Upload
marlenny-garcia
View
216
Download
2
Embed Size (px)
Citation preview
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
1/88
MP-30C-V2
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
2/88
MP-30C-V2
Aspectos Generales
Horario
Recesos -> refrigerios/almuerzo
Uso telfono mensajes
Parqueo
No Fumar
Evaluacin
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
3/88
MP-30C-V2
Metodologa
Exposicin magistral
Taller
Puesta en comn
Material
Certificado
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
4/88
MA-30C-V1
Auditoras internas enun SGSI
Fundamentos y principios d e auditora.
Esquema principal para la realizacin deuna auditora siguiendo el ciclo PHVA.
Planeacin y ejecucin de la auditora in
situ.
Act iv idades pos teri ores a la au dit ora d e unSGSI.
Brindarle al participante el conocimiento f undamental relacionado con elproceso de auditoras internas en un sistema de gestin de seguridadde la informacin.
Proporcionar al participante una herramienta para definir y gestionar ensu organizacin el pr oceso de auditoras internas en un SGSI.
Conocer y aplicar la metodologa establecida en la norma ISO 19011para el desarrollo de las auditoras internas.
16 horas
Contenido:
Dirigido a:
Objetivo:DURACIN
Directores de Operaciones o gerentes de reas con
responsabilidad ejecutiva en el negocio.
Gerentes y especialistas en s eguridad de informacininteresados en conocer el modelo de gestin de la seguridad de
la informacin basado en ISO 27002.
Personas responsables de la coordinacin y desarrollo d e
actividades relacionadas con el diseo, implementacin y
control de Sistemas de Gestin de Seguridad de la Informacin.
Profesionales interesados en la formacin en aspectos
relacionados con l a Gestin d e la Seguridad de la Informacin.
Normas Aplicadas:ISO/IEC 27001, ISO/IEC 27002,
ISO 19011
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
5/88
MP-30C-V2
Auditorauna herramienta de gestin
AUDITORA DE SGSI
ALTA DIRECCIN
EFICAZ Y EFICIENTEFORTALEZAS Y DEBILIDADES
SGSI
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
6/88
MP-30C-V2
Para quhacer auditoras?
Cumplimiento de requisitos de norma,legislacin y reglamentaciones.
Cumplimiento de requisitos de seguridadde la informacin.
Implementacin y mantenimiento eficaz.
Desempeo acorde con lo esperado.
Objetivos de controlControlesProcesos
Procedimientos
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
7/88
MP-30C-V2
Principiosde la auditora
CONDUCTA TICA
PRESENTACIN ECUNIME
CUIDADO PROFESIONAL
AUDITORES
INDEPENDENCIA ENFOQUE BASADO
EN LA EVIDENCIA
PROCESO DE AUDITORA
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
8/88
MP-30C-V2
Enfoque delas auditorasCRITERIOS
LO QUE SE DEBE HACER
- ESPECIFICACIONES- PLIEGO DE CONDICIONES- REGLAMENTOS- MANUAL DE SEGURIDAD- NORMAS- PROCEDIMIENTOS- MODOS OPERATIVOS, ETC.
REALIDAD
PROCESOS
LO QUE SE HACE
OBJETIVO
LO QUE SE QUIEREHACER
CUMPLIR SISTEMTICAMENTEREQUISITOS DEL SISTEMA DE
LA SEGURIDAD DE LAINFORMACION ESPECIFICADOS
ENTRADAS
D1
D2 D3
D1: ConvenienciaD2: SuficienciaD3: Eficacia
SALIDAS
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
9/88
MP-30C-V2
Conceptosrelativos a la auditora
Cliente de laAudi tora
Programa de
auditora
AuditorAUDITORA
Hallazgos de la auditora
Criterios de la auditora
Equipo auditor
Evidencia de la auditora
Experto tcnico
Conclusiones de auditor a
Auditado
Plan de auditora
Objetivos de auditora
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
10/88
MP-30C-V2
Clases de auditora
OBJETIVOS: Evaluar la capacidad para
cumplir los requisitosmnimos del modelo ISO27001.
OBJETIVOS: Evaluar la adecuacin para cumplir
eficazmente los requisitos del SGSIdel desarrollo del proveedor.
Verificar la aplicacin dedisposiciones contractuales.
OBJETIVOS:Determinar si el SGSI: Cumple los requisitos de la ISO
27001 y de la legislacin oreglamentaciones pertinentes. Cumple los requisitos identificados de
seguridad de la informacin. Estn implementados y se mantienen
eficazmente. Tienen un desempeo acorde con lo
esperado.
Para: Certificacin oreconocimiento por un tercero.
Para: Evaluar y seleccionar proveedores. Ejecutar re evaluacin a
proveedores. Mantener relaciones gana-gana.
Para: Evaluar la eficacia del SGSI. Identificar oportunidades de
mejoramiento. Necesidad de cambios en el enfoque
de la seguridad.
ORGANIZACIN
AUDITORA EXTERNA
CLIENTES, PROVEEDORES
AUDITORA EXTERNA
ORGANIZACIN
AUDITORA INTERNA
TERCERA PARTESEGUNDA PARTEPRIMERA PARTE
Objetivos de control Controles Procesos Procedimientos
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
11/88
MP-30C-V2
Auditora como proceso
ENTRADASENTRADASDELDEL
PROCESOPROCESO
RESULTADOSRESULTADOSDELDEL
PROCESOPROCESO
OBJETIVO:OBJETIVO:RESPONSABLE:RESPONSABLE:
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
12/88
MP-30C-V2
Competenciay evaluacin de los auditores
COMPETENCIA DE LOSAUDITORES
Gestin Humana
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
13/88
MP-30C-V2
Competencia
Conocimientos yhabilidades
genricos
CALIDAD AMBIENTAL
Conocimientos yhabilidades
especficos de calidad
Conocimientos yhabilidades
especficos de medioambiente
INFORMACIN
Conocimientos yhabilidades
especficosde seguridad dela informacin
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
14/88
MP-30C-V2
Atributos personales
tico
Mente abierta
Diplomtico
Observador
Perceptivo
Verstil
Tenaz
Decidido
Seguro de smismo
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
15/88
MP-30C-V2
Conocimientosgenricos y habilidades
Principios, procedimientos y tcnicas deauditora.
Documentos del sistema de gestin y dereferencia.
Situaciones de la organizacin.
Leyes, reglamentos y otros requisitosaplicables pertinentes a la discipl ina.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
16/88
MP-30C-V2
Conocimientos genricosy habilidades de los lderes de los equipos auditores
Planificar la auditora y hacer un uso eficaz de los recursosdurante la auditora.
Representar al equipo auditor en las comunicaciones con elcliente de la auditora y el auditado.
Organizar y d irigir a los miembros del equipo auditor.
Proporcionar direccin y orientacin a los auditores enformacin.
Conducir al equipo auditor para llegar a las conclusiones dela auditora.
Prevenir y resolver conflic tos.
Preparar y completar el info rme de la auditora.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
17/88
MP-30C-V2
Formacin delos equipos de auditora en SGSI
Conocimiento de la norma en SGSI.
Comprensin de seguridad de la informacin.
Comprensin de la evaluacin del riesgo y gestin del riesgodesde la perspectiva del negocio.
Conocimiento tcnico de la actividad que va a ser auditada.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
18/88
MP-30C-V2
Formacin delos equipos de auditora en SGSI
Conocimiento general de los requisitos regulatoriosrelevantes para el SGSI.
Conocimiento en sistemas de gestin.
Comprensin de los principios de auditora basados en lanorma ISO 19011.
Conocimiento de la revisin de la eficacia y la medida de laeficacia de los controles.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
19/88
MP-30C-V2
Concepto de competencia
Educacin
Formacin
Habilidades
Experiencia
Calificaciones
Cualidadespersonales
(atributos)
Apti tud paraaplicarconocimientosy habilidades
Demostracin
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
20/88
MP-30C-V2
Ejemplo de competencia
Igual que para el auditor24 h de formacin en la segundadiscipli na (vase la nota 4)
40 h de formacin en auditoraFormacin comoauditor
Igual que para el auditor2 aos en la segunda disciplina(vase la nota 3)
Al m enos 2 de lo s 4 ao s enroles o funcionesrelacionadas a la seguridadde la informacin
Experiencialaboral en elcampo de lagestin de laseguridad de lainformacin
Igual que para el auditorIgual que para el auditor4 aos de experiencia entecnologas de la informacin(vase la nota 2)
Experiencialaboral total
Igual que para el auditorIgual que para el auditorEducacin secun daria (vasenota 1)
Educacin
Tres auditoras co mpletas conun total de al menos 15 das deexperiencia en audito raactuando como lder del equipoauditor, bajo la direccin yorientacin de un auditorcompetente como lder delequipo auditor (vase la nota 5)
Tres auditoras completas co nun total de al menos 15 das deexperiencia en auditora en lasegunda disciplina, bajo ladireccin y orientacin de unauditor competente como lderdel equipo auditor en lasegunda discip lina (vase lanota 5)
Cuatro auditoras completascon un t otal de al menos 20das de experiencia enauditora como auditor enformacin, bajo la direccin yorientacin de un auditorcompetente como lder delequipo auditor (vase la nota5)
Experiencia enauditoras
LDER DEL EQUIPO AUDITORAUDITOR EN AMBAS
DISCIPLINASAUDITORPARMETRO
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
21/88
MP-30C-V2
Algunas notas ...
Nota 1. La educacin secundaria es aquella parte del sistema de educacin nacionalque comienza despus del grado primario o elemental, y que se completa antes delingreso a la universidad o a una institucin educativa similar.
Nota 2. El nmero de aos de experiencia laboral podra reducirse en un ao si lapersona ha completado una educacin apropiada posterio r a la secundaria.
Nota 3. La experiencia laboral en la segunda disciplina puede ser simultnea a laexperiencia laboral en la primera disciplina.
Nota 4. La formacin en la segunda disciplina es para adquirir conocimientos de lasnormas, leyes, reglamentos, principios, mtodos y tcnicas pertinentes.
Nota 5. Una auditora completa es la que trata todos los pasos (revisin de ladocumentacin, anlisis del riesgo, evaluacin de la implementacin y reporte deaudiora). La experiencia global en auditoras debera comprender la totalidad de lanorma de sistemas de gestin .
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
22/88
MP-30C-V2
Mtodos de evaluacin
Revisin de
Registros
Entrevista
Observacin
Retroalimentacinpositiva y negativa
Revisin despus
de la auditora
Examen
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
23/88
MP-30C-V2
PROGRAMA DE AUDITORA
INTERNA DE SGSICliente de la auditor a
(Alta Direccin)
Programa deauditora interna de un SGSI
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
24/88
MP-30C-V2
Gestin deun programa de auditoraAutoridad para el
programa de auditora
Establecimiento para el
programa de auditor ia
Implementacin delprograma de auditora
Seguimiento y revisin delprograma de auditora
Mejora delprograma de
auditora
Competenciay evaluacin
de losauditores
Actividadesde auditora
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
25/88
MP-30C-V2
Programa 3(2 aos)
Aporte al S.G.S.I
Beneficiosparael
S.G.S.I
Programa 1(2.5 aos)
Programa 2(3 aos)
Los prog ramas se van actualizando en la medida enque se obtienen los resultados esperados
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
26/88
MP-30C-V2
Programa de auditora
Recursos:
Observaciones:
Elaborado por:Aprobado:
ResponsableFecha ltima auditora/Fecha programacin
auditora interna
Procesos
Documento (s) de Referencia:Fecha de actualizacin:
Alcance del programa:
Objetivo del programa:
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
27/88
MP-30C-V2
Inicio de la Auditora
Revisin de la documentacin
Preparacin de las activ idades de auditora in situ
Realizacin de las actividades de auditor a in si tu
Preparacin, aprobacin y distribuc in del informe de auditora
Finalizacin de la auditora
Realizacin de las actividades deseguimiento de la auditora
Actividadesde la auditora
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
28/88
MP-30C-V2
Ciclo PHVA enel proceso de auditora
P
HV
A
Establecimiento del programa deauditoras (alcance, objetivos, recursos,procedimientos, etc.)
Implementar el programa (competencia deauditores, actividades de auditora).
Resultados acordes al programa.Suficiencia de recursos.Satisfaccin del auditado.Acc ion es correcti vas y p revent ivas alprograma o al proceso de auditoras,etc.
Mejora del programa.Informe a la gerencia.
Re-asignacin de recursos.Cambios a los objetivos del progr ama.Re-entrenamiento de auditores, etc.
P
HVA
Inicio de la auditora.Revisin de ladocumentacin.Preparacin de actividadesen sitio.
Realizacin de actividadesen sitio.
Preparacin, aprobacin ydistribucin del informe.Finalizacin de la auditora.
Act ivi dades de segui miento dela auditora.
GestiGestin del programa de auditorn del programa de auditoraa
Activ idades de audi torActividades de auditoraa
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
29/88
MP-30C-V2
Revisin de la documentacin
Auditor lder y grupo auditor
Revisin de la documentacin
PP
HH
VV
AA
P
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
30/88
MP-30C-V2
En qu aportaal auditor la documentacin?
La documentacin del sistema y
del proceso, es vital para entenderqu es lo que vamos a hacer como
auditores para orientarnos hacia el
objetivo del programa.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
31/88
MP-30C-V2
Qu podemos obtenerde la documentacin del SGSI y del proceso?
Poltica y objetivos del SGSI: propsitos del SGSI.
Alcance: cobertura del SGSI.
Procedimientos y controles que apoyan el SGSI: adecuacin y suficiencia delSGSI.
Metodologa de valoracin de riesgos: conocer los criterios utilizados paraanalizar y evaluar los riesgos de la organizacin.
Informe de valoracin de riesgos: configuracin de los riesgos de laorganizacin (el informe es adecuado a la realidad de la organizacin,
coherencia con la metodologa).
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
32/88
MP-30C-V2
Qu podemos obtenerde la documentacin del SGSI y del proceso?
Plan de tratamiento de riesgos: controles adecuados y suficientes paralos riesgos. Gestin apropiada de recursos, responsabilidades, yprioridades para manejar el riesgo.
Procedimientos de planificacin, operacin y control de los procesos:entender el hacer del proceso.
Declaracin de aplicabilidad: coherencia de los objetivos de control ycontroles seleccionados de acuerdo a la metodologa de valoracin.
Reportes de auditora, no conformidades, acciones tomadas, etc.: laevolucin del proceso y su histo ria a travs de resultados.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
33/88
MP-30C-V2
Conclusiones del equipoauditor respecto a la documentacin revisada
Aspectos fuertes que son claros y aportan valor.
Aspectos por mejorar de la documentacin, para darclaridad y aporte de valor.
Aspectos de la documentacin, que ayudarn alauditor en la auditora de campo.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
34/88
MP-30C-V2
Qu podemosobtener de la norma ISO 27001?
4.2.4
8.1
8.2
8.3
.
.
.
4.2.3
6
.
.
.
4.2.2
4.3.3
5.2.2
.
.
.
4.1
4.2.1
5.2.1
.
.
.
.
ACTUARVERIFICARHACERPLANEAR
PROCESO: Gestin Humana
Es una gua para orientarnos hacia el cumplimiento de los requisitos mnimos delSGSI, al int erior de un proceso.
Algunos captul os se pueden auditar COMPLETOS o tan slo una PARTE DE ELLOS
segn como co rresponda y aporte al objetivo del programa de auditora.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
35/88
MP-30C-V2
Plan de auditora
Auditor lder
Preparacin de
las actividades de auditora in situ
PP
HHVV
AA
P
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
36/88
MP-30C-V2
Plan de auditora
Objetivos de la auditora
Criterios de la auditor a y documentos de referencia.
Alcance (un idades de la organizac in, unidadesfuncionales y procesos).
Agenda (fechas, lugares y tiempo).
Funciones y responsabilidades del equipo auditor.
Recursos.
Contenido:Contenido:
Revisado y aceptadoRevisado y aceptado
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
37/88
MP-30C-V2
Lista de verificacin
Equipo auditor
Preparacin de
las actividades de auditora in situ
PP
HHVV
AA
P
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
38/88
MP-30C-V2
Ayudar a la gestin del tiempo,indicando lo que ha de cubrirse encada proceso.
Facili tar el cubr imiento de cadaactividad, obteniendo respuestapara los requerimientos.
Utilidad de la
lista de verificacin
Recopilar las evidenciasde la auditora en ordenlgico.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
39/88
MP-30C-V2
Lista de verificacinPgina ___ de ___
FECHA:
PROCESO:
PLAN No.
Comentarios / observaciones /conclusiones / hall azgos
Documentos y/oregistros
A
V
H
P
Informacin a buscar
RESPONSABLE:OBSERVACIONES:
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
40/88
MP-30C-V2
Reunin de apertura
Auditor lder
Realizacin de
las actividades de auditora in situ
PP
HHVV
AA
H
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
41/88
MP-30C-V2
Objeto:
Reunin de apertura
Confirmar plan de auditora.
Describir las actividades de la auditora in situ.
Confirmar canales de comunicacin.
Responder preguntas del auditado.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
42/88
MP-30C-V2
Recopilacin y verificacin de lainformacin
Auditor lder y su Equipo auditor
Realizacin de
las actividades de auditora in situ
PP
HHVV
AA
H
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
43/88
MP-30C-V2
Fuentes de informacin
Recopilacin mediante un muestreoapropiado y verificacin
Evaluacin vs. Criterios
Revisin
Conclusiones de la auditora
Recopilacin y
verificacin de la informacin
Evidencia de la auditora
Hallazgos de la auditor a
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
44/88
MP-30C-V2
Registros
Observacin
Estadsticas (datos)
Equipo de funcionamientoMediciones
Condiciones de operacin
Acuerdos de conf idencial idad
Condiciones de almacenamiento
Fuentes de informacin
Acuerdos con terceras partes
Incidentes deseguridad reportados
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
45/88
MP-30C-V2
La entrevista
Auditor lder, Equipo auditor yauditado
Realizacin de
las actividades de auditora in situ
PP
HHVV
AA
H
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
46/88
MP-30C-V2
La entrevista
PREGUNT
AR
ESCUCHA
ACTIVA
CierreAper tura
DOCUMENTAR
EN
LISTA
DE
VERIFICACI
N(+/-)
ACEPTACIN
DEL
AUDITADO
CONCLUSIN
H
ALLAZGO
EVIDENC
IA
ESCUCHA
R
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
47/88
MP-30C-V2
Elogie adecuadamente los elementos positivos, muestrereconocimiento.
Haga una crtica en forma colaboradora y dando aliento(Cmo se puede evitar esto la prxima vez? ).
No haga juicios de valor sobre expresiones del interlocutor.
Tenga paciencia, deje hablar.
Mantenga contacto v isual, concentrado.
Efecte relaciones de atencin (asentir, si , mmh , ...).
Durante la entrevista
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
48/88
MP-30C-V2
Influencia delfactor humano
Los de buen/mal carcter
Los payasos
Los que discuten
Los que siempre buscan asesora
Los nerviosos
Los confiados
Los ocupados
Personalidades
Barreras en la
comunicacin efectiva
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
49/88
MP-30C-V2
Deje que el otro termine de hablar, tenga paciencia.
No emita juicios de valor sobre las expresiones del interlocutor.(Cmo se le ocurre , Esto no es as).
Evite las expresiones S (Pero se sabe que actualmente...),mejor es En la norma dice.... o Segn lo establecido oconocido, ....
Evite las formulaciones con T Usted (Ud. debera..., Thas perdido la oportunidad de... ). Son fcilmente captadas comouna adjudicacin de culpas, mejor es emplear yo : Yo lerecomiendo..., Segn mi opinin, ..., Recog la experienciasiguiente..., Tales requisitos son obligatorios....
Haga comentarios con respecto al hecho, no a la persona. Suscomentarios no deben ser desmedidos.
Para evitar problemas
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
50/88
MP-30C-V2
RECUERDE QUE EL AUDITOR BUSCAActi tud Participat iva del auditado para que:
Asuma una posicin abierta. Sea honesto.
Se sienta bien.
EL AUDITOR NO BUSCASer un inspector del auditado que:
Busque fallas. Busque violaciones de procedimientos.
Esto podra generar posiciones defensivas, hostilidades,
ocultamiento de los hechos.
Rol del auditor
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
51/88
MP-30C-V2
Cules
preguntas se pueden hacer?
"Usted diligenci este formato?"
"Es este el archivo para ubicar los documentos internos yexternos?"
"Qu informacin entreg al usuario?"
"Quin trabaj con usted en la entrega de la informacin?"
"Djeme ver si entend correctamente. Me dijo que primerohablaron con el usuario y luego enviaron una carta derespuesta con la misma informacin soportada con otrosdocumentos Correcto?"
Las preguntas cerradas estn
diseadas para obtenerrespuestas breves del auditado.
CERRADAS
Las preguntas de sondeo oaclaracin son preguntasabiertas diseadas para extraerinformacin especfica y msprofunda acerca de un tpico.
Las preguntas abiertasestimulan al auditado a ser elque hable ms, y as se reduceel nmero de preguntas que elauditor debe formular.
Qu busca?
"Por favor, explique que est ocurriendo aqu?"
"Por qu estas quejas no han sido atendidas?"
"Qu quiere decir?"
"Dme algunos ejemplos""Cmo funciona esto?"
"Me va a decir algo ms?
SONDEO
Dgame qu procedimiento sigue usted?"
Mustreme cmo funciona esto?"
Cmo procesa los resultados del servicio?"
De dnde viene este formato?"
Qu hace cuando...?"
ABIERTAS
EjemplosTipos de
preguntas
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
52/88
MP-30C-V2
Cules
preguntas se deben evitar?
"Cundo comenz en este trabajo le informaron acerca delmanual de procedimientos? Sabe en dnde se encuentra elmanual? Quin le ense a hacer su t rabajo?"
Las preguntas mltiples puedenconfundir al auditado y hacerleolvidar algunas de susrespuestas, o hacer que seenfoque en algo de menorimportancia.
MLTIPLES
"As que usted es al que se le ocurri...?"
"Finalmente pudieron trabajar juntos y resolver esteproblema?"
"Parece que usted realmente tiene problemas para manejareste proceso"
"No pudo averiguar cmo archivar esto correctamente?""En el tiempo que lleva en este puesto no se ha molestadoen leer el procedimiento?Ese asistente suyo... Djeme decirle...!
Estas preguntas son una vasegura para poner al auditadofuera de lugar.
AGRESIVAS
EjemplosQu busca?Tipos de
preguntas
Siempre programa a los profesionales as... verdad?"
"Supongo que sabe que esto que encontramos va contra laley...
"Por supuesto, para usted es obvio que sta es la informacinque necesito, no?"
"Por supuesto que esta solicitud debi ser tramitada?"
Las preguntas capciosassugieren al auditado la respuesta"correcta" o "polticamentecorrecta".
CAPCIOSAS
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
53/88
MP-30C-V2
CMO ES LAPLANIFICACIN?
CMO SE HACE?
CMO SON LOSRESULTADOS?
Cundo se enva lainformacin?
Qu hace usted cuando...?
Mustreme un ejemplo...
Dgame como se evala lasnecesidades...
Qu ocurre despus de...CMO HAMEJORADO?
DENTRO DENUESTRO
MAPAESTE
PROCESO...
El manejo de la lista de verificacin es dinmico,se debera hacer de lo general a lo parti cular.
Por qu esto ocasionaproblemas con...?
Dme algunos ejemplos de..
Entrevista
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
54/88
MP-30C-V2
IMPACIENCIA
ACT
ITUDE
S
MIRA
DA
DESCONFIANZA
GEST
OS
MOVIMIENTO
S
Bloqueos en la comunicacin
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
55/88
MP-30C-V2
Generacin de hallazgos
Auditor lder y Equipo auditor
Realizacin de
las actividades de auditora in situ
PP
HHVV
AA
H
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
56/88
MP-30C-V2
Hallazgos de la auditora
EVIDENCIA DELA AUDITORA
Registros
Declaraciones
Observaciones
CRITERIOS DEAUDITORA
Poltica SGSI
Objetivos SGSI
Procedimientos
Requisitos
HALLAZGOS
+ _
NO CONFORMIDAD POTENCIAL: (AP)
NO CONFOMIDAD REAL: (C y AC)
CONFORMIDAD
OPORTUNIDADES DE MEJORA
Es el resultado de la evaluacin de la evidencia de la auditora,recopilada frente a los criterios de auditora.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
57/88
MP-30C-V2
La orientacin
de las no conformidades puede ir a ...Hallazgos que evidencian fallas e impactos a los objetivos de la auditora y elobjetivo definido.
Hallazgos que incumplen requisitos del cliente, legales o de la entidad queimpactan en los resultados.
Hallazgos repetidos durante la recoleccin de la infor macin.
El hallazgo que genera un alto im pacto para la entidad.
La documentacin es diferente a lo que sucede en la realidad.
El auditado no tiene conocimiento de las disposiciones documentadasaplicables.
Contradicciones en polticas, procedimientos, formatos, guas, etc...
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
58/88
MP-30C-V2
Redaccin de No Conformidades
La importancia de una buena redaccin de una No
Conformidad, radica en que con base en ella, laorganizacin toma las AC y AP correspondientes.
Una NC redactada correctamente, bsicamente consta de 3partes:
1. La evidencia que sustenta el hallazgo.2. El requis ito de la ISO 27001 que incumple.
3. La declaracin de la No Conformidad.
Presentacin de hallazgos
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
59/88
MP-30C-V2
EVITE CITAR:
Algunos proceso conocen sus riesgos.
Muchos registros no tienen los resultados de
Pocos auditores no tienen la independencia.
Casi todos los controles operativos estn desactualizados.
Varios reclamos de los clientes muestran la ineficacia delSGSI.
Ciertos operarios desconocen dnde estn los instructivos.
Presentacin de hallazgos
E l
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
60/88
MP-30C-V2
NO CONFORMIDADES LARGAS Y CONFUSAS
La revisin por la direccin programada para ejecutarse el da10 de enero fue realizada en las instalaciones del club y elprograma elaborado coincida con el evento de entrenamientoen toma de conciencia de la seguridad de la informacin, por locual fue necesario posponerla hasta el da siguiente (11 deenero) y como ocurri un corte de energa, no se dej registro.
REFERENCIA A NOMBRES
El Dr. Mendoza no posee los registros que demuestran lacompetencia del personal que realiza trabajos de auditora deseguridad de la informacin.
Errores en la
redaccin de hallazgos
E l
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
61/88
MP-30C-V2
EXPRESIN DE OPINIONES
La metodologa establecida para calificar los riesgos asociados a los
activos, no est orientada como lo indican las nuevas teoras de
gestin del riesgo.
IDENTIFICACIN DE REQUISITOS EQUIVOCADOS
No se evidenci la competencia del personal que realiza las
actividades de mantenimiento de los servidores de las bases de
datos de los clientes de la empresa.
(Reportada contra el requisito 4.1).
Errores en la
redaccin de hallazgos
R li i d
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
62/88
MP-30C-V2
Realizacin de la reunin decierre
Auditor lder
Realizacin de
las actividades de auditora in situ
PP
HH
VV
AA
H
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
63/88
MP-30C-V2
Hallazgos y conclusiones de laauditora. Solicitud accincorrectiva.
Eventualmente, acuerdos sobre laprecisin de las no conformidades.
Fechas tentativas para las accionescorrectivas y preventivas.
Procesos auditados, interacciones,niveles de la organizacin.
Reunin de cierre
Realizacin de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
64/88
MP-30C-V2
Preparacin, aprobacin ydistribucin del informe de la
auditora
Auditor lder
Realizacin de
las actividades de auditora in situ
PP
HH
VV
AAV
Contenido del
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
65/88
MP-30C-V2
Objetivos de la auditora.
Identificacin del cliente de la auditora.
Identificacin del lder del equipo auditor y los miembros.
Fechas y lugares donde se realizaron las actividades.
Contenido del
informe de auditora
Alcance de la audi tora.
Hallazgos de auditora.
Etc.
Criterios de auditora.
Conclusiones de auditora.
Qu no debera
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
66/88
MP-30C-V2
Qu no debera
incluir el informe de auditora
Opiniones subjetivas.
Informacin confidencial.
Crticas a las personas.
Declaraciones ambiguas.
Detalles triviales.
Observaciones y hallazgos que no fueronpresentados o discutidos en la reunin de
cierre.
Modelo de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
67/88
MP-30C-V2
Modelo de
informe de auditora interna
Informe No. ________ Pgin a ___ de ___
UNIDAD(ES) DE NEGOCIO / REGIONAL(ES) / PROCESO(S) AUDITADO(S):___________________________________________
FECHA: ___________________________________
1. RESPONSABL E(S) DEL(OS) PROCESO(S): ________________________________________________________________
2. AUDITOR Y/OEQUIPO AUDITOR:______________________________________________________________________________________________________________________________________________________________________________________________________________________
3. OBJETIVO DE LA AUDITORA:
______________________________________________________________________________________________________________________________________________________________________________________________________________________
4. ALCANCE DE LA AUDITORA:______________________________________________________________________________________________________________________________________________________________________________________________________________________
5. PERSONAL ENTREVISTADO:______________________________________________________________________________________________________________________________________________________________________________________________________________________
6. DOCUMENTACIN ANALIZADA (CRITERIOS)______________________________________________________________________________________________________________________________________________________________________________________________________________________
Modelo de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
68/88
MP-30C-V2
7. RESULTADOS DE LA AUDITORA
7.1 CONFORMIDAD: (favor hacer un list ado)________________________________________________________________________________________________________________________________________________________________________________________________________________________
7.2 OPORTUNIDADES DE MEJORA: (favor h acer un l istado)________________________________________________________________________________________________________________________________________________________________________________________________________________________
7.3 NO CONFORMIDADES POTENCIALES: (favor hacer un list ado)____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
7.4 NO CONFORMIDADES REALES: (favor hacer u n li stado)________________________________________________________________________________________________________________________________________________________________________________________________________________________
8. SEGUIMIENTO A ACCIONES PENDIENTES:
NMERO DE ACCIONES ANTERIORES CERRAD AS _________
NMERO DE ACCIONES ANTERIORES ABIERTAS _________
RAZONES________________________________________________________________________________________________________________________________________________________________________________________________________________________
Modelo de
informe de auditora interna
Informe No. ________ Pgin a ___ de ___
Modelo de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
69/88
MP-30C-V2
9. CONCLUSIN GENERAL DE LA AUDITORA:
__________________________________________________________________________________________________________________________________________________________________________________________________________________
Apro bado p or: __________________ Acep tacin: ________________________
Modelo de
informe de auditora interna
Informe No. ________ Pgin a ___ de ___
Realizacin de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
70/88
MP-30C-V2
Finalizacin de la auditora
Auditor lder
Realizacin de
las actividades de auditora in situ
PP
HH
VV
AAV
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
71/88
MP-30C-V2
Plan de auditora cumplido.
Informe de auditora aprobado y dist ribuido.
Disposicin de documentos y registros(conservar o destruir?).
Finalizacin de la auditora
Realizacin de
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
72/88
MP-30C-V2A
Realizacin de las actividades deseguimiento de la auditora
Auditor lder, Equipo auditor,Auditado
las actividades de auditora in situ
PP
HH
VV
AA
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
73/88
MP-30C-V2
Verificar las respuestas a las solicitudes deacciones correctivas, preventivas o demejora.
Verificar la eficacia de las accionesimplementadas.
En caso de tener acciones pendientes,reprogramar un nuevo seguimiento.
Elaborar el programa de la auditora de
seguimiento de ser necesario.
Actividades de seguimiento
Seguimiento
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
74/88
MP-30C-V2
del programa de auditora
Cumplimiento de objetivos.
Identificar oportunidades de mejora
Indicadores de desempeo:
a. Apti tud de los equipos auditores paraimplementar el plan de auditora.
b. Conformidad de programas y calendarios.c. Retroalimentacin de los clientes, auditados y
auditores.
Responsable delproceso de auditora
Revisin del
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
75/88
MP-30C-V2
a. Resultados y tendencias.
b. Conformidad con procedimientos.
c. Necesidades y expectativas de interesados.
d. Registros.
e. Prcticas de auditora.
f. Coherencia de auditores.
programa de auditora
Responsable delproceso de auditora
Mejora del
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
76/88
MP-30C-V2
programa de auditora
Acciones Correctivas
Acciones Preventivas
9MA-A11-V7
AuditoraAuditora comocomo ProcesoProceso
ENTRADASENTRADASDELDEL
PROCESOPROCESO
RESULTADOSRESULTADOSDELDEL
PROCESOPROCESO
OBJETIVO:OBJETIVO: RESPONSABLE:RESPONSABLE:
Responsable delproceso de auditora
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
77/88
MP-30C-TALLERES-V2
TALLERESTALLERES
Taller 1.La auditora como un proceso
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
78/88
MP-30C-TALLERES-V2
La auditora como un proceso
OBJETIVO
Identificar la auditora interna como un proceso en la organizacin y
su enfoque de gestin a travs del programa de auditoras.
METODOLOGA
Leer el captulo 5 de la norma ISO 19011.
Identificar su aplicacin y enfoque por procesos.
Determinar objetivo del proceso, autoridad, proveedores(entradas), clientes (resultados), recursos, seguimiento y
medicin, documentos asociados.
Discutir en grupo de acuerdo con las instrucciones del docente.
Taller 1.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
79/88
MA-30C-V1
PROCESO:
RESPONSABLE:
OBJETIVO:
Actividades:Proveedor Entrada Salida Cliente
Seguimiento/medicin:Recursos: Documentos:
Taller 2.Revisin documental
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
80/88
MP-30C-TALLERES-V2
OBJETIVO
Hacer una revisin de la documentacin, con el fin de decidir si
se puede hacer auditora o se requieren otras actividades.
METODOLOGA
Con base en la documentacin suministrada por losauditados, realice un anlisis de la misma, orientada alcumplimiento del programa de auditora.
Consignar las conclusiones respecto a las fortalezas yaspectos por mejorar en la documentacin, para informaral auditado.
Taller 2.Revisin documental
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
81/88
MP-30C-TALLERES-V2
METODOLOGA
Hacer una revisin de la norma ISO 27001 con el fin deverificar qu requisitos pueden ser auditados dentro delproceso y que nos aportan al cumplimiento de losobjetivos del programa.
Consignar las conclusiones en el PHVA del proceso.
Registrar las observaciones necesarias para el trabajo decampo, con base en el ejercicio anterior.
Decidir si se puede seguir con la planeacin de laauditora o se requiere una visita al proceso.
Taller 2.
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
82/88
MA-30C-V1
DOCUMENTACIN DEL PROCESO: Aspectos a tener encuenta para el trabajo
de campo
Aspectos pormejorar en la
documentacin
Aspectos fuertes dela documentacin
Taller 3.Plan de auditora
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
83/88
MP-30C-TALLERES-V2
OBJETIVO
Adquirir habilidades para elaborar un plan de auditora.
METODOLOGA
Con base en los resultados de la revisin documental,elaborar el plan de auditora.
Util izar el formato anexo y las directrices del docente.
Presentar el plan de auditora al auditado, para suaprobacin.
Taller 3.OBJETIVO:
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
84/88
MA-30C-V1
AUDITOR (ES)AUDITADOOBSERVACIONESPROCESO / ACTIVIDADHORAFECHA
OBSERVACIONES:
EQUIPO AUDITOR:
CRITERIOS:
AUDITORLDER:
ALCANCE:
FECHA:APROBADO:ELABORADO POR:
REUNIN DE CIERRE:REUNIN DE APERTURA:
Taller 4.Lista de verificacin
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
85/88
MP-30C-TALLERES-V2
OBJETIVO
Adquirir habilidades para elaborar la lista de verificacin.
METODOLOGA
Con base en los resultados de la revisin documental y elplan de auditora, elaborar una lista de verificacin que lolleve a cumplir con el objetivo del programa de auditora.
Util izar el formato anexo y las directrices del docente.
Taller 4.Pgina ___ de ___
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
86/88
MA-30C-V1
FECHA:
PROCESO:
PLAN No.
Comentarios / observaciones /conclusiones / hallazgos
Documentos y/oregistros
A
V
H
P
Informacin a buscar
RESPONSABLE:OBSERVACIONES:
Taller 5.Simulacro
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
87/88
MP-30C-TALLERES-V2
OBJETIVO
Realizar el simulacro de acuerdo a todo lo visto hasta el
momento, con el fin de aplicarlo.
METODOLOGA
Con base en los documentos elaborados hasta elmomento en la planeacin de la auditora, realizar unsimulacro donde se aplique:
a. Reunin de apertura.b. Recoleccin de la informacin.c. Balance de auditores.d. Reunin de cierre.
Taller 5.Simulacro
7/21/2019 30c-V2 Auditorias Internas en Un Sgsi
88/88
MP-30C-TALLERES-V2
METODOLOGA
Realizar el simulacro de acuerdo al plan de auditora y lasinstrucciones dadas por el docente.
Nota: los puntos c y d son bsicamente la informacin
que se consigna en el informe que se realiza posterior a lareunin de cierre.