Talleres ISO 27001 v2 PDF

Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 1
ISO 27001 INTRODUCCIN AUDITORIA INTERNA
OBJETIVO
Brindar una introduccin al estudiante de la metodologa de casos, utilizada durante el
curso de formacin de auditores internos de un Sistema de Gestin de Seguridad de
la informacin ISMS ISO 27001.
METODOLOGIA
Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar
el trabajo individual.
Deben sustentar sus respuestas al Tutor del curso con sus respuestas.
En cada una de las siguientes situaciones, el participante de Auditoria Interna debe
determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y
de ISO 27001 (No utilizar la norma).
TIEMPO
Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

Recuerde LOS HECHOS, SOLO LOS HECHOS!
Caso Cumple o no Cumple
1
2
3
4
5
6
Todos los casos de este taller tienen relacin en la organizacin XUAN INC.
CASO No 1:
La organizacin establece intercambio de informacin con el organismo supervisor, esta
informacin es enviada por medio electrnico, la organizacin defini una excelente poltica de
intercambio de informacin y por lo tanto no fue necesario definir el procedimiento de intercambio
de informacin.
CASO No 2:
La organizacin incluy en el programa de auditorias la realizacin de auditorias de segunda parte
al sistema de gestin de la seguridad de la informacin (proveedores potenciales de servicios
crticos), incluy en su presupuesto para el siguiente ao la asignacin de recursos para ejecutar
las auditorias anteriores en un perodo de seis meses. La organizacin esta decidiendo a quien
designa como responsable de esta actividad.
CASO No 3:
La organizacin ha definido en el SGSI el proceso de Talento Humano, en este proceso se han
establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI;
un proceso legal para evidenciar cumplimiento de requisitos legales y reglamentarios y
contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual
Pgina 1
de funciones especficamente auditores Internos al SGSI, los siguientes requisitos: Educacin:

Ingeniera, Formacin: Auditor interno certificado de aprobacin, Experiencia: haber realizado dos
auditorias internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes
analticas, excelente comunicacin verbal y escrita, observador, persistente y manejo de
situaciones difciles.
En la revisin de registros de la ltima auditoria, se evidencia que fue realizado por tres (3)
auditores internos (Xu Ramrez, Xian Vargas y Gian Wu). Usted verifica que los registros de
habilidades y experiencia estn correctos. Con el cumplimiento de los requisitos de educacin y
formacin Xu Ramrez ingeniero de sistemas con evidencia de diploma, certificado auditor interno
aprobado y verificacin de confirmacin de la universidad, Xian Vargas tiene la correspondiente
tarjeta profesional de ingeniero electrnico con especializacin en auditorias internas al SGSI la
cual evidenci registro de aprobacin, por ltimo Gian Wu certificado de ingeniero aeronutico con
especializacin en diseo aeroespacial, al revisar no encuentra certificado de auditor interno, el
dueo del proceso responde que Gian Wu con la experiencia de trabajar durante 10 aos en la
organizacin y por su educacin ha sido mas que suficiente.
CASO No 4:
La organizacin Telecomunica TE S.A., ha establecido contratos y acuerdos de nivel de servicio al
SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos,
administracin de firewall, gestin de ingreso y salida de personal. El responsable indica que se
han definido muy bien los contratos y los SLA, por lo tanto no ha sido necesario realizar auditorias
a intervalos regulares.
CASO No 5:
En su revisin de las auditorias internas realizadas en el ltimo ao, usted evidencia la inclusin de
2 auditorias internas en el programa de la organizacin XUAN Inc, registra en su lista de
comprobacin la realizacin de auditorias internas a todos los procesos del SGSI en el primer
semestre, en el ltimo semestre evidencia que no se incluy al proceso de gestin de cambios y
gestin de capacidades, el responsable explica que estos procesos no se incluyeron en el
segundo ciclo porque en las ltimas dos auditorias no se detect no conformidades.
CASO No 6:
La organizacin Zing Productions S.A., tiene una red que es gestionada por el centro de datos del
SGSI, pero no ha incluido este tem en la gestin de riesgos, porque esta labor es ejecutada por
personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido
ningn incidente con respecto a la red.
Pgina 2
TALLER No 2
ISO 27001 - CUMPLIMIENTO DE LA NORMA
OBJETIVO
Mejorar el entendimiento de la norma, con relacin de los requisitos establecidos y su
relacin con situaciones reales en las organizaciones.
METODOLOGIA
En cada una de las siguientes situaciones, el participante en el curso de formacin de
auditores internos debe determinar las clusulas de ISO/IEC 27001:2005 que puede
aplicar. (No cumplimiento).
Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones.
TIEMPO
Tiempo mximo de 45 minutos para el desarrollo del taller.
Se destina tiempo para revisin.
Recuerde
LOS HECHOS, SOLO LOS HECHOS!
Pgina 3
HOJA DE TRABAJO
INTEGRANTES:
ELEMENTOS QUE APLICAN
CASO No 1
CASO No 2
CASO No 3
CASO No 4
CASO No 5
CASO No 6
CASO No 7
CASO No 8
CASO No 9
1. La organizacin Online And Transaction S.A., utiliza las transacciones en lnea (internet)
como medio de pago a sus proveedores y tambin para el envi de documentacin
importante a sus clientes. Se ha implementado controles rigurosos para garantizar la
integridad de informacin transmitida, no se ha identificado riesgos al respecto.
2. En la organizacin XUAN INC., en el proceso de Ingeniera, usted como Auditor lder

solicita al encargado del mismo los registros de mantenimiento de equipos, registros
gestionados en la base Informtica ATENEA donde segn la explicacin recibida se
almacena toda la informacin de los computadores de la empresa, aproximadamente 500.
Usted observa en las diferentes carpetas de ATENEA el registro del nmero de servicio
realizado, el nombre del responsable del equipo, la descripcin del servicio, las fechas de
mantenimiento, los repuestos utilizados y el nombre del tcnico; despus de cotejar los
servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa
que para los servicios No. 11022340, 1106850 y 1325981, el tcnico responsable no
ingres el detalle de los mantenimientos realizados.
3. En el Banco Panamericano se realiz una auditoria al SGSI verificando que el anlisis de

riesgos estuviese de acuerdo a los requisitos de la norma, se encontr evidencia de la
metodologa, criterios para aceptacin del riesgo, la identificacin de los riesgos, el anlisis
y evaluacin de los riesgos, el tratamiento de los riesgos y la seleccin de los objetivos de
control y los controles para el tratamiento de los mismos, sin embargo para el riesgo
residual propuesto no se encontr la aprobacin por la alta direccin.
Pgina 4
4. En la auditoria de certificacin de la organizacin Sistema Gestin SG, en la norma ISO

27001, el auditor evidencio que no hay una descripcin de la metodologa para valoracin
de riesgos, es decir, no hay un enfoque hacia la valoracin del riesgo.
5. Durante la realizacin de auditoria en la organizacin SSC Graphics, el Gerente de la

empresa explica que cuando usted vaya al proceso de produccin no va encontrar al
Director de Produccin ni a dos Operadores fundamentales para el mismo, debido a que
fueron retirados por problemas de bajo desempeo. Usted pregunta cuanto hace que
fueron retirados? explica que desde hace tres meses, porque el personal es contratado a
termino fijo, no se han reemplazado porque el jefe financiero no ha designado recursos y
por lo tanto no han sido reemplazados, usted escribe en su lista de chequeo. Cmo ha
definido las competencias para el Director de Produccin, Operador del servidor de correo
y Operador del servidor de aplicaciones?, el Gerente entrega unos documentos y explica
que ha sido un trabajo muy bueno realizado para definir las caractersticas de cada cargo;
despus de revisarlos, slo observa definidas las responsabilidades. Usted verifica los
registros de terminacin de la contratacin laboral y no se encuentran.
6. En Diciembre, usted es designado como auditor lder para realizar una auditoria interna a
Financiera Suprema S.A., ofrece servicios de financiacin de crditos al sector solidario, al
llegar al proceso de mejora continua, usted solicita los registros de las auditorias
realizadas, usted evidencia ejecucin en julio 15 y octubre 30. Usted pregunta Cuntas
no conformidades fueron encontradas?, el responsable indica que en Julio/15: once (11) y
en Octubre/30: trece (13), todas cerradas eficazmente, porque la alta Direccin esta muy
comprometida; usted detalla y observa que los problemas detectados en el mes octubre
son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos
que aparecen en sus registros de lista de verificacin.
7. Usted audita al responsable de tecnologa de informacin, Cul es la periodicidad de

verificacin de los sistemas de informacin?, entrega un programa que define una
frecuencia de cada seis (6) meses. La ltima verificacin fue hace trece (13) meses, el
responsable menciona que se cambi el intervalo a un ao y adems por el cambio de la
infraestructura tecnolgica.
8. En la auditoria realizada en la organizacin del sector estatal Ministerio Fomento

Empresarial, el auditor entrevist al encargado del centro de cmputo Cuales controles se
han establecido para el centro de cmputo? El nico procedimiento es el sistema de
control de entrada por llave. Qu personas tienen llave del centro de cmputo? El
Gerente del centro de cmputo, el encargado del centro de cmputo y el personal de
limpieza, la seora que realiza la limpieza, la cual pertenece a la nomina de la agencia de
limpieza ZZZ. El auditor entrevista a la seora de limpieza que se encuentra en el centro
de computo Cul es el procedimiento utilizado para realizar la limpieza? Por ejemplo al
realizar la limpieza, dejo la puerta abierta mientras utilizo la aspiradora. El auditor al revisar
la planilla de ingreso al centro de cmputo, no evidencia registro de la persona
entrevistada, adems escribe, la ltima revisin de los derechos de acceso fue hace dos
aos. Se revis el listado de personal autorizado para disponer de llaves y no se encontr
el personal de limpieza y no hay evidencia de la comunicacin de la poltica de seguridad
de la informacin a la agencia de limpieza.
9. La organizacin Josh Bank ha recibido un requerimiento de la entidad que regula el sector

bancario que indica todas las transacciones por internet deben usar llave electrnica
inmediatamente. La alta direccin decide esperar los resultados de la gestin de riesgos
planeada hasta dentro de cuatro (4) meses para tomar una decisin al respecto de su
implementacin.
Pgina 5
TALLER No 3
ISO 27001 ELABORACIN DEL PROGRAMA DE AUDITORIA
OBJETIVO
Permitir al estudiante fortalecer los conceptos sobre el diseo del programa de
auditoria.
METODOLOGIA
Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar
el trabajo en grupos designados por el tutor
Deben sustentar su propuesta al Tutor del curso con sus respuestas.
Los estudiantes deben leer el caso y elaborar una propuesta de programa de
auditora, se pueden utilizar los formatos de ejemplo al final del taller o emplear otros
formatos que cumplan con los requisitos del programa de auditoria de acuerdo con la
norma ISO27001:2005
TIEMPO
Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin
La organizacin Services and Support ha implantado un sistema de gestin de seguridad

de la informacin de acuerdo con la norma ISO 27001:2005, el sistema an no ha sido
certificado y la compaa tiene inters en obtener su certificado de cumplimiento debido a
que durante el siguiente ao participar en convocatorias estatales.
SAS tiene como misin la prestacin de servicios de call center tercerizado a clientes del
sector bancario de habla inglesa a nivel mundial. La organizacin tiene 3 sedes en las
ciudades de Nueva Deli, Londres y Nueva York, lo que le permite prestar servicios sin
interrupcin 24 horas al da a todos los clientes de los bancos a los que presta sus
servicios SAS. Su plan de personal est compuesta por 400 empleados en Deli, 250
empleados en Londres y 500 en Nueva York. Dentro de su planta de empleados ha
destinado 3 oficiales de seguridad de la informacin uno para cada sede y un gerente de
servicios de tecnologa que coordinar la operacin global de los call center. Su
infraestructura de comunicaciones est tercerizada con proveedores locales que se
interconectan globalmente. Los servicios que estn dentro del alcance del SGSI incluyen:
Comercializacin Global: responsable de los procesos de venta de servicios y

mantenimiento de clientes
Modelamiento Financiero: Proceso responsable del desarrollo de los casos de negocio
de clientes potenciales de los servicios de SAS
Planificacin Tecnolgica responsable del soporte y mantenimiento de la plataforma
global de call center
Comunicacin Oportuna: Proceso misional responsable de la prestacin de servicios de
call center a los clientes de los bancos que compran los servicios de SAS
Pgina 6
Programa de auditoria para (nombre de organizacin)

Fecha de elaboracin del programa de
auditora
Perodo del programa de auditora
Responsable del programa
Objetivos del programa de auditoria
Auditorias que componen el programa de auditoria

Auditoria Aspecto a auditar (proceso, Fechas programadas
(Identificacin de la actividad, requisito)
auditoria)
Detalle de la auditorias
Auditoria
Objetivo(s)
Fecha(s) programas
Aspecto(s) a Auditar
Auditor(es) designados
Recursos tcnicos
Recursos Financieros
Recursos Humanos
Otros Recursos
Criterios
Mtodos o procedimientos
Detalle de la auditorias
Auditoria
Objetivo(s)
Fecha(s) programas
Aspecto(s) a Auditar
Auditor(es) designados
Recursos tcnicos
Recursos Financieros
Recursos Humanos
Otros Recursos
Criterios
Mtodos o procedimientos
Pgina 7
TALLER No 4
REVISIN DE LA -POLTICA
OBJETIVO
Aclarar las dudas de los requisitos relacionados con la poltica de seguridad de la
informacin segn ISO 27001:2005.
METODOLOGIA
Revisar la poltica y determinar si hay cumplimiento con respecto a los requisitos de
ISO 27001.
Que pregunta incluira en su lista de verificacin para aclarar el cumplimiento,
cuando est en la auditoria en sitio?
Realizar este taller en grupo de trabajo designado por el tutor.
Deben presentar sus conclusiones al tutor del curso.
TIEMPO
Tiene un tiempo mximo de cincuenta (50) minutos para el desarrollo del Taller.
Recuerde
LOS HECHOS, SOLO LOS HECHOS!
Pgina 8
Organizacin Xuam Services Inc.
INTRODUCCIN
OBJETO
ALCANCE
Aplica para los empleados relacionados directamente con la seguridad.
REQUISITOS LEGALES Y/O REGLAMENTARIOS
DEFINICIONES
Directrices: Descripcin que aclara lo que se debera hacer y cmo hacerlo, para alcanzar
los objetivos establecidos en las polticas.
RESPONSABLES
PROCEDIMIENTO
POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN
Est orientada a gestionar eficazmente la seguridad tratada por los sistemas

informticos de la empresa as como los activos que interactan con los
sistemas informticos. Compromiso de adoptar cuantas medidas de ndole
tcnica y organizativa estn a su alcance, en funcin de las posibilidades y
avances tecnolgicos. Aplicar los objetivos de control y controles
necesarios, que garanticen la disponibilidad y confidencialidad. Las medidas
implantadas se acreditarn mediante auditorias solo informticas. Disponer
de un sistema de gestin de seguridad formalizado y documentado.
Establecer los requisitos de seguridad mediante un conjunto de principios y
reglas declarando como se especificar y gestionar la proteccin de los
diferentes activos de la informacin de una manera consistente y efectiva.
Gestionar y reducir los riesgos a un nivel aceptable. Cumplir con las Leyes y
reglamentaciones vigentes. Comunicar la poltica de seguridad de
informacin solo a los empleados.
Doc: SGSI-POL-00 V00
POLTICAS ESPECFICAS GESTIN DE RIESGO

POLTICAS ESPECFICAS RECURSOS Y DEL USUARIO
POLTICAS ESPECFICAS TCNICAS
APROBACIN POLTICA SEGURIDAD
Ver Procedimiento de revisin de la direccin, seccin aprobaciones.
CONTROL DE CAMBIOS
Pgina 9
HOJA DE TRABAJO
INTEGRANTES:
Resultados del anlisis
Pgina 10
TALLER No 5
REVISIN DOCUMENTACIN SGSI
OBJETIVO
Reforzar el aprendizaje con respecto a los documentos requeridos por la norma ISO
27001:2005.
METODOLOGIA
Analizar el Manual del SGSI suministrado en el taller.
Verificar los documentos requeridos por ISO 27001
Realizar este Taller en grupo de trabajo y redactar sus comentarios en la hoja de
trabajo.
TIEMPO
Tiene un tiempo mximo de 50 minutos para el desarrollo del Taller.
Recuerde que las cuatro (4) metodologas documentadas exigidas por ISO 27001
no son procesos, si se integran pueden ser un proceso.
Control de Documentos + Auditorias Internas + Accin Correctiva + Accin
Preventiva = Ejemplo: Proceso de Gestin del SGSI o Proceso de Mejora Continua.
Pgina 11
HOJA DE TRABAJO
INTEGRANTES:
ANALISIS DEL MANUAL de SGSI

SI CUMPLE O NO CUMPLE. EL EQUIPO DE TRABAJO DEBE ENTREGAR LOS
HALLAZGOS DE CUMPLIMIENTO O INCUMPLIMIENTO. (Incluir clusula)
*
Pgina 12
MANUAL DEL SGSI
Este manual contiene los detalles organizacionales del Sistema de Gestin de la seguridad de la
informacin hacia el cumplimento de la organizacin de los requisitos de la norma ISO/IEC
27001:2005.
1.0 ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN
La compaa Xuam Services Inc., se define para sus actividades que incluye: Proveedor de
servicios de tecnologas de la informacin y consultora en soluciones de gestin de
conocimiento, comercio electrnico y gestin de hosting en la ciudad de Miami y Atlanta.
Excluye A.12.1 y A.12.6.
2.0 INTRODUCCIN A LA COMPAA Y ANTECEDENTES

3.0 ORGANIGRAMA Ver SGSI-ORG-00 V1.
4.0 PROPSITO Y ALCANCE DEL MANUAL
Este manual aplica a las actividades detalladas en el alcance del sistema de gestin de la
seguridad de la informacin en la ciudad de Bogot.
5.0 FORMATO Y REVISIN

El formato de este manual est diseado por secciones, las cuales brindan conformidad con
los requisitos de la norma ISO/IEC 27001:2005. El SGSI esta apoyado en la definicin de
los documentos requeridos como el alcance, poltica, objetivos, procedimientos, metodologa
de valoracin de riesgos, informe de tratamiento de riesgos, plan de tratamiento de riesgos y
registros exigidos por la norma.
6.0 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

6.1 Requisitos Generales: La compaa ha documentado, implementado y mantenido un
SGSI que cumple con los requisitos de la ISO 27001.
6.2 Requisitos de documentacin
El SGSI descrito en este manual intenta proporcionar directrices que deben seguirse para
alcanzar de forma efectiva nuestra poltica de seguridad de la informacin y los objetivos
asociados, teniendo en cuenta los requerimientos del negocio, legales y reguladores.
La organizacin adopta el enfoque basado en procesos, definidos como:
a) Estratgicos:
Planeacin y direccin estratgica
Gestin seguridad de la informacin
Gestin de riesgos
Gestin control interno - auditorias
b) Operacin:
Comercializacin
Consultora soluciones de gestin conocimiento
Servicio Comercio electrnico
Servicio Hosting
Gestin continuidad del negocio
c) Apoyo.
Gestin contratacin y legal
Gestin servicios de tecnologa
Gestin recursos
Gestin incidentes
Gestin legal
Se ha definido la descripcin e interaccin de procesos, en:

Planeacin y direccin estratgica SGSI-DIR-00 V1.
Pgina 13
Gestin de Riesgos SGSI-RIE-00 V3.

Gestin de la Continuidad del Negocio SGSI-DIR-00 V3.
Documentacin complementaria como:

Declaracin de aplicabilidad SGSI-RIE-05 V5.
6.3 Control de documentos. Todos los documentos de este manual se controlan de acuerdo
con la norma de creacin de documentos e procedimiento de control de documentos. Los
documentos de origen externo relacionados con el SGSI sern controlados y los
documentos obsoletos deben ser identificados.
6.4 Control de registros. Segn lo definido en el procedimiento documentado de control de
registros.
5.0 RESPONSABILIDAD DE LA DIRECCIN

5.1 Compromiso de la direccin: Comunicando a todo el personal la necesidad de cumplir
con los requisitos de los clientes, legales y reglamentarios. En la importancia de cumplir
con los objetivos de seguridad de la informacin y ajustarse a la poltica de seguridad de la
informacin, sus responsabilidades con la ley y la necesidad de mejora contnua.
Llevar a cabo reuniones de revisin de la gestin para asegurar la conveniencia y la
efectividad de nuestro SGSI. Animar para implantar una cultura de mejora continua en
todos los aspectos del negocio de la compaa y monitorear y medir continuamente los
niveles aceptables de riesgo en la organizacin.
5.2 Poltica de seguridad de la informacin (Ver SGSI-POL-00 V00).
5.3 Responsabilidad y autoridad, el equipo de direccin debe asegurar que las
responsabilidades y autoridades estn definidas y sean comunicadas a la organizacin
para asegurar la efectiva implementacin y el mantenimiento de nuestro SGSI. La
organizacin ha definido el organigrama. Esta estructura identifica las funciones y sus
interrelaciones en la compaa. El manual del SGSI especfica los requisitos del trabajo y
los recursos y personal responsable por las actividades definidas. Todo el personal est
formado en los requisitos del sistema, particularmente en lo referente a la monitorizacin
del nivel del servicio proporcionado.
La organizacin tiene definido el manual de funciones.
5.4 Gestin de recursos
5.4.1 Provisin de recursos para asegurar que los procedimientos de seguridad de la
informacin dan apoyo a los requisitos del negocio.
5.4.2 Formacin, conocimiento y competencia, este requisito se cumple al contratar
personal competente.
6.0 REVISIN DE GESTIN DEL SGSI

6.1 Generalidades, el equipo de direccin debe revisar el SGSI, a intervalos de seis (6)
meses para asegurar la conveniencia y efectividad del SGSI. Se deja registro en las actas
de revisin al SGSI. Se tiene en cuenta todos los requisitos estipulados en las entradas y
salidas de la revisin y se deja registrado en las actas de revisin al SGSI.
6.2 Auditorias internas, se ha definido un procedimiento documentado. Los resultados de
las auditorias son registrados. Se tienen auditores internos calificados.
7.0 MEJORA DEL SGSI
7.1 Mejora continua, cubre la metodologa utilizada en el registro, recoleccin, anlisis,
resumen y comunicacin de todos los datos pertinentes para monitorear y mejorar la
efectividad del funcionamiento y del SGSI.
7.2 Accin preventiva, se ha establecido un instructivo documentado para las no
conformidades potenciales y las medidas preventivas se disponen para eliminar o
minimizar que ocurran (Clusula 8.3 ISO 27001).
Pgina 14
Anexos:
SGSI-DIR-00 V1. Planeacin y direccin estratgica
Codigo:
CARACTERIZACION PROCESO PLANEACIN Y DIRECCIN
Versin:1
ESTRATGICA
Pag
OBJETIVO DEL PROCESO RESPONSABLE

Este proceso tiene por objeto brindar evidencia de compromiso de la alta direccin Gerente
con el SGSI, gestionar recursos al SGSI y revisar el SGSI a intervalos
planificados.
PROCESO ENTRADA ACTIVIDADES SALIDA PROCESO
Acciones
Requisitos y P Establecer y aprobar polticas Todos los
correctivas y
expectativas SGSI,objetivos, procesos. procesos
preventivas
P Aprobar metodologa de valoracin de

riesgos, autorizar para implementar y
G. Riesgos Actas G. Riesgos
operar el SGSI, decidir criterios aceptacin
riesgo y niveles de riesgo aceptable.
Manual
P Establecer funciones y funciones,
Procesos
responsabilidades del SGSI, responsabilida RH
internos
Comunicacin del SGSI. des.
Comunicados
Partes Presupuesto y SGSI,
interesadas Procesos P Asignar recursos para implementar plan
plan de Financiero y
internos tratamiento de riesgos.
personal TI
H Decidir los riesgos residuales Registros de
G. Riesgos
propuestos y operar el SGSI riesgos
V Realizar seguimiento y revisin regular
Acta de
del SGSI, medicin de la eficacia de los
revisin
Revisin controles, revisar la valoracin de riesgos Todos los
gerencial,
Gerencial a intervalos planificados, verificando la procesos
decisiones
realizacin auditorias internas, actualizar
tomadas
los planes de seguridad de la informacin.
A Implementar mejoras identificadas,

Implementar acciones correctivas y Planes de Partes
Revisiones
preventivas, comunicar y asegurar que las mejora interesadas
mejoras logren los objetivos del SGSI
Pgina 15
DOCUMENTOS Y/O REGISTROS DOCUMENTOS EXTERNOS NUMERALES APLICABLES

Control de Documentos DO-PR- Legislacin aplicable 4.1, 4.2.1 y 7
GC-01,Control de Registros DO-
PR-GC-02, Auditorias AP-PR-GC-
04, Acciones correctivas y RECURSO DEL PROCESO
HUMANOS
Personal relacionado con el alcance del SGSI
INFRAESTRUCTURA
Instalaciones fisicas y lgicas, maquinaria y equipo, equipos de comunicacin interna, software
CONTROLES APLICABLES AL PROCESO
QUE SE CONTROLA RESPONSABLE DEL CONTROL METODOLOGIA DE CONTROL FRECUENCIA CONTROL
Indicadores Responsable Informes de Indicador, Monitoreo, Reunin comite seguridad Mensual -

del proceso - informacin, Reunin de Revisin SGSI. semestral
Gerente
MEDICION DEL PROCESO
INDICADOR INDICE DE GESTIN PERIODICIDAD RESPONSABLE META
Mensual 80%
Gestin de Riesgos SGSI-RIE-00 V3.

Se realiza gestin de riesgos a los procesos del SGSI, al contratar proveedores que afecten el
SGSI, cuando hay cambio en el SGSI. Se debern identificar: Activos, amenazas ms probables,
salvaguardas, responsables que protegen de dichas amenazas. Categora BASICA no se tiene en
cuenta y se focaliza en resultados medios y altos. Si la categora es MEDIA, el anlisis de riesgos
deber ser ms formal, catlogo bsico de amenazas. Adems, se debern identificar los mismos
puntos de la categora bsica (activos, propietarios, amenazas, salvaguardas) y adems debern
valorarse. Para la categora ALTA, el anlisis de riesgos deber ser totalmente formal y deber
identificarse las vulnerabilidades. El anlisis de riesgos debe garantizar resultados comparables y
reproducibles. El anlisis de riesgos debe incluir los siguientes puntos: Valoracin del impacto de la
materializacin de la amenaza sobre la confidencialidad, integridad y disponibilidad de cada activo.
Valoracin de la probabilidad teniendo en cuenta amenazas, vulnerabilidades, impacto y controles
de seguridad ya implantados. Valoracin de los riesgos con clasificacin de los riesgos en
aceptables y no aceptables segn el criterio de aceptacin del riesgo y los niveles de riesgo
aceptable. Tratamiento del riesgo con aceptacin del riesgo (criterio de aceptacin del riesgo y
deben identificarse los niveles de aceptacin del riesgo) y transferir a otras partes los riesgos,
resultados registrados en el plan de tratamiento de riesgo y actualizacin de la declaracin de
aplicabilidad. Revisin del anlisis de riesgos para mantener permanentemente actualizado cada
dos (2) meses o teniendo en cuenta cambios en la organizacin, la tecnologa, los objetivos y
procesos de negocio, las amenazas, efectividad de los controles implantados, eventos externos,
legales o regulatorios, contractuales, sociales, econmicos, etc.
Declaracin de aplicabilidad SGSI-RIE-05 V5.

Clausula Detalle Aplicacin Aplicabilidad
4.2.1 Establecer SGSI S Manual SGSI, documentos requeridos,
operando SGSI desde 1/09/2010.
Definido en la interaccin de los
procesos como G. Riesgos.
4.2.2 Implementar y operar el SGSI Si Definido en la definicin de los
procesos Actividades H
4.2.3 Seguimiento y revisin del SGSI Si Definido en la definicin de los
procesos Actividades V
4.2.4 Mantener y mejorar el SGSI Si Definido en la definicin de los
procesos Actividades A
4.3 Requerimientos de Si Documentacin definida e incluida en
Pgina 16
documentacin la definicin de los procesos y control

de procedimientos de
Control documentos y registros.
5 Responsabilidad de la direccin SI
6 Auditorias internas Si Procedimiento auditorias internas
7 Revisin de la direccin Si Revisin anual del SGSI
8 Mejora del SGSI Si Procedimiento acciones correctivas y
preventivas
A.5 Poltica del SGSI Si
A.6 Organizacin de la seguridad de Si
la informacin
A.7 Gestin de activos Si
A.7.1.1 Inventario de activos Si Se ha implementado y se mantiene un
sistema de informacin, el cual
relaciona todos los activos de la
organizacin, sean tangibles o
intangibles, este control se realiza
desde su adquisicin o relacin con la
organizacin.
A.7.1.2 Propiedad de activos Si En el sistema de informacin de
control de activos, se ha designado un
propietario o responsable, tambin
se han designado responsables a los
procesos, procesamiento de
informacin y reas sensibles de la
organizacin.
A.7.1.3 Uso aceptable de los activos Si Poltica de gestin de activos
A.72.1 Directrices de clasificacin Si Procedimiento de clasificacin de
activos etiquetado y manejo de
informacin
A.7.2.2 Etiquetado y manejo de Si Procedimiento de clasificacin de
informacin activos etiquetado y manejo de
informacin
8.2 Seguridad de RH S Antes de la contratacin laboral con
roles y responsabilidades, Seleccin
de personal y trmino y condiciones
laborales.
A.9.1.1 Seguridad fsica S Documentos de definicin permetro
A.9.1.2 fsico, procedimiento de control de
A.9.1.3 acceso, herramientas y polticas de
A.9.1.4 control de acceso fsico, Diseo
A.9.1.5 seguridad.
A.10 Comunicaciones y Operaciones S Procedimiento de operaciones G.

Cambios, G. Capacidad, G. Monitoreo,
Backup.
Herramienta OpManager, OpStaar,
OppUtils.
A.11 Control de acceso Si Active Directory. Procedimiento control
de acceso
A.13 Gestin de incidentes de S Procedimiento gestin incidentes,
seguridad en la informacin definicin responsabilidades,
Herramienta cuantificacin y monitores
incidentes eventos. Procedimiento
recoleccin evidencias
Pgina 17
A.14 Gestin Continuidad del negocio S

A.15 Conformidad S Procedimiento cumplimiento polticas y
normas de seguridad.
Procedimiento auditoria TI.
Procedimiento Accin correctiva: (Parte del procedimiento)

Edicin: 0
Xuam Services Inc.
Fecha:
Cdigo:
PROCEDIMIENTO DE ACCIN CORRECTIVA P - AC - 03
OBJETO Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia,
las acciones correctivas deben ser apropiadas a las causas y problemas encontrados.
ALCANCE Aplica para todos los procesos del SGSI
ACTIVIDADES RESPONSABLES REGISTROS

1. Detectar problemas o no conformidades:
(Auditoras internas, g. incidentes, g.
cambios, monitoreo, auditoria proveedores, 1. Cualquier colaborador Herramienta
auditorias externas, revisin de la
direccin, etc.)
Herramienta
2. Jefe de rea, Representante de la Formato de
2. Registrar problemas.
direccin accin
correctiva
Formato de
3. Analizar las causas 3. Jefe de rea o proceso accin
correctiva
4. Jefe de rea, Representante de la F. accin
4. Determinar accin correctiva y registrar.
direccin correctiva
5. Implementar accin. F. accin
5. Dueo del proceso
correctiva
6. Seguimiento a la accin. 6. Jefe de rea, Representante de la F. accin
direccin correctiva
SI
7. Eficaz Cierre F. accin
7. Auditores internos
e correctiva
NO
8. Generar nueva solicitud de accin
9. Jefe de rea, Representante de la F. accin
correctiva
direccin correctiva
9. Cerrar accin correctiva. F. accin
10. Auditores internos
correctiva
10. Registro indicadores 10. Representante SGSI - direccin Indicadores
Reporte
11. Ingresar informacin al reporte y
11. Alta Direccin Revisin
revisin direccin
direccin
Pgina 18
Gestin Configuracin - Formato Servidor FILE SERVER CONFIGURATION

Location File Server Name
Date NetWare Version
Name User license
File Server Brand File Server Model

Base Memory Extended Memory
Total Memory Boot Method
UPS Capacity Power Monitoring
Network Boards
Name Driver I/O Port Address IRQ DMA Node Slot Net No
Floppy Disk Drives

Letter Size Capacity
CD-ROM Drive
Letter Speed Type Brand Model
Internal Hard Drives

Letter Size (Mb) Controller DOS part. Net part. Brand Model
Disk/Device Sub-Systems
Device Device Device Netware Drive Drive
Number Type Controller Size (Mb) Partition Brand Model Comments
0
1
2
3
Pgina 19
Procedimiento clasificacin y control de activos - etiquetado

Edicin: 0
Xuam Services Inc.
Fecha:
PROCEDIMIENTO CLASIFICACIN Y CONTROL Cdigo:
DE ACTIVOS ETIQUETADO P - AT - 01
1. OBJETIVO
Determinar las actividades requeridas para la gestin e inventario de activos del SGSI. Garantizar
el etiquetado de los activos y manejo de la informacin de acuerdo con la definicin de clasificacin
de activos de la organizacin.
2. ALCANCE
Este procedimiento aplica para todos los activos del SGSI de la organizacin.
3. DEFINICIONES:
4. PUNTOS IMPORTANTES:
NORMAS RELACIONADAS / REFERENCIAS
N/A
DESCRIPCIN DE ROLES Y RESPONSABILIDADES
Comit de Seguridad de la informacin

Definir los mtodos de etiquetado y manejo de informacin.
Definir los procesos y actividades que requieren de etiquetado y manejo de informacin.
Responsable de la Gestin del Sistema de Seguridad de la informacin

Soportar la gestin de etiquetado y manejo de informacin
Gestor de activos
Coordinar actividades para la identificacin de los activos del SGSI.
Procesos a cargo
Todos los responsables de los procesos, gestin de compras, gestin de seguridad fsica son
responsables de la gestin de activos y propietarios de los activos.
Comit de Seguridad de la informacin

Ejecutar actividades para el cumplimiento de este procedimiento.
5. EXPLICACIN:
Se aplica este procedimiento:

Cuando se ingresa un activo de informacin al SGSI
Cuando hay una salida de un activo de informacin del SGSI
Cuando hay uso de etiquetas (fsicas o electrnicas) en el SGSI.
Tipos de activos de seguridad de la informacin:
a) Informacin
b) Software
c) Fsicos
d) Servicios
e) Personas y sus calificaciones, habilidades y experiencia
f) Intangibles
Pgina 20
Toda informacin considerada como CONFIDENCIAL y de USO INTERNO debe estar etiquetada,
sin importar su medio (fsico o digital).
5.1 Etiquetado de documentos

Segn procedimiento de control de documentos.
5.2 Etiquetado de correos electrnicos.

Los correos electrnicos que estn clasificados como USO INTERNO y CONFIDENCIAL, deben
contener la siguiente leyenda:
Este mensaje puede contener informacin confidencial o de uso interno de la organizacin,
5.3 Etiquetado de paquetes

Los paquetes para almacenar y transferir informacin clave, deben ser identificados etiqueta
que indica CONFIDENCIAL.
5.4 Etiquetado de presentaciones

En el caso de que alguna presentacin, contenga informacin de tipo CONFIDENCIAL o de USO
INTERNO, debe incluir muy claro lo siguiente: USO CONFIDENCIAL DE LA ORGANIZACIN.
5.5 Etiquetado de Telecomunicaciones

Si hay transferencia de datos con organizaciones externas se debe:
Segn procedimiento y directrices de transmisin de datos.
Habilitado uso de trafic filter y firewall.
Uso llaves criptogrficas.
Clasificacin informacin:
Uso interno
Confidencial
Secreta
Altamente secreto
MANEJO DE LA INFORMACIN
Informacin pblica:
Informacin privada:
Informacin confidencial
Se debe tener en cuenta los siguientes cuidados y controles de seguridad para mantener de
forma confidencial:
No podr ser divulgada o transferida a personas o funcionarios no autorizados.
Evite ubicar informacin en lugares de fcil acceso por personas no autorizadas.
Destruya de forma segura toda la informacin confidencial, cuando deje de ser
necesaria.
La informacin confidencial, debe ser almacenada en sistemas seguros.
La informacin confidencial, almacenada en porttiles debe estar de forma cifrada.
REQUERIMIENTO DE ACCESO
6. APROBACIN Y GESTIN DE CAMBIOS

Elaborado por:
Revisado por:
Versin Fecha Nombre Cambio Aprobacin

aprobador
Pgina 21
TALLER No 6
ISO 27001 PLAN DE AUDITORIA
OBJETIVO
Clarificar los conceptos referentes a programa y plan de auditoria.
METODOLOGIA
Determinar las clusulas a incluir en el programa de auditoria y generar el plan de
auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de
auditoria interna deber soportarse en lo visto en clase y en la Norma ISO 27001.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas para
el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los resultados del
taller.
TIEMPO
DESARROLLO
Parte A. Programa de auditoria:

Se ha determinado en el programa el proceso denominado contratacin SGSI, determine que
clusulas se deben considerar para evidenciar conformidad con respecto a la norma ISO
27001:2005. (No hay exclusiones).
Organizacin Join Ingenieria S.A. Proceso contratacin de servicios
Parte B. Plan de auditoria:

Generar el plan de auditoria, puede considerar auditar otras reas/funciones o procesos necesarios
para evidenciar conformidad. La alta Direccin decide incluir en el programa de auditoria interna
el proceso de produccin ubicado en 3 sucursales Bogot, Cali y Medelln. Se detalla los 3
Subprocesos operativos: Para cada subproceso se encuentran seleccionados e implementados
todos los controles que le aplican,
- Procesamiento de datos: revisar los logs del centro de cmputo, operar los servidores,
generar e imprimir los informes y enviar informacin a clientes internos y externos.
Bogot, Cali y Medelln. En Medelln se realiza remotamente la gestin de revisin de logs
del centro de cmputo y es gestionado desde Bogota.
Pgina 22
- Medios de almacenamiento: Administrar todos los medios de almacenamiento de la

organizacin y de los clientes (tales como cintas, cds, dvds y discos extrables).
Bogot y Medelln.
- Comunicaciones: Instalar y mantener todos los equipos de comunicaciones tales como
routers, switches, VPN, MODEM, firewall y monitoreo del servicio de canales, correo e
Internet.
Bogot, Cali y Medelln.
Pgina 23
PLAN DE AUDITORIA
Pgina 24
TALLER No 7
ISO 27001 LISTA DE VERIFICACIN
OBJETIVO
Practicar la generacin de preguntas de acuerdo con las clusulas de la Norma
ISO/IEC 27001:2005.
METODOLOGIA
Para realizar este taller el participante en el curso de auditoria interna deber

soportarse en Norma ISO 27001. Realizar una lista de verificacin del SGSI para
evidenciar conformidad de las clusulas 5 y 6 y Anexo A.10.
Se divide el curso en grupos y se asigna clusulas a cada grupo.
Recuerde que los formatos suministrados son solamente guas para el desarrollo del
curso. El equipo de trabajo debe sustentar los resultados del taller.
TIEMPO
DESARROLLO LISTA DE VERIFICACIN
Organizacin:
Auditores:
Proceso:
No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
Pgina 25
No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
Comentarios:
Nombre y Firma Auditor: Nombre y Firma Auditado:
Pgina 26
TALLER No 8
ISO 27001 REUNIN DE APERTURA
OBJETIVO
Mejorar el entendimiento de los temas vistos hasta el momento.
METODOLOGIA
Preparar el contenido de una reunin de apertura de la organizacin (taller 11), la

organizacin es Do brasil Electronic S.A., se dedica al diseo, ensamble y venta de
componentes electrnicos de seguridad. La organizacin est ubicada a las afueras de
la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Ro de Janeiro en donde
ensambla alarmas de seguridad para edificios. La auditoria se realizara en Sao Paulo.
Para realizar este Taller se integran grupos de trabajo.
TIEMPO
Tiempo de preparacin 35 minutos y tiempo para su presentacin por grupos.
DESARROLLO
Aspectos adicionales a tener en cuenta al momento de realizar la reunin de apertura

presentacin de auditores, confirmar estndar, alcance SGSI, alcance de auditoria,
criterios, confirmar el plan de auditoria que incluye las reuniones de
retroalimentacin, horas de almuerzo y cierre de auditoria, mtodos de la auditoria
(aclaracin que la auditoria slo se basar en una muestra seleccionada por el grupo
de auditores, se confirma los canales de comunicacin, confirmacin de los recursos
requeridos para la realizacin de la auditoria, confirmar los acuerdos de
confidencialidad y confirmar algn lineamiento adicional que los auditores deben de
conocer con respecto a la seguridad, permitir preguntas de los auditados.
Pgina 27
TALLER No 9
ISO 27001 COMO PREGUNTAR
OBJETIVO
Realizar y practicar preguntas a realizar en una auditoria en sitio.
METODOLOGIA
Se tienen diferentes situaciones de una organizacin real, en la cual se debe preparar

las preguntas y realizar directamente al auditado:
Situacin a) Direccin
Situacin b) Recurso Humano
Situacin c) Mejora del SGSI
Situacin d) Centro de cmputo
Situacin e) Legal
curso.
Retroalimentacin guiada por el tutor para destacar las fortalezas y las
recomendaciones de mejora a cada una de las situaciones del desarrollo de la
auditoria.
TIEMPO
DESARROLLO
Pgina 28
TALLER No 10
REDACCION DE HALLAZGOS DE INCUMPLIMIENTO
OBJETIVO
Generar habilidad en el auditor para detectar no conformidades, mejora su redaccin,
clasificacin y sustentacin.
METODOLOGIA
En cada una de las siguientes situaciones, el participante en el curso de tcnicas de

auditoria interna debe determinar si hay hallazgo de incumplimiento, clasificar de
acuerdo a la clusula Norma ISO 27001 y realizar la redaccin respectiva. Realizar
este taller en grupo determinado por el tutor y debe sustentar sus conclusiones en las
hojas respectivas.
TIEMPO

DESARROLLO
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde
LOS HECHOS, SOLO LOS HECHOS
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR

Proceso revisado: Estndar y Nmero de Elemento:
Hallazgos:
Auditor

Hallazgos:
Pgina 29
Auditor

Hallazgos:
Auditor

Hallazgos:
Auditor
CASOS
La organizacin YING SEG INC, construye Sistemas de Control Electrnico segn las
especificaciones de los diseos de los clientes. Usted forma parte de un equipo de
auditoria que revisa el Proceso de Gestin del SGSI (Control de documentos y registros)
en este proceso se tiene establecido que los originales de la documentacin del sistema
operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de
los equipos de la empresa deben estar en la sala de control de documentos. Tambin se
audita al proceso de Gestin del Talento Humano. Cuando se acerca a la sala de control
de documentos, usted observa la puerta abierta, observa a los empleados de produccin
en la sala de control de documentos buscando en el archivo de documentos obsoletos
unos planos de los diseos del control electrnico del proyecto Gate Close II, usted
solicita los registros de ingreso y evidencia que los empleados no estn en la planilla de
Pgina 30
ingreso, adems revisa los derechos asignados y ninguno tiene registro de asignacin de
ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella
indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos
establecidos. Roberta se disculpa por el hecho de que el rea parece desordenada,
explica que estuvo de vacaciones por Navidad y Ao Nuevo. Usted pregunta como auditor
lder Cmo se controla la documentacin del sistema operativo? Roberta lo lleva al
archivero que contiene dicha documentacin; usted selecciona cinco (5) documentos para
revisar, solicita el listado de documentos maestros y observa los niveles de revisin de los
documentos elegidos del archivo contra la lista maestra, todos salvo el Manual uno tiene
la revisin correcta, este documento debe ser revisin 2, solicita la aprobacin de la nueva
versin y no est disponible, Roberta dice que cree que la versin del documento nuevo
est entre los documentos pendientes. Usted solicita a Roberta ver el procedimiento de
control de documentos establecido por la organizacin, ella confiesa que presto su copia a
otra rea de la organizacin, pero hay una copia del procedimiento enmarcada y fijada en
la pared, junto a la puerta, para que todos la lean, usted observa las fotocopias no
controladas. Usted pregunta a Roberta como se controla el listado maestro de
documentos?; ella dice que este es un registro codificado F-LD-GSGSI-001 Revisin 2 e
invoca una hoja electrnica en su computadora y muestra cmo asienta los nuevos
documentos que se reciben. Al indagar Cmo se controla la entrada a la computadora?
Roberta responde que la puerta de la sala siempre est cerrada con llave, cuando ella no
est. Luego solicita cmo se controlan y distribuyen los cambios de ingeniera, Roberta
muestra el archivo maestro de informes de cambios de ingeniera, selecciona seis (6) y
observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuy
los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta explica
que falta personal y ha tenido que depender de la secretaria de ingeniera para pasar las
copias a los trabajadores de produccin y que la secretaria no le devuelve las hojas de
acuses de recibo. Usted observa un estante con catlogos de varios distribuidores de
electrnica, usted pregunta a Roberta si estn controlados, ella responde que slo se
usan como referencia y nunca salen de la sala, dice que los Ingenieros usan el catlogo
de partes computarizado cuando necesitan publicar las especificaciones de las partes y
como son tantos y muy poco se utilizan no se han incluido en el SGSI. Roberta lo lleva al
proceso de gestin de talento humano, donde encuentran al Director, Anbal Ramrez
usted se presenta y solicita donde estn establecidas las competencias del personal, las
funciones y responsabilidades en seguridad en la informacin, entrega un archivo. En el
archivo evidencia cumplimiento de seleccin de personal, trminos y condiciones de la
relacin laboral, conformidad con educacin y formacin en la seguridad en la
informacin. Al solicitar cinco (5) hojas de vida al azar, tambin verifica el proceso
disciplinario de algunos empleados y contratista, es conforme con los requisitos, por
ltimo revisa la devolucin de activos y comunicacin de la eliminacin de derechos del
personal que sali de la organizacin en los ltimos ocho (8) meses y encuentra los
registros pertinentes, Anbal explica que a travs de una interaccin estrecha entre
gerentes y empleados han evitado una descripcin especfica de perfiles de cargos, usted
busca en el listado maestro de documentos y no hay existencia de la definicin indicada
por Anbal, al hablar con Anbal sobre los contratos de trabajo de cuatro (4) cargos
distintos, Anbal explica que en estos se encuentran los controles adecuados, usted
verifica la informacin y esta de acuerdo, usted registra en su lista de verificacin.
Agradece a Roberta y Anbal y regresa a la sala de reuniones privada para redactar el
informe de auditoria.
Pgina 31
TALLER No 11
REDACCION DE OBSERVACIONES
OBJETIVO
Mejorar las habilidades para utilizar adecuadamente las observaciones u

oportunidades de mejora y su redaccin respectiva.
METODOLOGIA
En cada una de las situaciones de este taller, el participante debe determinar si
hay una oportunidad de mejora u observacin con respecto a la Norma ISO
27001 y realizar la redaccin respectiva.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente
guas para el desarrollo del curso. Sustentar sus redacciones.
TIEMPO
DESARROLLO
Con los casos del taller anterior, determinar si hay observaciones u oportunidades
de mejora.
Casos:
Pasan al proceso de gestin de tarjetas donde observan que el encargado Rafael
Nez, guarda las tarjetas en una caja fuerte y las claves en otra. El software que
controla la expedicin de tarjetas esta temporalmente suspendido debido a que le
estn incluyendo otras rutinas de validacin y control.
Al pasar por el cuarto de servidores ven que la puerta tiene una cantonera que
restringe el acceso y al preguntar a Carlos lvarez, Director del rea Ha definido
controles para el control de acceso fsico y lgico?, l dice que si y ensea
reglamentacin sobre registros tanto de acceso fsico como lgico, al revisar los
registros y observa que solo estn hasta el mes pasado, a lo cual el gerente
comenta que mensualmente se estn enviando los registros al departamento de
archivo para su almacenamiento dado que la organizacin estableci un tiempo de
retencin de 1 ao.
Al preguntar al gerente de servicios de tecnologa si existe un procedimiento de

continuidad del negocio en caso de desastres o causas mayores, el comenta que
se ha establecido un procedimiento y se ha validado el plan de continuidad del
negocio. Se tiene un servidor idntico al de produccin donde se carga
diariamente la informacin actualizada y se encuentra ubicado en otro sitio
diferente al centro de cmputo, con todas las acometidas independientes,
Pgina 32
igualmente se encuentra protegido por ups y planta elctrica. Se realiz la

valoracin de los riesgos para los activos crticos y se tiene un plan de pruebas y
actualizacin de cambios. As mismo existen funciones y responsabilidades
definidas en caso de ser necesario utilizarlo. Se solicitaron estos documentos y se
encontr conformidad en los mismos.
En la revisin del sistema de backup encuentra que algunas cintas son

almacenadas en la oficina de sistemas sobre un mueble.
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
PROCESO:
ISO 27001
ELEMENTO
________
Pgina 33
TALLER No 12
ISO 27001 ANALISIS DE LOS PROCESOS
OBJETIVO
Fortalecer el conocimiento de la determinacin de no conformidad, observaciones, su
clasificacin, redaccin y sustentacin.
METODOLOGIA
La auditoria simulada debe seguir los siguientes pasos:
1. Reunin del equipo auditor (Anlisis de Hallazgos).
2. Clasificacin de los hallazgos con respecto a una clusula de la norma.
3. Determinacin de observaciones u oportunidades de mejora
4. Solicitud de acciones correctivas.
El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una

observacin (oportunidad de mejora) con respecto a la Norma ISO 27001.
Determinar la clusula de ISO 27001, relacionada con el hallazgo de la posible no conformidad
u observacin. Si se declara que el hallazgo es una No Conformidad debe ser redactada en el
formato Solicitud de Accin Correctiva (SAC). Si se declara que el hallazgo es una
Observacin debe ser redactada en el formato Observaciones/Oportunidades de Mejora.
Taller en grupo y sustentacin de resultados en la reunin de cierre formal. Recuerde que los
formatos suministrados son solamente guas para el desarrollo del curso.
TIEMPO
DESARROLLO
Hallazgos:
Auditor

Hallazgos:
Pgina 34
Auditor

Hallazgos:
Auditor

Hallazgos:
Auditor
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
Pgina 35
Do Brasil Electronic S.A.

Se dedica al diseo, ensamble y venta de componentes electrnicos de seguridad.
La organizacin est ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal
en la ciudad de Ro de Janeiro en donde ensambla alarmas de seguridad para edificios.
Auditora en sitio es realizada por dos auditores. Para el caso el oficial de seguridad y
responsable del SGSI es el Ing. Rodio Paez.
LA AUDITORIA
Se realiz la reunin de apertura en la organizacin Do Brasil Electronic S.A., en la ciudad
de Sao Paulo.
Auditoria Ciudad de Sao Paulo:

Se visita el Proceso de almacenamiento, en el estn los componentes electrnicos para
ensamble, los productos terminados y lo ms importante para la organizacin los diseos
exclusivos y propios de los productos y en algunos casos nicos en Brasil. El auditor esta
acompaado por el responsable del SGSI. Se comprueba ubicacin de los elementos
almacenados, ubicacin de extintores, demarcacin de zonas, identificacin de piezas,
registro de ingreso de componentes, registros de salida de equipos terminados, inventario
y sistema de informacin, el auditor registra todo, est de acuerdo con el procedimiento
definido SGSI-PR-ALM-001 del proceso de Almacn. Usted observa a 3 personas
trabajando en una de las esquinas del almacn, usted se presenta y pregunta a uno de
los contratistas: Cual trabajo estn realizando? Estamos instalando un nuevo sensor de
humedad y temperatura en esta zona. Usted pregunta al responsable de Almacn
Roberta Daz, Si tienen las autorizaciones correspondientes para estar en la zona?
Roberta informa que por supuesto. Ellos son contratistas de Mantenimientos JKF que
estn desde hace cuatro (4) meses trabajando todos los das en la organizacin. Usted
solicita la identificacin respectiva No. 123789 Alberto Rin, 123790 Jhonatan Ribo y
011156 Luis Ribereido. Cuantas entradas hay en el almacn? Roberta muy atenta
responde solo dos. Una entrada para el personal que labora en el almacn y contratistas;
otra que solo se utiliza para ingreso de componentes y entrega de productos terminados.
Usted observa la puerta No. 2 y detalla un Camin Security JKF que esta parqueado en
el rea de cargue de productos y descargue de componentes electrnicos. Usted
contina revisando la zona de almacn y observa en una esquina papel de desperdicio y
basura desordenada. Luego se dirige a un cuarto pequeo, pregunta que se almacena en
ese lugar, Roberta informa que lgicamente las cintas de backup y algunos equipos de
computo para dar de baja, es una zona reservada para IT. Usted registra la cinta con la
etiqueta XXX-001, XXX-002 y XXX-003. Los siguientes computadores son equipos para
dar de baja: INV-AF-PC-234, INV-AF-PC-132, INV-AF-PC-133, INV-AF-PC-134, INV-AF-
PC-145, INV-AF-IMP-14, INV-AF-UPS-113, INV-AF-UPS-15 y INV-AF-SCAN-56. Usted
solicita verificar la informacin de los discos de los equipos INV-AF-PC-234, INV-AF-PC-
132 y INV-AF-PC-145. En el proceso de gestin de seguridad de la informacin, usted
solicita al Ingeniero Rodio Paez, el procedimiento de auditorias internas? Rodino
entrega los registros de auditorias internas. Usted revisa los registros entregados y
encuentra el programa anual de auditorias, la designacin de responsables, los planes de
las auditorias programadas, las listas de verificacin, verifica que los auditores no
auditaran su propio proceso, evidencia que se realiz auditorias a todos los procesos y
detalla los reportes de auditorias internas, detalla otros aspectos y escribe en su lista de
verificacin los hallazgos. En el Proceso IT, se verifica el equipo INV-AF-PC-234 en el
inventario y no aparece como activo. Tambin analiza en los equipos registrados para dar
de baja a INV-AF-PC-132 y no se encuentra. Adicionalmente solicita al Sr. Robert Robles
Pgina 36
prender el equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de
baja y que no debe tener informacin; se verifica en los equipos registrados para dar de
baja se encuentra registrado. Robert prende el equipo etiquetado INV-AF-PC-145 y con
sorpresa aparece el sistema operativo. Usted verifica el Proceso de administracin de
servicios tecnolgicos como es el ingreso de personal a la organizacin, le informan que
el personal puede ingresar nicamente por la entrada principal, todos tienen tarjetas de
control de acceso personalizado. En el listado de personal autorizado para ingresar en la
seccin de Almacn se encuentran Ingeniero Rodio Paez, Roberta Daz, los 3
almacenistas, Identifica las credenciales No. 123789, 123790, las cuales corresponde
claramente al permiso del da para el contratista Security JKF. Se solicita los registros de
Backup, usted busca en sus apuntes las anotaciones de las etiqueta encontradas en
almacn XXX-001, XXX-002 y XXX-003, busca en la realizacin de backup y encuentra
evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-001.
Le informan que esta cinta no se registr porque se utiliz de prueba al momento de
instalar el servidor de backup, pero se guarda para estos fines. Nuevamente el Ingeniero
Rodio Paez, los lleva al proceso de gestin de seguridad de la informacin, usted solicita
las acciones correctivas y preventivas realizadas en el presente ao, el gerente del
proceso entrega un archivo con esta informacin, all encuentra 6 acciones correctivas y
1 accin preventiva, todas cerradas a la fecha, previamente se haba observado en las
actas del comit de seguridad una queja repetitiva de varios clientes acerca de que no
tenan acceso a su cuenta porque la claves no haban sido desbloqueadas
oportunamente, y esta no estaba registrada como accin correctiva. Al preguntar al
responsable acerca de este inconveniente, dijo que la persona encargada de desbloquear
las claves era nueva en el puesto y no se encontraba capacitada, y como el comit de
seguridad decidi capacitarla no se registro como accin correctiva. En el Proceso
Financiero usted valida las aprobaciones para dar de baja los equipos por parte del
Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente
Financiero, persona responsable de la aprobacin y asignacin de dar de baja los activos
de la organizacin. Al observar el rea de tesorera encuentra que no hay ninguna
persona laborando en esta oficina, usted se acerca a la ventanilla y alcanza a visualizar
varias chequeras, dos contratos No. 13456-RIO y 34346-SAO PAULO Confidenciales,
adems de otros papeles sobre el escritorio. Pregunta al Gerente Financiero sobre este
aspecto e informa que la persona solicit permiso para salir temprano el da de hoy. Usted
comenta al Gerente financiero sobre los documentos importantes, l ndica que ella es
muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados.
Finalmente termina el proceso de auditora, muchas gracias al Ingeniero Rodio Pez,
realiza la reunin de auditores internos para definir el respectivo informe.
Pgina 37
TALLER No 13
ISO 27001- JUEGO DE ROLES
OBJETIVO
Fortalecer el conocimiento de la norma ISO 27001 en situaciones extremas.
METODOLOGIA
Tutor explica la situacin a los alumnos que se encuentran en el saln. Se debe realizar
una auditoria en sitio. (Utilizacin lista verificacin).
Se destina un tiempo lmite para realizar la auditoria.
La auditoria simulada debe seguir los siguientes pasos:

1. Saludo al auditado.
2. Ejecucin de la auditoria (Entrevista)
Trabajo en grupo y retroalimentacin guiada por el tutor para destacar las fortalezas y
las recomendaciones de mejora a cada una de las situaciones del desarrollo de la
auditoria.
TIEMPO
Roles:
El tutor explica a los estudiantes que se deben conformar grupos de 2 estudiantes.
En cada grupo un estudiante asumir el rol de auditor
Otro estudiante asumir el rol de entrevistado y el tutor le asignar una forma de
comportarse en la auditoria. Las posibles opciones son:
Auditado es nuevo en el proceso y no tiene informacin suficiente para

responder
Auditado tiene muchos aos en el proceso y quiere explicar todas las
actividades al auditado
Auditado contesta con respuestas mnimas y cerradas
Auditado no sigue los procedimientos y quiere que el auditor no registres
esas fallas
Auditado est inconforme con la organizacin y opina que todo est mal
Auditado considera que la auditoria busca una excusa para despedirlo
Auditado es desordenado y no encuentra la informacin solicitada
Auditado entrega informacin que no es la solicitada
Auditado trata de engaar al auditor con charlas y explicaciones tcnicas.
Pgina 38
TALLER No 14
ISO 27001 REUNIN DE CIERRE
OBJETIVO
Mejorar las habilidades del auditor para comunicar los resultados de auditoria y
sustentar sus decisiones.
METODOLOGIA
Con el taller Anlisis de procesos, presentar la justificacin de los hallazgos y su
clasificacin.
Para realizar este Taller el participante en el curso de auditoria interna deber
soportarse en la norma ISO 27001.
curso.
Presentacin grupo de evidencias de conformidad, solicitud de accin correctiva y
observaciones.
TIEMPO
Tiene un tiempo mximo de (30) minutos para el desarrollo del Taller.
Pgina 39
TALLER No 15
ISO 27001 Seguimiento y Accin correctiva
OBJETIVO
Determinar en el auditor interno la concientizacin requerida para garantizar la
verificacin de las no conformidades y cierre eficaz del proceso auditoria interna.
METODOLOGIA
Con el taller de anlisis de procesos (registro de no conformidades), seleccionar una

(1) no conformidad y determinar las clusulas que usted revisara para garantizar que
el anlisis de causa y actividades son eficaces para realizar el cierre de la no
conformidad.
curso. El equipo de trabajo presentar los resultados del Taller al tutor.
TIEMPO
Tiene un tiempo mximo de (25) minutos para el desarrollo del Taller.
DESARROLLO
Verificacin
Clusula Evidencias
Eficaz Si No
Fecha de cierre:
Firma auditor
En caso de no ser eficaz se genera nueva SAC
Pgina 40

Talleres ISO 27001 v2 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Talleres ISO 27001 v2 PDF

Uploaded by

Copyright:

Available Formats

Curso de Auditores Internos de Norma ISO 27001:2005

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

de funciones especficamente auditores Internos al SGSI, los siguientes requisitos: Educacin:

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

LOS HECHOS, SOLO LOS HECHOS!

ELEMENTOS QUE APLICAN

2. En la organizacin XUAN INC., en el proceso de Ingeniera, usted como Auditor lder

3. En el Banco Panamericano se realiz una auditoria al SGSI verificando que el anlisis de

4. En la auditoria de certificacin de la organizacin Sistema Gestin SG, en la norma ISO

5. Durante la realizacin de auditoria en la organizacin SSC Graphics, el Gerente de la

7. Usted audita al responsable de tecnologa de informacin, Cul es la periodicidad de

8. En la auditoria realizada en la organizacin del sector estatal Ministerio Fomento

9. La organizacin Josh Bank ha recibido un requerimiento de la entidad que regula el sector

La organizacin Services and Support ha implantado un sistema de gestin de seguridad

Comercializacin Global: responsable de los procesos de venta de servicios y

Programa de auditoria para (nombre de organizacin)

Objetivos del programa de auditoria

Auditorias que componen el programa de auditoria

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA.

LOS HECHOS, SOLO LOS HECHOS!

Organizacin Xuam Services Inc.

Est orientada a gestionar eficazmente la seguridad tratada por los sistemas

POLTICAS ESPECFICAS GESTIN DE RIESGO

Resultados del anlisis

ANALISIS DEL MANUAL de SGSI

MANUAL DEL SGSI

1.0 ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

2.0 INTRODUCCIN A LA COMPAA Y ANTECEDENTES

5.0 FORMATO Y REVISIN

6.0 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Se ha definido la descripcin e interaccin de procesos, en:

Gestin de Riesgos SGSI-RIE-00 V3.

Documentacin complementaria como:

5.0 RESPONSABILIDAD DE LA DIRECCIN

6.0 REVISIN DE GESTIN DEL SGSI

OBJETIVO DEL PROCESO RESPONSABLE

P Aprobar metodologa de valoracin de

A Implementar mejoras identificadas,

DOCUMENTOS Y/O REGISTROS DOCUMENTOS EXTERNOS NUMERALES APLICABLES

Indicadores Responsable Informes de Indicador, Monitoreo, Reunin comite seguridad Mensual -

Gestin de Riesgos SGSI-RIE-00 V3.

Declaracin de aplicabilidad SGSI-RIE-05 V5.

documentacin la definicin de los procesos y control

A.10 Comunicaciones y Operaciones S Procedimiento de operaciones G.

A.14 Gestin Continuidad del negocio S

Procedimiento Accin correctiva: (Parte del procedimiento)

ACTIVIDADES RESPONSABLES REGISTROS

Gestin Configuracin - Formato Servidor FILE SERVER CONFIGURATION

File Server Brand File Server Model

Floppy Disk Drives

Internal Hard Drives

Procedimiento clasificacin y control de activos - etiquetado

Comit de Seguridad de la informacin

Responsable de la Gestin del Sistema de Seguridad de la informacin

Comit de Seguridad de la informacin

Se aplica este procedimiento:

5.1 Etiquetado de documentos

5.2 Etiquetado de correos electrnicos.

5.3 Etiquetado de paquetes

5.4 Etiquetado de presentaciones

5.5 Etiquetado de Telecomunicaciones

6. APROBACIN Y GESTIN DE CAMBIOS

Versin Fecha Nombre Cambio Aprobacin