Curso

AUDITOR INTERNO
Sistemas de Gestin de la Seguridad de la Informacin ISO/IEC 27001:2005

AUDITOR INTERNO SGSI

Objetivos
Proporcionar: Entendimiento de la filosofa, principios y requisitos de ISO 27001. Prcticas y talleres de aplicacin Entender ISO 27001 en cualquier organizacin

Conocer el funcionamiento general de la Norma ISO 27001.

Conciencia de cmo aplicarlos en el contexto de la auditoria Entendimiento de las implicaciones para una auditoria efectiva y adecuada

AI 27001 REV.01-03-09

AUDITOR INTERNO SGSI

Objetivos
Dar a conocer los fundamentos de la Seguridad de Informacin y su implementacin a travs de un Sistema de Gestin de Seguridad de Informacin: SGSI
Explicar el propsito de un SGSI y los procesos involucrados como se define en la ISO 27001:2005 Explicar el rol de un auditor para planificar, informar, guiar y realizar el seguimiento de una auditora SGSI de acuerdo con la ISO 19011

Asumir el rol de un auditor en auditoras internas y externas

AI 27001 REV.01-03-09

Introduccin

A la Seguridad de la Informacin. Informacin Seguridad de Informacin Importancia de la Seguridad de Informacin

AI 27001 REV.01-03-09

Informacin
La informacin es un activo que, como otros activos importantes del negocio, tiene valor para una organizacin y, por lo tanto, necesita ser protegido adecuadamente

ISO 17799:2005

AI 27001 REV.01-03-09

Tipo de Informacin

Escrita / Impresa

Presentacione s

Electrnica

Enviada correo

AI 27001 REV.01-03-09

Verbal / Conversaciones
6

Ciclo de la Informacin
La informacin puede ser: Creada Almacenada

Transmitida Procesada

AI 27001 REV.01-03-09

Ciclo de la Informacin
La informacin puede ser:
Utilizada: Para propsitos correctos e incorrectos

Destruida, Perdida, Corrompida

AI 27001 REV.01-03-09

Informacin

Cualquier forma que tome la informacin, o los medios mediante los cuales es compartida o almacenada, debe ser siempre protegida de una forma apropiada
ISO 17799:2005

AI 27001 REV.01-03-09

Amenazas
Virus, Gusanos, Troyanos = Malware.
Mails annimos con informacin crtica o con agresiones, infectada Robo de informacin Captura del PC desde el exterior

Robo de contraseas

Ingreso a la red de las empresas desde el internet con fines no ticos

Hackers

Fraudes informticos.

Robo de laptops informacin

Programas bomba destruccin de informacin

Destruccin de equipos

Acceso indebido a documentos confidenciales

Phishing
(pesca)

Intercepcin de comunicaciones

Software ilegal
AI 27001 REV.01-03-09

Falsificacin de documentos

Ingeniera Social (Kevin Mitnick)

10

Estadsticas
Perdidas cuantificadas de por lo menos $377 millones (USD), o $2 millones (USD) por encuestado

90%

85%

80% 40%

Detectaron brechas de seguridad

Sufri ataques de Virus informticos

Tuvo perdidas monetarias producidas por brechas de seguridad

Detecto penetracin de su infraestructura por personas externas

Fuente: Computer Crime and Security Survey 2006, del Computer Security Institute

AI 27001 REV.01-03-09

11

Seguridad de Informacin
La seguridad de informacin protege la informacin de las amenazas para asegurar la continuidad del negocio, minimizar el perjuicio para el negocio y maximizar el retorno de la inversin y de las oportunidades del negocio

AI 27001 REV.01-03-09

12

Seguridad de la Informacin
Procesos Tecnologa Equipos

Personas

INFORMACIN

Proteger la Informacin
AI 27001 REV.01-03-09

13

Seguridad de Informacin
Confidencialidad
Garantiza el acceso a la informacin de acuerdo con las funciones y autorizada

Principios de seguridad

Integridad
Asegura que la informacin no ha sido modificada protegiendo la

Disponibilidad
Asegura el acceso a la informacin cuando lo requieren las personas autorizadas
14

totalidad, exactitud y mtodos de almacenamiento

AI 27001 REV.01-03-09

Seguridad de Informacin
En algunas organizaciones, la integridad y/o la disponibilidad puede ser ms importante que la confidencialidad. Confidencialidad

Integridad

Disponibilida d

AI 27001 REV.01-03-09

15

ISO 17799 / ISO 27001 Gestin de la Seguridad de la Informacin

ISO 27002:2005 (17799:2005) Cdigo de buenas prcticas para la gestin de la seguridad de la informacin

ISO 27001:2005 Tecnologa de la Informacin Tcnicas de seguridad sistemas de gestin de la seguridad de la informacin Requerimientos

AI 27001 REV.01-03-09

16

ISO 27001 Gestin de la seguridad de la informacin

Historia del ISO 27001
Inicio de los 90 El Ministerio de Industria y Comercio del Reino Unido da soporte a su desarrollo 1995 Adoptado por primera vez como British Standard (BS) 1998 Se publican los requisitos para la certificacin 1999 Se edita la Segunda Edicin Se aaden el comercio electrnico, los ordenadores porttiles y contratacin con terceros. 2000 ISO aprueba ISO 17799 Parte 1 en Agosto. 2002 BS 7799-2:2002 publicado el 5 de Septiembre nfasis en la concordancia con ISO 9001 y la ISO 14001 Se adopta el modelo PDCA 2003 Ms de 500 certificados emitidos 2004 Ms de 1.000 certificados en todo el mundo 2005 Se publica ISO 27001
17

AI 27001 REV.01-03-09

Introduccin a los Sistemas de Gestin de la Seguridad de la Informacin.

Los beneficios de un sistema de gestin de la seguridad de la informacin ISO 27001

Los conceptos de un SGSI

AI 27001 REV.01-03-09

18

ISO 27002 / ISO 27001 Gestin de la Seguridad de la Informacin

Propsitos
Proporcionar las mejores prcticas de seguridad de la informacin Permitir a las organizaciones desarrollar, implementar y medir prcticas efectivas de gestin de la seguridad Proporcionar confianza en el comercio entre organizaciones Aplicable a un amplio rango de organizaciones grandes, medianas y pequeas
AI 27001 REV.01-03-09

19

Factores que afectan al Sistema de Gestin de la Seguridad de la Informacin

Riesgo creciente Globalizacin Legislacin

Tolerancia al riesgo
Valores sociales

Gobierno Competencia - costes

Gestin de la seguridad de la informacin

Vecino

Competencia- Negocios Consumidor Exigencias del consumidor Accionistas Visin corporativa y polticas
20

Cultura corporativa

Empleados
Sindicatos

AI 27001 REV.01-03-09

ISO 27002 / ISO 27001 Gestin de la Seguridad de la Informacin

Factores Claves de xito

Definir una Polticas de Seguridad que refleje los objetivos del negocio / empresa El enfoque de la implementacin concuerda con la cultura de la compaa Apoyo visible y compromiso de la direccin Buena comprensin de los requisitos de seguridad, de la evaluacin de riesgo y de la gestin del riesgo
AI 27001 REV.01-03-09

21

ISO 27002 / ISO 27001 Gestin de la Seguridad de la Informacin

Factores Claves de xito

Marketing de Seguridad efectivo a todos los directivos y empleados Comunicar las polticas y estndares de seguridad de informacin a todos los empleados y proveedores Proporcionar formacin apropiada Disponer de un sistema de medida, exhaustivo y equilibrado, para evaluar el rendimiento de la gestin de la seguridad para elaborar sugerencias de mejora
AI 27001 REV.01-03-09

22

Compatibilidad con otras normas

SGC ISO 9001:2000

ISO 17799:2005

SGSI ISO 27001

ISO 19011

ISO 14001

AI 27001 REV.01-03-09

23

Compatibilidad con otras normas

ISO 9001

Sistemas de gestin de Calidad - requerimientos

IS0 14001 -

Sistemas de gestin ambiental Especificacin con directivas de uso

AI 27001 REV.01-03-09

24

ISO 19011
Directivas para la auditora de los sistemas de gestin de la calidad y/o el medio ambiente
Contiene informacin sobre: Trminos y definiciones

Principios de auditora
Gestin de un programa de auditora Actividades de auditora

Competencia y evaluacin de auditores

AI 27001 REV.01-03-09

25

Plan-Do-Check-Act
Plan

Los objetivos y los procesos tienen que estar planificados e implementados

Do Los procesos son implementados Check

Los procesos y el producto obtenido son monitorizados y medidos frente polticas, objetivos, requerimientos

Act
Se emprenden acciones para mejorar el proceso continuadamente
AI 27001 REV.01-03-09

26

Cadena de actuaciones
Definicin de Poltica y Objetivos Poltica Objetivos

Plan Do Check

Determinacin del Alcance Amenazas/Vulnerabilidades Probabilidad/Impacto Anlisis de Activos

Alcance

Act

Resultados Anlisis Resultados Anlisis Planificacin Tratamiento

Anlisis de Riesgos Gestin Organizacional Grado de Aseguramiento Controles ISO Controles adicionales Polticas Objetivos Procesos Procedimientos Instrucciones Controles Otros

Gestin de Riesgos

Seleccin de Objetivos de Control y Controles

Objetivos Controles

Mtodos de Control Mtodos Implantacin y Operacin Prctica Acciones correctivas Acciones preventivas

Indicadores Auditoras Revisin

Motorizacin y Revisin

Mantenimiento y Mejora Continua

AI 27001 REV.01-03-09

27

Ciclo Plan-Do-Check-Act y mejora continuada

Emprender acciones para mejorar continuamente la ejecucin de los procesos efectividad y eficiencia Establecer los objetivos necesarios para obtener resultados en relacin a las necesidades del cliente y las polticas de la organizacin

Act
Como mejorar la prxima vez?

Plan
Qu hacer? Como hacerlo

Check
Ha salido segn lo planeado?

Do
Hacer lo que se planific

Monitorizar y medir procesos y el producto en relacin a polticas, objetivos y necesidades

Implantar los procesos

AI 27001 REV.01-03-09

28

Modelo PDCA aplicado a los procesos SGSI

Plan Establecer el SGSI

Partes Interesadas

Implantacin Do y operativa SGSI

Mantener y mejorar el SGSI

Partes Act Interesadas

Necesidades y expectativas de la Seguridad de la Informacin

Monitorizar y revisar el SGSI

Seguridad de la informacin gestionada

Check

AI 27001 REV.01-03-09

29

ISO 27001 visin general y clusula 4

Estructura de la ISO 27001 Alcance y aplicacin Clusula 4. Sistema de Gestin de la Seguridad de la Informacin
Clusula 4.1 Requisitos generales Clusula 4.2 Establecer y gestionar el SGSI Clusula 4.3 Requerimientos de documentacin

AI 27001 REV.01-03-09

30

La estructura de la ISO 27001

ISO 27001 Tecnologa de la informacin Tcnicas de Seguridad Sistemas de gestin de la seguridad de la informacin - Requerimientos 1 Alcance
1.1 1.2 General Aplicacin

2
3 4

Referencias normativas
Trminos y definiciones Sistema de gestin de la seguridad de la informacin
4.1
4.2 4.3

Requisitos generales
Establecer y gestionar el SGSI Requerimientos de documentacin
31

AI 27001 REV.01-03-09

La estructura del ISO 27001

5 Responsabilidad de la Direccin
5.1 5.2 Compromiso de la direccin Gestin de recursos

6 7.

Auditoras internas SGSI Revisin por la Direccin del SGSI

General Entradas para la revisin Salidas de la revisin 7.1 7.2 7.3

Mejora del SGSI

8.1 8.2 8.3 Mejora continuada Accin correctiva Accin preventiva

AI 27001 REV.01-03-09

32

La estructura de la ISO 27001

Anexo A

(normativo)

Objetivos de control y controles

Anexo B

(informativo)

Principios OCDE* y la norma internacional

Anexo C

(informativo)

Correspondencia entre BS EN ISO 9001: 2000, BS EN ISO 14001:1996 e ISO 27001:2005

* OCDE: Organizacin para la Cooperacin y el Desarrollo Econmico compuesta por 30 Estados, cuyo objetivo es coordinar sus polticas econmicas y sociales. Fue fundada en 1961 y su sede central se encuentra en la ciudad de Pars, Francia. Constituido como uno de los foros mundiales ms influyentes

AI 27001 REV.01-03-09

33

Alcance
Requerimientos para
Establecer Implementar Ejecutar Monitorizar Revisar Mantener y Mejorar Un SGSI documentado dentro del contexto de los riesgos generales de negocio de la organizacin

El SGSI est diseado para asegurar

La seleccin de controles de seguridad adecuados y racionales que protejan los activos de informacin y aporten confianza a las partes interesadas

AI 27001 REV.01-03-09

34

Aplicacin de la norma
Genrica Aplicable a todas las organizaciones Exclusiones:
No afecten a la capacidad o a la responsabilidad de proporcionar seguridad de la informacin que cumpla con los requisitos de seguridad determinados por la evaluacin de riesgos y los requerimientos reguladores Deben ser justificadas y se deben proporcionar evidencias de que los riesgos asociados son admisibles Los requisitos de las clusulas 4, 5, 6, 7 y 8 no pueden excluirse
AI 27001 REV.01-03-09

35

4.1 Requerimientos generales

La organizacin debe : Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado Establecer el proceso segn el modelo PDCA

AI 27001 REV.01-03-09

36

ISO 27001; clusula 4

4 Sistema de gestin de la seguridad de la informacin

4.1 Requisitos generales

4.2 Establecer y gestionar el SGSI

4.3 Requerimientos de documentacin

4.2.1 Establecer el SGSI

4.3.1 General

4.2.2 Implantacin y operativa del SGSI 4.3.2 Control de documentos

4.2.3 Monitorizar y revisar el SGSI

4.2.4 Mantener y mejorar el SGSI

AI 27001 REV.01-03-09

4.3.3 Control de registros

37

ISO 27001:2005, clusulas 5, 6, 7, 8 y Anexo A

Clusula 5. Responsabilidad de la direccin
Clusula 5.1 Compromiso de la direccin Clusula 5.2 Gestin de recursos

Clusula 6. Auditora interna SGSI Clusula 7. Revisin por la Direccin

Clusula 7.1 General Clusula 7.2 Revisin entradas Clusula 7.3 Revisin salidas

Clusula 8. Mejora del SGSI

Clusula 8.1 Mejora continua Clusula 8.2 Accin correctiva Clusula 8.3 Accin preventiva

AI 27001 REV.01-03-09

38

ISO 27001; clusula 5

5 Responsabilidad de la direccin

5.1 Compromiso de la direccin

5.2 Gestin de recursos

5.2.1 Provisin de recursos

5.2.2 Formacin, concienciacin y competencia

AI 27001 REV.01-03-09

39

5.1 Responsabilidad de la direccin

La direccin evidenciar el compromiso de la direccin: Comunicar la importancia de los objetivos de seguridad, requerimientos legales y regulatorios, la mejora continua Establecer un objetivo, planes y la poltica de seguridad

Solicitar revisiones
Decidir el nivel de riesgo residual

AI 27001 REV.01-03-09

40

5.2 Gestin de recursos

5.2.1 Proporcionar recursos para: Configurar y mantener el SGSI Establecer procedimientos de seguridad Identificar requerimientos legales, regulatorios y contractuales Adecuar la seguridad de los controles implantados Llevar a cabo revisiones

Mejorar el proceso

AI 27001 REV.01-03-09

41

5.2 Gestin de recursos

5.2.2 Formacin, conciencia y competencia: Las responsabilidades asignadas al personal del SGSI debe estar acorde a su competencia Ofrecer formacin

Evaluar la efectividad de la formacin

Asegurar que los empleados estn concientizados Mantener evidencias de formacin, experiencia y efectividad

AI 27001 REV.01-03-09

42

ISO 27001; clusula 6

6 Auditora interna SGSI

AI 27001 REV.01-03-09

43

ISO 27001; clusula 7

7 Revisin del SGSI por la Direccin

7.1 General

7.2 Revisin entradas

7.3 Revisin salidas

AI 27001 REV.01-03-09

44

ISO 27001; clusula 8

8 Mejora del SGSI

8.1 Mejora continua

8.2 Accin correctiva

8.3 Accin preventiva

AI 27001 REV.01-03-09

45

SGSI

Inicio

Pre auditoria

Acciones correctivas

CERTIFICACIN

Establecer el SGSI

Auditoria de certificacin

AI 27001 REV.01-03-09

46

Certificacin

Es un reconocimiento por parte de una empresa independiente del cumplimiento y eficiencia de un Sistema de Gestin de la Calidad de una empresa. Es una ventaja competitiva.

AI 27001 REV.01-03-09

47

SGSI

Inicio

Pre auditoria

Acciones correctivas

Auditorias de seguimiento

Ao 1

Ao 2

Ao 3

Establecer el SGSI

Auditoria de certificacin

AI 27001 REV.01-03-09

48

Anexo A

(normativa)

Objetivos de control y controles Derivados de, y alineados con los de BS ISO/IEC 17799

Proporcionan ayuda en la implementacin y orientacin sobre las mejores prcticas en los controles para cumplir con los objetivos especificados
Referenciados durante la auditora para identificar no-conformidades y acciones correctivas
AI 27001 REV.01-03-09

49

Riesgo: herramientas y tcnicas de evaluacin

Gestin del riesgo

Evaluacin del riesgo

AI 27001 REV.01-03-09

50

Seguridad al 100%

AI 27001 REV.01-03-09

51

Definiciones

Riesgo:

La posibilidad de incurrir en prdida o dao

En riesgo: Vulnerable, posibilidad de sufrir dao o prdida

Correr un riesgo:
Incurrir en una accin sin considerar la posibilidad de dao que conlleva Arriesgar: Exponer a dao o prdida

AI 27001 REV.01-03-09

52

Riesgo de Seguridad

Un riesgo de seguridad es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin o grupo de ellos

AI 27001 REV.01-03-09

53

Procesos de gestin del riesgo

Lmite y Autorizacin

Metodologa

Riesgo residual

Alta Direccin

Identificacin y Clasificacin

Accin

Valoracin del riesgo

Plan de Tratamiento Nivel de aceptacin

AI 27001 REV.01-03-09

Resultado y Recomendacin
54

Clasificacin de activos
Activos de informacin

AI 27001 REV.01-03-09

Personas
Personal Clientes Suscriptores

Base de datos Procedimientos Material de formacin Inventarios Contratos Aplicaciones software Software de sistema Herramientas Case Ordenadores Fax Aparatos de aire acondicionado Edificios Dispositivos de red Bienes

Documentos en papel

Servicio
Calefaccin Red Telecomunicaciones Energa Aire acondicionado Agua corriente

Activos de Software

Activos fsicos

Intangibles
Buena voluntad / reputacin Confianza en la organizacin Imagen corporativa

Dinero

55

Procesos de gestin del riesgo

Establecer el Contexto

Communicate & consult Comunicar y consultar

Identificar riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

review Monitor & y revisar Monitorizar

Valorar Riesgos

AI 27001 REV.01-03-09

56

Principios de gestin del riesgo

Muy Alta

Transferir Consecuencia Aceptar

Evitar

Reducir

Muy Baja

Muy Alta

Probabilidad
AI 27001 REV.01-03-09

57

Gestin del Riesgo (2)

Riesgo
#4 #2 Muy Alto #1 # 3 #5 # 8 #6 #7 #9 #10 #11
Nivel Proteccin Mnimo Nivel Aceptable del Riesgo

Y1

Nivel de Control

Muy Bajo
AI 27001 REV.01-03-09

tem Riesgo
58

Gestin del Riesgo (3)

Riesgo
Muy Alto
Nivel Proteccin Mnimo

#4

Y1

Nivel Aceptable del Riesgo

Nivel de Control

Muy Bajo
AI 27001 REV.01-03-09

T1

T2

T3

T4

Tiempo
59

Valoracin del riesgo (cuantitativo)

Identificacin Tipo de riesgo tem de Riesg o (2) Anlisis Relacin de Impactos probables Priorida d Severidad Prob. Coste Prdida de del esperad producir impacto a se. (5) X (6) (4) alta (5) 0.5 (6) 3K (7) 1.5K Mitigacin Actividad Cost Tiempo e

(1)

(3) 1. Cdigo malicioso 2. Operacin no autorizada 3. Integridad del personal

(8) Formaci n interna de conducta

(9) 3K

(10)

Financier F100 / o Sistem a de nmina

AI 27001 REV.01-03-09

60

Valoracin del riesgo (semi-cuantitativo)

Activo de informacin Catlog o No. Propietari Valor o/ (1) Usuario / Ubicacin 2 Vulnerabilidad Lista Probabilida d (2) 1. Cdigo malicioso 2. Operacin no autorizada 3. Integridad del personal 2 ( C ): Fuga de informaci n sensible ( I ): Falsificaci n (D): Afectar la imagen corporativa 3 3 Amenaza C I -- A Probabilida d (3) 3 Impacto Nivel de riesgo Contramedida Lista de Mtodos de Control 1. E07-1 2. P21-0 Control SOP

softwar e

F100 / F. M. / Sistema Acc. / de Dep. nminas Finanzas .

(1)X(2)X( 3) 18 1. Comprobar antecedentes 2. Gestin de contraseas 3. Entornos aislados 4. Control de cambios 5. Vacaciones forzosas 6. Aumentar la frecuencia de backup 7. Definicin de funciones

1
3

3. E02-2
4. P32-1 5. P02-3

AI 27001 REV.01-03-09

61

Valoracin de riesgos (cualitativa)

Probabilidad
Alta
Fallo de CCTV Acceso no autorizado Falta de configuraciones Fallo de red El seguro no cubre Robo

Fallo de Backup

Cdigo malicioso Falta de formacin IS Intruso Fallo de electricidad Fallo BCP

Media

Integridad Fraude Uso inapropiado Hacker Huelga

Fallo en emplazamiento remoto

Incumplimiento Del contrato Fuego

Cuestin IPR
Fallo del cortafuegos

Fallo UPS

Empleado resentido

Actos de Dis

Baja

Media

Alta

Consecuencia
AI 27001 REV.01-03-09

62

Auditoria

AI 27001 REV.01-03-09

63

AUDITORIA

Proceso sistemtico, independiente y documentado para obtener evidencias de auditoria y evaluarlas de manera objetiva con el fin de determinar la extensin en que se cumplen los criterios de auditoria.

ISO 19011

AI 27001 REV.01-03-09

64

Principios de Auditoria

Integridad

Presentacin Ecunime
Debido Cuidado Profesional Confidencialidad Independencia Enfoque basado en la Evidencia

AI 27001 REV.01-03-09

65

Tipos de Auditora segn la Relacin cliente - proveedor

AUDITORIA INTERNA
Auditorias de 1 parte, son conducidas por la propia organizacin o en su nombre, para propsitos internos o de anlisis crtico por la direccin, y pueden constituir la base para una auto declaracin de conformidad de la organizacin.

AUDITORIA EXTERNA
De 2 parte: ejecutada por el cliente De 3 parte: ejecutada por Organismos de Certificacin

AI 27001 REV.01-03-09

66

Trminos y Definiciones
3.2 3.3 3.4 3.8 criterios de auditora evidencia de auditora hallazgos de la auditora auditor
Conjunto de polticas, procedimientos o requisitos utilizados como referencia Registros, declaraciones de hecho o cualquier otra informacin que son pertinentes para los criterios de auditoria y que son verificables Resultado de la evaluacin de la evidencia de la auditoria recopilada frente a los criterios de la auditoria

Persona con la competencia para llevar a cabo una auditoria

3.9

equipo auditor

Uno a ms auditores que llevan a cabo una auditoria, con el apoyo de expertos tcnicos, si es necesario.

3.10

experto tcnico

Persona que aporta conocimientos especficos o su experiencia al equipo auditor Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propsito especfico Descripcin de las actividades in situ y de los preparativos de una auditoria Extensin y lmites de una auditora
67

3.11

programa de auditora

3.12 3.13

plan de auditora alcance de auditora

AI 27001 REV.01-03-09

Gestin de un programa de auditora

Objetivos y amplitud de un programa de auditora

Responsabilidades, recursos y procedimientos del programa de auditora

Implementacin del programa de auditora Registros del programa de auditora Seguimiento y revisin del programa de auditora

AI 27001 REV.01-03-09

68

Gestin de un programa de auditoria

Autoridad para programar Establecer el programa objetivos/ alcance procedimientos recursos responsabilidades Implementar el programa programar las auditoras desarrollar los planes de auditora evaluar los auditores seleccionar el equipo auditor dirigir las actividades de auditora mantener los registros

Plan

Act

Mejorar el Programa

Do

Monitorear y revisar el Programa

AI 27001 REV.01-03-09

Check
69

Actividades de auditora
Inicio de la auditora

Revisin de la documentacin
Preparacin de las actividades de auditora in situ Realizacin de las actividades de auditora in situ Preparacin, aprobacin y distribucin del informe de la auditora Finalizacin de la auditora Realizacin de las actividades de seguimiento de una auditora

AI 27001 REV.01-03-09

70

Cmo Conducir una Auditora Eficaz Basada en Procesos

Reunin de planificacin previa a la auditora Reunin con el Representante de la Direccin Acuerdo sobre el alcance de la auditora Revisin de los procesos Entender la secuencia de actividades Revisin documentos Plan de auditora Elaboracin checklist Realizacin de la auditora Identificacin de mejoras Documentar y emitir el Informe de Auditora y SACs Revisin de registros de procesos importantes Entender el funcionamiento de los procesos

Reunin de Cierre Presentacin de hallazgos

Auditoras de Seguimiento y cierre de hallazgos
AI 27001 REV.01-03-09

71

Inicio de la Auditoria
Designacin del lder de equipo auditor Definicin de los objetivos, el alcance y los criterios de auditoria Determinacin de la viabilidad de la auditoria Seleccin del equipo auditor

Establecimiento del contacto inicial con el auditado

AI 27001 REV.01-03-09

72

Revisin de la documentacin
Documentos: documentos y registros relevantes del SGSI reportes de auditoras anteriores Propsito: informar a los auditores de los procesos a ser auditados disear un plan de auditora desarrollar una lista de verificacin o checklist

AI 27001 REV.01-03-09

73

Preparacin de las actividades de auditoria in situ

Preparacin del plan de auditoria

Para:
Proporcionar informacin al equipo auditor, al auditado y al cliente; Permitir la programacin y coordinacin de las actividades de auditora.

AI 27001 REV.01-03-09

74

Asignacin de las tareas al equipo auditor

Papel y responsabilidad de: Lder del equipo Miembros del equipo

AI 27001 REV.01-03-09

75

Auditor Lder
Posee experiencia adicional en auditorias Responsable de: Todas las fases de la auditora. La seleccin de los miembros del equipo. La preparacin del plan de auditora. Representar al equipo auditor ante la gerencia. La preparacin y entrega del informe de auditora La direccin de las actividades de seguimiento.

AI 27001 REV.01-03-09

76

Auditor
Posee experiencia adicional en auditorias Responsable de: Apoya al equipo auditor durante la auditoria Realizar toda la planificacin asignada Documenta el 100% de la evidencia revisada En caso de existir no conformidades, ests deben estar sustentada en evidencias y criterios de auditoria Entrega informe de auditoria al auditor lder. Realiza actividades de seguimiento.

AI 27001 REV.01-03-09

77

Experto Tcnico
Si el conocimiento y habilidades necesarios no se encuentran cubiertos en su totalidad por los auditores del equipo auditor, se pueden satisfacer incluyendo expertos tcnicos.

Los expertos tcnicos actan bajo la direccin de un auditor. No auditan slo son el complemento tcnico de la auditora y apoyan en estos temas al equipo auditor.

AI 27001 REV.01-03-09

78

Preparacin de documentos de trabajo

Listas de Verificacin y planes de muestreo de auditoria

Formularios para registrar informacin, tal como evidencias de apoyo, hallazgos de auditoria y registros de las reuniones

El uso de listas de verificacin y formularios no debera restringir la extensin de las actividades de auditoria, que pueden cambiarse como resultado de la informacin recopilada durante la auditoria.

AI 27001 REV.01-03-09

79

Propsito de la Lista de Verificacin

Asegurar la profundidad y la continuidad de la investigacin. Ayuda a mantener la marcha de la auditora con una rpida referencia de las reas auditadas. Ayuda al auditor lder a hacer reasignaciones rpidas cuando se necesiten Provee registro de ejecucin de la auditora.

AI 27001 REV.01-03-09

80

Lista de Verificacin
Preparadas para cada actividad / proceso del sistema de gestin de calidad Registrar el cumplimiento o incumplimiento Oportunidad de resumir y sintetizar las observaciones VENTAJAS: Despersonaliza la auditora Administracin de tiempo Uniformidad al proceso de auditora

AI 27001 REV.01-03-09

81

Realizacin de las actividades de auditoria in situ Reunin de apertura

Comunicacin durante la auditoria

Papel y responsabilidades de los guas y observadores Recopilacin y Verificacin de la informacin Generacin de hallazgos Conclusiones de auditoria Reunin de Cierre

AI 27001 REV.01-03-09

82

Reunin de Apertura
Requiere la asistencia de:

Equipo auditor Miembros del rea auditada Representante de la gerencia

Conducida por el auditor lder Presentacin del equipo auditor Revisin del Itinerario de auditora Mtodo de auditora Alcance y criterio de Auditora Canales de comunicacin Oportunidad para realizar preguntas

AI 27001 REV.01-03-09

83

Recopilacin y verificacin de la informacin

Recopilar mediante un muestreo apropiado y verificar, la informacin pertinente para los objetivos, el alcance y los criterios de auditoria, incluyendo informacin relacionada con las interrelaciones entre funciones, actividades y procesos. Slo la informacin que es verificable puede constituir evidencia de la auditoria.

Registrar la evidencia de auditoria

AI 27001 REV.01-03-09

84

El proceso de Auditoria

Reunir y seleccionar informacin Verificacin

Fuentes de informacin

Informacin

Evidencia de auditora

Comparar con el criterio de la auditora Revisin

Hallazgos de la auditora
Conclusiones de la auditora

AI 27001 REV.01-03-09

85

Mtodos para recopilar informacin

Entrevistas

Observacin de actividades
Revisin de documentos

AI 27001 REV.01-03-09

86

Generacin de hallazgos de auditoria

La evidencia de auditoria evaluada frente a los criterios de auditoria genera los hallazgos de auditoria

Los hallazgos de auditoria pueden indicar tanto conformidad como no conformidad con los criterios de auditoria.
Los hallazgos de auditoria pueden identificar una oportunidad para la mejora. El equipo auditor debe reunirse cuando sea necesario para revisar los hallazgos de la auditoria en etapas adecuadas durante la misma.

AI 27001 REV.01-03-09

87

Tcnicas
Tcnicas de Verificacin:
Entrevista. Muestreo. Rastreo. Comprobacin.

Listas de verificacin Tcnicas que requieren ser desarrolladas por el auditor hasta conseguir habilidad y experiencia.

AI 27001 REV.01-03-09

88

Determinacin de la Muestra para la Auditora

a) Actividades rutinarias de trabajo.

b) Actividades no rutinarias.
c) Mtodos que estn relacionados con estos trabajos y con sus errores.

AI 27001 REV.01-03-09

89

Consejos para Ejecutar la Auditoria

Contacto cara a cara. Mostrarse interesado. Tomar notas en corto tiempo. Inclinar la cabeza (aceptar), ocasionalmente. Observar el lenguaje corporal. Hablar claramente. Preguntas abiertas. Verificar con evidencia. Preguntas silenciosas. Dar las gracias.

AI 27001 REV.01-03-09

90

Actitudes a tomar para controlar la auditoria

Permanecer seguro
Administrar el tiempo adecuadamente No dejarse conducir o engaar Ser detallista y eficiente Evitar apartarse del tema Evitar saturarse

AI 27001 REV.01-03-09

91

Tcticas del Auditado

Prdida de tiempo
Querer manejar al auditor Probar la fortaleza de carcter del auditor Respuestas limitadas Situaciones inesperadas

AI 27001 REV.01-03-09

92

El auditor debe evitar

Ser controvertido Ser negativo, indisciplinado Ser crtico Caer en disputas Discutir personalidades Comparar al auditado Ser sarcsticos Utilizar palabras ofensivas

AI 27001 REV.01-03-09

93

Puntos clave para recordar Pregunte

Escuche Observe Piense Evale Registre

AI 27001 REV.01-03-09

94

Preparacin de las conclusiones de la auditoria

El equipo auditor debe reunirse antes de la reunin de cierre para: Revisar los hallazgos de la auditoria y cualquier otra informacin apropiada recopilada durante la auditoria frente a los objetivos de la misma. En caso de existir no conformidades se deben documentar. Acordar las conclusiones de la auditoria, teniendo en cuenta la incertidumbre inherente al proceso de auditoria Preparar recomendaciones, si estuviera especificado en los objetivos de la auditoria, y Comentar el seguimiento de la auditoria, si estuviera incluido en el plan de la misma.

AI 27001 REV.01-03-09

95

Hallazgos de la auditora

Un hallazgo de la auditora puede ser:

No conformidad

Oportunidad de mejora

AI 27001 REV.01-03-09

96

No conformidad

El no cumplimiento de un requisito.

(ISO 9000:2005)

AI 27001 REV.01-03-09

97

Una No Conformidad
Puede ser una falla en:

Cumplimiento de la norma
Implementacin de un proceso u otros requisitos documentados Implementacin de requisitos legales o contractuales No requisito = No es no conformidad

AI 27001 REV.01-03-09

98

Una declaracin de Hallazgo

Incluye: 1. Visin general del hallazgo 2. Descripcin de la no conformidad 3. Ejemplo de evidencia objetiva 4. Resumen del requisito

AI 27001 REV.01-03-09

99

EJEMPLO
1 Se evidencia que la organizacin ha definido poltica de control de visitantes mediante credenciales con nmero de identificacin; sin embargo,

2
no se evidencia que tal poltica no se cumple cuando la visita olvida devolver la credencial y regresa al siguiente da a continuar trabajando con la misma credencial sin ser registrados en recepcin. 3

Casos:
Instaladores de la fibra ptica en el rea de almacenamiento credenciales 1324, 1325. Estas credenciales corresponden a la secuencia del da de ayer (23/03/200x) que fue de 1312 hasta 1329. 4 Incumpliendo el requisito del anexo A.9.1.1 Permetro de seguridad fsica Control: Los permetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta, o puesto de recepcin manual) deben utilizarse para proteger las reas que contienen la informacin y las instalaciones de procesamiento de la informacin..
AI 27001 REV.01-03-09

100

Clasificacin de las SACs

MAYOR:

incumplimiento total de un proceso, procedimiento u operacin del sistema de calidad ausencia total de un requisito nmero de fallas menores indicando una ruptura total del sistema Riesgo inminente para la calidad del producto MENOR: Fallas menos severas en un proceso, procedimiento u operacin del sistema de calidad

AI 27001 REV.01-03-09

101

Clasificacin: Auditora de Primera Parte

No es esencial El propsito es la mejora del sistema Acciones correctivas eficaces son ms importantes

AI 27001 REV.01-03-09

102

Oportunidades para la mejora

Puntos buenos que pueden beneficiar a otras reas de la organizacin reas de inters Deficiencias a las que se les concede el beneficio de la duda

Recomendaciones para la mejora

AI 27001 REV.01-03-09

103

Reunin de Cierre
Objetivo y alcance.

Muestreo.
Presentacin de hallazgos. Detallar hallazgos con soporte de evidencia. Entrega de SACs y obtener firma. Tiempo de respuesta de SACs. Evitar abuso de su posicin como auditor. Informe de Auditora y seguimiento.

Agradecer las atenciones.

AI 27001 REV.01-03-09

104

Preparacin, aprobacin y distribucin del informe de auditoria Informe de Auditoria

Alcance y objetivo.
Itinerario de la Auditora. Identificar la documentacin de referencia. Ref. de Listas de Verificacin. Integrantes del equipo Auditor.

Personal contactado (de la empresa).

Resumen de hallazgos.
AI 27001 REV.01-03-09

105

Preparacin, aprobacin y distribucin del informe de auditoria Informe de Auditoria

Identificar las NO-CONFORMIDADES. Solicitud de Acciones Correctivas.

Indicar el motivo por el cual se lleg a omitir algn elemento. Cuando aplique.
Resumen con declaracin del equipo auditor sobre el cumplimiento del Sistema hacia los objetivos. Detalle de las acciones de seguimiento.

AI 27001 REV.01-03-09

106

No incluir en el Informe de Auditoria los siguientes aspectos: Opiniones subjetivas. Informacin confidencial. Crtica hacia individuos. Declaraciones ambiguas. Detalles triviales. Hallazgos no mencionados en la reunin de cierre.

AI 27001 REV.01-03-09

107

Preparacin, aprobacin y distribucin del informe de auditoria

Aprobacin y distribucin del informe de auditoria Tiempo de entrega Fechado, revisado y aprobado Distribuido a los receptores autorizados Confidencialidad

AI 27001 REV.01-03-09

108

Finalizacin y Seguimiento
Una auditoria finaliza cuando todas las actividades descritas en el plan de auditoria se hayan realizado y el informe de auditoria aprobado se haya distribuido. Actividades de seguimiento de una auditoria segn las conclusiones (acciones correctivas, preventivas o de mejora). Verificacin de implementacin de acciones y su eficacia.

AI 27001 REV.01-03-09

109

Competencia y evaluacin de los auditores

Atributos personales Conocimientos y habilidades Educacin, experiencia laboral, formacin como auditor y experiencia en auditoras Mantenimiento y mejora de la competencia Evaluacin del auditor
110

AI 27001 REV.01-03-09

Competencia y evaluacin de los auditores

La fiabilidad en el proceso de auditoria y la confianza en el mismo dependen de la competencia de aquellos que llevan a cabo la auditoria. Esta competencia se basa en la demostracin de:
Las cualidades personales Aptitud para aplicar los conocimientos y habilidades, adquiridos mediante la educacin, experiencia laboral formacin como auditor, y la experiencia en auditorias

AI 27001 REV.01-03-09

111

Atributos personales
tico.- imparcial, honesto y discreto Mentalidad abierta.- dispuesto a considerar ideas o puntos de vista alternativos Diplomtico.- con tacto en las relaciones con las personas Observador .-activamente consciente y capaz de entender las situaciones Verstil.- se adapta fcilmente a diferentes situaciones Tenaz.- alcanza conclusiones oportunas basadas en el anlisis y razonamiento lgicos,

Seguro de si mismo.-acta y funciona de forma independiente a la vez que se relaciona eficazmente con otros.

AI 27001 REV.01-03-09

112

Conocimientos y habilidades
Aplicar principios y tcnicas de auditoria Planificar y organizar el trabajo eficazmente Llevar a cabo la auditoria dentro del horario acordado Establecer prioridades y centrarse en los asuntos de importancia Conocimientos genricos y habilidades de los lderes de equipos auditores Conocimientos especficos y habilidades de auditores de Sistemas de Gestin de la calidad

AI 27001 REV.01-03-09

113

Auditores
Puntos a ser considerados en la calificacin: Educacin Experiencia Participacin en auditoras Adiestramiento a) Tcnicas de auditora b) Sistemas de Calidad Registros de calificacin

AI 27001 REV.01-03-09

114

 Ya en la prctica

AI 27001 REV.01-03-09

115

REUNIN DE APERTURA
Saludar y realizar la presentacin del equipo auditor

Agradecer la presencia de los auditados y auditores

Leer el alcance de la auditoria Explicar el proceso de preparacin de la auditoria incluida la realizacin del plan de auditoria y la revisin documental

Explicar que la auditoria busca evidenciar que el SGGI est implementado y se mantenga de manera eficaz
Hacer nfasis en la necesidad de apertura de parte de los auditados as como el aporte de los auditores

Explicar al auditado que la informacin que se maneje durante la auditoria ser confidencial y que los auditores hemos firmado acuerdo de confidencialidad
AI 27001 REV.01-03-09

116

REUNIN DE APERTURA

Explicar que la auditoria es un proceso de muestreo.

Explicar y aclarar el proceso para comunicar los hallazgos durante la auditora.

Confirmar el punto de contacto si se descubre un aspecto importante. Explicar la categorizacin de No Conformidad Mayor / Menor y Observacin Confirmar el plan de auditoria, incluyendo cualquier cambio de actividades o de cobertura Indicar que si durante la auditoria se tiene previsto revisar un proceso que requiera proteccin personal se nos haga conocer para tomar las precauciones del caso Confirmar la hora para la reunin de cierre, invitar a los asistentes, as como a otras funciones interesadas
AI 27001 REV.01-03-09

117

REUNIN DE CIERRE
Saludar y dar las gracias por la asistencia a la reunin de cierre, tanto a auditados como auditores. Dar a conocer en resumen el resultado de la auditoria (Procesos revisados, fortalezas y debilidades (no conformidades)). Dar a conocer el tratamiento que se le tiene que dar a las no conformidades y las actividades de seguimiento de las mismas. Estar dispuesto a resolver consultas por parte de los auditados Dar las gracias y despedirse

AI 27001 REV.01-03-09

118

WHEN YOU NEED TO BE SURE!

MUCHAS GRACIAS POR SU PARTICIPACION

SGS del Ecuador S.A. Km. 5.5 Va a Daule (Junto al Colegio Dolores Sucre) Guayaquil, Ecuador
AI 27001 REV.01-03-09

Repblica del Salvador N35 182 y Suecia Edif. Almirante Coln ,Piso 3 Quito, Ecuador

Rosalyn Ramrez Operations Coordinator Systems & Services Certification e: rosalynn.ramirez@sgs.com

Telf: +593(4) 2252300 ext.129 Mvil: +593(9) 9485923 Fax: +593(4) 2252300 ext. 214 119