Professional Documents
Culture Documents
TALLER No 1
ISO 27001 INTRODUCCIN AUDITORIA INTERNA
OBJETIVO
Brindar una introduccin al estudiante de la metodologa de casos, utilizada durante el
curso de formacin de auditores internos de un Sistema de Gestin de Seguridad de
la informacin ISMS ISO 27001.
METODOLOGIA
Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar
el trabajo individual.
Deben sustentar sus respuestas al Tutor del curso con sus respuestas.
En cada una de las siguientes situaciones, el participante de Auditoria Interna debe
determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y
de ISO 27001 (No utilizar la norma).
TIEMPO
Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin
Todos los casos de este taller tienen relacin en la organizacin XUAN INC.
CASO No 1:
La organizacin establece intercambio de informacin con el organismo supervisor, esta
informacin es enviada por medio electrnico, la organizacin defini una excelente poltica de
intercambio de informacin y por lo tanto no fue necesario definir el procedimiento de intercambio
de informacin.
CASO No 2:
La organizacin incluy en el programa de auditorias la realizacin de auditorias de segunda parte
al sistema de gestin de la seguridad de la informacin (proveedores potenciales de servicios
crticos), incluy en su presupuesto para el siguiente ao la asignacin de recursos para ejecutar
las auditorias anteriores en un perodo de seis meses. La organizacin esta decidiendo a quien
designa como responsable de esta actividad.
CASO No 3:
La organizacin ha definido en el SGSI el proceso de Talento Humano, en este proceso se han
establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI;
un proceso legal para evidenciar cumplimiento de requisitos legales y reglamentarios y
contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual
Pgina 1
Curso de Auditores Internos de Norma ISO 27001:2005
CASO No 4:
La organizacin Telecomunica TE S.A., ha establecido contratos y acuerdos de nivel de servicio al
SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos,
administracin de firewall, gestin de ingreso y salida de personal. El responsable indica que se
han definido muy bien los contratos y los SLA, por lo tanto no ha sido necesario realizar auditorias
a intervalos regulares.
CASO No 5:
En su revisin de las auditorias internas realizadas en el ltimo ao, usted evidencia la inclusin de
2 auditorias internas en el programa de la organizacin XUAN Inc, registra en su lista de
comprobacin la realizacin de auditorias internas a todos los procesos del SGSI en el primer
semestre, en el ltimo semestre evidencia que no se incluy al proceso de gestin de cambios y
gestin de capacidades, el responsable explica que estos procesos no se incluyeron en el
segundo ciclo porque en las ltimas dos auditorias no se detect no conformidades.
CASO No 6:
La organizacin Zing Productions S.A., tiene una red que es gestionada por el centro de datos del
SGSI, pero no ha incluido este tem en la gestin de riesgos, porque esta labor es ejecutada por
personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido
ningn incidente con respecto a la red.
Pgina 2
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 2
ISO 27001 - CUMPLIMIENTO DE LA NORMA
OBJETIVO
Mejorar el entendimiento de la norma, con relacin de los requisitos establecidos y su
relacin con situaciones reales en las organizaciones.
METODOLOGIA
En cada una de las siguientes situaciones, el participante en el curso de formacin de
auditores internos debe determinar las clusulas de ISO/IEC 27001:2005 que puede
aplicar. (No cumplimiento).
Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones.
TIEMPO
Tiempo mximo de 45 minutos para el desarrollo del taller.
Se destina tiempo para revisin.
Recuerde
Pgina 3
Curso de Auditores Internos de Norma ISO 27001:2005
HOJA DE TRABAJO
INTEGRANTES:
CASO No 1
CASO No 2
CASO No 3
CASO No 4
CASO No 5
CASO No 6
CASO No 7
CASO No 8
CASO No 9
1. La organizacin Online And Transaction S.A., utiliza las transacciones en lnea (internet)
como medio de pago a sus proveedores y tambin para el envi de documentacin
importante a sus clientes. Se ha implementado controles rigurosos para garantizar la
integridad de informacin transmitida, no se ha identificado riesgos al respecto.
Pgina 4
Curso de Auditores Internos de Norma ISO 27001:2005
6. En Diciembre, usted es designado como auditor lder para realizar una auditoria interna a
Financiera Suprema S.A., ofrece servicios de financiacin de crditos al sector solidario, al
llegar al proceso de mejora continua, usted solicita los registros de las auditorias
realizadas, usted evidencia ejecucin en julio 15 y octubre 30. Usted pregunta Cuntas
no conformidades fueron encontradas?, el responsable indica que en Julio/15: once (11) y
en Octubre/30: trece (13), todas cerradas eficazmente, porque la alta Direccin esta muy
comprometida; usted detalla y observa que los problemas detectados en el mes octubre
son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos
que aparecen en sus registros de lista de verificacin.
Pgina 5
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 3
ISO 27001 ELABORACIN DEL PROGRAMA DE AUDITORIA
OBJETIVO
Permitir al estudiante fortalecer los conceptos sobre el diseo del programa de
auditoria.
METODOLOGIA
Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar
el trabajo en grupos designados por el tutor
Deben sustentar su propuesta al Tutor del curso con sus respuestas.
Los estudiantes deben leer el caso y elaborar una propuesta de programa de
auditora, se pueden utilizar los formatos de ejemplo al final del taller o emplear otros
formatos que cumplan con los requisitos del programa de auditoria de acuerdo con la
norma ISO27001:2005
TIEMPO
Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin
SAS tiene como misin la prestacin de servicios de call center tercerizado a clientes del
sector bancario de habla inglesa a nivel mundial. La organizacin tiene 3 sedes en las
ciudades de Nueva Deli, Londres y Nueva York, lo que le permite prestar servicios sin
interrupcin 24 horas al da a todos los clientes de los bancos a los que presta sus
servicios SAS. Su plan de personal est compuesta por 400 empleados en Deli, 250
empleados en Londres y 500 en Nueva York. Dentro de su planta de empleados ha
destinado 3 oficiales de seguridad de la informacin uno para cada sede y un gerente de
servicios de tecnologa que coordinar la operacin global de los call center. Su
infraestructura de comunicaciones est tercerizada con proveedores locales que se
interconectan globalmente. Los servicios que estn dentro del alcance del SGSI incluyen:
Pgina 6
Curso de Auditores Internos de Norma ISO 27001:2005
Detalle de la auditorias
Auditoria
Objetivo(s)
Fecha(s) programas
Aspecto(s) a Auditar
Auditor(es) designados
Recursos tcnicos
Recursos Financieros
Recursos Humanos
Otros Recursos
Criterios
Mtodos o procedimientos
Detalle de la auditorias
Auditoria
Objetivo(s)
Fecha(s) programas
Aspecto(s) a Auditar
Auditor(es) designados
Recursos tcnicos
Recursos Financieros
Recursos Humanos
Otros Recursos
Criterios
Mtodos o procedimientos
Pgina 7
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 4
REVISIN DE LA -POLTICA
OBJETIVO
Aclarar las dudas de los requisitos relacionados con la poltica de seguridad de la
informacin segn ISO 27001:2005.
METODOLOGIA
Revisar la poltica y determinar si hay cumplimiento con respecto a los requisitos de
ISO 27001.
Que pregunta incluira en su lista de verificacin para aclarar el cumplimiento,
cuando est en la auditoria en sitio?
Realizar este taller en grupo de trabajo designado por el tutor.
Deben presentar sus conclusiones al tutor del curso.
TIEMPO
Tiene un tiempo mximo de cincuenta (50) minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
Recuerde
Pgina 8
Curso de Auditores Internos de Norma ISO 27001:2005
INTRODUCCIN
OBJETO
ALCANCE
Aplica para los empleados relacionados directamente con la seguridad.
REQUISITOS LEGALES Y/O REGLAMENTARIOS
DEFINICIONES
Directrices: Descripcin que aclara lo que se debera hacer y cmo hacerlo, para alcanzar
los objetivos establecidos en las polticas.
RESPONSABLES
PROCEDIMIENTO
POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN
Pgina 9
Curso de Auditores Internos de Norma ISO 27001:2005
HOJA DE TRABAJO
INTEGRANTES:
Pgina 10
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 5
REVISIN DOCUMENTACIN SGSI
OBJETIVO
Reforzar el aprendizaje con respecto a los documentos requeridos por la norma ISO
27001:2005.
METODOLOGIA
Analizar el Manual del SGSI suministrado en el taller.
Verificar los documentos requeridos por ISO 27001
Realizar este Taller en grupo de trabajo y redactar sus comentarios en la hoja de
trabajo.
TIEMPO
Tiene un tiempo mximo de 50 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
Recuerde que las cuatro (4) metodologas documentadas exigidas por ISO 27001
no son procesos, si se integran pueden ser un proceso.
Control de Documentos + Auditorias Internas + Accin Correctiva + Accin
Preventiva = Ejemplo: Proceso de Gestin del SGSI o Proceso de Mejora Continua.
Pgina 11
Curso de Auditores Internos de Norma ISO 27001:2005
HOJA DE TRABAJO
INTEGRANTES:
Pgina 12
Curso de Auditores Internos de Norma ISO 27001:2005
Este manual contiene los detalles organizacionales del Sistema de Gestin de la seguridad de la
informacin hacia el cumplimento de la organizacin de los requisitos de la norma ISO/IEC
27001:2005.
La compaa Xuam Services Inc., se define para sus actividades que incluye: Proveedor de
servicios de tecnologas de la informacin y consultora en soluciones de gestin de
conocimiento, comercio electrnico y gestin de hosting en la ciudad de Miami y Atlanta.
Excluye A.12.1 y A.12.6.
Este manual aplica a las actividades detalladas en el alcance del sistema de gestin de la
seguridad de la informacin en la ciudad de Bogot.
Pgina 13
Curso de Auditores Internos de Norma ISO 27001:2005
Pgina 14
Curso de Auditores Internos de Norma ISO 27001:2005
Anexos:
SGSI-DIR-00 V1. Planeacin y direccin estratgica
Codigo:
CARACTERIZACION PROCESO PLANEACIN Y DIRECCIN
Versin:1
ESTRATGICA
Pag
Manual
P Establecer funciones y funciones,
Procesos
responsabilidades del SGSI, responsabilida RH
internos
Comunicacin del SGSI. des.
Comunicados
Partes Presupuesto y SGSI,
interesadas Procesos P Asignar recursos para implementar plan
plan de Financiero y
internos tratamiento de riesgos.
personal TI
H Decidir los riesgos residuales Registros de
G. Riesgos
propuestos y operar el SGSI riesgos
V Realizar seguimiento y revisin regular
Acta de
del SGSI, medicin de la eficacia de los
revisin
Revisin controles, revisar la valoracin de riesgos Todos los
gerencial,
Gerencial a intervalos planificados, verificando la procesos
decisiones
realizacin auditorias internas, actualizar
tomadas
los planes de seguridad de la informacin.
Pgina 15
Curso de Auditores Internos de Norma ISO 27001:2005
Pgina 16
Curso de Auditores Internos de Norma ISO 27001:2005
Pgina 17
Curso de Auditores Internos de Norma ISO 27001:2005
Pgina 18
Curso de Auditores Internos de Norma ISO 27001:2005
Network Boards
Name Driver I/O Port Address IRQ DMA Node Slot Net No
CD-ROM Drive
Letter Speed Type Brand Model
Disk/Device Sub-Systems
Device Device Device Netware Drive Drive
Number Type Controller Size (Mb) Partition Brand Model Comments
0
1
2
3
Pgina 19
Curso de Auditores Internos de Norma ISO 27001:2005
1. OBJETIVO
Determinar las actividades requeridas para la gestin e inventario de activos del SGSI. Garantizar
el etiquetado de los activos y manejo de la informacin de acuerdo con la definicin de clasificacin
de activos de la organizacin.
2. ALCANCE
Este procedimiento aplica para todos los activos del SGSI de la organizacin.
3. DEFINICIONES:
4. PUNTOS IMPORTANTES:
NORMAS RELACIONADAS / REFERENCIAS
N/A
DESCRIPCIN DE ROLES Y RESPONSABILIDADES
Gestor de activos
Coordinar actividades para la identificacin de los activos del SGSI.
Procesos a cargo
Todos los responsables de los procesos, gestin de compras, gestin de seguridad fsica son
responsables de la gestin de activos y propietarios de los activos.
5. EXPLICACIN:
a) Informacin
b) Software
c) Fsicos
d) Servicios
e) Personas y sus calificaciones, habilidades y experiencia
f) Intangibles
Pgina 20
Curso de Auditores Internos de Norma ISO 27001:2005
Toda informacin considerada como CONFIDENCIAL y de USO INTERNO debe estar etiquetada,
sin importar su medio (fsico o digital).
MANEJO DE LA INFORMACIN
Informacin pblica:
Informacin privada:
Informacin confidencial
Se debe tener en cuenta los siguientes cuidados y controles de seguridad para mantener de
forma confidencial:
No podr ser divulgada o transferida a personas o funcionarios no autorizados.
Evite ubicar informacin en lugares de fcil acceso por personas no autorizadas.
Destruya de forma segura toda la informacin confidencial, cuando deje de ser
necesaria.
La informacin confidencial, debe ser almacenada en sistemas seguros.
La informacin confidencial, almacenada en porttiles debe estar de forma cifrada.
REQUERIMIENTO DE ACCESO
Pgina 21
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 6
ISO 27001 PLAN DE AUDITORIA
OBJETIVO
Clarificar los conceptos referentes a programa y plan de auditoria.
METODOLOGIA
Determinar las clusulas a incluir en el programa de auditoria y generar el plan de
auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de
auditoria interna deber soportarse en lo visto en clase y en la Norma ISO 27001.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas para
el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los resultados del
taller.
TIEMPO
Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
DESARROLLO
Pgina 22
Curso de Auditores Internos de Norma ISO 27001:2005
Pgina 23
Curso de Auditores Internos de Norma ISO 27001:2005
PLAN DE AUDITORIA
Pgina 24
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 7
ISO 27001 LISTA DE VERIFICACIN
OBJETIVO
Practicar la generacin de preguntas de acuerdo con las clusulas de la Norma
ISO/IEC 27001:2005.
METODOLOGIA
TIEMPO
Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
Organizacin:
Auditores:
Proceso:
No. CLAUSULA PREGUNTA Observaciones Cumple(s/n
Pgina 25
Curso de Auditores Internos de Norma ISO 27001:2005
Comentarios:
Pgina 26
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 8
ISO 27001 REUNIN DE APERTURA
OBJETIVO
METODOLOGIA
TIEMPO
DESARROLLO
Pgina 27
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 9
ISO 27001 COMO PREGUNTAR
OBJETIVO
METODOLOGIA
TIEMPO
Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
DESARROLLO
Pgina 28
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 10
REDACCION DE HALLAZGOS DE INCUMPLIMIENTO
OBJETIVO
Generar habilidad en el auditor para detectar no conformidades, mejora su redaccin,
clasificacin y sustentacin.
METODOLOGIA
TIEMPO
DESARROLLO
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde
LOS HECHOS, SOLO LOS HECHOS
Hallazgos:
Auditor
Hallazgos:
Pgina 29
Curso de Auditores Internos de Norma ISO 27001:2005
Auditor
Hallazgos:
Auditor
Hallazgos:
Auditor
CASOS
La organizacin YING SEG INC, construye Sistemas de Control Electrnico segn las
especificaciones de los diseos de los clientes. Usted forma parte de un equipo de
auditoria que revisa el Proceso de Gestin del SGSI (Control de documentos y registros)
en este proceso se tiene establecido que los originales de la documentacin del sistema
operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de
los equipos de la empresa deben estar en la sala de control de documentos. Tambin se
audita al proceso de Gestin del Talento Humano. Cuando se acerca a la sala de control
de documentos, usted observa la puerta abierta, observa a los empleados de produccin
en la sala de control de documentos buscando en el archivo de documentos obsoletos
unos planos de los diseos del control electrnico del proyecto Gate Close II, usted
solicita los registros de ingreso y evidencia que los empleados no estn en la planilla de
Pgina 30
Curso de Auditores Internos de Norma ISO 27001:2005
ingreso, adems revisa los derechos asignados y ninguno tiene registro de asignacin de
ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella
indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos
establecidos. Roberta se disculpa por el hecho de que el rea parece desordenada,
explica que estuvo de vacaciones por Navidad y Ao Nuevo. Usted pregunta como auditor
lder Cmo se controla la documentacin del sistema operativo? Roberta lo lleva al
archivero que contiene dicha documentacin; usted selecciona cinco (5) documentos para
revisar, solicita el listado de documentos maestros y observa los niveles de revisin de los
documentos elegidos del archivo contra la lista maestra, todos salvo el Manual uno tiene
la revisin correcta, este documento debe ser revisin 2, solicita la aprobacin de la nueva
versin y no est disponible, Roberta dice que cree que la versin del documento nuevo
est entre los documentos pendientes. Usted solicita a Roberta ver el procedimiento de
control de documentos establecido por la organizacin, ella confiesa que presto su copia a
otra rea de la organizacin, pero hay una copia del procedimiento enmarcada y fijada en
la pared, junto a la puerta, para que todos la lean, usted observa las fotocopias no
controladas. Usted pregunta a Roberta como se controla el listado maestro de
documentos?; ella dice que este es un registro codificado F-LD-GSGSI-001 Revisin 2 e
invoca una hoja electrnica en su computadora y muestra cmo asienta los nuevos
documentos que se reciben. Al indagar Cmo se controla la entrada a la computadora?
Roberta responde que la puerta de la sala siempre est cerrada con llave, cuando ella no
est. Luego solicita cmo se controlan y distribuyen los cambios de ingeniera, Roberta
muestra el archivo maestro de informes de cambios de ingeniera, selecciona seis (6) y
observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuy
los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta explica
que falta personal y ha tenido que depender de la secretaria de ingeniera para pasar las
copias a los trabajadores de produccin y que la secretaria no le devuelve las hojas de
acuses de recibo. Usted observa un estante con catlogos de varios distribuidores de
electrnica, usted pregunta a Roberta si estn controlados, ella responde que slo se
usan como referencia y nunca salen de la sala, dice que los Ingenieros usan el catlogo
de partes computarizado cuando necesitan publicar las especificaciones de las partes y
como son tantos y muy poco se utilizan no se han incluido en el SGSI. Roberta lo lleva al
proceso de gestin de talento humano, donde encuentran al Director, Anbal Ramrez
usted se presenta y solicita donde estn establecidas las competencias del personal, las
funciones y responsabilidades en seguridad en la informacin, entrega un archivo. En el
archivo evidencia cumplimiento de seleccin de personal, trminos y condiciones de la
relacin laboral, conformidad con educacin y formacin en la seguridad en la
informacin. Al solicitar cinco (5) hojas de vida al azar, tambin verifica el proceso
disciplinario de algunos empleados y contratista, es conforme con los requisitos, por
ltimo revisa la devolucin de activos y comunicacin de la eliminacin de derechos del
personal que sali de la organizacin en los ltimos ocho (8) meses y encuentra los
registros pertinentes, Anbal explica que a travs de una interaccin estrecha entre
gerentes y empleados han evitado una descripcin especfica de perfiles de cargos, usted
busca en el listado maestro de documentos y no hay existencia de la definicin indicada
por Anbal, al hablar con Anbal sobre los contratos de trabajo de cuatro (4) cargos
distintos, Anbal explica que en estos se encuentran los controles adecuados, usted
verifica la informacin y esta de acuerdo, usted registra en su lista de verificacin.
Agradece a Roberta y Anbal y regresa a la sala de reuniones privada para redactar el
informe de auditoria.
Pgina 31
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 11
REDACCION DE OBSERVACIONES
OBJETIVO
METODOLOGIA
En cada una de las situaciones de este taller, el participante debe determinar si
hay una oportunidad de mejora u observacin con respecto a la Norma ISO
27001 y realizar la redaccin respectiva.
Trabajo en grupo. Recuerde que los formatos suministrados son solamente
guas para el desarrollo del curso. Sustentar sus redacciones.
TIEMPO
Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
DESARROLLO
Con los casos del taller anterior, determinar si hay observaciones u oportunidades
de mejora.
Casos:
Pasan al proceso de gestin de tarjetas donde observan que el encargado Rafael
Nez, guarda las tarjetas en una caja fuerte y las claves en otra. El software que
controla la expedicin de tarjetas esta temporalmente suspendido debido a que le
estn incluyendo otras rutinas de validacin y control.
Al pasar por el cuarto de servidores ven que la puerta tiene una cantonera que
restringe el acceso y al preguntar a Carlos lvarez, Director del rea Ha definido
controles para el control de acceso fsico y lgico?, l dice que si y ensea
reglamentacin sobre registros tanto de acceso fsico como lgico, al revisar los
registros y observa que solo estn hasta el mes pasado, a lo cual el gerente
comenta que mensualmente se estn enviando los registros al departamento de
archivo para su almacenamiento dado que la organizacin estableci un tiempo de
retencin de 1 ao.
Pgina 32
Curso de Auditores Internos de Norma ISO 27001:2005
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
PROCESO:
ISO 27001
ELEMENTO
________
Pgina 33
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 12
ISO 27001 ANALISIS DE LOS PROCESOS
OBJETIVO
Fortalecer el conocimiento de la determinacin de no conformidad, observaciones, su
clasificacin, redaccin y sustentacin.
METODOLOGIA
La auditoria simulada debe seguir los siguientes pasos:
1. Reunin del equipo auditor (Anlisis de Hallazgos).
2. Clasificacin de los hallazgos con respecto a una clusula de la norma.
3. Determinacin de observaciones u oportunidades de mejora
4. Solicitud de acciones correctivas.
TIEMPO
Tiene un tiempo mximo de 50 minutos para el desarrollo del Taller.
Se destina tiempo para revisin.
DESARROLLO
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Estndar y Nmero de Elemento:
Hallazgos:
Auditor
Hallazgos:
Pgina 34
Curso de Auditores Internos de Norma ISO 27001:2005
Auditor
Hallazgos:
Auditor
Hallazgos:
Auditor
Estndar
Observaciones u Oportunidades de Mejora
/Elemento
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
ISO 27001
ELEMENTO
________
Pgina 35
Curso de Auditores Internos de Norma ISO 27001:2005
Auditora en sitio es realizada por dos auditores. Para el caso el oficial de seguridad y
responsable del SGSI es el Ing. Rodio Paez.
LA AUDITORIA
Se realiz la reunin de apertura en la organizacin Do Brasil Electronic S.A., en la ciudad
de Sao Paulo.
Pgina 36
Curso de Auditores Internos de Norma ISO 27001:2005
prender el equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de
baja y que no debe tener informacin; se verifica en los equipos registrados para dar de
baja se encuentra registrado. Robert prende el equipo etiquetado INV-AF-PC-145 y con
sorpresa aparece el sistema operativo. Usted verifica el Proceso de administracin de
servicios tecnolgicos como es el ingreso de personal a la organizacin, le informan que
el personal puede ingresar nicamente por la entrada principal, todos tienen tarjetas de
control de acceso personalizado. En el listado de personal autorizado para ingresar en la
seccin de Almacn se encuentran Ingeniero Rodio Paez, Roberta Daz, los 3
almacenistas, Identifica las credenciales No. 123789, 123790, las cuales corresponde
claramente al permiso del da para el contratista Security JKF. Se solicita los registros de
Backup, usted busca en sus apuntes las anotaciones de las etiqueta encontradas en
almacn XXX-001, XXX-002 y XXX-003, busca en la realizacin de backup y encuentra
evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-001.
Le informan que esta cinta no se registr porque se utiliz de prueba al momento de
instalar el servidor de backup, pero se guarda para estos fines. Nuevamente el Ingeniero
Rodio Paez, los lleva al proceso de gestin de seguridad de la informacin, usted solicita
las acciones correctivas y preventivas realizadas en el presente ao, el gerente del
proceso entrega un archivo con esta informacin, all encuentra 6 acciones correctivas y
1 accin preventiva, todas cerradas a la fecha, previamente se haba observado en las
actas del comit de seguridad una queja repetitiva de varios clientes acerca de que no
tenan acceso a su cuenta porque la claves no haban sido desbloqueadas
oportunamente, y esta no estaba registrada como accin correctiva. Al preguntar al
responsable acerca de este inconveniente, dijo que la persona encargada de desbloquear
las claves era nueva en el puesto y no se encontraba capacitada, y como el comit de
seguridad decidi capacitarla no se registro como accin correctiva. En el Proceso
Financiero usted valida las aprobaciones para dar de baja los equipos por parte del
Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente
Financiero, persona responsable de la aprobacin y asignacin de dar de baja los activos
de la organizacin. Al observar el rea de tesorera encuentra que no hay ninguna
persona laborando en esta oficina, usted se acerca a la ventanilla y alcanza a visualizar
varias chequeras, dos contratos No. 13456-RIO y 34346-SAO PAULO Confidenciales,
adems de otros papeles sobre el escritorio. Pregunta al Gerente Financiero sobre este
aspecto e informa que la persona solicit permiso para salir temprano el da de hoy. Usted
comenta al Gerente financiero sobre los documentos importantes, l ndica que ella es
muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados.
Finalmente termina el proceso de auditora, muchas gracias al Ingeniero Rodio Pez,
realiza la reunin de auditores internos para definir el respectivo informe.
Pgina 37
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 13
ISO 27001- JUEGO DE ROLES
OBJETIVO
Fortalecer el conocimiento de la norma ISO 27001 en situaciones extremas.
METODOLOGIA
Tutor explica la situacin a los alumnos que se encuentran en el saln. Se debe realizar
una auditoria en sitio. (Utilizacin lista verificacin).
Trabajo en grupo y retroalimentacin guiada por el tutor para destacar las fortalezas y
las recomendaciones de mejora a cada una de las situaciones del desarrollo de la
auditoria.
TIEMPO
Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller.
Roles:
El tutor explica a los estudiantes que se deben conformar grupos de 2 estudiantes.
En cada grupo un estudiante asumir el rol de auditor
Otro estudiante asumir el rol de entrevistado y el tutor le asignar una forma de
comportarse en la auditoria. Las posibles opciones son:
Pgina 38
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 14
OBJETIVO
Mejorar las habilidades del auditor para comunicar los resultados de auditoria y
sustentar sus decisiones.
METODOLOGIA
Con el taller Anlisis de procesos, presentar la justificacin de los hallazgos y su
clasificacin.
Para realizar este Taller el participante en el curso de auditoria interna deber
soportarse en la norma ISO 27001.
Recuerde que los formatos suministrados son solamente guas para el desarrollo del
curso.
Presentacin grupo de evidencias de conformidad, solicitud de accin correctiva y
observaciones.
TIEMPO
Tiene un tiempo mximo de (30) minutos para el desarrollo del Taller.
Pgina 39
Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 15
ISO 27001 Seguimiento y Accin correctiva
OBJETIVO
Determinar en el auditor interno la concientizacin requerida para garantizar la
verificacin de las no conformidades y cierre eficaz del proceso auditoria interna.
METODOLOGIA
TIEMPO
Tiene un tiempo mximo de (25) minutos para el desarrollo del Taller.
DESARROLLO
Verificacin
Clusula Evidencias
Eficaz Si No
Fecha de cierre:
Firma auditor
Pgina 40