•6 •Un PC sólo es seguro si el administrador es confiable
•Los datos encriptados son sólo tan seguros

•7 como la clave para descifrarlos
•El
software antivirus sin actualizar es apenas
•8 mejor que no tener uno
•El anonimato absoluto no es práctico en la vida

•9 real ni en el Web
•10 •La tecnología no es una panacea
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ADMINISTRACION DE RIESGO
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

RIESGOS SEGÚN ISO31000/27000
Efecto de la incertidumbre en los objetivos”

NOTA 1 Un efecto es una desviación de la esperada - +/-.
NOTA 2 Los objetivos pueden tener diferentes aspectos y se pueden aplicar a
diferentes en toda la organización.
NOTA 3 El riesgo se caracteriza a menudo por referencia de los eventos
potenciales y consecuencias, o una combinación de éstos.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las
consecuencias de un evento (incluidos los cambios en las circunstancias) y la
probabilidad asociada de ocurrencia.
NOTA 5 La incertidumbre es el estado, aunque sea parcial, de la carencia de
información relacionada con, la comprensión o el conocimiento de un caso, su
consecuencia, o probabilidad.
*Nota 6 riesgo para la seguridad de información se asocia con la posibilidad de
que las amenazas explotarán vulnerabilidades de un activo de información o un
grupo de activos de información y por lo tanto causar daño a una organización.”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
PROCESO DE EVALUACIÓN DE RIESGOS
El riesgo es la combinación de la probabilidad (probabilidad)

y la gravedad (valor de activos) de una amenaza especifica
a materializarse.
‘Proceso general de identificación, análisis y evaluación

de los riesgos’
ISO/IEC 27001:2013
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PROCESO DE IMPLEMENTACIÓN
ISO 31000 : 2009

I&F / TRG / IT27 - 05 - REV 02 - FEB 14
PROCESO DE IMPLEMENTACIÓN
I&F / TRG / IT27 - 05 - REV 02 - FEB 14 ISO 31000 : 2009

El proceso para la identificación y análisis de riesgos

debería incluir:
Las actividades rutinarias y no rutinarias
Actividades de todo el personal que tenga acceso a los

lugares de trabajo incluidos los contratistas y los visitantes.
Servicios en el lugar de trabajo, ya sea proporcionado por

la organización u otros.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Considere:
Las operaciones normales, y operaciones
planificadas.
Las operaciones anormales de puesta en marcha,
parada y mantenimiento.
De los accidentes o situaciones de emergencia.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CADA TRATAMIENTO SERÀ EVALUADO PARA
DETRMINAR EL NIVEL DE RIESGO ASOCIADO
Valor del
Activo Tratam iento Activo Vulnerabilidad RIESGO Clasificaciòn
A xyz 3 5 15 2
B abc 2 6 12 3
C def 1 4 4 5
D pqr 4 2 8 4
E stu 5 5 25 1
F acd 3 1 3 6
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

¿QUÉ RIESGOS SON INTOLERABLES?
Legal o de otro tipo
Opiniones de los interesados
La política (s) de la empresa
¿Superar un cierto umbral de tolerancia de otros

Riesgos?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

¿QUÉ RIESGOS SON INTOLERABLES?
Probability
Es el riesgo aceptable?
Improbable Probable Muy Probable
Leve Trivial Tolerable Moderado
Gravedad Medio Tolerable Moderado Substantial
Severo Moderate Substancial Extremo
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CLASES DE CONTROLES
•Estos controles están diseñados

para corregir los errores, las
Controles de Recuperación omisiones y los usos e intrusiones
no autorizados una vez que éstos
sean detectados.
Estos controles existen para

Controles Detectivos detectar y para reportar cuando
ocurran errores, omisiones y el uso
o el ingreso no autorizado.
Estos controles están diseñados

Controles Preventivos para impedir o para restringir un
error, omisión o una intrusión no
autorizada.
Son acciones o medidas

Controles Proactivos adoptadas para asegurar la
detección temprana o responder
en forma anticipada a posibles
vulnerabilidades.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
TALLER # 3
Evaluación de Riesgos Básicos
CAPITULO 5
AUDITORES INTERNOS
AUDITORÍAS INTERNAS A SGSI
• INTRODUCCIÓN A LAS AUDITORÍAS

• GESTIÓN DE PROGRAMAS DE AUDITORÍAS
• ACTIVIDADES DE LA AUDITORÍA
• COMPETENCIA DE LOS AUDITORES
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AUDITORÍAS DEL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
AUDITORÍAS
“UN PROCESO SISTEMATICO, INDEPENDIENTE Y
DOCUMENTADO PARA OBTENER EVIDENCIA DE
AUDITORIA Y EVALUARLA OBJETIVAMENTE CON EL
FIN DE DETERMINAR LA MEDIDA EN LA CUAL SE
CUMPLEN LOS CRITERIOS DE LA AUDITORIA”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

INCIDENTES (INCIDENTS)
“Cualquier evento que no es parte de la

operación estándar de un servicio y que causa o
puede causar una reducción en la calidad del
servicio.”
• Ejemplo Umbrales de avisos
• Eventos la operación de un software
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CRITERIOS DE LA AUDITORÍA
Conjunto de políticas,
procedimientos o requisitos
utilizados como referencia.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EVIDENCIA DE LA AUDITORÍA
Registros, declaraciones de hechos o
cualquier información que son pertinentes
para los criterios de auditoría y son
verificables.
HALLAZGOS DE LA AUDITORÍA
Resultados de la evaluación de la evidencia de
la auditoría recopilada frente a los criterios de
la auditoría.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CONCLUSIONES DE LA AUDITORÍA
Resultado de una auditoría que proporciona el

equipo auditor tras considerar los objetivos de la
auditoría y todos los hallazgos de la auditoría.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CLIENTE DE LA AUDITORÍA
Organización o persona que solicita una

auditoría.
AUDITOR
Persona con la competencia para llevar a
cabo una auditoría.
AUDITADO
Organización que es auditada.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PROGRAMA DE LA AUDITORÍA
Conjunto de una o más auditorías planificadas
para un período de tiempo determinado y
dirigidas hacia un propósito específico.
PLAN DE AUDITORÍA
Descripción de las actividades en el sitio y
arreglos para una auditoría.
ALCANCE DE LA AUDITORÍA
Extensión y límites de una auditoría.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
EQUIPO AUDITOR
Uno o más auditores que llevan a cabo una

auditoría.
EXPERTO TÉCNICO
Persona que aporta experiencia o conocimientos
específicos con respecto a un campo de actividad
determinado que se vaya a auditar.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AUDITORÍA DE PRIMERA PARTE
Llevadas a cabo por la organización con fines

internos y pueden constituir la base para la auto-
declaración de conformidad de una organización.
AUDITORÍA INTERNA !
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AUDITORÍA DE SEGUNDA PARTE

Llevadas a cabo por los clientes de una organización
o por otras personas que actúen en nombre del
cliente, provee confianza en la organización
proveedora en situaciones contractuales.
AUDITORÍA DE TERCERA PARTE

Llevadas a cabo por organizaciones externas
Independientes que proporcionen servicios de
auditoria. Dichas organizaciones acreditadas,
proporcionan la certificación o registro de conformidad
con los requisitos contenidos en normas tales como
ISO 9001, ISO 27001, ISO 14001, etc.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
AUDITORÍA DE DOCUMENTACIÓN
Determina hasta qué punto el sistema de gestión
documentado, representado por el Manual de
Seguridad de la Información y los procedimientos
asociados, satisfacen los requisitos de la norma
adoptada.
AUDITORÍA DE CUMPLIMIENTO
Establece hasta qué punto el sistema de gestión
documentado está implantado y es tomado en cuenta
por el personal de la organización.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

NORMAS DE AUDITORÍA
Buenas guías para la planeación/ejecución de

auditorías – No mandatorios.
ISO 19011:
“GUÍA PARA LA AUDITORIA DE SISTEMAS DE GESTIÓN DE
CALIDAD Y/O AMBIENTAL”
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PRINCIPIOS DE LA AUDITORÍA
RELACIONADOS CON LOS AUDITORES:

– Conducta ética -fundamento del profesionalismo:
Confianza, integridad, confidencialidad y
discreción.
– Presentación justa - Informar verazmente y con
exactitud:
Incluyendo los obstáculos significativos
encontrados durante la auditoria, los aspectos no
resueltos o las opiniones divergentes entre el
equipo auditor y el auditado
– Esmero profesional: Diligencia y juicio.
Un prerrequisito es poseer la competencia
necesaria.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
RELACIONADOS CON EL PROCESO DE AUDITORÍA

Independencia - La base de la imparcialidad y
objetividad de las conclusiones de la auditoria:
Los auditores son independientes de la actividad
auditada, no están parcializados y no tienen
conflictos de intereses. Los auditores mantienen
un estado mental objetivo, para asegurar que los
hallazgos y conclusiones se basarán solamente en
evidencias.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

RELACIONADOS CON EL PROCESO DE AUDITORIA:

Evidencia; Base racional para llegar a las
conclusiones de auditoria confiables y reproducibles:
La evidencia de la auditoria es verificable. Se basa en
muestras de información disponible, ya que una
auditoria se realiza durante un período de tiempo
limitado y con recursos limitados.
El uso apropiado del muestreo está muy relacionado
con la confianza que se puede tener en las
conclusiones de las auditorías.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

DIRECTRICES DE AUDITORÍA
La norma ISO 19011, ha sido preparada

conjuntamente por el Comité Técnico ISO/TC
176, Gestión y Aseguramiento de la Calidad, el
Subcomité 3, Tecnologías de Apoyo y el
Comité Técnico ISO/TC 207, Gestión
ambiental, el Subcomité 2, Auditoría Ambiental
e Investigaciones Ambientales Relacionadas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

La norma ISO 19011, ha sido preparada

conjuntamente por el Comité Técnico ISO/TC
176, Gestión y Aseguramiento de la Calidad, el
Subcomité 3, Tecnologías de Apoyo y el
Comité Técnico ISO/TC 207, Gestión
ambiental, el Subcomité 2, Auditoría Ambiental
e Investigaciones Ambientales Relacionadas.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Principios de auditoría
5. Gestión de un programa de auditoría
6. Actividades de la Auditoría
7. Competencia y evaluación de los auditores
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AUDITORÍA DE CALIDAD
Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoría y evaluarías de manera objetiva con el fin de determinar la extensión en
que se cumplen los criterios de auditoría
AUDITOR DE CALIDAD
Persona con la competencia para llevar a cabo una auditoría .
CRITERIOS DE LA AUDITORÍA
Conjunto de políticas, procedimientos 0 requisitos utilizados como referencia.
EVIDENCIA DE LA AUDITORÍA
Registros, declaraciones de hechos o cualquier otra información que son
pertinentes para los criterios de auditoria y que son verificables.
HALLAZGOS DE LA AUDITORÍA
Resultados de la evaluación de la evidencia de la auditoría recogida frente a los
criterios de la auditoría
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PRINCIPIOS DE AUDITORÍA
• Conducta ética: confianza, Independencia: imparcialidad

integridad, confidencialidad y de la auditoría y la objetividad
discreción. de las conclusiones de la
• Presentación ecuánime: auditoría.
obligación de informar con Enfoque basado en evidencia:

veracidad y exactitud. método racional para alcanzar
• Debido cuidado profesional: conclusiones de la auditoria

la aplicación de la diligencia y fiables y reproducibles en un
juicio al auditar. proceso de auditoría.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CLASES DE AUDITORÍA
• PRIMERA PARTE
¿Quién? • SEGUNDA PARTE
• TERCERA PARTE
• INTERNA
• EXTERNA
• SUFICIENCIA
¿Qué se audita? • CUMPLIMIENTO
• PRODUCTO/
PROCESO/PROYECTO
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ETAPAS DE AUDITORÍA
1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. PLANEACIÓN DE LA AUDITORÍA
¿CÓMO PLANEAR AUDITORÍAS INTERNAS?
Considere:
La importancia de la actividad
Estado de la actividad
Resultado de auditorías previas
Disponibilidad de trabajadores
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. PLANEACIÓN DE LA AUDITORÍA
Objetivos y alcance de la auditoría

Identificación de las personas que tengan responsabilidades
directas con respecto a los objetivos y alcance.
Identificación de los documentos de referencia
(tales como la norma aplicable del sistema de calidad y el
procedimiento o instructivo del auditado).
Identificación de los miembros del equipo de auditoría
Designación del líder del equipo auditor
Fecha y lugar donde va a ser realizada la auditoría
Hora y duración esperados para cada actividad principal
de la auditoría.
Distribución del informe de la auditoría y la fecha esperada
de publicación.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EJEMPLO DE PLAN DE AUDITORIAS
PLAN DE AUDITORIA
Organización: Representante de la dirección:
Objetivo de auditoría: Idioma(s) de la

auditoría:
Alcance de la auditoría:
Criterios de auditoría: Documentos de referencia:
Auditor líder: Equipo auditor: Consideraciones de

logística:
Fecha Hora Actividad/área Elemento (s) Auditor Responsable

Aplicable (s) auditado
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

2. PREPARACIÓN DE AUDITORÍA
Documentos de trabajo
Son todos los documentos requeridos para facilitar

las investigaciones del auditor y para documentar y
presentar los resultados, estos documentos pueden
ser:
Procedimientos de auditoría
Listas de verificación
Reportes de No Conformidad
Actas de Reunión
Informes de auditoría
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

El auditor debe prepararse para:

• Seguir los procesos de un extremo hasta el otro, verificando la
efectividad del control.
• No limitarse a determinar la conformidad de las actividades.
Evaluar si los procesos son capaces y producen los resultados
deseados.
El auditor debe evaluar los procesos y el ciclo de gestión

de mejora continua:
• Programas de mejora se cumplen? recursos? adecuados?
• Mediciones permiten evaluar si se alcanzan las mejoras?
• Si no se alcanzan los objetivos se toman acciones correctivas ?
• Mecanismos de mejora son sistemáticos ?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

HERRAMIENTA PARA
RELACIONAR LOS
RESULTADOS Y
LISTAS AYUDAR A HACER UNA
SÍNTESIS
DE CONTENIDO DEPENDE
VERIFICACIÓN DE LA SITUACIÓN A
EXAMINAR
AYUDA A PREPARAR LA
ENTREVISTA
PERMITE
ESTRUCTURAR LA
AUDITORÍA
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PROPOSITOS DE LA LISTA DE VERIFICACIÓN:

Ayudar a la memoria
Asegurar que se cubren los aspectos y puntos
de control
Asegurar que la interacción entre procesos sea
cubierta
Asegurar profundidad y continuidad de la
auditoría
Ayudar al manejo del tiempo
Organizar la toma de notas
Es parte del reporte de auditoría
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
MAL USO DE LAS LISTAS DE

VERIFICACIÓN
• Pueden limitar la visión
• Pueden obstruir la comunicación
• EL seguimiento estricto puede

resultar en la omisión de importantes
pistas de auditoría
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

• Ejemplo de una lista de verificación:

HOJA DE CHEQUEO - AUDITORÍA Página ___ de ___
Auditoria No.: ____________ Fecha: ____/_____/____ Actividad/Procedimiento: __________________________________________

______________________________________________________________________________________________________________
Auditor Principal: _ ______________________________ Auditor(es): ________________________________________________
________________________________________________
PREGUNTA EVIDENCIA COMENTARIOS

TIPO
OBJETIVA
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. PLANEACION
5. SEGUIMIENTO
2. PREPARACION
3. EJECUCION
4. INFORME
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. EJECUCIÓN DE LA AUDITORÍA
3 Reuniones, Comunicaciones y Visitas a Instalaciones
• Las reuniones de Apertura y Cierre

son comunicaciones formales.
• Las reuniones de retroalimentación

informan sobre el avance, hallazgos
y progreso de la auditoría.
• Las reuniones de enlace del equipo

ayudan a coordinar y enfocar el
equipo auditor.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. AGENDA DE LA REUNIÓN DE APERTURA
• Introducir el equipo
• Razón, alcance y criterios
• Repasar el plan y los métodos de la

auditoría
• Explique lo relativo al muestreo
• Confidencialidad
• Manera de informar
• Clasificación de los INCs
• Confirmar que el personal es consiente

y disponible
• Confirmar la logística
• Preguntas
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
3. EVIDENCIA
¿Cómo encuentra evidencia un auditor?
• Revisando documentos
• Mirando los registros
• Entrevistando personas
a todos los niveles
• Observando las prácticas
y el entorno físico
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. REVISIÓN DE DOCUMENTOS
• Manual de seguridad
• Documentos como el SOA,

Riesgo
• Plan de Tratamiento,
Resultados de la evaluación de
riesgos, etc.
• Procedimientos
• Instrucciones de trabajo
• Registros
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. REVISIÓN DE REGISTROS
No hay tiempo para

revisar todo
Seleccione una muestra
representativa
Acciones Importantes
Periodo de verificación
pertinente
Verificar el Control
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

OBSERVACIÓN
Mantener la observación de la evidencia física:
Productos, Equipos, Instrumentos

Condiciones, Medio Ambiente, Seguridad
Operaciones de acceso
Usar todos los sentidos
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

OBSERVACIONES
• ¿Quién lo utiliza?
• ¿Necesita ser asegurado esto?
• ¿Fue controlado?
• ¿Existe un registro?
• ¿Está bien gestionada?
• ¿Es la salida dentro del rango

aceptable?
• ¿Cuál es el método para
comprobar la eficacia?
• Si las pruebas disponibles para la
eficacia del control?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
OBSERVE AMENAZAS DE SEGURIDAD
Vidrios Rotos LLevar Laptop
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PROCESOS – ENTENDER LAS INTERACIONES
Process Process
A C
Process Process
B D
Input
Output
Controls
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PREPARACIÓN PARA LA AUDITORÍA DEL
PROCESO
Identificar el propósito
Dueño
Identificar entrada
Identificar la producción
Los activos de Información son identificados y sus
riesgos evaluados?
Establecer el flujo de actividades de
¿Qué recursos se utilizan?
¿Cuáles son los controles?
¿Cómo se comprueba esto?
¿Cuál es el método de medición de la efectividad de los controles?
Las responsabilidades y competencias
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. CONDUCCIÓN DE LA AUDITORÍA
• Reunirse primero con el representante del área.

• Hablar siempre con los que realiza la tarea.
• Explicar el propósito de la visita.
• Ser calmado, cortes y transmitir confianza
• Nunca hablar con altivez ni actuar con
suficiencia.
• Hablar en forma clara y cuidadosa.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

LOS 7 AMIGOS DEL AUDITOR

• Haga sentir cómodo al
auditado.
•¿Qué? ¿Como?
• Sea amigable.
• ¿Por qué?
• Explique el propósito de ¿Muestreme? ¿Donde?
• ¿Quien?
la auditoría. ¿Cuando?
• Evite preguntas cuya

respuesta sea SI o NO.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

LA ENTREVISTA
DATOS DE DATOS DE
ENTRADA
PROCESO
SALIDA
OBJETIVOS ETAPAS HALLAZGOS
Preguntar Resultados
Información Efectividad
Escuchar
Eficacia
Reformular
- objetivos
Tomar Notas
Requisitos
Agradecer Riesgos y consecuencias
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Realización de actividades de la auditoria
Entrevistas
Formulación de preguntas
Si le entendí bien, lo que
Comprobación
usted dijo fue ... ?
En caso que se presente

Sondeo un incendio, usted qué
haría ?
Cómo considera usted que

Opinión esta actividad se debería
hacer?
PLANEAR HACER ACTUAR
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entrevistas
¿Qué hace ¿Dónde lo ¿Por qué

usted? almacena? se firma?
¿Quién lo ¿Cuándo lo ¿Cómo lo PLANEAR HACER
VERIFICAR
ACTUAR
autoriza? envía? recibe?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entrevistas
PREGUNTAS QUE SE DEBEN EVITAR
CAPCIOSAS: Sugieren al auditado la respuesta.

Ejemplo: ¿Este no es un residuo peligroso?
AGRESIVAS: Colocan al auditado fuera de lugar, utilizan
palabras emotivas y pueden obligar al auditado a retirarse,
mienta o no coopere más.
Ejemplo: ¿Parece que usted tiene problemas en manejar
este proceso?
MULTIPLES: Confunden o desvían al auditado.
Ejemplo: ¿Desde cuándo realiza esta tarea?, ¿está
incluida en el procedimiento?, ¿lo ha verificado?
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entrevistas
MALOS HÁBITOS A
EVITAR DURANTE SUS
• Fingir atención
ENTREVISTAS:
• Ocuparse previamente
• Sobre reacción
• Interrumpir al que habla
• Escuchar solo lo que queremos oír
• Usar el tiempo de escuchar, para
pensar en otras cosas
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Enfoques de la auditoría
Cuatro tipos de enfoque para auditar
Enfoque basado en el producto

Enfoque basado en el proceso
Enfoque basado en el sistema
Enfoque Conocimiento
Organizacional
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ejemplo de formato de lista de chequeo
Com pany: Hypothetical Ltd

27001:2005 Departm ent/Activity: IS Manual Report No
Comments
Procedure
Auditor’s
ISO/IEC
Clause
Issue
Time
Item
1 4.3.2 P.01 Check availability and the issue status of

the threats and risk procedure.
Does it cover:
2 4.2.1d • Assets to be protected

• Routine and non routine activities?
• Activities of all personnel including
subcontractors and visitors?
• All facilities at the w orkplace?
• Are the results considered w hen
setting the objectives?
• Is the inform ation upto date?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. PISTAS DE AUDITORÍA
Siga las Pistas de Auditoría
• Al auditar encontrará
oportunidades interesantes que
investigar (pistas de la auditoría)
• Escoja pistas de auditoría
prometedoras:
• Sígalas hasta donde sea
necesario
• Interaccione con el equipo
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. SIEMPRE TOME NOTAS
• Explique al auditado la necesidad de tomar notas
• Haga sus notas:
• Completas
• Exactas
• Precisas
• Legibles
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. TRABAJO DEL AUDITOR
• AUDITA PROCESOS, NO
PERSONAS
• ESCUCHA, COMPRENDE, NO
JUZGA
• INSPIRA CONFIANZA Y CALMA

• NO POLEMIZA Y NO ES
AGRESIVO
• ADAPTA SU LENGUAJE
• VERIFICA EFICIENCIA Y
EFICACIA
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ESTAR ATENTO A:
Manténgase observando
la evidencia física, en:
• operaciones
• productos
• equipos
• instrumentos
• condiciones
• controles
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

MANEJO DEL TIEMPO

• El tiempo es limitado.
• Ajústese al plan.
• No permita que su
auditoría se extienda
demasiado.
• Concéntrese en lo
importante.
• Decida el tamaño de la
muestra y sígala.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. CONTROL DE AUDITORÍA
•NO DEBE: •DEBE:

• Estar preparado,
•Dejar que lo desvíen del tema,
• Ser puntual
•Dejarse influenciar o engañar, • Insistir para que las personas a
•Atascarse las que se les esta preguntando,
•Permitir que el auditado marque respondan por sí mismas.
el ritmo de la auditoria, • Hablar lo menos posible,
•Hacer suposiciones o • Evitar malentendidos,
presunciones. • Mantener preguntas claras y
•Jamás hacer suposiciones o concisas,
presunciones. • Ser cortes y mantener la calma,
• Felicitar.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. NO CONFORMIDAD
¿Qué es una No Conformidad?
• Def 3.6.2 ISO9000:2000 & Def 3.15 ISO14001:2004

“Incumplimiento de un requisito”
• Existe evidencia objetiva para demostrar que:

• No se ha considerado un requisito (intención)
• La práctica difiere del sistema definido (implantación)
• La práctica no es eficaz (eficacia)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. TIPO DE HALLAZGOS
MAYOR: MENOR:
• Hay un rompimiento total de
algún procedimiento o • Cuando se ha identificado una
instrucción de trabajo crítico deficiencia (o deficiencias) en un
procedimiento o instrucción de trabajo,
• Hay una ausencia total de o en el funcionamiento del sistema de
algún procedimiento exigido por calidad de la organización, pero que
la norma aplicable. son menos graves que las que justifican
una Mayor
• Hay varias faltas menores en el
procedimiento,
• Un riesgo inmediato para la • No Genera Gran Impacto en la
Organización o Proceso
calidad del producto o servicio
que se ofrece.
• Genera Gran Impacto en la
Organización o Proceso
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Generación de hallazgos de auditoría
LA FORMA ADECUADA DE ESTABLECER UNA NO CONFORMIDAD
ES UNA OBSERVACIÓN EXACTA DE LOS HECHOS
DIRIGE AL QUÉ, CUÁNDO DÓNDE
ES RECUPERABLE (TRAZABLE)
AYUDA A LOGRAR LA IMPLEMENTACIÓN DE LA

ACCIÓN CORRECTIVA
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Informe de No Conformidad
►Sin reglas fijas; sin embargo un INC tiene tres partes:
Declaración de NC (un elemento del sistema que ha

fallado)
La evidencia (lo que se ha encontrado)
El requisito ( lo que debería haberse cumplido)
►Diferentes organizaciones usan diferentes formatos
Utilice el formato escogido por su cliente o empresa

VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Una No Conformidad también debe ser ...

►Basada en hechos
►Precisa
►Objetiva
►Trazable
►Concisa
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. OBSERVACIONES
• Buenas prácticas que pueden beneficiar otras

áreas de la organización;
• Áreas de interés que no son todavía lo
suficientemente serias para justificarlas como
Reporte de NC.
• Deficiencias por las cuales el auditor esta
preparado para brindar a la organización el
beneficio de la duda y para auditorias internas,
sugerencias para acción.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. PRECAUCIÓN
Una No Conformidad también debe serW
• Basada en hechos
• Precisa
• Objetiva
• Trazable
• Concisa
¿Podría alguien más trazar hacia atrás y encontrar la

misma evidencia que usted encontró, basado en lo que
usted ha escrito?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. PRECAUCIÓN
• ¡Sea precavido, no sea demasiado

concluyente!
•¡No juzgue con base en las
apariencias!
•¡Esté seguro de tener la evidencia
completa!
•¡Esté seguro de que su evidencia es
objetiva!
•En caso de duda , ¡investigue!
•Identifique las pistas para
investigaciones adicionales.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. NO CONFORMIDAD
UBICACIÓN DESCRIPCIÓN EVIDENCIA REFERENCIA
Dónde se Cuál es el Cómo lo Con qué

encuentra el hallazgo puedo requisito
hallazgo identificado demostrar incumple
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. NO CONFORMIDAD
► Escenario:
Centro de Computo, seccional Valle

► Referencia
En el momento de la auditoria, el proceso para verificar la adecuación de

las políticas de seguridad y de normas/procedimientos no estaba
implantado. Por otra parte el plan de auditoría a ser utilizado, identificaba
puntos de verificación a ser realizados para garantizar la adecuación es
decir para verificar si estaban siendo cumplidas dichas políticas.
► El procedimiento P-7 indica que se debe realizar el control y
seguimiento de la implementación de cada uno de los procedimientos.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. REPORTE DE NO CONFORMIDAD
REPORTE DE NO CONFORMIDAD
(NON CONFORMIRTY REPORT)
site Office Proceso Product No. Of NCR:
•Bogotá •Producción TI C. Computo Date: •14/feb/29
•Ubicación
Procedure: P-2 Clause: 5.2.2
•Clasificación Auditor : Pablo Mendez Auditee: Merlinda Casas
Non conformance Mayor X Menor
•Descripción •Se evidencian el incumplimiento en el centro de computo en
no controlar la bitacora de ingreso, ya que Se observan 3
personas pertenecientes a contratistas realizando labores de
•Evidencia mantenimiento a Servidores, Aire Acondicionado y
Cintotecas, de acuerdo con El procedimiento P-2 indica el
•Referencia registro obligatorio al ingresar al cual proceso categorizada
como área segura.
•Firma sign : Tony Marcus date: •14/feb/29
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

INFORME DE NO CONFORMIDAD
Descripción de la no conformidad:
Declaración de NC •La organización no ha gestionado el ambiente de trabajo
necesario para lograr la conformidad del producto
Evidencia Objetiva
•Durante el turno de la mañana, 4 de los 18 operarios

Evidencia no estaban usando gorros de nylon. Los gorros estaban
disponibles en la entrada al igual que las instrucciones
Cláusula y requisito de ISO 9001:2015

•La cláusula 8.5.1 requiere que ... La organización debe
implementar la producción bajo condiciones controladas. Estas
deben incluir, cuando sea aplicable ….d) el uso de la
Requisitos infraestructura y el entorno adecuados para la operación de los
procesos.
•(Referencia a requisitos internos, si aplica)
•La IT 4-01, cl. 6, require que todo el personal que entre en la
Unidad W-4 debe utilizar gorros de nylon.
A. U. Ditor
Firma PLANEAR HACER
VERIFICAR
ACTUAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

AL REDACTAR EL REPORTE DEL HALLAZGO:
• Sea precavido, no sea demasiado concluyente!

• No juzgue con base en las apariencias
• Este seguro de tener la evidencia completa!
• Este seguro de que su evidencia es objetiva!
• En caso de duda, investigue!
• Identifique las pistas para
investigaciones adicionales
VERIFICAR
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

3. AGENDA DE LA REUNIÓN DE CIERRE
• Agradezca al auditado y presente de nuevo al equipo

• Resuma la razón, alcance y criterio
• Repasar el plan de la auditoria y los métodos
• Informar sobre lo observado, positivo y negativo
• Declaración sobre muestreo
• Resumen global
• Preguntas y respuestas
• Plazos para el cierre de No-CFM
• Método de Seguimiento
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

•1. PLANEACIÓN
5. SEGUIMIENTO
•2. PREPARACIÓN
•3. EJECUCIÓN
•4. INFORME
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4. INFORME DE AUDITORÍA
Características de calidad de un informe:
Contenido Forma
• Informativo • Conciso
• Basado en hechos • Legible
• Completo • Transparente
• Exacto y preciso • Claro
•¿Es el informe fácil de entender y útil?
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4. ESTILOS DE REDACCIÓN
Consejos sobre estilo de redacción
• Use palabras simples

• Redacción precisa y corta
• Use estilo indirecto
• Evite abreviaciones
• Evite siglas
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4. INFORME FINAL
¿Cuál es el contenido típico de un Informe de Auditoría?

• Alcance y objetivos de la auditoría
• Plan de la auditoria con la identificación de auditores y auditados
• Criterios de la auditoria
• La opinión del equipo sobre si el SGC cumple con los criterios de la auditoria
• No conformidades detectadas
• Fortalezas y debilidades detectadas
• Capacidad del sistema para alcanzar los objetivos definidos
• Lista de distribución
• Anexos: Notas y Listas de Verificación completas, Reportes de no

conformidad, Plan de auditoria
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
•1. PLANEACION
5. SEGUIMIENTO
•2. PREPARACION
•3. EJECUCION
•4. INFORME
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

5. SEGUIMIENTO
VERIFIQUE LA IMPLEMENTACIÓN DE ACCIONES CORRECTIVAS

DESPUÉS DE LA FECHA ESTABLECIDA
•SI
NO
•ESTABLEZCA UNA
•NUEVA FECHA
•VERIFIQUE DE •SI •CIERRE LOS REPORTES

•NUEVO •DE NO CONFORMIDAD
NO
•ESCALE
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

5. ETAPAS DE LA AUDITORÍA - RESUMEN
•Def. obj. alcance

•Plan de auditorÍa
•Sepa que hace el área.
•Establezca fecha y tiempo. •1
•Preparación
Reunión de
•Lista de verificación •Presente los hechos
Cierre
•Reunión de apertura
•Reunión de enlace e •Informe
informativa
•Realización de la
•Seguimiento
•Auditoria
•Auditoría de
cumplimiento
•Cierre de NC.
SI
Acuerde RNC ? •Levante el RNC.
los hechos
NO •Fin
•1 •Acción correctiva
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
HABILIDADES DEL AUDITOR
COMPETENCIA DE LOS AUDITORES - 19011
•Conocimiento •Conocimiento y
•Conocimiento
y habilidades habilidades
y habilidades
específicos de específicos de
genérico
calidad medio ambiental
•Educación experiencia experiencia formación

• laboral en auditorias como auditor
•(min secundario) (5 años) (min 2 años) (40 h, 4 auditorias)
•Atributos personales
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

ATRIBUTOS PERSONALES DE AUDITOR
DESEABLES NO DESEABLES
• Mente abierta • Mente cerrada

• Diplomático • Discutidor
• Flexible • indisciplinado
• Autodisciplinado • obstinado
• Imparcial • ocioso
• Honesto • deseoso de ser agradable
• Saber escuchar • tímido
• impaciente
• Paciente
• no profesional
• Claro
• crédulo
• Capacidad para comunicarse
• arrogante
• Tener interés,
• Sin temor a ser impopular
• Empatía
I&F / TRG / IT27 - 05 - REV 02 - FEB 14
HABILIDADES DE LOS AUDITORES
PERCEPTIVIDAD
Habilidad para entender el
problema rápidamente sin
saltar a conclusiones
PERSISTENCIA
• La habilidad para vencer las

dificultades y mantener el curso
de acción planeado a pesar de
las contrariedades.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

PUNTO DE VISTA FLEXIBLE

La habilidad para ver cosas
desde diferentes puntos de
vista y adaptarse a
circunstancias cambiantes
ENFOQUE DISCIPLINADO
• Habilidad para enfocar un problema lógica
y sistemáticamente.
• Habilidad para definir los límites de
responsabilidad del área de investigación.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

HABILIDADES DE PRESENTACIÓN
La habilidad para expresar

claramente juicios, ideas y
propuestas, tanto oral
como por escrito
HABILIDADES TÉCNICAS
Habilidad para investigar y
determinar el grado de cumplimiento
en todas las áreas y procesos
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

HABILIDADES SOCIALES
Habilidad para comunicarse y

trabajar con otras personas de
diferentes niveles y experiencia
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Competencia de los Auditores
Comportamiento personal
Ético
(justo, veraz, sincero,
honesto y discreto)
Mente abierta
(dispuesto a considerar
ideas o puntos de vista
alternativos)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Observador
(observando
activamente el entorno
físico y las actividades)
Diplomático
(discreto al tratar con
individuos)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Versátil
(capaz de adaptarse
fácilmente a diferentes
situaciones)
Perceptivo
(consciente de y capaz de
comprender situaciones)
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Otras Habilidades:
• Interactúa • Observante y • persistente y • Expresar

eficientemente respetuoso de la enfocado en claramente
con otros. cultura del alcanzar juicios, ideas y
auditado objetivos propuestas (oral
y escrito)
Sensibilidad Habilidad de
Colaborador Tenaz
cultural presentación
• Dispuesto a • Actúa y • Investigar y • Alcanza

aprender de funciona de determinar el conclusiones
las forma grado de oportunas
situaciones. independiente cumplimiento
Abierto a Seguro de Habilidad
Decidido
la mejora sí mismo técnica
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EVALUACIÓN DE LOS AUDITORES - 19011
1. Identificar las cualidades y atributos personales y los

conocimeintos y habilidades
2. Establecer los Criterios de evaluación (cuanti-cualitativo)
3. Seleccionar el método de evaluación (registros,

entrevista, observación, retroalimentación, examen,
desempeño)
4. Realizar la evaluación.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Evaluación de Auditores
Criterios Criterios Criterios de

Cualitativos Cuantitativos Evaluación
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Seleccionar método para evaluación de auditores:

La evaluación debería ser realizada usando dos o más de los métodos
seleccionados y definidos a continuación:
Revisión de registros
Retroalimentación
Entrevista
Observación
Examen
Revisión después de la auditoria
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Realizar la evaluación del auditor:

• Comparar la información recopilada vs. los criterios.
• Cuando no se cumpla, se debe tomar acciones (entrenamiento, trabajo o
experiencia de auditoría adicional)
• Se debe llevar a cabo una re-evaluación posterior.
Mejora de la competencia del auditor:
• Los auditores deberían mantener su competencia de auditoria a través

de la participación en auditorías.
• El continuo desarrollo profesional involucra el mantenimiento y mejora
de la competencia (experiencia laboral o entrenamiento).
• Se debe establecer mecanismos apropiados para la evaluación
continua del desempeño de los auditores y líderes de equipo auditor.
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

EJEMPLO DE EVALUACION
N O M B R E D E L A U D IT O R
N O M B R E D E L E V A LU A D O R
P R O C E S O A U D IT A D O F E C H A
C a lific a c ió n : B (B U E N O ), R (R E F O R Z A R ), D (P U E D E D IF IC U L T A R E L P R O C E S O ) o N A (N O A P L IC A )
H A B IL ID A D E S P E R S O N A L E S
C R IT E R IO C A L IF . O B S E R V A C IO N E S
P u n t u a lid a d ( C u m p lim ie n t o d e h o r a r io s )
C o m u n ic a c ió n f lu id a y c la r a
E s c u c h a ( c a p t a f á c ilm e n t e la s e x p r e s io n e s
d e l a u d ita d o )
C a lid a d h u m a n a
F le x ib ilid a d a n t e s it u a c io n e s q u e lo r e q u ie r e n
E lim in a c ió n d e b a r r e r a s ( f ís ic a s , in t e le c t u a le s
y e m o c io n a le s )
P R O C E S O D E A U D IT O R ÍA
C u m p lim ie n t o d e l p la n d e a u d it o r ía
M a n t e n im ie n t o d e n t r o d e l a lc a n c e
C o n o c im ie n t o d e lo s p r in c ip io s d e l S G C
C o n o c im ie n t o d e n e g o c io
R e u n ió n d e a p e r t u r a
R e u n ió n d e c ie r r e
R e t r o a lim e n t a c ió n a l a u d it a d o
C a l id a d d e l r e p o r t e d e a u d it o r í a
F in a liz a c ió n d e l p r o g r a m a d e a u d it o r í a
C u b r im ie n t o d e l s is t e m a d e g e s t ió n
M a n e jo d e l t ie m p o d e la a u d it o r í a
H A B IL ID A D E S D E E V A L U A C IÓ N
V e r if ic a c ió n d e lo s p r o c e d im ie n t o s d e lo s
a u d ita d o s
E la b o r a c ió n d e p r e g u n t a s ( a b ie r t a s , c e r r a d a s
y a c la r a to ria s )
A p l ic a c i ó n d e t é c n ic a s d e m u e s t r e o
C o n o c im ie n t o d e p r o c e s o s e I S O 9 0 0 1
P r o f u n d id a d d e a u d it o r ia
I d e n t ific a c ió n d e n o c o n f o r m id a d e s
R e c o le c c ió n d e e v id e n c ia s
E v a lu a c ió n d e e v id e n c ia s
R e p o rte d e n o c o n fo rm id a d e s
L is t a s d e v e r i f ic a c i ó n d i l i g e n c i a d a s d e
m a n e ra c la r a y o r d e n a d a
N o t a s c la r a s f r e n t e a la s it u a c ió n r e v is a d a
O B S E R V A C IO N E S :
I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Bureau Veritas Colombia Ltda.
Edificio Acciones & Valores,
Calle 72 # 7 - 82 Piso 3, Bogotá D.C.
PBX. 00 (571) 312 9191
Colombia

Modulo - Auditorias - ISO 270012013

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo - Auditorias - ISO 270012013

Cargado por

Copyright:

Formatos disponibles

ESTRUCTURA NORMA ISO 27001:2013

Y FORMACION DE AUDITORES INTERNOS

I&F/TRG/ IT27-05 Rev 02 / Feb-14

Más de 14,000 personas

Más de 580 oficinas en 150 países

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Auditores con Experiencia

Tutor (es) Expertos

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Entender los conceptos básicos de la Gestión de la

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Día 1: 08:00 - 17:00

Día 2: 08:00 - 17:00

Día 3: 08:00 - 17:00

Día 4: 08:00 - 17:00

Almuerzo: 12:00 - 13:00

Break: Media mañana

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Normas de Seguridad y Rutas de

Cortesía (celulares y portátiles).

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Contribución a los debates y cuestionamientos tutores.

Comunicación (Escucho cuando otro habla).

Precisión en los Reportes.

Participación efectiva en las actividades del equipo.

Claridad y la solidez técnica de los trabajos escritos.

Actitud, manera y conveniencia como auditor / auditor

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Los diez mayores ataques

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

1. Robo de 81 millones al Banco Central de Bangladés

2. Robo de 64 millones en bitcoins a Bitfinex

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

4. Publicación de información personal de 93 millones de

5. Robo de mil millones de cuentas de Yahoo

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

7. Robo de 400 millones de cuentas a Friend Finder Network Inc.

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

9. Fallo en la implementación de la pila TCP en sistemas Linux

10. Fallo en los procesadores Qualcomm

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ataque destinados a páginas y portales web

Denegación del servicio (DOS): el atacante aprovecha algún error en la

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Ataques destinados a personas y usuarios de Internet

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Scam: cuando se regala dinero a cambio de más dinero, el atacante

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

CUARTA REVOLUCIÓN INDUSTRIAL

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Under cyber attack

2014 Security Pressures Report

Under cyber attack

EY’s Global Information 2013

De igual forma se muestra alguna de la tecnología utilizada hoy

I&F / TRG / IT27 - 05 - REV 02 - FEB 14

Según SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT, se requiere

1. ¿Quién es nuestro cliente objetivo?

I&F / TRG / IT27 - 05 - REV 02 - FEB 14