Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Formato Referencial Plan de Evaluacion Auditoria Interna EGSI V2
Formato Referencial Plan de Evaluacion Auditoria Interna EGSI V2
Es importante considerar que por estar implementando el primer ciclo del EGSIv2, es
recomendable para este ejercicio de Auditoría Interna (breve), considerar una parte del
grupo de los controles de seguridad que fueron seleccionados en el documento Declaración
de Aplicabilidad y los requisitos del Esquema que contemplan los ocho primeros hitos.
1. Identificación
1.1 Tipo de Auditoría
[Ejemplo:
1.2 Proceso
En esta sección se debe describir el proceso, subproceso y/o áreas en el que se aplicará la
auditoría interna.
[Ejemplo:
El Proceso seleccionado para la primera Auditoría Interna en la implementación del Esquema Gubernamental de
Seguridad de la Información es “GESTIÓN DE LA SIMPLIFICACIÓN DE TRÁMITES Y SERVICIOS” y los
subprocesos involucrados son:
“Gestión de Proyectos”
“Gestión de TI”
“Gestión de TH”
“Gestión de Normativas”
... ]
En esta sección se debe detallar el nombre del funcionario que actuará como Auditor Líder,
es recomendable, en caso de ser posible y/o existir en la institución, que dicho funcionario
cumpla con el perfil requerido: conocimientos de auditorías de Sistemas de Gestión; caso
contrario el funcionario designado no debería haber formado parte del proceso de
implementación, es decir deberá tener independencia y objetividad.
NOTA IMPORTANTE:
La Auditoria interna se realizará con personal vinculado laboralmente a la institución, pero independiente al ámbito auditado,
con el fin de garantizar los principios de independencia y objetividad:
De acuerdo al tamaño de la institución al menos debe contemplarse una persona para desempeñar la tarea de
auditor interno.
En el caso de ser instituciones medianas o grandes considerar al menos dos personas o más que podrían ser los
dueños de los procesos o jefes de área.
[Ejemplo:
[Ejemplo:
Realizar una auditoría interna de cumplimiento de la implementación del Esquema Gubernamental de Seguridad
de la Información – EGSI v2, acorde a la normativa emitida por el Ministerio de Telecomunicaciones y de la
Sociedad de la Información: Acuerdo ministerial No. 025- 2019.
…]
Ejecutar la Auditoría Interna a los requisitos de la Norma Técnica (EGSIv2) que hasta la fecha se han cumplido. (ver
Anexo 2)
Seleccionar los controles a ser validados en esta primera Auditoría Interna, estos controles serán los relacionados a
los subprocesos y/o áreas descritas en la sección “1.2 Proceso”.
Recordar que solo por esta ocasión se realizará una Auditoría Interna breve, para las próximas auditorías se deberá
planificar al menos una auditoría interna cada año y a la totalidad del alcance seleccionado para la implementación
del EGSI v2.
[Ejemplo:
El alcance seleccionado para la primera Auditoría Interna a realizarse es el proceso “X”, que incluyen los
subprocesos/áreas:
Subproceso X
Subproceso Y
Subproceso Z
En esta sección se debe incluir los criterios para valorar los hallazgos, tanto relacionados
con los requisitos, como los controles de seguridad del Esquema Gubernamental de
Seguridad de la Información.
Existen varias metodologías que permiten realizar la Auditoría Interna de los sistemas de
gestión de seguridad de la información, cada institución deberá seleccionar y aplicar la que
mejor se alinee a su giro de negocio, alcance o realidad institucional.
[Ejemplo:
Los criterios definidos para la ejecución de la auditoría interna de la implementación del Esquema
Gubernamental de Seguridad de la Información – EGSI v2, tanto para los requisitos y los controles de seguridad,
se detalla a continuación:
VALORACIÓN DE CUMPLIMIENTO
REQUISITOS Y CONTROLES DE SEGURIDAD
…]
1.7 Metodología de la Auditoría
[Ejemplo:
2. Agenda
1.8 Actividades de la Auditoría
En esta sección se debe especificar las actividades que se ejecutarán en la auditoría, con
fechas, horarios, las áreas o procesos a ser auditados, auditor o auditores que realizarán
dichas actividades, lugar en donde se lo realizará, otros.
[Ejemplo:
Las actividades a realizarse en la primera auditoría interna del Esquema Gubernamental de Seguridad de la
Información, se describen a continuación:
Se realizará la reunión formal del inicio de la auditoria y se presentara las actividades que se van a
desarrollar durante el transcurso del proceso de auditoría
Para la definición de equipos de trabajo se considera a los funcionarios delegados por área a ser
auditada y el auditor designado (o equipo de auditores).
…]
3. Recursos necesarios
En esta sección se debe definir y detallar el cronograma de trabajo de las actividades a
realizar, delegados por área a ser auditada, materiales, listas de verificación y todo lo que se
requiera para ejecutar la auditoría.
[Ejemplo:
Cronograma de trabajo
Considerando que en la auditoría interna se evaluarán los requisitos levantados y documentados, así como los
controles de seguridad implementados, se ha elaborado el siguiente cronograma: (Ejemplo: ANEXO 1)
Materiales
Los materiales a ser usados en el proceso de auditoría son los equipos informáticos (computadores, impresoras,
scanner, otros) proporcionados por la institución.
Listas de verificación
Para la ejecución de la auditoría interna se ha elaborado listas de verificación para la revisión del cumplimiento
de los requisitos y controles de seguridad del Esquema Gubernamental de Seguridad de la Información
(Ejemplos: ANEXO 1, ANEXO 2).
…]
Historial de modificaciones
Mes “X”
Semana1 Semana 2 Semana 3
N. Actividades a ejecutar
D D D D D D
D1 D3 D5 D2 D4 D1 D3
2 4 1 3 5 2
Revisión y recopilación de información básica, política,
1
normativa, procedimientos, otros.
Reunión previa para aprobación del Plan o Cronogra-
2
ma de trabajo.
Reunión de Inicio y presentación de actividades a reali-
3
zar
Ejecución de encuestas mediante entrevistas a funcio-
4
narios
5 Inspección de Instalaciones
7 Controles a revisar
8 Pruebas a realizar
10 Obtención de Resultados
NOTA IMPORTANTE:
Levantamiento de la información: para levantar la información y determinar la valoración de los hallazgos, se podrían realizar:
verificaciones en sitio, entrevistas, encuestas, preguntas y respuestas a los entrevistados. Checklist, otros.
Revisión y recopilación de información básica: la recopilación de información se lo puede realizar a través de cuestionarios, o
encuestas dirigidos a los dueños del proceso y funcionarios de las áreas a auditar con el fin de conocer los equipos que usan
procesos, que realizan procedimiento elaborados, conocimientos del EGSI, normativa interna, políticas, etc.
Reunión aprobación Plan o cronograma de trabajo: reuniones de trabajo entre auditores y jefes de área para dar a conocer el
cronograma de trabajo y aprobación del mismo.
Reunión de inicio y presentación de actividades a realizar: reunión formal del inicio de la auditoria y presentación de actividades
que se van a desarrollar durante el transcurso del proceso de auditoría.
Controles a revisar: verificación de la existencia y aplicación correcta de Políticas de seguridad de la información, controles de
seguridad de acuerdo al resultado de la evaluación de riesgos.
Pruebas a revisar: verificación de la implementación adecuada y alineada a los procedimientos, manuales, políticas
establecidas. La documentación debe estar actualizada.
Elaboración del Informe de Auditoría: documento en la que se plasma los resultados de la auditoria, hallazgos, no
conformidades, mismas que serán presentados y revisados por las autoridades para su cumplimiento.
ANEXO 2
LISTA DE VERIFICACIÓN REQUISITOS - IMPLEMENTACIÓN
(EGSI V2.0)
Ref. NTE-ISO/IEC 27001
Porcentaje
Ítem Descripción Hallazgos de Efectivi- Valoración
dad
0.0.1 Perfil del Proyecto
Ejemplo: Se verificó que exis-
¿Están identificados los objetivos del EGSI? te un documento de Perfil de
NO CONFORMI-
¿Se ha determinado el Perfil del Proyecto para la implementación del Proyecto, pero no especifica 50%
DAD MENOR
EGSI? los objetivos del EGSI y no ha
sido socializado.
0.0.2 Definición del Alcance del EGSI versión 2.0
¿Se ha determinado el alcance del EGSI y se conserva información do-
cumentada?
0.0.3 Política de la Seguridad de la Información
¿Se ha definido una Política de la Seguridad de la Información (alto ni-
vel)?
¿Se ha comunicado la política de la Seguridad de la información a las
partes interesadas y a toda la institución?
0.0.4 Metodología de evaluación y tratamiento del riesgo
¿Se identifican y analizan los riesgos mediante un método de evalua-
ción y aceptación de riesgos?
ANEXO 3
LISTA DE VERIFICACIÓN CONTROLES DE SEGURIDAD
(ANEXO - EGSI V2.0)
Ref. NTE-ISO/IEC 27002
Sec- Porcentaje de
Ítem Descripción Hallazgos Valoración
ción Efectividad