You are on page 1of 33

Taller 1.

ISO 27001 ALCANCE

OBJETIVO

Comprender los conceptos relacionados con la etapa de planificacin del SGSI.

METODOLOGIA

El taller se desarrollar en pequeos grupos de acuerdo con las orientaciones del


tutor.

Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su
respectiva retroalimentacin.

Definir el alcance y lmites del SGSI a implementar en su organizacin.

TIEMPO

Tiene un tiempo mximo de 20 minutos para el desarrollo del taller.


15 minutos de retroalimentacin.
Taller 2.

ISO 27001 POLTICA

OBJETIVO

Comprender los conceptos relacionados con las polticas del SGSI

METODOLOGIA

El taller se desarrollar en pequeos grupos de acuerdo con las orientaciones del


tutor.

Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su
respectiva retroalimentacin.

Definir dos polticas de recursos del SGSI.


Definir dos polticas de uso del SGSI a implementar en su organizacin.
Definir dos polticas tcnicas (TI) del SGSI

TIEMPO

Tiene un tiempo mximo de 20 minutos para el desarrollo del taller.


15 minutos de retroalimentacin.
Taller 3.

ISO 27001 RIESGOS

OBJETIVO

Fortalecer los conceptos relacionados con el establecimiento SGSI.

METODOLOGIA

El taller se desarrollar en pequeos grupos de acuerdo con las orientaciones del


tutor.
Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su
respectiva retroalimentacin.

Generar y complementar el cuadro anexo de riesgos.

TIEMPO

Tiene un tiempo mximo de 30 minutos para el desarrollo del taller.


10 minutos de retroalimentacin.
TALLER 4

ISO 27001 INTRODUCCIN AUDITORIA INTERNA

OBJETIVO

Brindar una introduccin al estudiante de la metodologa de casos, utilizada


durante el curso de formacin de auditores internos de un Sistema de Gestin de
Seguridad de la informacin ISMS ISO 27001.

METODOLOGIA

Para realizar este taller, el participante en el Curso de Auditoria Interna deber


realizar el trabajo individual.
Deben sustentar sus respuestas al Tutor del curso con sus respuestas.
En cada una de las siguientes situaciones, el participante de Auditoria Interna
debe determinar si hay cumplimiento o no, con respecto a sus conocimientos de
auditoria y de ISO 27001 (No utilizar la norma).

TIEMPO

Tiempo mximo de 25 minutos para el desarrollo del taller y tiempo de revisin

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

LOS HECHOS, SOLO LOS HECHOS!

Caso Cumple o no Cumple


1
2
3
4
5
6

Todos los casos de este taller tienen relacin en la organizacin XUAN INC.

CASO No 1:
La organizacin establece intercambio de informacin con el organismo supervisor, esta
informacin es enviada por medio electrnico, la organizacin defini una excelente
poltica de intercambio de informacin y por lo tanto no fue necesario definir el
procedimiento de intercambio de informacin.
CASO No 2:
La organizacin incluy en el programa de auditorias la realizacin de auditorias de
segunda parte al sistema de gestin de la seguridad de la informacin (proveedores
potenciales de servicios crticos), incluy en su presupuesto para el siguiente ao la
asignacin de recursos para ejecutar las auditorias anteriores en un perodo de seis
meses. La organizacin esta decidiendo a quien designa como responsable de esta
actividad.

CASO No 3:
La organizacin ha incluido en el SGSI; el proceso de Gestin del Talento Humano. En
este proceso se han establecido los controles para brindar conformidad de las funciones y
responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos
legales y reglamentarios y contractuales con los empleados. En el proceso de Control
interno, tiene establecido en su manual de funciones especficamente auditores Internos
al SGSI, los siguientes requisitos: Educacin: Ingeniera, Formacin: Auditor interno
certificado de aprobacin, Experiencia: haber realizado dos auditorias internas o participar
como observador, Habilidades: Mente abierta, criterio, aptitudes analticas, excelente
comunicacin verbal y escrita, observador, persistente y manejo de situaciones difciles.
En la revisin de registros de la ltima auditoria, se evidencia que fue realizado por tres
(3) auditores internos (Xu Ramrez, Xian Vargas y Gian Wu). Usted verifica los registros
de habilidades y experiencia y estn correctos. Con el cumplimiento de los requisitos de
educacin y formacin Xu Ramrez Ingeniero de Sistemas con su diploma como
evidencia, certificado auditor interno aprobado y verificacin de confirmacin de la
universidad, Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero
Electrnico con especializacin en auditorias internas al SGSI el cual evidenci con
registro de aprobacin. Por ltimo Gian Wu certificado de Ingeniero Aeronutico con
especializacin en diseo aeroespacial, al revisar no encuentra certificado de auditor
interno. Se indago con el dueo del proceso y respondi que Gian Wu es Auditor del
SGSI pues con la experiencia de trabajar durante 10 aos en la organizacin y por su
educacin, ha sido ms que suficiente.

CASO No 4:
La organizacin Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de
servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de
centro de datos, administracin de Firewall, gestin de ingreso y salida de personal. El
responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no
ha sido necesario realizar auditorias a intervalos regulares.

CASO No 5:
En su revisin de las auditorias internas realizadas en el ltimo ao, usted evidencia la
inclusin de 2 auditorias internas en el programa de la organizacin XUAN Inc., registra
en su lista de verificacin la realizacin de auditorias internas a todos los procesos del
SGSI en el primer semestre. En el ltimo semestre evidencia que no se incluy el
proceso de gestin de cambios ni gestin de capacidades, el responsable explica que
estos procesos no se incluyeron en el segundo ciclo porque en las ltimas dos auditorias
no se detect ninguna no conformidad.
CASO No 6:

La organizacin Zing productions S.A., tiene una red que es gestionada por el centro de
datos del SGSI, pero no ha incluido este tem en la gestin de riesgos, porque esta labor
es ejecutada por personal calificado con evidencia de certificado en cableado estructurado
Cat6 y no ha sucedido ningn incidente con respecto a la red.

TALLER 5

ISO 27001 - CUMPLIMIENTO DE LA NORMA

OBJETIVO

Mejorar el entendimiento de la norma, con relacin de los requisitos establecidos y


su relacin con situaciones reales en las organizaciones.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de formacin


de auditores internos debe determinar las clusulas de ISO/IEC 27001 que puede
aplicar. (No cumplimiento).
Realizar este taller en grupos determinados por el tutor y sustentar sus
conclusiones.

TIEMPO

Tiempo mximo de 25 minutos para el desarrollo del taller.


Se destina tiempo para revisin.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

LOS HECHOS, SOLO LOS HECHOS!


HOJA DE TRABAJO
INTEGRANTES:

ELEMENTOS QUE APLICAN

CASO No 1

CASO No 2

CASO No 3

CASO No 4

CASO No 5

CASO No 6

CASO No 7

CASO No 8

CASO No 9

1. La organizacin Online And Transaction S.A., utiliza las transacciones bancarias


en lnea (e-banking) como medio de pago a sus proveedores y a travs de internet
tambin para el envi de documentacin importante a sus clientes. Se han
implementado controles rigurosos para garantizar la integridad de informacin
transmitida. No se han identificado riesgos al respecto.

2. En la organizacin XUAN INC., en el proceso de Ingeniera, usted como Auditor


lder solicita al encargado del mismo, los registros de mantenimiento de equipos,
los cuales son gestionados en la base Informtica ATENEA, donde segn la
explicacin recibida se almacena toda la informacin de los computadores de la
empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas
de ATENEA el registro del nmero de servicio realizado, el nombre del
responsable del equipo, la descripcin del servicio, las fechas de mantenimiento,
los repuestos utilizados y el nombre del tcnico; despus de cotejar los servicios
No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa
que para los servicios No. 11022340, 1106850 y 1325981, el tcnico responsable
no ingres el detalle de los mantenimientos realizados.
3. En el Banco Panamericano se realiz una auditoria al SGSI verificando que el
anlisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontr
evidencia de la metodologa, criterios para aceptacin del riesgo, la identificacin
de los riesgos, el anlisis y evaluacin de los riesgos, el tratamiento de los riesgos
y la seleccin de los objetivos de control y los controles para el tratamiento de los
mismos, sin embargo para el riesgo residual propuesto no se encontr la
aprobacin por parte de la alta direccin.

4. En la auditoria de certificacin de la organizacin Sistema Gestin SG, frente a la


norma ISO 27001, el auditor evidenci que no hay una descripcin de la
metodologa para valoracin de riesgos, es decir, no hay un enfoque hacia la
valoracin del riesgo.

5. Durante la realizacin de auditoria en la organizacin SSC Graphics, el Gerente


de la empresa explica que cuando usted vaya al proceso de produccin, no va
encontrar al Director de Produccin ni a dos Operadores considerados
fundamentales para el mismo, debido a que fueron retirados por problemas de
bajo desempeo. Usted pregunta cuanto hace que fueron retirados? Le
responden que desde hace tres meses, pues el personal es contratado a trmino
fijo y no han sido reemplazados porque el jefe financiero an no ha designado los
recursos necesarios. Usted escribe su comentario en su lista de chequeo. As
mismo usted pregunta Cmo ha definido las competencias para el Director de
produccin, Operador del servidor de correo y Operador del servidor de
aplicaciones?, el Gerente le entrega unos documentos y explica que ha sido un
trabajo muy bueno, realizado para definir las caractersticas de cada cargo.
Despus de revisarlos, slo observa definidas las responsabilidades. Usted
verifica los registros de terminacin de la contratacin laboral y no se encuentran.

6. En Diciembre, usted es designado como auditor lder para realizar una auditoria
interna a Financiera Suprema S.A., ofrece servicios de financiacin de crditos al
sector solidario, al llegar al proceso de mejora continua, usted solicita los registros
de las auditorias realizadas, usted evidencia ejecucin en julio 15 y octubre 30.
Usted pregunta cuantas no conformidades fueron encontradas?, el responsable
indica que en Julio se encontraron once (11) y en Octubre trece (13), todas
cerradas eficazmente, porque la alta Direccin est muy comprometida. Usted
revisa y observa que los problemas detectados durante el mes de octubre son los
mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos
que aparecen en sus registros de lista de verificacin.

7. Usted audita al responsable de tecnologa de informacin, Cul es la periodicidad


de verificacin de los sistemas de informacin?, entrega un programa que define
una frecuencia de cada seis (6) meses. La ltima verificacin fue hace trece (13)
meses, el responsable menciona que se cambio intervalo a un ao y adems por
el cambio de la infraestructura tecnolgica.
8. En la auditora realizada en la organizacin del sector estatal Ministerio Fomento
Empresarial, el auditor entrevist al encargado del centro de cmputo Cuales
controles se han establecido para el centro de cmputo? El nico procedimiento es
el sistema de control de entrada por llave. Qu personas tienen llave del centro
de cmputo? El Gerente del centro de cmputo, el encargado del centro de
cmputo y el personal de limpieza, en particular la seora que realiza la limpieza,
la cual pertenece a la nomina de la agencia de limpieza ZZZ. El auditor entrevista
a la seora de limpieza que se encuentra en el centro de computo Cul es el
procedimiento utilizado para realizar la limpieza? Ella responde que al realizar la
limpieza, deja la puerta abierta mientras utiliza la aspiradora. El auditor al revisar la
planilla de ingreso al centro de cmputo, no evidencia registro de la persona
entrevistada, adems detalla que la ltima revisin de los derechos de acceso fue
hace dos aos. Se revis el listado de personal autorizado para disponer de llaves
y no se encontr al personal de la limpieza y no hay evidencia de la comunicacin
de la poltica de seguridad de la informacin a la agencia de limpieza ZZZ.

9. La organizacin Josh Bank ha recibido un requerimiento de la entidad que regula


el sector bancario el cual indica todas las transacciones por internet deben usar
llave electrnica. La alta direccin decide esperar los resultados de la gestin de
riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisin al
respecto de su implementacin.
TALLER 6.

REVISIN DE LA DOCUMENTACIN-POLTICA

OBJETIVO

Aclarar las dudas de los requisitos relacionados con la poltica de seguridad de la


informacin segn ISO 27001.

METODOLOGIA

Revisar la poltica y determinar si hay cumplimiento con respecto a los requisitos


de ISO 27001.
Que preguntar incluira en su lista de verificacin para aclarar el cumplimiento,
cuando este en la auditoria en sitio?
Realizar este taller en grupo de trabajo designado por el tutor.
Deben presentar sus conclusiones al tutor del curso.

TIEMPO

Tiene un tiempo mximo de cincuenta (50) minutos para el desarrollo del Taller.
Se destina tiempo para revisin.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

LOS HECHOS, SOLO LOS HECHOS!


Organizacin Xuam Services Inc.
POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN - Doc: SGSI-POL-00 V00

XUAM SERVICES INC. es un Proveedor de servicios de tecnologas de la


informacin y consultora en soluciones de gestin de conocimiento, comercio
electrnico y gestin de hosting. Conscientes de la importancia que la seguridad
de la informacin tiene para el desarrollo de su negocio ha decido implantar un
sistema de gestin y suscribe la presente poltica.
XUAM SERVICES INC. establece, define y revisa unos objetivos dentro de su
Sistema de Gestin de Seguridad de la Informacin (SGSI) encaminados a
mejorar su seguridad, entendindola como la conservacin de la confidencialidad,
disponibilidad e integridad de su informacin as como de los sistemas que la
soportan, aumentando la confianza de sus clientes y otras partes interesadas;
junto con el cumplimiento de todos los requisitos legales, reglamentarios y
contractuales que le sean de aplicacin.
El diseo, implantacin y mantenimiento del SGSI se apoyar en los resultados de
un proceso continuo de anlisis y gestin de riesgos del que se derivan las
actuaciones a desarrollar en materia de seguridad dentro del alcance de su
sistema que es la Los sistemas de informacin que soportan los procesos de
diseo, desarrollo, comercializacin y mantenimiento de sistemas informticos de
gestin empresarial, Venta e instalacin de hardware, Gestin de Conocimiento,
Hosting y Comercio electrnico; En relacin a la declaracin de aplicabilidad
vigente. En las oficinas localizadas en Miami y Atlanta.
La Direccin de XUAM SERVICES INC. establecer los criterios de evaluacin del
riesgo de manera que todos aquellos escenarios que impliquen un nivel de riesgo
inaceptable sean tratados adecuadamente. Como parte del SGSI, la Direccin
desarrollar, implantar y mantendr actualizado un Plan de Continuidad de
Negocio acorde a las necesidades de la empresa y dimensionado a los riesgos
que le afectan.
La Direccin de XUAM SERVICES INC. se compromete a la implantacin,
mantenimiento y mejora del SGSI dotndolo de aquellos medios y recursos que
sean necesarios e instando a todo el personal para que asuma este compromiso.
Para ello XUAM SERVICES INC. implantar las medidas requeridas para la
formacin y concienciacin del personal con la seguridad de la informacin. A su
vez, cuando los trabajadores incumplan las polticas de seguridad la Direccin se
reserva el derecho de aplicar las medidas disciplinarias acordes al convenio de los
trabajadores y dentro del marco legal aplicable, y dimensionadas al impacto que
tengan sobre la organizacin.
La responsabilidad general de la seguridad de la informacin recaer sobre el
Responsable del SGSI, siendo la responsabilidad ltima de la Direccin como
mximo responsable del SGSI. Todo usuario tendr la obligacin de reportar los
incidentes en materia de seguridad utilizando las directrices establecidas por
XUAM SERVICES INC.
Todo lo definido en esta poltica se concretar y desarrollar en normativas y
procedimientos del SGSI, las cuales se integrarn en la medida de lo posible con
otros sistemas de gestin de la organizacin compartiendo aquellos recursos en
pro de la optimizacin y buscando la mejora continua de la eficiencia y eficacia de
la gestin de los procesos.

La presente poltica ser de aplicacin a todo el personal y recursos que se encuentran


dentro del alcance del SGSI, se pone en su conocimiento y es comunicada a todas las
partes interesadas.

El Gerente

POLTICAS ESPECFICA GESTIN DE RIESGO


POLTICAS ESPECFICAS RECURSOS Y DEL USUARIO
POLTICAS ESPECFICAS TCNICAS
APROBACIN POLTICA SEGURIDAD

Ver Procedimiento de revisin de la direccin, seccin aprobaciones.

CONTROL DE CAMBIOS

HOJA DE TRABAJO

INTEGRANTES:

Resultados del anlisis


TALLER 7.

ISO 27001 PROGRAMA - PLAN DE AUDITORIA

OBJETIVO

Clarificar los conceptos referentes a programa y plan de auditoria.

METODOLOGIA

Determinar las clausulas a incluir en el programa de auditoria y generar el plan de


auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de
auditoria interna deber soportarse en los visto en clase y en la Norma ISO 27001.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas
para el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los
resultados del taller.

TIEMPO

Tiene un tiempo mximo de 30 minutos para el desarrollo del Taller.


Se destina tiempo para revisin.

DESARROLLO

Parte A. Programa de auditoria:


Establezca un programa de auditora para un SGSI de una compaa de transporte de
valores, medios magnticos y documentos que defini su SGSI respecto a los aspectos
de Seguridad Fsica, Procesos de Logstica y Tecnologa de Informacin.

Organizacin Transportes S.A. Proceso : SGSI


Parte B. Plan de auditoria:
Generar el plan detallado de auditora, de alguna de los que fueron definidos en el paso
anterior puede considerar auditar otras reas/funciones o procesos que usted considere
necesarios en el plan de auditora correspondiente, para evidenciar conformidad. Para
cada subproceso se encuentran seleccionados e implementados todos los controles que
le aplican.

Seguridad Fsica: Se verifican las bitcoras de acceso a la bveda donde se


guardan los documentos de los clientes y las bvedas del dinero que se
transporta a clientes particulares. Toda la seguridad de los sitios considerados muy
sensibles para el acceso no autorizado son definidos y establecidos por la alta
direccin de la compaa.

Logstica: Administra todos los vehculos y las rutas a seguir, las cuales son
programadas desde el sistemas de informacin. Administrado para todo el pas
desde Bogot.

Sistemas de Informacin: Instala y mantiene todos los sistemas de informacin


que soportan el negocio, administra los equipos de comunicaciones tales como
routers, switches, VPN, MODEM, firewall y monitoreo del servicio de canales,
correo e Internet.
PLAN DE AUDITORIA
Continuacin PLAN DE AUDITORIA
TALLER 8.

ISO 27001 LISTA DE VERIFICACIN

OBJETIVO

Practicar la generacin de preguntas de acuerdo con las clausulas de la norma


ISO/IEC 27001.

METODOLOGIA

Para realizar este taller el participante en el curso de auditoria interna deber


soportarse en Norma ISO 27001.
Se divide el curso en grupos y se asigna clausulas a cada grupo.
Recuerde que los formatos suministrados son solamente guas para el desarrollo
del curso. El equipo de trabajo debe sustentar los resultados del taller.
Realizar una lista de chequeo para un proceso seleccionado en el grupo.

TIEMPO

Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller.


Se destina tiempo para revisin.
DESARROLLO LISTA DE VERIFICACIN

Organizacin:
Auditores:
Proceso:
No. CLAUSULA PREGUNTA Observaciones Cumple(s/n

Comentarios:

Nombre y Firma Auditor: Nombre y Firma

Auditado:
TALLER 9

REDACCION DE HALLAZGOS DE INCUMPLIMIENTO

OBJETIVO

Generar habilidad en el auditor para detectar no conformidades, mejorar su


redaccin, clasificacin y sustentacin.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de tcnicas


de auditoria interna debe determinar si hay hallazgo de incumplimiento, clasificar
de acuerdo a la clusula Norma ISO 27001 y realizar la redaccin respectiva.
Realizar este taller en grupo determinado por el tutor y debe sustentar sus
conclusiones en las hojas respectivas.

TIEMPO

Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller.


Se destina tiempo para revisin.

DESARROLLO

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

LOS HECHOS, SOLO LOS HECHOS

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR


MENOR
Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor

CASOS

La organizacin YING SEG INC, construye Sistemas de Control Electrnico segn las
especificaciones de los diseos de los clientes. Usted forma parte de un equipo de
auditoria que revisa el Proceso de Gestin del SGSI (Control de documentos y registros)
en este proceso se tiene establecido que los originales de la documentacin del sistema
operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de
los equipos de la empresa deben estar en la sala de control de documentos. Tambin se
audita al proceso de Gestin del Talento Humano. Cuando se acerca a la sala de control
de documentos, usted observa la puerta abierta, observa a los empleados de produccin
en la sala de control de documentos buscando unos planos de los diseos del control
electrnico del proyecto Gate Close II en el archivo de documentos obsoletos. Usted
solicita los registros de ingreso y evidencia que los empleados no estn en la planilla de
ingreso, adems revisa los derechos asignados y ninguno tiene registro de asignacin de
ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella
indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos
establecidos. Roberta se disculpa por el hecho de que el rea parece desordenada, sin
embargo explica que estuvo de vacaciones por Navidad y Ao Nuevo.

Luego usted pregunta Cmo se controla la documentacin del sistema operativo?


Roberta lo lleva al archivo que contiene dicha documentacin; usted selecciona cinco (5)
documentos para revisar, solicita el listado de documentos maestros y observa que los
niveles de revisin de los documentos elegidos del archivo contra la lista maestra, todos
salvo el Manual Uno tienen la versin correcta, este documento debe ser versin 2.
Solicita la aprobacin de la nueva versin y no se encuentra disponible, Roberta dice que
cree que la versin del documento nuevo est entre los documentos pendientes. Usted
solicita a Roberta el procedimiento de control de documentos establecido por la
organizacin, ella confiesa que presto su copia a otra rea de la organizacin, pero hay
una copia del procedimiento enmarcada y fijada en la pared, junto a la puerta, para que
todos la lean, usted observa que las fotocopias no estn controladas. Adicional usted
pregunta a Roberta cmo se controla el listado maestro de documentos?; ella responde
que este es un registro codificado F-LD-GSGSI-001 versin 2 e invoca una hoja
electrnica en su computadora y muestra cmo registra los nuevos documentos que se
reciben.
Al indagar Cmo se controla la entrada al sitio donde se encuentra este computador?
Roberta responde que la puerta de la sala siempre est cerrada con llave, cuando ella no
est.

Luego solicita explicacin de cmo se controlan y distribuyen los cambios de ingeniera,


Roberta muestra el archivo maestro de informes de cambios de ingeniera, selecciona
seis (6) y observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella
distribuy los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta
explica que falta personal y ha tenido que depender de la secretaria de ingeniera para
pasar las copias a los trabajadores de produccin y que la secretaria no le devuelve las
hojas de acuses de recibo.

Por otra parte usted observa un estante con catlogos de varios distribuidores de
electrnica, usted pregunta a Roberta si estos catlogos se encuentran controlados, ella
responde que slo se usan como referencia y nunca los sacan de la sala, dice adems
que los Ingenieros usan el catlogo de partes computarizado cuando necesitan publicar
las especificaciones de las partes y como son tantos (los fsicos) y muy poco se utilizan no
se han incluido en el SGSI.

Roberta lo lleva al proceso de gestin de talento humano, donde encuentran al Director,


Anbal Ramrez usted se presenta y solicita donde estn establecidas las competencias
del personal, las funciones y responsabilidades en seguridad en la informacin, Anibal
entrega un archivo. En el archivo evidencia cumplimiento de seleccin de personal,
trminos y condiciones de la relacin laboral, conformidad con educacin y formacin en
la seguridad en la informacin. Al solicitar cinco (5) hojas de vida al azar, tambin verifica
el proceso disciplinario de algunos empleados y contratista, es conforme con los
requisitos. Por ltimo revisa la devolucin de activos y comunicacin de la eliminacin de
derechos del personal que sali de la organizacin en los ltimos ocho (8) meses y
encuentra los registros pertinentes, Anbal explica que a travs de una interaccin
estrecha entre gerentes y empleados han evitado una descripcin especfica de perfiles
de cargos, usted busca en el listado maestro de documentos y no hay existencia de la
definicin indicada por l. Al indagar con Anbal sobre los contratos de trabajo de cuatro
(4) cargos distintos. Anbal explica que en estos se encuentran los controles adecuados,
usted verifica la informacin y esta de acuerdo, usted registra esta informacin en su lista
de verificacin. Agradece a Roberta y Anbal; por ltimo regresa a la sala de reuniones
privada para redactar el informe de auditoria.
TALLER 10.

REDACCION DE OBSERVACIONES

OBJETIVO

Mejorar las habilidades para utilizar adecuadamente las observaciones u


oportunidades de mejora y su redaccin respectiva.

METODOLOGIA

En cada una de las situaciones de este taller, el participante debe determinar si


hay una oportunidad de mejora u observacin con respecto a la Norma ISO 27001
y realizar la redaccin respectiva.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas
para el desarrollo del curso. Sustentar sus redacciones.

TIEMPO

Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller.


Se destina tiempo para revisin.

DESARROLLO

Con los casos del taller anterior, determinar si hay observaciones u oportunidades de
mejora.

Casos Adicionales:

Usted como auditor pasa al proceso de gestin de tarjetas donde observa que el
encargado Sr. Rafael Nez, guarda las tarjetas en una caja fuerte y las claves en otra. El
software que controla la expedicin de tarjetas est temporalmente suspendido debido a
que le estn incluyendo otras rutinas de validacin y control.

Luego, al pasar por el cuarto de servidores observa que la puerta tiene una cantonera que
restringe el acceso. Al preguntar al Sr. Carlos lvarez, Director del rea Ha definido
controles para el control de acceso fsico y lgico?, l responde que si y ensea la
reglamentacin sobre registros tanto de acceso fsico como lgico. Al revisar los
registros, observa que slo encuentran los registros hasta el mes pasado, a lo cual el
gerente comenta que mensualmente los registros se estn enviando al departamento de
archivo para su almacenamiento, dado que la organizacin estableci un tiempo de
retencin de 1 ao.
Al preguntar al gerente de servicios de tecnologa si existe un procedimiento de
continuidad del negocio en caso de desastres o causas mayores, l comenta que se ha
establecido un procedimiento y se ha validado el plan de continuidad del negocio. Se
cuenta con un servidor idntico al de produccin donde se carga diariamente la
informacin actualizada y se encuentra ubicado en otro sitio diferente al centro de
cmputo, con todas las acometidas independientes. Igualmente se encuentra protegido
por ups y planta elctrica.

Se realiz la valoracin de los riesgos para los activos crticos y se tiene un plan de
pruebas y actualizacin de cambios. As mismo existen funciones y responsabilidades
definidas en caso de ser necesario utilizarlo. Se solicit estos documentos y se encontr
conformidad en los mismos.

En la revisin del sistema de Backup se encuentra que algunas cintas estn almacenas
en la oficina de sistemas, ubicadas sobre un mueble.

Estndar
Observaciones u Oportunidades de Mejora
/Elemento

ISO 27001
ELEMENTO
________

ISO 27001
ELEMENTO
________

ISO 27001
ELEMENTO
________
TALLER 11

ISO 27001 ANALISIS DE LOS PROCESOS

OBJETIVO

Fortalecer el conocimiento de la determinacin de no conformidad, observaciones, su


clasificacin, redaccin y sustentacin.

METODOLOGIA

La auditoria simulada debe seguir los siguientes pasos:


1. Reunin del equipo auditor (Anlisis de Hallazgos).
2. Clasificacin de los hallazgos con respecto a una clusula de la norma.
3. Determinacin de observaciones u oportunidades de mejora
4. Solicitud de acciones correctivas.

El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una


observacin (oportunidad de mejora) con respecto a la Norma ISO 27001.

Determinar la clusula de ISO 27001, relacionada con el hallazgo de la posible no


conformidad u observacin. Si se declara que el hallazgo es una No Conformidad
debe ser redactada en el formato Solicitud de Accin Correctiva (SAC). Si se
declara que el hallazgo es una Observacin debe ser redactada en el formato
Observaciones/Oportunidades de Mejora.
Taller en grupo y sustentacin de resultados en la reunin de cierre formal.
Recuerde que los formatos suministrados son solamente guas para el desarrollo
del curso.

TIEMPO

Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller.


Se destina tiempo para revisin.
DESARROLLO
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR


Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:

Hallazgos:

Auditor

Estndar
Observaciones u Oportunidades de Mejora
/Elemento

ISO 27001
ELEMENTO
________

ISO 27001
ELEMENTO
________

ISO 27001
ELEMENTO
________
Do Brasil Electronic S.A.

Se dedica al diseo, ensamble y venta de componentes electrnicos de seguridad.


La organizacin est ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal
en la ciudad de Ro de Janeiro en donde ensamblan alarmas de seguridad para edificios.

La Auditora en sitio es realizada por dos auditores. Para el caso se entrevista al oficial de
seguridad y al responsable del SGSI el Ing. Rodio Paez.

LA AUDITORIA

Se realiz la reunin de apertura en la organizacin Do Brasil Electronic S.A., en la ciudad


de Sao Paulo.

Auditoria Ciudad de Sao Paulo:

Se visita el Proceso de almacenamiento, en el estn los componentes electrnicos para


ensamble, los productos terminados y lo ms importante para la organizacin los diseos
exclusivos y propios de los productos y en algunos casos nicos en Brasil. El auditor esta
acompaado por el responsable del SGSI. Se comprueba ubicacin de los elementos
almacenados, ubicacin de extintores, demarcacin de zonas, identificacin de piezas,
registro de ingreso de componentes, registros de salida de equipos terminados, inventario
y sistema de informacin, el auditor registra todo esta de acuerdo con el procedimiento
definido SGSI-PR-ALM-001 del proceso de Almacn. Usted observa a 3 personas
trabajando en una de las esquinas del almacn, usted se presenta y pregunta a uno de
los contratistas: Qu trabajo estn realizando? Y le responde Estamos instalando un
nuevo sensor de humedad y temperatura en esta zona. Usted pregunta a la responsable
del Almacn Sra. Roberta Daz, Tienen las autorizaciones correspondientes para estar
en la zona? Roberta informa que por supuesto. Ellos son contratistas de Mantenimientos
JKF que estn desde hace cuatro (4) meses trabajando todos los das en la organizacin.
Usted solicita la identificacin respectiva No. 123789 Alberto Rin, 123790 Jhonatan Ribo
y 011156 Luis Ribereido. Cuantas entradas hay en el almacn? Roberta muy atenta
responde dos. Una entrada, Puerta No. 1, para el personal que labora en el almacn y
contratistas; otra, Puerta No. 2, que slo se utiliza para ingreso de componentes y entrega
de productos terminados. Usted observa la puerta No. 2 y detalla un Camin
Mantenimientos JKF que est parqueado en el rea de cargue de productos y
descargue de componentes electrnicos. Usted contina revisando la zona de almacn y
observa en una esquina papel de desperdicio y basura desordenada. Luego se dirige a
un cuarto pequeo, pregunta Qu se almacena en ese lugar?, Roberta informa que
lgicamente las cintas de backup y algunos equipos de computo dados de baja, es una
zona reservada para IT. Usted registra la cinta con la etiqueta XXX-001, XXX-002 y XXX-
003. Los siguientes computadores son equipos dados de baja: INV-AF-PC-234, INV-AF-
PC-132, INV-AF-PC-133, INV-AF-PC-134, INV-AF-PC-145, INV-AF-IMP-14, INV-AF-UPS-
113, INV-AF-UPS-15 y INV-AF-SCAN-56. Usted solicita verificar la informacin de los
discos de los equipos INV-AF-PC-234, INV-AF-PC-132 y INV-AF-PC-145. En el proceso
de gestin de seguridad de la informacin, usted solicita al Ingeniero Rodio Paez, el
procedimiento de auditorias internas. Rodino entrega los registros de auditorias internas.
Usted revisa los registros entregados y encuentra el programa anual de auditorias, la designacin
de responsables, los planes de las auditorias programadas, las listas de verificacin, verifica que
los auditores no auditaran su propio proceso, evidencia que se realiz auditorias a todos los
procesos y detalla los reportes de auditorias internas, detalla otros aspectos y escribe en su lista
de verificacin los hallazgos. En el Proceso IT, se verifica el equipos INV-AF-PC-234 en el
inventario y no aparece como activo. Tambin analiza en los equipos registrados dados de baja a
INV-AF-PC-132 y no se encuentra. Adicionalmente solicita al Sr. Robert Robles encender el
equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de baja y que no debe
tener informacin; se verifica en los equipos registrados dados de baja se encuentra registrado.
Robert enciende el equipo etiquetado INV-AF-PC-145 y con sorpresa aparece el sistema
operativo.

Usted verifica el Proceso de administracin de servicios tecnolgicos tales como el ingreso de


personal a la organizacin, le informan que el personal puede ingresar nicamente por la entrada
principal, todos tienen tarjetas de control de acceso personalizado. En el listado de personal
autorizado para ingresar en la seccin de Almacn se encuentra al Ingeniero Rodio Paez,
Roberta Daz, los 3 almacenistas, Identifica las credenciales No. 123789, 123790, 011156; las
cuales corresponde claramente al permiso del da para el contratista Security JKF.

Se solicita los registros de Backup, usted busca en sus apuntes las anotaciones de las etiqueta
encontradas en almacn XXX-001, XXX-002 y XXX-003, busca en la realizacin de backup y
encuentra evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-
001. Le informan que esta cinta no se registr porque se utiliz de prueba al momento de instalar
el servidor de backup, pero se guarda para estos fines.

Nuevamente el Ingeniero Rodio Paez, los lleva al proceso de gestin de seguridad de la


informacin, usted solicita las acciones correctivas y preventivas realizadas en el presente ao, el
gerente del proceso entrega un archivo con esta informacin, all encuentra 6 acciones correctivas
y 1 accin preventiva, todas cerradas a la fecha. Previamente se haba observado en las actas del
comit de seguridad una queja repetitiva de varios clientes acerca de que no tenan acceso a su
cuenta porque la claves no haban sido desbloqueadas oportunamente, y no estaba registrada
como accin correctiva. Al preguntar al responsable acerca de este inconveniente, dijo que la
persona encargada de desbloquear las claves era nueva en el puesto y no se encontraba
capacitada, y como el comit de seguridad decidi capacitarla no se registr como accin
correctiva. En el Proceso Financiero usted valida las aprobaciones dados de baja los equipos por
parte del Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente
Financiero, persona responsable de la aprobacin y asignacin de dar de baja de activos de la
organizacin.

Al observar el rea de tesorera encuentra que no hay ninguna persona laborando en dicha
oficina, usted se acerca a la ventanilla y alcanza a visualizar varias chequeras, dos contratos No.
13456-RIO y 34346-SAO PAULO Confidenciales, adems de otros papeles sobre el escritorio.
Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicit permiso para
salir temprano el da de hoy. Usted comenta al Gerente financiero sobre los documentos
importantes, l ndica que ella es muy buena trabajadora y que siempre paga a tiempo a los
contratistas y empleados.

Finalmente termina el proceso de auditora, muchas gracias al Ingeniero Rodio Pez,


realiza la reunin de auditores internos para definir el respectivo informe.
TALLER 12

ISO 27001 Seguimiento y Accin correctiva

OBJETIVO

Determinar en el auditor interno la concientizacin requerida para garantizar la


verificacin de las no conformidades y cierre eficaz del proceso auditoria interna.

METODOLOGIA

Con el taller de anlisis de procesos (registro de no conformidades), seleccionar


una (1) no conformidades y determinar las clausulas que usted revisara para
garantizar que el anlisis de causa y actividades son eficaces para realizar el
cierre de la no conformidad.
Recuerde que los formatos suministrados son solamente guas para el desarrollo
del curso. El equipo de trabajo presentara los resultados del Taller al tutor.

TIEMPO

Tiene un tiempo mximo de (25) minutos para el desarrollo del Taller.

DESARROLLO

Verificacin

Clausula Evidencias

Eficaz Si No
Fecha de cierre:
Firma auditor
En caso de no ser eficaz se genera nueva SAC

You might also like