Bienvenidos

La FEUD es el Centro de
Entrenamiento Autorizado
de las marcas mas representativas
en Gobierno TI
con el portafolio mas amplio de
Latinoamérica

Copyright© CO. Todos los derechos reservados. Todas las marcas, nombres comerciales, marcas de servicios y logotipos a los que se hace referencia en
el presente documento pertenecen a sus respectivas empresas. PMI® es una marca registrada por el Project Management Institute, Inc ITIL® is a Registered
Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. The Swirl Logo ™ is a Trade Mark of the Office of Government.
 Diplomado en Seguridad de la
Información
Enfocado en Estandar ISO 27001
Cristhian Alexander Padilla Rodriguez
Ing. Sistemas
Especialista en Telecomunicaciones
Especialista en Seguridad de la Información
CISM - LCM ISO27032 - Auditor Lider ISO 27001 – Auditor Lider ISO22301
CEH MASTER – CIH – CPTE
AWS SCS - SAA – AWS CCP
Objetivo
Nivelar a los participantes del diplomado en
Seguridad de la Información frente a los
conceptos, numerales de cumplimiento,
Objetivos de control y controles que hacen parte
de la Norma ISO 27001:2013
 ¿Qué es ISO 27000 ?

• Es una familia de estándares internacionales

para Sistemas de Gestión de la Seguridad de
la Información (SGSI).
– Requisitos para la especificación de sistemas de
gestión de la seguridad de la información
– Proceso del análisis y gestión del riesgo
– Métricas y medidas de protección
– Guías de implantación
– Vocabulario claramente definido para evitar distintas
interpretaciones de conceptos técnicos y de gestión
y mejora continua.
Las normas internacionales se revisan cada
cierto tiempo con el fin de asegurar la
permanente adecuación con las buenas
prácticas empresariales y con las
tendencias tecnológicas en los países
donde son aplicables.
 ISO 27001:2013
Objeto Campo de aplicación
Específica los Los requisitos son
requisitos para genéricos y están
e s t a b l e c e r , previstos para ser
i m p l e m e n t a r, aplicables a todas las
mantener y mejorar organizaciones,
independiente de su
continuamente un tipo, tamaño o
SGSI. naturaleza.
 BS 7799 Estándar
Británico

1995
BS 7799-2 Certificable

1998
ISO/IEC 17799 Código de
prácticas

2000
BS 7799-2 Revisión

2002
ISO/IEC 17799 Revisión

2005
ISO/IEC 27001
27000

2007 ISO/IEC 27002 Código de práctica

ISO/IEC 27000 Vocabulario

2009

ISO/IEC 27001 Requerimientos

2013

ISO/IEC 27002 Código de práctica

Evolución de las Normas ISO
Familia de Normas ISO 27000
ISO 27002
Código
ISO ISMS Práctica
ISO iSMS
27001 27003 Guía
Requisitos Implementar

ISO IEC
TR 27008
FAMILIA ISO 27004
Métricas
Audita ISO IEC 27000
Ctrls

ISO IEC
27007 ISO IEC
Pautas de 27005
Auditoria Riesgos
del SGSI ISO IEC
27006
Acreditación
ISO 27001 compuesta por

14 dominios
35 objetivos de control
114 controles
Sistema de Gestión de Seguridad de la Información
(SGSI)

Proceso estratégico creado para agregar valor a

la organización, concebido con el objetivo de
gestionar los riesgos de la confidencialidad,
integridad y disponibilidad de la información.
Información.
Escrita, en imágenes, oral, impresa en papel,
almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en
conversaciones, etc.
 Sistema de Gestión de Seguridad de la Información
(SGSI)

Video

https://www.youtube.com/watch?v=zV2sfyvfqik&list=PLEC0C6E0B2BC12927&index=1
 Seguridad de la información y Seguridad
Informática.

Seguridad de la información Seguridad Informática

Protección a través de diferentes Controles automáticos,

métodos de los activos de
información fundamentales para
alcanzar los objetivos de cualquier
organización. Marco Estratégico de
gobierno Seguridad
semiautomáticos o manuales
necesarios para la protección de los
activos de la información.
“Jugueticos” Fw, ids/ips, siem,
consolas de antivirus, dlp. Etc
 ANEXO SL

Es una directriz de la ISO para la redacción de normas de sistemas de gestión basada en tres pilares
El Anexo SL es el estándar que define la nueva estructura de Alto Nivel para todos los sistemas de
gestión de las Normas ISO.

DEFINICIONES
TÍTULOS IDÉNTICOS TEXTOS Y TÉRMINOS
PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS

• Todas las normas tendrán
los mismos capítulos y
secciones básicas.
• Para cada norma
particular pueden
adicionarse subcapítulos
y subcláusulas.
• Todos los elementos
comunes a todas las
normas se describirán
usando los mismos textos
(texto estándar – anexo
SL).
• En todas las normas se
utilizarán términos
iguales con significados
iguales.
• En todas las normas se
utilizará el mismo
vocabulario básico.
• Para cada norma podrán
establecerse definiciones
adicionales pero
únicamente para
términos técnicos de la
especialidad.
 ESTRUCUTRA GENERAL DE LA NORMA

• La normad define seguridad

como la preservación de:
Confidencialidad
• Confidencialidad Propiedad que
determina que la información está
disponible ni sea revelada a quien
no esté autorizado 2.13 ISO 27000
• Integridad Propiedad de
salvaguardar la exactitud y el
estado completo de los activos
2.36 ISO 27000
• Disponibilidad Propiedad que la Disponibilidad Integridad
información sea accesible y
utilizable por solicitud de los
autorizados 2.10 ISO 27000
 Estructura de la Norma ISO 27001

Estructura de alto nivel

Administrativo Requisitos
4 al 10
ISO 27001

ISO 27002
Controles ANEXO A Código de práctica
técnicos Controles
A5. - A.18
 ISO 27001:2013 - contenido
OBJETO Y CAMPO DE APLICACIÓN

REFERENCIAS NORMATIVAS

TÉRMINOS Y DEFINICIONES

CONTEXTO DE LA ORGANIZACIÓN

LIDERAZGO
PLAN
PLANIFICACIÓN

SOPORTE

DO OPERACIÓN
CHECK EVALUACIÓN DEL DESEMPEÑO
ACT MEJORA
Requisitos certificables de la norma
CONTEXTO DE LA ORGANIZACIÓN

LIDERAZGO

PLANIFICACIÓN

SOPORTE

OPERACIÓN

EVALUACIÓN DEL DESEMPEÑO

MEJORA
 CAPITULO 4

CONTEXTO DE LA
ORGANIZACIÓN

4.1 4.2 4.3 4.4

CONOCIMIENTO COMPRENSIÓN DE DETERMINACIÓN SISTEMA DE
DE LA LAS NECESIDADES Y DEL ALCANCE DEL GESTIÓN DE LA
ORGANIZACIÓN Y EXPECTATIVAS DE SGSI SEGURIDAD DE LA
DE SU ENTORNO LAS PARTES INFORMACIÓN
INTERESADAS
 CAPITULO 5

LIDERAZGO

5.1 5.2 5.3

LIDERAZGO Y POLÍTICA ROLES,
COMPROMISO RESPONSABILIDADE
S Y AUTORIDADES
EN LA
ORGANIZACIÓN
 CAPITULO 6

PLANIFICACIÓN

6.2
6.1 OBJETIVOS DE
ACCIONES PARA SEGURIDAD DE LA
TRATAR RIESGOS Y INFORMACIÓN Y
OPORTUNIDADES PLANES PARA
LOGRARLOS

6.1.1
Generalidades

6.1.2
Evaluar los
riesgos de SI

6.1.3
Tratamiento de
Riesgos de SI
 CAPITULO 7

SOPORTE

7.2 7.3 7.4 7.5

7.1 COMUNICACIÓN
RECURSOS COMPETENCIA TOMA DE CONCIENCIA INFORMACIÓN DOCUMENTADA

7.5.1
Generalidades

7.5.2 Creación
y Actualización

7.5.3 Control de
la Información
Documentada
 CAPITULO 8

OPERACIÓN

8.1 8.2 8.3

PLANIFICACIÓN Y EVALUACIÓN DE TRATAMIENTO DE
CONTROL RIESGOS Y DE LA LOS RIESGOS DE LA
OPERACIONAL SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN
 CAPITULO 9

EVALUACIÓN DEL
DESEMPEÑO

9.1 9.2 9.3

SEGUIMIENTO, AUDITORIA INTERNA REVISIÓN POR LA
MEDICIÓN, DIRECCIÓN
ANALISIS Y
EVALUACIÓN
 CAPITULO 10

MEJORA

10.1 10.2
NO MEJORA CONTINUA
CONFORMIDADES Y
ACCIONES
CORRECTIVAS
 ISO 27001:2013 – ANEXO A

A5 Política de
Seguridad A6 Organización
de la Seguridad
A11 Seguridad de la información
Física y del
Entorno

A7 Recursos
Humanos
A10 Criptografía

A9 Control de A8 Gestión de Activos

Acceso
 ISO 27001:2013 – ANEXO A

A12 A13
Operaciones Comunicacione
A18
Cumplimiento s

A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento

A15
A16 Incidentes Proveedores
 4. Contexto de la organización

4.1 4.2 Necesidades 4.3

Conocimiento de y expectativas Determinación
4.4 SGSI
la organización y de las partes del alcance del
de su contexto interesadas SGSI
 4. Contexto de la organización
4.4 SGSI

Planear Hacer
Compromiso de la Dirección Compromiso de la Dirección
Actuar Verificar
 4. Contexto de la organización
4.4 SGSI

https://www.youtube.com/watch?
v=i_3z68QGaJs&index=3&list=PLEC0C6E0B2BC12927
Definición del alcance del SGSI
Metodología de las elipses
 5. Liderazgo
5.1 Liderazgo y Compromiso 5.2 política 5.3 Roles,
responsabilidades y
Autoridades en la
organización
•Asegurando que se establece la Adecuada al propósito La alta dirección
política los objetivos del SGSI de la empresa. debe asegurarse de
•Asegurando la integración de los Incluya objetivos de que se asignan y
requisitos del SGSI con los Seguridad de la comunican las
proceso del negocio información responsabilidades y
autoridades.
•Asegurando la disponibilidad de Incluya un compromiso
los recursos necesarios de cumplir los requisitos
aplicables relacionados
con la Seguridad.
•Comunicando la importancia de Estar documentada y
u n a g e s t i ó n e f i c a z y d e comunicada
conformidad con los requisitos del
SGSI.
 6. Planificación
6.1 Acciones para tratar riesgos y oportunidades

6.2. Objetivos De Seguridad De La Información Y Planes Para

Lograrlos
 Conceptos básicos

DEFINICIÓN DE RIESGO
“Posibilidad de ocurrencia de cualquier
evento (interno y externo) que puede afectar
a una empresa, ocasionándole pérdidas que
disminuyen la capacidad para lograr sus
objetivos y generar valor para sus
accionistas, dueños, grupos de interés y
beneficiarios”.
ADMINISTRACIÓN DE RIESGOS. UNA ENFOQUE EMPRESARIAL
Rubi Consuelo Mejía
 Conceptos básicos
CATEGORÍ SUBCATEGORÍA RIESGO DESCRIPCIÓN
A
SI CONFIDENCIALIDAD ACCESO NO AUTORIZADO Entrada sin la autorización del responsable del activo
de información asignado por la entidad para su uso.

SI INTEGRIDAD DAÑOS A LA INTEGRIDAD DE LA Acto de borrar, suprimir o modificar sin autorización

INFORMACIÓN datos de un sistema de información o de cualquier
otro activo con la intención de obstaculizar el
funcionamiento normal del mismo o sin la intención
de hacerlo
SI DISPONIBILIDAD INTERRUPCIÓN DE LA OPERACIÓN Situación prevista o imprevista que causa una
desviación negativa no planificada con respecto a la
entrega esperada de productos o servicios de acuerdo
con los objetivos de la empresa.
 Conceptos básicos
Apetito por el riesgo

Cantidad de riesgo a nivel global que la organización

está dispuesta a asumir en búsqueda de sus objetivos.

El "apetito del riesgo" es la capacidad

determinada por una empresa en la aceptación del
nivel de riesgo dispuesta a tolerar, que le permita
seguir creando valor y generando riquezas.
 Conceptos básicos

Aversión al riesgo
Actitud de rechazo que experimenta un inversor ante el
riesgo financiero, en concreto ante la posibilidad de sufrir
perdida en el valor de sus activos. El grado de aversión al
riesgo determina el perfil del inversor (conservador, medio,
arriesgado) y debe ser el punto de partida para elegir un
punto de inversión
 Conceptos básicos
Aceptabilidad del riesgo

Expresión gráfica del apetito por el riesgo de la empresa,

representado en los niveles de riesgo o severidad.
Zonas de Riesgo
Matriz de Aceptabilidad
Aceptable

Tolerable

Inaceptable

Inadmisible
 Conceptos básicos
Mapa de riesgos inherente - residual
RIESGOS EN ZONA INACEPTABLE
( 1) Compromiso de la información, por acceso no
autorizado al aplicativo puntos de venta
( 2) Compromiso de la información, por acceso no
autorizado a la base de datos Asopagos
( 3) Compromiso de la información, por acceso no
autorizado al aplicativo OPA
(10) Interrupción de la operación, por disposiciones
legales sobre propiedad intelectual
(14) Perdida de la información de conciliación bancaria,
por falta de backup de la misma

RIESGOS EN ZONA INADMISIBLE

( 4) Sanción legal, por incumplimiento de la ley 1266
sobre Hábeas data financiero
( 5) Sanción lagal, por incumplimiento de la ley 1581
sobre datos personales
( 7) Perdida de conocimiento empresarial, por falta de
disponibilidad de personal
( 8) Interrupción de la operación de cartera, por la no
disponibilidad de la relación de pago de las
empresas .
 Conceptos básicos

Amenaza

Situación que puede generar consecuencias negativas o

la simple posibilidad que el efecto negativo se materialice.
Es el peligro en sí mismo.

Una Amenaza es la posibilidad de ocurrencia de

cualquier tipo de evento o acción que puede producir un
daño (material o inmaterial) sobre los elementos de un
sistema
 Conceptos básicos

Vulnerabilidad

Debilidad o falencia en las medidas de seguridad de un

activo de información que pueda ser aprovechada por una
amenaza.
 Conceptos básicos

Activo de información

Activo de tipo magnético o físico que represente valor para

la organización.
 Conceptos básicos
Cómo determinar si algo es un activo de información?
• Se conoce, se entiende qué es y se sabe para qué es útil el activo de
información?
• Tiene valor para la organización?
• Tendrá algún costo volver a conseguir la información en caso de pérdida?
• Existirá alguna repercusión de tipo legal, reputacional o financiero en
caso de que no se pudiera producir la información solicitada por alguna
de las partes interesadas?
• Tendrá un efecto en la eficiencia de las operaciones en caso de que no
se pueda acceder fácilmente a la información?
• Existirán otras consecuencias en caso de no tener esa información?
• Existe algún riesgo asociado con la información?
• Existe algún riesgo de pérdida de la información?
• Existe el riesgo de que la información no sea exacta?
 Conceptos básicos
Matriz de activos de información
Id Categoría Nombre Descripción Propietari Ubicación Medio de Consumidores Valor Medio de
Activo Activo o Transmisión del Almacenamient
activo o

D i r e c t o r ,
Suite de herramientas
Responsab Gerentes, Jefes
que permite visualizar
Business le del de área,
1 Software la información que se Srvprdbo Electrónico Electrónico
Object proceso de Coordinadores y
almacena en la
BI Analistas de
bodega de datos.
información.

Servidor donde se
encuentra alojado el Jefe del
aplicativo Business departame Cuchica BI
2 Hardware Srvprdbo - Blade NA Business Object Físico
Object. Hace parte de nto de
center
una cuchilla ubicada Informática
en el blade center.
 Conceptos básicos
Matriz de activos de información

Categoría Nombre Propietari Ubicació Medio de Valor del Medio de

Id Descripción Consumidores
Activo Activo o n Transmisión activo Almacenamiento
1
2
3
4

6
7
 7. Soporte

7.4 7.5
7.2 7.3 Toma de
7.1 Recursos Comunicació Información
Competencia conciencia
n documentada
 7.2 Competencia
Se debe:
• Determinar la competencia de las personas
que realizan un trabajo que afecte el
desempeño de la seguridad de la información
• Asegurar que las personas sean competentes,
basándose en: educación, formación o
experiencia adecuadas.
• Tomar acciones para adquirir la competencia
necesaria y evaluar su eficacia.
• Conservar la información documentada como
evidencia.
 7.3 Toma de conciencia
Las personas deben tomar conciencia de:
• La política.
• Su contribución a la eficacia, incluyendo
los beneficios a la mejora del desempeño.
• Las implicaciones de la No Conformidad
con los requisitos del SGSI.
 7.4 Comunicación
Se debe determinar la necesidad de
comunicaciones externas e internas que
incluyan:
• El contenido de la comunicación
• Cuando comunicar
• A quién comunicar
• Quién debe comunicar
• Los procesos para llevar a cabo la
comunicación
 7.4 Comunicación
MATRIZ DE COMUNICACIÓN EXTERNA E INTERNA
ASPECTO A A QUIEN LE ESTRATEGIA Y
RESPONSABLE CUANDO COMUNICA
COMUNICAR COMUNICA MEDIO
Política Representante A todas las Al ingreso de un nuevo Intranet,
de la alta partes empleado o miembro de cartelera,
Dirección interesadas Consejo Directivo. folletos, etc.
Lideres de Al ingreso de un nuevo
procesos proveedor.
Cuando la políca haya sido
modificada.
7.5 Información documentada
7.5.1 Generalidades
Debe incluir:
Información documentada requerida por la norma
Información documentada que la organización ha determinado que es
necesaria.

7.5.2 Creación y actualización

Se debe asegurar que:
La identificación y descripción
El formato y sus medios de soporte
La revisión y aprobación con respecto a la idoneidad y adecuación

7.5.3 Control de la información documentada

Para controlar se debe:
Asegurar esté disponible y adecuada para su uso, cuando y donde se requiera.
Esté protegida adecuadamente.
Almacenamiento y preservación, incluso legibilidad.
Control de cambios
Retención y disposición
7.5 Información documentada
7.5 Información documentada
 8. Operación
8.1 Planificación y control operacional
Se debe planificar, implementar y controlar los procesos necesarios para cumplir los
requisitos y para implementar las acciones determinadas en la gestión de riesgos.

8.2 Evaluación de riesgos de la seguridad de la información

Se debe llevar a cabo evaluaciones de riesgos a intervalos planificados o cuando se
propongan u ocurran cambios significativos. Ver 6.1.2.a

8.3 Tratamiento de riesgos de la seguridad de la información

Se debe implementar el plan de tratamiento de riesgos. Se debe conservar información
documentada de los resultados del tratamiento.
 9. Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación.

Se debe determinar:
• A qué se requiere hacer seguimiento y medir.
• Los métodos de seguimiento, medición,
análisis y evaluación.
• Quien debe llevar a cabo el seguimiento y la
medición.
• Cuándo se deben analizar y evaluar los
resultados.
• Quién debe analizar y evaluar estos resultados.
 9. Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación.

MATRIZ DE COMUNICACIÓN EXTERNA E INTERNA

A QUÉ CUÁNDO RESPONSABLE
CUÁNDO REALIZAR
REALIZAR MÉTODO A ANALIZAR Y DE EVALUAR
EL SEGUIMIENTO Y RESPONSABLE
SEGUIMIENTO UTILIZAR EVALUAR LOS LOS
LA MEDICIÓN
Y MEDIR RESULTADOS RESULTADO
Política de Verificación del Según la Responsable de la Según la Responsable de
control de indicador de la periodicidad seguridad de la periodicidad la seguridad de
acceso política de definida. información en la definida. la información
control de organización. en la
acceso. Auditoría. organización.
Verificar los Auditoría.
incidentes
relacionados
con accesos no
autorizados.
 9. Evaluación del desempeño
9.2 Auditoria Interna
Se debe llevar llevar a cabo auditorías internas a intervalos planificados,
para proporcionar información acerca de si el SGSI:
Es conforme con:
• Los propios requisitos de la organización para el SGSI
• Los requisitos de la norma
Se debe:
• Planificar, implementar y mantener uno o varios programas de auditoria
que tenga: frecuencia, métodos, responsabilidades, informes, etc.
• Definir criterios y alcance
• Seleccionar los auditores
• Asegura de que los resultados se informe a la Dirección
• Conservar documentación documentada de la implementación del
programa de auditoria y de los resultados de ésta.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011

Auditoria Interna
Proceso sistemático, independiente,
documentado, para obtener evidencia y
evaluarla objetivamente, con el fin de
determinar en que grados se cumplen los
criterios de la auditoría.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
Tipos de auditoria
De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.
De segunda parte. (Cliente a Proveedor)
Una auditoria realizada por una organización externa en con
intereses en la organización
De tercera parte (Auditoria de Certificación)
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.
Nota: Cuando se auditan juntos dos o más sistemas de gestión de
diferentes disciplinas (ej. Calidad, ambiental, seguridad, etc.) esto se
denomina auditoria combinada.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011

Principios de auditoria

Para asegurar que la auditoria es un herramienta efectiva y confiable

de gestión, la auditoria es basada en ciertos principios
fundamentales.

Competencias de auditores
■ ISO 19011:2018, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
Principios de auditoria
INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.

PRESENTACION ECUANIME: La obligación de informar con veracidad y exactitud.

DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los auditores

deben proceder con el debido cuidado, de acuerdo con la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoria y por otras
partes interesadas.

CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la discreción en

el uso y protección, sobre la información obtenida en el curso de la auditoría.

INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las conclusiones

de auditoría. El auditor debe ser independiente y debe actuar en todos los casos libre de
cualquier conflicto de intereses

ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar conclusiones de la

auditoria fiables y reproducibles en un proceso de auditoria sistemático. La evidencia de la
auditoria es verificable. Está basada en muestras de la información disponible, ya que una
auditoría se lleva a cabo durante un período de tiempo delimitado y con recursos finitos.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria
y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los
criterios de auditoria.

ALCANCE DE LA AUDITORÍA (3.14.)

Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas,
las unidades organizacionales, actividades y procesos, así como el período de tiempo
cubierto.

PROGRAMA DE AUDITORÍA (3.13.)

Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar
y llevar a cabo las auditorias.

PLAN DE AUDITORÍA (3.15)

Descripción de las actividades y de los detalles acordados de una auditoria.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
CRITERIOS DE AUDITORÍA (3.2.)
Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.

AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.

EVIDENCIA DE AUDITORIA (3.3.)

Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable

COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.

EXPERTO TÉCNICO (3.10.)

Persona que provee conocimiento especifico o experiencia al equipo auditor.
No actúa como un auditor.
 9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
HALLAZGOS DE LA AUDITORÍA (3.4.)
Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.

CONCLUSION DE AUDITORÍA (3.5.)

Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos de
la auditoria y todos los hallazgos resultado de la auditoria.

OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.

AUDITADO(3.7.)
Organización a ser auditada.

GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
 9. Evaluación del desempeño
9.2 Auditoria Interna
FASES DE AUDITORIA Programa Hallazgos

Necesidad de AI Programar Planear Realizar RevisarInformar Informe

Plan
Lista de Verif. Conformidades
No Conformidades
 9. Evaluación del desempeño
9.2 Auditoria Interna
FASES DE AUDITORIA
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
1.1 Definir el responsable del programa de auditoría. (P)

• Establecer objetivos y amplitud programa auditoria

• Establecer responsabilidades y los procedimientos,
• y asegurarse de asignación de recursos
• Asegurarse de implementación programa auditoria
• Asegurarse de mantener los registros
• Realizar seguimiento, revisar y mejorar el programa auditoria.
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
1.2 Establecer el programa de auditoría (alcance)
1.2.1 Objetivo
a) Cumplir con los requisitos del SGSI
b) Verificar la conformidad con los requisitos contractuales
c) Obtener y mantener la confianza en la capacidad de un
proveedor
d) Contribuir con la mejora del SGSI
1.2.2 Extensión
a) alcance y duración de cada auditoria que se realice
b) cualquier aspecto idiomático, cultural o social
c) el número, la importancia y la ubicación de las actividades
d) las normas, requisitos legales, reglamentarios y contractuales
1.2.3 Recursos
1.2.4 Procedimiento
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA (H)
2.1 Ejecución del calendario de auditorías
2.2 Selección del equipo auditor:
❑ Competencia del auditor y evaluación desempeño
❑ Selección equipo auditor (Acuerdo de confidencialidad).
2.3 Conducción de las actividades de auditoría.
2.4 Conservación de los registros:
❑ Plan de auditoria
❑ Informes de auditoria.
❑ Informe de no conformidades.
❑ Informe acciones correctivas y preventivas.
❑ Informes de seguimiento de la auditoria.
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
SEGUIMIENTO Y REVISIÓN DEL PROGRAMA DE AUDITORÍA
(V)

❑ Resultados y tendencias
❑ Prácticas alternativas de auditoria o nuevas
❑ Conformidad procedimientos
❑ Expectativas de las partes interesadas
❑ Registros de resultados
❑ Desempeño equipo auditor
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
MEJORA DEL PROGRAMA DE AUDITORÍA (A)

3.1 Identificación de la necesidad de acciones correctivas y preventivas.

3.2 Identificación de oportunidades de mejora
4.1 Capacitación de auditores (Mantenimiento y mejora de la
competencia)
4.2 Aumento en la eficiencia del programa
4.3 Adecuación a las necesidades cambiantes de las partes interesadas
4.4 Coherencia en la fiabilidad del equipo auditor.
 9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
 9. Evaluación del desempeño
9.2 Auditoria Interna - Plan de auditoria
• Objetivos y alcance.
• Documento o Estándar de referencia.
• Lugares (direcciones) y contactos claves.
• Áreas o dependencias que serán auditadas.
• Determinación de las clausulas claves para preparar la lista de verificación.
• Personal de contacto.
• Definición del rol de cada miembro del grupo de auditores.
• Fechas de la revisión.
• Hora y duración esperada para cada actividad principal.
• Programación de reuniones.
• Claridad en los requisitos de confidencialidad.
• Distribución del informe y fecha esperada de la publicación.
• Elaboración y preparación de los documentos de trabajo.
 9. Evaluación del desempeño
9.2 Auditoria Interna - Plan de auditoria
Organización:
Dirección: Fechas
en sitio:
Auditor Líder:
Auditor:
Auditor experto:

Estándar: ISO 27001:2013

Lenguaje de
auditoria:

Objetivos de auditoria:
 9. Evaluación del desempeño
9.2 Auditoria Interna - Plan de auditoria
Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave
Día 1 d 5 8:00 Todos Llegada a la organización
8:05 Reunión de apertura
8:30 Presentación del SGSI por la organización
9:00 Revisión documental del SGSI
10:00 Gestión de riesgos
11:30 Diseño y desarrollo
12:30 Almuerzo
13:50 Departamento legal
14:30 Centro de datos Secundario
16:30 Reunión de retroalimentación
17:00 Fin primer día
 9. Evaluación del desempeño
9.3 Revisión por la dirección

La revisión por la dirección debe incluir:

• Estado de las acciones de las revisiones anteriores.

• Cambios en los aspectos externos e internos que afecten el SGSI
• Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
• No Conformidades y Acciones Correctivas.
• Seguimiento y resultados de las mediciones.
• Resultados de la auditoría.
• Cumplimiento de los objetivos del SGSI
• Retroalimentación de las partes interesadas.
• Resultados de la evaluación de riesgos y estado del plan de tratamiento.
• Oportunidades de mejora.
 10. Mejora
10.1 No conformidades y acciones correctivas
Cuando se tenga una No Conformidad, se debe:
• Reaccionar ante la No Conformidad, según aplique:
• Tomar acciones para controlarla y corregirla.
• Hacer frente a las consecuencias
• Evaluar la necesidad de acciones para eliminar las causas, con el fin de que
no vuelvan a ocurrir las No Conformidades, mediante:
• Revisión de la No Conformidad.
• Determinar las causas.
• Determinar si existen No Conformidades similares o que potencialmente
podrían ocurrir.
• Implementar acciones
• Revisar la eficacia de las acciones tomadas.
• Hacer cambios al SGSI cuando sea necesario.
 ISO 27001:2013 – ANEXO A
A5 Política de
Seguridad

A6 Organización de
A11 Seguridad
la Seguridad de la
Física y del Entorno
información

A7 Recursos
A10 Criptografía
Humanos

A9 Control de A8 Gestión de
Acceso Activos
 ISO 27001:2013 – ANEXO A
A12 Seguridad de las
operaciones

A13 Seguridad de las

A18 Cumplimento
comunicaciones

A17 Aspectos de seguridad

A14 Adquisición desarrollo
dela información de la
y mantenimiento de los
gestión de continuidad del
sistemas
Negocio

A16 Gestion de Incidentes

A15 Relaciones con
de sEgurida de la
proveedores
Información
 GRACIAS!

LA SEGURIDAD DE LA INFORMCIÓN, UN
COMPROMISO DE TODOS.