Professional Documents
Culture Documents
OBJETIVO
METODOLOGIA
Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su
respectiva retroalimentacin.
TIEMPO
OBJETIVO
METODOLOGIA
Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su
respectiva retroalimentacin.
TIEMPO
OBJETIVO
METODOLOGIA
TIEMPO
OBJETIVO
METODOLOGIA
TIEMPO
Todos los casos de este taller tienen relacin en la organizacin XUAN INC.
CASO No 1:
La organizacin establece intercambio de informacin con el organismo supervisor, esta
informacin es enviada por medio electrnico, la organizacin defini una excelente
poltica de intercambio de informacin y por lo tanto no fue necesario definir el
procedimiento de intercambio de informacin.
CASO No 2:
La organizacin incluy en el programa de auditorias la realizacin de auditorias de
segunda parte al sistema de gestin de la seguridad de la informacin (proveedores
potenciales de servicios crticos), incluy en su presupuesto para el siguiente ao la
asignacin de recursos para ejecutar las auditorias anteriores en un perodo de seis
meses. La organizacin esta decidiendo a quien designa como responsable de esta
actividad.
CASO No 3:
La organizacin ha incluido en el SGSI; el proceso de Gestin del Talento Humano. En
este proceso se han establecido los controles para brindar conformidad de las funciones y
responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos
legales y reglamentarios y contractuales con los empleados. En el proceso de Control
interno, tiene establecido en su manual de funciones especficamente auditores Internos
al SGSI, los siguientes requisitos: Educacin: Ingeniera, Formacin: Auditor interno
certificado de aprobacin, Experiencia: haber realizado dos auditorias internas o participar
como observador, Habilidades: Mente abierta, criterio, aptitudes analticas, excelente
comunicacin verbal y escrita, observador, persistente y manejo de situaciones difciles.
En la revisin de registros de la ltima auditoria, se evidencia que fue realizado por tres
(3) auditores internos (Xu Ramrez, Xian Vargas y Gian Wu). Usted verifica los registros
de habilidades y experiencia y estn correctos. Con el cumplimiento de los requisitos de
educacin y formacin Xu Ramrez Ingeniero de Sistemas con su diploma como
evidencia, certificado auditor interno aprobado y verificacin de confirmacin de la
universidad, Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero
Electrnico con especializacin en auditorias internas al SGSI el cual evidenci con
registro de aprobacin. Por ltimo Gian Wu certificado de Ingeniero Aeronutico con
especializacin en diseo aeroespacial, al revisar no encuentra certificado de auditor
interno. Se indago con el dueo del proceso y respondi que Gian Wu es Auditor del
SGSI pues con la experiencia de trabajar durante 10 aos en la organizacin y por su
educacin, ha sido ms que suficiente.
CASO No 4:
La organizacin Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de
servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de
centro de datos, administracin de Firewall, gestin de ingreso y salida de personal. El
responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no
ha sido necesario realizar auditorias a intervalos regulares.
CASO No 5:
En su revisin de las auditorias internas realizadas en el ltimo ao, usted evidencia la
inclusin de 2 auditorias internas en el programa de la organizacin XUAN Inc., registra
en su lista de verificacin la realizacin de auditorias internas a todos los procesos del
SGSI en el primer semestre. En el ltimo semestre evidencia que no se incluy el
proceso de gestin de cambios ni gestin de capacidades, el responsable explica que
estos procesos no se incluyeron en el segundo ciclo porque en las ltimas dos auditorias
no se detect ninguna no conformidad.
CASO No 6:
La organizacin Zing productions S.A., tiene una red que es gestionada por el centro de
datos del SGSI, pero no ha incluido este tem en la gestin de riesgos, porque esta labor
es ejecutada por personal calificado con evidencia de certificado en cableado estructurado
Cat6 y no ha sucedido ningn incidente con respecto a la red.
TALLER 5
OBJETIVO
METODOLOGIA
TIEMPO
CASO No 1
CASO No 2
CASO No 3
CASO No 4
CASO No 5
CASO No 6
CASO No 7
CASO No 8
CASO No 9
6. En Diciembre, usted es designado como auditor lder para realizar una auditoria
interna a Financiera Suprema S.A., ofrece servicios de financiacin de crditos al
sector solidario, al llegar al proceso de mejora continua, usted solicita los registros
de las auditorias realizadas, usted evidencia ejecucin en julio 15 y octubre 30.
Usted pregunta cuantas no conformidades fueron encontradas?, el responsable
indica que en Julio se encontraron once (11) y en Octubre trece (13), todas
cerradas eficazmente, porque la alta Direccin est muy comprometida. Usted
revisa y observa que los problemas detectados durante el mes de octubre son los
mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos
que aparecen en sus registros de lista de verificacin.
REVISIN DE LA DOCUMENTACIN-POLTICA
OBJETIVO
METODOLOGIA
TIEMPO
Tiene un tiempo mximo de cincuenta (50) minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
El Gerente
CONTROL DE CAMBIOS
HOJA DE TRABAJO
INTEGRANTES:
OBJETIVO
METODOLOGIA
TIEMPO
DESARROLLO
Logstica: Administra todos los vehculos y las rutas a seguir, las cuales son
programadas desde el sistemas de informacin. Administrado para todo el pas
desde Bogot.
OBJETIVO
METODOLOGIA
TIEMPO
Organizacin:
Auditores:
Proceso:
No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
Comentarios:
Auditado:
TALLER 9
OBJETIVO
METODOLOGIA
TIEMPO
DESARROLLO
Hallazgos:
Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:
Hallazgos:
Auditor
Hallazgos:
Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:
Hallazgos:
Auditor
CASOS
La organizacin YING SEG INC, construye Sistemas de Control Electrnico segn las
especificaciones de los diseos de los clientes. Usted forma parte de un equipo de
auditoria que revisa el Proceso de Gestin del SGSI (Control de documentos y registros)
en este proceso se tiene establecido que los originales de la documentacin del sistema
operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de
los equipos de la empresa deben estar en la sala de control de documentos. Tambin se
audita al proceso de Gestin del Talento Humano. Cuando se acerca a la sala de control
de documentos, usted observa la puerta abierta, observa a los empleados de produccin
en la sala de control de documentos buscando unos planos de los diseos del control
electrnico del proyecto Gate Close II en el archivo de documentos obsoletos. Usted
solicita los registros de ingreso y evidencia que los empleados no estn en la planilla de
ingreso, adems revisa los derechos asignados y ninguno tiene registro de asignacin de
ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella
indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos
establecidos. Roberta se disculpa por el hecho de que el rea parece desordenada, sin
embargo explica que estuvo de vacaciones por Navidad y Ao Nuevo.
Por otra parte usted observa un estante con catlogos de varios distribuidores de
electrnica, usted pregunta a Roberta si estos catlogos se encuentran controlados, ella
responde que slo se usan como referencia y nunca los sacan de la sala, dice adems
que los Ingenieros usan el catlogo de partes computarizado cuando necesitan publicar
las especificaciones de las partes y como son tantos (los fsicos) y muy poco se utilizan no
se han incluido en el SGSI.
REDACCION DE OBSERVACIONES
OBJETIVO
METODOLOGIA
TIEMPO
DESARROLLO
Con los casos del taller anterior, determinar si hay observaciones u oportunidades de
mejora.
Casos Adicionales:
Usted como auditor pasa al proceso de gestin de tarjetas donde observa que el
encargado Sr. Rafael Nez, guarda las tarjetas en una caja fuerte y las claves en otra. El
software que controla la expedicin de tarjetas est temporalmente suspendido debido a
que le estn incluyendo otras rutinas de validacin y control.
Luego, al pasar por el cuarto de servidores observa que la puerta tiene una cantonera que
restringe el acceso. Al preguntar al Sr. Carlos lvarez, Director del rea Ha definido
controles para el control de acceso fsico y lgico?, l responde que si y ensea la
reglamentacin sobre registros tanto de acceso fsico como lgico. Al revisar los
registros, observa que slo encuentran los registros hasta el mes pasado, a lo cual el
gerente comenta que mensualmente los registros se estn enviando al departamento de
archivo para su almacenamiento, dado que la organizacin estableci un tiempo de
retencin de 1 ao.
Al preguntar al gerente de servicios de tecnologa si existe un procedimiento de
continuidad del negocio en caso de desastres o causas mayores, l comenta que se ha
establecido un procedimiento y se ha validado el plan de continuidad del negocio. Se
cuenta con un servidor idntico al de produccin donde se carga diariamente la
informacin actualizada y se encuentra ubicado en otro sitio diferente al centro de
cmputo, con todas las acometidas independientes. Igualmente se encuentra protegido
por ups y planta elctrica.
Se realiz la valoracin de los riesgos para los activos crticos y se tiene un plan de
pruebas y actualizacin de cambios. As mismo existen funciones y responsabilidades
definidas en caso de ser necesario utilizarlo. Se solicit estos documentos y se encontr
conformidad en los mismos.
En la revisin del sistema de Backup se encuentra que algunas cintas estn almacenas
en la oficina de sistemas, ubicadas sobre un mueble.
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
TALLER 11
OBJETIVO
METODOLOGIA
TIEMPO
Hallazgos:
Auditor
Hallazgos:
Auditor
Hallazgos:
Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:
Hallazgos:
Auditor
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
Do Brasil Electronic S.A.
La Auditora en sitio es realizada por dos auditores. Para el caso se entrevista al oficial de
seguridad y al responsable del SGSI el Ing. Rodio Paez.
LA AUDITORIA
Se solicita los registros de Backup, usted busca en sus apuntes las anotaciones de las etiqueta
encontradas en almacn XXX-001, XXX-002 y XXX-003, busca en la realizacin de backup y
encuentra evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-
001. Le informan que esta cinta no se registr porque se utiliz de prueba al momento de instalar
el servidor de backup, pero se guarda para estos fines.
Al observar el rea de tesorera encuentra que no hay ninguna persona laborando en dicha
oficina, usted se acerca a la ventanilla y alcanza a visualizar varias chequeras, dos contratos No.
13456-RIO y 34346-SAO PAULO Confidenciales, adems de otros papeles sobre el escritorio.
Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicit permiso para
salir temprano el da de hoy. Usted comenta al Gerente financiero sobre los documentos
importantes, l ndica que ella es muy buena trabajadora y que siempre paga a tiempo a los
contratistas y empleados.
OBJETIVO
METODOLOGIA
TIEMPO
DESARROLLO
Verificacin
Clausula Evidencias
Eficaz Si No
Fecha de cierre:
Firma auditor
En caso de no ser eficaz se genera nueva SAC