Curso de Auditores Internos 27001_v4

7/23/2019 Curso de Auditores Internos 27001_v4

http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 1/115

Material Propiedad Intelectual de Qualtic Ltda

Elaboró: Mg. Juan C.Alarcón, PMP, CISM

Curso de Auditores Internos

Sistema de gestión de Seguridad de la

Información ISO 27001:2005





Presentación





Objetivos

Comprender la importancia del SGSI en lasorganizaciones

Identificar los requisitos de la norma ISO 27001

Identificar las competencias necesarias para

realizar auditorias al SGSI Conocer las etapas y actividades necesarias para

realizar auditorias

Desarrollar las destrezas necesarias para realizarauditorias al SGSI

Brindar las herramientas necesarias para realizarauditorias internas al SGSI





Agenda

Definiciones y Principios de la Auditoría Evaluación de auditores

Programa de Auditoria

Planificación de la Auditoria

Realización de Auditorias

Informe de auditoria

Seguimiento a resultados de auditoria



Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM

Definiciones

Es la norma internacional ISO queproporciona directrices sobre laauditoría a sistemas de gestión,incluyendo:o Principios de auditoriao Definición del programa de

auditoríao Realización de Auditoriaso Evaluación de competencia de

auditores

Aplicable a toda organización querealice auditorias internas o externaso gestione un programa deauditorias




Definiciones

Norma técnica internacionalque brinda un modelo para elestablecimiento,implementación, operación,seguimiento, revisión,mantenimiento y mejora de unsistema de gestión deseguridad de la información

(SGSI). La norma ISO 27001:2005 es

un estándar certificable.




Definiciones

Entidad Certificadora:

Las Entidades de Certificación, sonaquellas organizaciones privadas,

que tienen como función evaluarla conformidad y certificar elcumplimiento de una norma dereferencia, ya sea del producto,

del servicio o del sistema degestión de una organización.




Definiciones

Organismo Acreditador:Las Entidades deAcreditación son las

responsables de reconocer lacapacidad de evaluar laconformidad y emitircertificados e informes, delos organismos evaluadoresde la conformidad: Entes decertificación.




Definiciones

Cada país dispone de una infraestructurade la calidad, conformada por unorganismo nacional de normalización y

una entidad nacional de acreditación.International

Accreditation

Forum

OrganismoAcreditador

Ente

CertificadorOrganismo

Normalizador

ISO




Proceso de CertificaciónAuditoria

Interna

Pre Auditoria(Opcional)

Etapa 1Estudio de escritorio

Etapa 2Auditoria en Sitio

Recomendaciónde

Certificación

Solicitud deAcción Correctiva

Mayor

Cierre deSAC

Seguimiento

AuditoriaInterna

Auditoriasde

Seguimiento

Recertificación




Definiciones

Auditoria:Proceso sistemático,independiente y

documentado paraobtener evidencias de laauditoría y evaluarlas demanera objetiva con el fin

de determinar la extensiónen que se cumplen loscriterios de auditoría.




Definiciones

Auditoria interna:También llamada de primera parte,se realizan por, o en nombre de, lapropia organización, para la

revisión por la dirección y con otrosfines internos.

Las auditorías internas pueden

constituir la base para la auto-declaración de conformidad de unaorganización.




Definiciones

Auditoria Externa: Pueden ser desegunda o de tercera parte.◦ Auditoria de segunda parte: se llevan a cabo

por partes que tienen un interés en laorganización, tal como los clientes, o porotras personas en su nombre.

◦ Auditoria de tercera parte: se llevan a cabopor organizaciones auditoras independientesy externas, tales como aquellas queproporcionan el registro o la certificación deconformidad.




Definiciones

Auditoria combinada:

Cuando se auditan juntos dos o mássistemas de gestión de diferentes

disciplinas. (Calidad y Seguridad)

Auditoria conjunta:

Cuando dos o más organizacionescooperan para auditar a un únicoauditado.




Porqué realizar auditorias

La norma ISO 27001:2005especifica:◦ 4.2.3 Seguimiento y revisión del SGSI◦ La organización debe: Realizar

auditorías internas del SGSI aintervalos planificados

La auditoría es el mecanismomediante el cual medimos el

cumplimiento de los objetivos delSGSI y determinamos la necesidadde acciones de mejora




Ciclo PHVA

Planear, Hacer, Verificar, Actuar




Auditoria




Definiciones

Criterios de auditoria: Grupo de políticas,procedimientos o requisitos usados comoreferencia y contra los cuales se compara la

evidencia de auditoría




Definiciones

Evidencia de Auditoria:

Registros, declaraciones de hechos ocualquier otra información que son

pertinentes para los criterios de auditoría yque son verificables.




Definiciones

Hallazgo de auditoria:

Resultados de la evaluación de la evidenciade la auditoría recopilada frente a los

criterios de auditoría.




Definiciones

Hallazgos de Auditoria

Los hallazgos de auditoría indicanconformidad o no conformidad.

Si los criterios de auditoría sonseleccionados de requisitos legales o deotra índole, los hallazgos de auditoría sedenominan Cumplimiento oIncumplimiento.

Los hallazgos de auditoría pueden llevar ala identificación de oportunidades demejora o al registro de mejores prácticas.




Definiciones

Conclusiones de la auditoría

Resultado de una auditoría, tras considerar losobjetivos de la auditoría y todos los hallazgosde la auditoría




Calificación de Auditores Internos

La competencia [de losauditores] debería serevaluada a través de unproceso que tiene en

cuenta el comportamientopersonal y la habilidad deaplicar el conocimiento yhabilidades ganadas através de la educación,experiencia laboral,entrenamiento de auditor yexperiencia en auditoría.




Conocimiento y habilidades

Conocimientos genéricos y habilidadesde los auditores de sistemas de gestión

◦ Principios, procedimientos y métodos de

auditoría◦ Documentos del sistema de gestión y de

referencia

◦ Contexto organizacional




Conocimientos y Habilidades

Requisitos legales y contractualesaplicables y otros requisitos queapliquen al auditado

Los conocimientos y habilidades

en esta área capacitan al auditorpara ser consciente y trabajardentro de los requisitos legales ycontractuales de la organización.

Leyes y regulaciones y susagencias gobernantes. Terminología legal básica. Contratación y responsabilidad.




Conocimientos y Habilidades

Los auditores deberían tener el conocimiento yhabilidades específicas para la disciplina y sectorque sean apropiados para auditar un tipoparticular de sistema de gestión y sector.

Requisitos y principios de sistemas de gestiónespecíficos a la disciplina, y su aplicación.

Conocimiento específico a la disciplinarelacionado con el sector particular, la naturaleza

de las operaciones o lugar de trabajo que estásiendo auditado, que sea suficiente para que elauditor evalúe las actividades, procesos yproductos (bienes y servicios) del auditado.




Requisitos para auditores internos

ISO 27001.Auditorias Internas del SGSI

… La selección de los auditores

y la realización de las auditoriasdeben asegurar la objetividad eimparcialidad del proceso de

auditoria. Los auditores nodeben auditar su propiotrabajo.




Requisitos de formación, toma deconciencia y competencia

5.2.2 Formación, toma deconciencia y competencia

La organización debe asegurar que

todo el personal al que se le asigneresponsabilidades definidas en elSGSI, sea competente para realizarlas tareas exigidas mediante:

a) …… competencias necesarias b) El suministro de formación …. c) La evaluación de la eficacia ….. d) El mantenimiento de registros ….




Certificación de Auditores

Misión: Promover la confianza enla certificación acreditada en todoel mundo mejorando eldesempeño de los auditores

Grados de certificación:

Auditor interno

Auditor provisional

Auditor Auditor líder

Auditor principal




Requisitos del auditor interno

Competencias

Formación

Educación Habilidades

Experiencia

Calificaciones




Taller 1

Introducción a la auditoria interna Evaluación de cumplimiento de los

requisitos del SGSI




Principios de la auditoria

Los principios de la auditoriahacen de la actividad una

herramienta eficaz y fiable enapoyo de las políticas ycontroles de gestión,proporcionando información

sobre la cual una organizaciónpuede actuar para mejorar sudesempeño.




Principios de la auditoria

Integridad

Presentación ecuánime

Debido cuidado profesional

Confidencialidad

Independencia

Enfoque basado en la evidencia




Integridad

Llevar a cabo su trabajo con honestidad,diligencia y responsabilidad Observar y cumplir con todos los requisitos

legales aplicables

Demostrar su competencia durante eldesarrollo del trabajo Llevar a cabo su trabajo de manera

imparcial; es decir, ser justo e imparcial en

todos sus negocios Ser sensible a cualquier influencia ejercida

sobre su juicio durante el curso de unaauditoría.




Presentación Ecuánime

Los hallazgos, conclusiones e informes dela auditoría deberían reflejar converacidad y exactitud las actividades de laauditoría.

Se informa de los obstáculos significativosencontrados durante la auditoría y de lasopiniones divergentes sin resolver entre

el equipo auditor y el auditado. La comunicación debería ser sincera,

exacta, objetiva, clara y completa.




Debido cuidado Profesional

Los auditores deberían proceder con eldebido cuidado, de acuerdo con laimportancia de la tarea que desempeñan y

la confianza depositada en ellos por elcliente de la auditoría y por otras partesinteresadas.

Un factor importante en el desempeño de su

trabajo con el debido cuidado profesional estener la habilidad de hacer juicios razonablesen toda situación de auditoría.




Confidencialidad

Los auditores deberían ejercitar ladiscreción en el uso y protección de lainformación adquirida en el curso de suslabores.

La información de auditoría no deberíaser usada de manera inapropiada paraganancia personal del auditor o del

cliente de auditoría ni de manera tal quevaya en detrimento de los intereseslegítimos del auditado.




Independencia

Los auditores deberían serindependientes de la actividad que esauditada mientras esto sea posible, y entodo caso actuarán de manera tal queestén libres de sesgo y conflicto deintereses.

Para auditorías internas, los auditores

deberían ser independientes de losgerentes operativos de las funciones aser auditadas.




Enfoque basado en evidencia

La evidencia de la auditoría debería serverificable.

En general, está basada en muestras de lainformación disponible, ya que una auditoría

se lleva a cabo durante un período detiempo delimitado y con recursos finitos.

Se debería aplicar un uso adecuado del

muestreo, ya que éste está estrechamenterelacionado con la confianza que puededepositarse en las conclusiones de laauditoría.




Auditorias Internas

6 Auditorias internas al SGSI

La organización debe llevar acabo auditorias internas al SGSI

a intervalos planificados, paradeterminar si los objetivos decontrol, controles, procesos y

procedimientos de su SGSI




Requisitos para la auditoria Interna

Se debe planificar un programa deauditorias tomando en cuenta elestado e importancia de los procesos y

las áreas que se van a auditar así comolos resultados de las auditorías previas.

Se deben definir los criterios, el

alcance, la frecuencia y los métodos deauditoria.




Objetivos de la auditoría interna

Confirmar que el sistema de gestión de laseguridad de la información es capaz delograr los objetivos del SGSI y cumple conla política del SGSI de la organización.

Confirmar que la organización haestablecido, implementado, operado, hahecho seguimiento, revisión, hamantenido y mejorado su SGSIdocumentado, en el contexto de lasactividades globales del negocio de laorganización.

Proporcionar al auditado una oportunidadpara MEJORAR su SGSI




Taller 2

Cumplimiento de la Norma ISO27001 Qué cláusulas afectan?




Programa de auditoria

El programa de auditoría puedeincluir auditorías que tengan encuenta una o más normas desistemas de gestión ya seanllevadas a cabo por separado o en

combinación. El alcance de un programa de

auditoría debería estar basado enel tamaño y naturaleza de laorganización a ser auditada, asícomo en la naturaleza,funcionalidad y complejidad y elnivel de madurez del sistema degestión que se va a auditar.




Auditoria basada en riesgos

Se debería dar prioridad aasignar los recursos del

programa de auditoría paraauditar aquellos temas de mayorsignificancia dentro del sistema

de gestión.




d l d




Componentes del programa deAuditoriaEl programa de auditoría debería incluir la información yrecursos necesarios para organizar y conducir las auditorías demanera eficiente dentro de los tiempos especificados ytambién puede incluir lo siguiente: Objetivos para el programa de auditoría y auditorías

individuales

Alcance/número/tipos/duración/ubicación/cronograma delas auditorías. Procedimientos del programa de auditoría Criterios de auditoría Métodos de auditoría

Selección de equipos auditores Recursos necesarios, incluyendo viajes y hospedaje Procesos para manejo de confidencialidad, seguridad de la

información, salud y seguridad y otros temas similares.




Programa de auditoria

1




Alcance y Criterios del programa

Alcance◦ Ubicación física◦ Unidades organizacionales◦ Actividades y procesos◦ Duración de la auditoria

Criterios◦ Normas

◦ Políticas

◦ Procedimientos

◦ Regulaciones

◦

Legislación◦ Requisitos del SGSI◦ Requisitos contractuales◦ Códigos de conducta del sector comercial




Objetivos del programa de auditoria

La organización debe determinar los objetivosdel programa de auditoría. Para definir losobjetivos se debería considerar:

Prioridades de la dirección.

Propósitos comerciales.Requisitos del sistema de gestión.

Requisitos legales, reglamentarios ycontractuales.

Necesidad de evaluar a los proveedores.

Requisitos del cliente.

Necesidades de otras partes interesadas y

Riesgos para la organización.




Responsabilidades del programa

Establecer los objetivos y la amplitud delprograma de auditoría. Establecer las responsabilidades y los

procedimientos, y asegurarse de que se

proporcionan recursos. Asegurarse de la implementación del

programa de auditoría. Asegurarse de que se mantienen los

registros pertinentes del programa deauditoría, y Realizar el seguimiento, revisar y mejorar

el programa de auditoría.




Recursos del programa

Para la planificación y desarrollo delprograma de auditoría es necesarioconsiderar

◦ Recursos financieros◦ Técnicas de auditoría,◦ Procesos para alcanzar y mantener la

competencia de los auditores, y paramejorar su desempeño

◦ Disponibilidad de auditores y expertostécnicos

◦ Amplitud del programa de auditoría◦ Necesidades particulares de la

auditoría




Logística del programa

2




Logística del programa

Es necesario determinar las actividadespara:◦ Planificar y elaborar el calendario de las

auditorías◦ Asegurar la competencia de los auditores◦

Selección de los auditores apropiados◦ Realización de las auditorías◦ Seguimiento de la auditoría◦ Conservación de los registros del

programa de auditoría

◦ Seguimiento del desempeño y la eficaciadel programa de auditoría◦ Comunicación de los logros globales del

programa de auditoría a la alta dirección.




Registros del programa de auditoria

Registros relacionados con auditoríasindividuales: planes de auditoría,informes de auditoría, informes de noconformidades, informes de accionescorrectivas y preventivas, informes del

seguimiento de la auditoría. Resultados de la revisión del programa

de auditoría.

Registros relacionados con el personalde la auditoría: Competencia delauditor , evaluación de desempeño,selección de los auditores ymantenimiento y mejora continua.




Seguimiento del programa

3




Taller 3

Elaboración del Programa de auditoria




Realización de la auditoria

Auditoria: Proceso sistemático, independiente ydocumentado para obtener evidencias de laauditoria y evaluarlas de manera objetiva con el finde determinar la extensión en que se cumplen loscriterios de auditoria.

Auditor: Persona con la competencia para efectuaruna auditoria. Equipo auditor: uno o más auditores (3.8) que llevan

a cabo una auditoría (3.1), con el apoyo, si esnecesario, de expertos técnicos (3.10).

Auditado: organización que está siendo auditada Experto técnico: persona que aporta conocimientos

o experiencia específicos al equipo auditor.





La auditoria

Los auditores no deben auditar supropio trabajo

Se deben definir en unprocedimiento documentado.

La dirección responsable del áreaauditada debe asegurarse de que lasacciones para eliminar las noconformidades

Las actividades de seguimientodeben incluir la verificación de lasacciones tomadas y el reporte de losresultados de la verificación.





Etapas de la auditoria

Inicio dela auditoria

Preparación dela

Auditoria

Realización de lasactividades

Preparación ydistribucióndel informe

Finalización dela auditoria

Auditoria deseguimiento





Inicio de la auditoria

Establecer contacto inicial con el auditado Determinar la viabilidad de realizar la

auditoria en la fecha programada







Preparación dela

Auditoria





Preparación de las actividades de la





Preparación de las actividades de laauditoria

Revisión de los documentosen preparación de laauditoria

Preparación del plan deauditoria

Asignación del trabajo del

equipo de auditoria Preparación de los

documentos de trabajo

Preparación de las actividades de la





Preparación de las actividades de laauditoria

Revisión documental (fase I)La revisión debería tener encuenta:

Cantidad de documentación

La naturaleza de la organización

Complejidad de la organización

Objetivos de la auditoria y

Alcance de la auditoria.Como resultado de la revisióndocumental se genera un reporte





Claves en la revisión documental

El numeral 1.2 de la norma ISO27001, expone: No es aceptable la exclusión de cualquiera de los

numerales de los requisitos especificados en losnumerales 4,5,6,7 y 8 cuando una organizacióndeclara conformidad con la presente norma.

Cualquier exclusión de controles, consideradanecesaria para satisfacer los criterios deaceptación de riesgos, necesita justificarse y debesuministrarse evidencia de que los riesgosasociados ha sido aceptados apropiadamente porlas personas responsables.

El numeral 4.3 Requisitos de documentacióndetalla la documentación exigida al SGSI.





Taller 4

Revisión de la Política

Análisis de la documentación del





Análisis de la documentación delSGSI

La documentación del SGSI debe incluir registrosde las decisiones de la dirección, asegurar que lasdecisiones sean trazables a las decisiones ypolíticas de la gerencia, y que los resultadosregistrados sean reproducibles.

Es importante estar en capacidad de demostrar larelación entre los controles seleccionados y losresultados del proceso de valoración ytratamiento de riesgos, y seguidamente, con lapolítica y objetivos del SGSI.

La documentación exigida al SGSI incluye losdocumentos detallados en el numeral 4.3Requisitos de documentación





Taller 5

Revisión de la documentación del SGSI





Preparación del plan de auditoria

El líder del equipo auditor debería prepararun plan de auditoría basado en lainformación contenida en el programa deauditoría y en la documentación entregadapor el auditado.

El plan de auditoría debería considerar el

efecto de las actividades de auditoría en losprocesos del auditado y proveer la base parael acuerdo entre el cliente de auditoría, elequipo auditor y el auditado referente a larealización de la auditoría.

El plan debería facilitar la programación y

coordinación eficiente de las actividades deauditoría a fin de alcanzar efectivamente losobjetivos.





Elementos del plan de auditoria Objetivos y alcance.

Documento de referencia.

Lugares (direcciones) y contactos claves

Áreas o dependencias que serán auditadas.

Determinación de las cláusulas claves para prepararla lista de verificación.

Personas de contacto. Definición de los roles del grupo de auditores.

Fechas.

Hora y duración esperada para cada actividadprincipal.

Programación de reuniones.

Requisitos de confidencialidad. Distribución del informe y fecha esperada de la

publicación.

Elaboración y preparación de los documentos detrabajo.





Plan de auditoria

Organización:Dirección: Fechas

en sitio:

Auditor Líder:

Auditor:

Auditorexperto:

Estándar: ISO 27001:2005

Lenguaje de

auditoria:

Objetivos de laauditoria





Plan de auditoriaFecha Hora Auditor Area / Departamento / Proceso /

Función

Contacto

claveDía 1 de 5 8:00 LAD Llegada a la organización

8:05 Reunión de apertura

8:30 Presentación del SGSI por la

organización

9:00 Revisión documental del SGSI

10:00 Gestión de riesgos

11:30

Diseño y desarrollo

12:30 Almuerzo

13:50 Departamento legal

14:30 Centro de datos Secundario

16:30 Reunión de retroalimentación

17:00 Fin primer día





Taller 6

Elaboración del plan de auditoria





Responsabilidades: Auditor Líder Dirección del proceso de auditoria. Ayuda en la selección del personal del

equipo. Responsable por todas las etapas de la

auditoria. Preparar el plan de auditoria. Representación del equipo auditor ante la

dirección. Preparación y entrega del informe final de

auditoria. Dirección de las actividades de seguimiento. Trato de la información con la discreción

debida.





Responsabilidades: Coauditor

Cumplir con el 100% de los requisitos deauditoria. Realizar efectivamente las actividades

asignadas. Documentar los hallazgos de auditoria. Conservar y salvaguardar la

documentación de la auditoria. Reportar los resultados de la auditoria. Verificar la eficacia de las acciones

aplicadas como resultado de laauditoria. Cooperación y soporte al auditor líder.





Preparación del auditor

Lea los procedimientos conanticipación.

Determine donde se realizan

inspecciones. Utilice listas de verificación.

Conozca la responsabilidad y

posición de las personasauditadas.

Sepa que pistas puede seguir.

Preparación de documentos de





Preparación de documentos detrabajo: Listas de Verificación

Optimiza tiempo Es una guía Herramienta para recolección de

evidencias Ayuda para identificar elementos y

procesos Valora el estado actual del SGSI Adecuar las preguntas al proceso a ser

auditado Utilización de preguntas: ¿QUÉ, CUÁNDO, CÓMO, DÓNDE, POR

QUÉ?

f





Lista de verificaciónNo. Cláusula PREGUNTA HALLAZGO CUMPLE (S/N)

ll





Taller 7

Elaboración de lista de verificación

Et d l dit i







Preparación dela

Auditoria





l ó d d d





Realización de actividades en sitio

Reunión de apertura Recolección de evidencias

Generación de hallazgos

Preparación de conclusiones Reunión de cierre

R ió d





Reunión de apertura

◦

Confirmar plan de auditoria◦ Registros de reunión de apertura◦ Proporcionar un breve resumen de cómo

se llevarán a cabo las actividades deauditoría

◦ Conductos oficiales de comunicación.◦ Métodos utilizados en la auditoria.◦ Necesidad de recursos especiales.◦ Explicar No Conformidades◦ Hora y fecha de reunión de cierre◦ Proporcionar al auditado la oportunidad

de realizar preguntas.

T ll 8





Taller 8

Realizar la reunión de apertura

Ej ió d l di i





Ejecución de la auditoria Haga un muestreo de actividades, no se centre

en una. Busque evidencia observando lo que ocurre y

revisando registros. Haga anotaciones completas. Escuche las explicaciones del auditado. Escriba y confirme más adelante si es

procedente. No de la impresión de que no cree. Escriba los detalles: procedimientos, registros,

ordenes, lotes, etc. Auditoria abierta y amigable resultará en un

acuerdo de que el problema existe. Verifique si la No Conformidad es o no puntual.

F t d i f ió





Fuentes de información

F t d i f ió





Fuentes de informaciónPosibles fuentes de información

◦ Entrevistas con empleados y otras personas◦ Observación de actividades y ambiente de trabajo◦ Documentación◦ Política, objetivos, planes, procedimientos, normas, riesgos … ◦ Registros

◦ Actas de reunión, informes de auditoria, seguimiento ymediciones

◦ Indicadores de gestión

◦ Retroalimentación de partes interesadas

◦ Bases de Datos e Internet

Puntos claves para recordar: Pregunte, Escuche, Observe, Piense, Evalué y Registre.

R li ió d l t i t





Realización de la entrevista

Haga sentir cómodo al auditado Sea amigable.

Explicar la razón de la entrevista y delas notas tomadas

Iniciar con una descripción de lasactividades del auditado

No realizar preguntas inductivas. Evitepreguntas cuya respuesta sea SI o NO.

Resultados acordados con el auditado Agradecer a los auditados

L i d l dit





Los amigos del auditor

Cómo Dónde

Por qué

Quién Cuándo

Qué

Muéstreme

Té i l t i t





Técnicas para la entrevista Solicite explicación de las situaciones

Escuche cuidadosamente Mantenga el contacto cara a cara

Muéstrese interesado

Tome nota en corto tiempo Observe el lenguaje corporal

Hable clara y cuidadosamente

Conozca sus preguntas

Sea sistemático al preguntar

Exprese en otra forma la pregunta si no es bienentendida.

Use preguntas abiertas y confirme. Confirme que ha entendido completamente

todo

Agradezca al auditado

C t l d l t i t





Control de la entrevista

Permanecer seguro. Administrar el tiempo

adecuadamente. No dejarse conducir o engañar.

Ser detallista y eficiente. Evitar apartarse del tema. Evitar saturarse.Evite las siguientes actitudes

Ser controvertido, negativo, critico,discutir, comparar al auditado, sersarcástico, …

C t l d l t i t





Control de la entrevista

Las siguientes situacionesentorpecen la auditoria,detéctelas a tiempo ycontrólelas:◦ Perdida deliberada de tiempo◦ Intentar manejar al auditor◦ Uso de falsas situaciones

inesperadas◦ Intentar probar el carácter del

auditor◦ Usar respuestas limitadas◦ Intentar engañar al auditor

Taller 9





Taller 9

Cómo preguntar.

Generación de hallazgos





Generación de hallazgos Una vez que se han recolectado las evidencias, se

deben comparar contra los criterios para generarlos hallazgos.

Los incumplimientos más comunes son:◦ Planeación del SGSI no evidente

◦ Documentación no controlada

◦

Registros no integrados al SGSI◦ Política de seguridad y objetivos no divulgados

◦ Competencias del recurso humano no evaluada

◦ Controles implementados inadecuados

◦ Procesos sin medición ni seguimiento

◦ No conformidades por auditorias internas sin cierre

eficaz◦ Acciones correctivas sin revisión de la dirección

◦ Deficiencia en metodología de análisis de riesgo

◦ Incumplimiento de procedimientos

Hallazgos





Hallazgos

Resultados de la evaluación de laevidencia de la auditoría recopiladafrente a los criterios de auditoría

Hasta que no es clasificado, un hallazgode la auditoria puede ser una:

◦ Conformidad: cumplimiento de un requisito

◦ No conformidad: incumplimiento de unrequisito

◦ Observación

Hallazgos





Hallazgos

Cumplimiento:◦ Los requisitos (Norma, legal,

reglamentario, contractual) sepueden evidenciar

◦ La implementación del SGSI seajusta a la exigencia de la norma

◦ Los controles implementados

corresponden a las intenciones◦ La implantación es eficaz: hace lo

que se espera

Hallazgos





Hallazgos

Incumplimiento◦ La ausencia o el fracaso al implementar y manteneruno ó mas requisitos del SGSI.

◦ Una situación que, con base en la evidencia objetivadisponible, provocaría dudas significativas en cuanto ala capacidad del SGSI para cumplir la política y losobjetivos de seguridad de información.

◦ Afectación de la funcionalidad del SGSI

◦ Afectación de la integridad, disponibilidad oconfidencialidad de la información

◦ Afectación de los intereses de las partes interesadas

◦ Posibles fallas aisladas o generalizadas de requisitos

◦ Problema menor que requiere atención o ausencia

◦ Falla completa de un requisito

Clasificación de hallazgos






MayorExiste una falla total de un procedimiento oinstrucción de trabajo crítico en cuanto al SGSI, obien en el funcionamiento efectivo del SGSI.

◦ Hay una ausencia total de un requisito requerido

por la norma o por el SGSI.◦ Existen numerosos errores menores en el

procedimiento que al unirse, en forma colectivaconstituyen una falla total o importante en elprocedimiento.

◦ Falla Total no hay procedimiento.◦ Daño inmediato y total con respecto a la

disponibilidad, integridad y _________________de la seguridad de la información.







Menor Se levanta cuando se ha identificado una

deficiencia (o deficiencias) en un proceso en laoperación del SGSI, pero que no es tan grave

como lo es una SAC mayor. Falla puntual en un proceso, procedimiento,

control, metodología o criterio.

Afecta levemente alguno de los enunciadosanteriores.

Reporte de no conformidades






Cada No Conformidad debe tener unreporte separado.

Las discrepancias deben atribuirsesolamente a una cláusula de la norma, lamás aplicable.

En ocasiones , la única referencia es ladocumentación de la organización El reporte debe contener 3 ítems :

1) Una visión general del hallazgo;Descripción completa y precisa de lo observado

2) Ejemplos de la evidencia de auditoria.3) Referencia a la cláusula del estándar odocumento de la organización.

Explicación de los requisitos de la cláusula / documento







Se evidencio que la organización nocontrola adecuadamente los registros, loque se evidencia en la perdida de los

registros de formación del ingenieroXuan Lee, situación que incumple elnumeral 4.3.3 Control de registros de lanorma ISO 27001:2005

Taller 10





Taller 10

Redacción de hallazgos deincumplimiento

Observaciones





Observaciones

Los hallazgos de auditoria también puedencatalogarse como:

“Observaciones”,

“Oportunidades de mejora”.

Se recomienda que siempre se inicie con unverbo en infinitivoo Asegurar …

o

Garantizar … o Mejorar …

o Fortalecer

Talleres





Talleres

Taller 11 Redacción de observaciones Taller 12 Análisis de procesos

Taller 13 Juego de Roles








Preparación dela

Auditoria





Preparación del informe





Preparación del informe

Para la preparación del informe el equipoauditor realiza una reunión privada

◦ Cada uno relata sus hallazgos.

◦

El equipo evalúa y revisa los hallazgos.◦ Se define si son No Conformidades y su clase.

◦ Se prepara un borrador del reporte final.

Reunión de cierre





Reunión de cierre La reunión de cierre es dirigida por el auditor líder. En la reunión:

Se agradece al auditado por su tiempo.

Se confirma el alcance SGSI, así como los nombres del representante delSGSI y la Dirección de la organización.

Se resume el alcance de auditoria.

Se aclara al auditado que no todas las no Conformidades se pueden

descubrir. Se confirma el objetivo de la auditoria y métodos usados.

Se aclara que las preguntas y discusiones se realizaran al final del informe.

Se presentan las No Conformidades. (Hechos solamente).

Se explica el mecanismo de seguimiento por el Auditor Líder.

Se acuerdan las fechas para terminación de las acciones correctivas. Se diligencian los registros de asistencia y se firman las no conformidades.

Se atienden las preguntas con respecto al informe.

Informe de auditoria





Informe de auditoria Auditoria No

Fecha

Lugar

Auditores

Norma

Objetivo de la Auditoria

Personal entrevistado

Procesos Auditados

Resultado de Hallazgos SAC MAYORES: SAC MENORES: OBSERVACIONES:

Firma de los Auditores

Qué no incluir en el informe





Qué no incluir en el informe

Opiniones subjetivas Información confidencial

Crítica hacia individuos

Declaraciones ambiguas Detalles triviales

Observaciones o no conformidades no

discutidas en la reunión de cierre

Taller 14





Taller 14

Realización de la reunión de cierre








Preparación dela

Auditoria





Seguimiento de la auditoria





Seguimiento de la auditoria

Dependiendo de los objetivos de la auditoría, lasconclusiones de la auditoría pueden indicar lanecesidad de acciones correctivas, preventivas, o demejora.

Tales acciones generalmente son decididas yemprendidas por el auditado en un intervalo detiempo acordado. Según sea apropiado, el auditadodebería mantener informados a la persona quegestiona el programa de auditoría y al equipo auditoracerca del estatus de estas acciones.

La finalización y efectividad de estas acciones deberíaser verificada. Esta verificación puede ser parte deuna auditoría posterior.

Seguimiento





SeguimientoVerificar el cierre efectivo de la no

conformidad

EfectivoNuevaFecha

VerificarNuevamente

EfectivoCerrar el

reporte

Nueva SAC

NO

SI

NO

SI

Taller 15





Taller 15

Seguimiento y Acción correctiva

Resumen





Resumen


Preparación dela

Auditoria




Preparación ydistribución del

informe

Gracias



Gracias

Documents

Curso de Auditores Internos 27001_v4