30c-V2 Auditorias Internas en Un Sgsi

MP-30C-V2
Derechos reservados ICONTEC-
Aspectos Generales
Horario
Recesos -> refrigerios/almuerzo
Uso telfono mensajes
Parqueo
No Fumar
Evaluacin
MP-30C-V2
Metodologa
Exposicin magistral
Taller
Puesta en comn
Material
Certificado
MP-30C-V2
Auditoras internas en
un SGSI
DURACIN
Objetivo:
16 horas
Normas Aplicadas:
ISO/IEC 27001, ISO/IEC 27002,
ISO 19011
Contenido:
Fundamentos y principios de auditora.
Esquema principal para la realizacin de
una auditora siguiendo el ciclo PHVA.
Planeacin y ejecucin de la auditora in
situ.
Actividades posteriores a la auditora de un
SGSI.
Brindarle al participante el conocimiento fundamental relacionado con el

proceso de auditoras internas en un sistema de gestin de seguridad
de la informacin.
Proporcionar al participante una herramienta para definir y gestionar en
su organizacin el proceso de auditoras internas en un SGSI.
Conocer y aplicar la metodologa establecida en la norma ISO 19011
para el desarrollo de las auditoras internas.
Dirigido a:
Directores de Operaciones o gerentes de reas con
responsabilidad ejecutiva en el negocio.
Gerentes y especialistas en seguridad de informacin
interesados en conocer el modelo de gestin de la seguridad de
la informacin basado en ISO 27002.
Personas responsables de la coordinacin y desarrollo de
actividades relacionadas con el diseo, implementacin y
control de Sistemas de Gestin de Seguridad de la Informacin.
Profesionales interesados en la formacin en aspectos
relacionados con la Gestin de la Seguridad de la Informacin.
MA-30C-V1
Auditora
una herramienta de gestin
ALTA DIRECCIN
AUDITORA DE SGSI
'
SGSI
FORTALEZAS Y DEBILIDADES
EFICAZ Y EFICIENTE
MP-30C-V2
Para qu
hacer auditoras?
Cumplimiento de requisitos de norma,
legislacin y reglamentaciones.
Cumplimiento de requisitos de seguridad
de la informacin.
Implementacin y mantenimiento eficaz.
Desempeo acorde con lo esperado.
Objetivos de control
Controles
Procesos
Procedimientos
MP-30C-V2
Principios
de la auditora
AUDITORES
CONDUCTA TICA
CUIDADO PROFESIONAL
PRESENTACIN ECUNIME
PROCESO DE AUDITORA
INDEPENDENCIA
ENFOQUE BASADO
EN LA EVIDENCIA
MP-30C-V2
Enfoque de
las auditoras
SALIDAS
CRITERIOS
REALIDAD
- ESPECIFICACIONES
- PLIEGO DE CONDICIONES
- REGLAMENTOS
- MANUAL DE SEGURIDAD
- NORMAS
- PROCEDIMIENTOS
- MODOS OPERATIVOS, ETC.
D1
LO QUE SE DEBE HACER
PROCESOS
LO QUE SE HACE
ENTRADAS
OBJETIVO
D2
D1: Conveniencia
D2: Suficiencia
D3: Eficacia
CUMPLIR SISTEMTICAMENTE
REQUISITOS DEL SISTEMA DE
LA SEGURIDAD DE LA
INFORMACION ESPECIFICADOS
D3
LO QUE SE QUIERE
HACER
MP-30C-V2
Conceptos
relativos a la auditora
Cliente de la
Auditora
AUDITORA
Auditor
Programa de
auditora
Equipo auditor
Auditado
Experto tcnico
Plan de auditora
Criterios de la auditora
Hallazgos de la auditora
Evidencia de la auditora
Objetivos de auditora
Conclusiones de auditora
MP-30C-V2
Clases de auditora
PRIMERA PARTE
SEGUNDA PARTE
TERCERA PARTE
ORGANIZACIN
CLIENTES, PROVEEDORES
ORGANIZACIN
AUDITORA INTERNA
AUDITORA EXTERNA
OBJETIVOS:
Determinar si el SGSI:
Cumple los requisitos de la ISO
27001 y de la legislacin o
reglamentaciones pertinentes.
Cumple los requisitos identificados de
seguridad de la informacin.
Estn implementados y se mantienen
eficazmente.
Tienen un desempeo acorde con lo
esperado.
OBJETIVOS:
Evaluar la adecuacin para cumplir
eficazmente los requisitos del SGSI
del desarrollo del proveedor.
Verificar
la
aplicacin
de
disposiciones contractuales.
OBJETIVOS:
Evaluar la capacidad para
cumplir
los
requisitos
mnimos del modelo ISO
27001.
AUDITORA EXTERNA
Para:
Evaluar la eficacia del SGSI.
Identificar oportunidades de
mejoramiento.
Necesidad de cambios en el enfoque
de la seguridad.
Para:
Evaluar y seleccionar proveedores.
Ejecutar re evaluacin a
proveedores.
Mantener relaciones gana-gana.
Para:
Certificacin o
reconocimiento por un tercero.
Objetivos de control
Controles
Procesos
Procedimientos
MP-30C-V2
10
Auditora como proceso

OBJETIVO:
RESPONSABLE:
ENTRADAS
DEL
PROCESO
RESULTADOS
DEL
PROCESO
MP-30C-V2
11
Competencia
y evaluacin de los auditores
COMPETENCIA DE LOS
AUDITORES
Gestin Humana
MP-30C-V2
12
Competencia
CALIDAD
Conocimientos y
habilidades
especficos de calidad
AMBIENTAL
Conocimientos y
habilidades
genricos
Conocimientos y
habilidades
especficos de medio
ambiente
INFORMACIN
Conocimientos y
habilidades
especficos
de seguridad de
la informacin
MP-30C-V2
13
Atributos personales
tico
Verstil
Mente abierta
Tenaz
Diplomtico
Decidido
Observador
Perceptivo
Seguro de s
mismo
MP-30C-V2
14
Conocimientos
genricos y habilidades
Principios, procedimientos y tcnicas de
auditora.
Documentos del sistema de gestin y de
referencia.
Situaciones de la organizacin.
Leyes, reglamentos y otros requisitos
aplicables pertinentes a la disciplina.
MP-30C-V2
15
Conocimientos genricos
y habilidades de los lderes de los equipos auditores
Planificar la auditora y hacer un uso eficaz de los recursos
durante la auditora.
Representar al equipo auditor en las comunicaciones con el
cliente de la auditora y el auditado.
Organizar y dirigir a los miembros del equipo auditor.
Proporcionar direccin y orientacin a los auditores en
formacin.
Conducir al equipo auditor para llegar a las conclusiones de
la auditora.
Prevenir y resolver conflictos.
Preparar y completar el informe de la auditora.
MP-30C-V2
16
Formacin de
los equipos de auditora en SGSI
Conocimiento de la norma en SGSI.

Comprensin de seguridad de la informacin.
Comprensin de la evaluacin del riesgo y gestin del riesgo
desde la perspectiva del negocio.
Conocimiento tcnico de la actividad que va a ser auditada.
MP-30C-V2
17
Formacin de
los equipos de auditora en SGSI
Conocimiento general
relevantes para el SGSI.
de
los
requisitos
regulatorios
Conocimiento en sistemas de gestin.

Comprensin de los principios de auditora basados en la
norma ISO 19011.
Conocimiento de la revisin de la eficacia y la medida de la
eficacia de los controles.
MP-30C-V2
18
Concepto de competencia
Educacin
Formacin
Demostracin
Cualidades
personales
(atributos)
Habilidades
Experiencia
Aptitud
para
aplicar
conocimientos
y habilidades
Calificaciones
MP-30C-V2
19
Ejemplo de competencia
PARMETRO
AUDITOR
AUDITOR EN AMBAS
DISCIPLINAS
LDER DEL EQUIPO AUDITOR
Educacin
Educacin secundaria (vase

nota 1)
Igual que para el auditor
Experiencia
laboral total
4 aos de experiencia en
tecnologas de la informacin
(vase la nota 2)
Experiencia
laboral en el
campo de la
gestin de la
seguridad de la
informacin
Al menos 2 de los 4 aos en

roles o funciones
relacionadas a la seguridad
de la informacin
2 aos en la segunda disciplina

(vase la nota 3)
Formacin como
auditor
40 h de formacin en auditora
24 h de formacin en la segunda
disciplina (vase la nota 4)
Experiencia en
auditoras
Cuatro auditoras completas

con un total de al menos 20
das de experiencia en
auditora como auditor en
formacin, bajo la direccin y
orientacin de un auditor
competente como lder del
equipo auditor (vase la nota
5)
Tres auditoras completas con

un total de al menos 15 das de
experiencia en auditora en la
segunda disciplina, bajo la
direccin y orientacin de un
auditor competente como lder
del equipo auditor en la
segunda disciplina (vase la
nota 5)
Tres auditoras completas con

un total de al menos 15 das de
experiencia en auditora
actuando como lder del equipo
auditor, bajo la direccin y
orientacin de un auditor
competente como lder del
equipo auditor (vase la nota 5)
MP-30C-V2
20
Algunas notas ...

Nota 1. La educacin secundaria es aquella parte del sistema de educacin nacional
que comienza despus del grado primario o elemental, y que se completa antes del
ingreso a la universidad o a una institucin educativa similar.
Nota 2. El nmero de aos de experiencia laboral podra reducirse en un ao si la
persona ha completado una educacin apropiada posterior a la secundaria.
Nota 3. La experiencia laboral en la segunda disciplina puede ser simultnea a la
experiencia laboral en la primera disciplina.
Nota 4. La formacin en la segunda disciplina es para adquirir conocimientos de las
normas, leyes, reglamentos, principios, mtodos y tcnicas pertinentes.
Nota 5. Una auditora completa es la que trata todos los pasos (revisin de la
documentacin, anlisis del riesgo, evaluacin de la implementacin y reporte de
audiora). La experiencia global en auditoras debera comprender la totalidad de la
norma de sistemas de gestin.
MP-30C-V2
21
Mtodos de evaluacin
Entrevista
Revisin de
Registros
Examen
Retroalimentacin
positiva y negativa
Revisin despus
de la auditora
Observacin
MP-30C-V2
22
Programa de
auditora interna de un SGSI
PROGRAMA DE AUDITORA
INTERNA DE SGSI
Cliente de la auditora
(Alta Direccin)
MP-30C-V2
23
Gestin de
un programa de auditora
Autoridad para el
programa de auditora
Establecimiento para el
programa de auditoria
Mejora del
programa de
auditora
Implementacin del
Competencia
y evaluacin
de los
auditores
Actividades
de auditora
Seguimiento y revisin del

MP-30C-V2
24
Beneficios para el S.G.S.I
Aporte al S.G.S.I
Programa 1
(2.5 aos)
Programa 2
(3 aos)
Programa 3
(2 aos)
Los programas se van actualizando en la medida en

que se obtienen los resultados esperados
MP-30C-V2
25
Programa de auditora
Objetivo del programa:
Alcance del programa:
Recursos:
Fecha de actualizacin:
Procesos
Documento (s) de Referencia:

Fecha ltima auditora/Fecha programacin
auditora interna
Responsable
Observaciones:
Aprobado:
Elaborado por:
MP-30C-V2
26
Actividades
de la auditora
Inicio de la Auditora
Revisin de la documentacin
Preparacin de las actividades de auditora in situ
Realizacin de las actividades de auditora in situ
Preparacin, aprobacin y distribucin del informe de auditora
Finalizacin de la auditora
Realizacin de las actividades de
seguimiento de la auditora
MP-30C-V2
27
Ciclo PHVA en
el proceso de auditora
P
H
V
A
Establecimiento
del
programa
de
auditoras (alcance, objetivos, recursos,
procedimientos, etc.)
Implementar el programa (competencia de

auditores, actividades de auditora).
Resultados acordes al programa.

Suficiencia de recursos.
Satisfaccin del auditado.
Acciones correctivas y preventivas al
programa o al proceso de auditoras,
etc.
Mejora del programa.
Informe a la gerencia.
Re-asignacin de recursos.
Cambios a los objetivos del programa.
Re-entrenamiento de auditores, etc.
P
H
V
A
Inicio de la auditora.
Revisin
de
la
documentacin.
Preparacin de actividades
en sitio.
Realizacin de actividades
en sitio.
Preparacin, aprobacin y
distribucin del informe.
Finalizacin de la auditora.
Actividades de seguimiento de
la auditora.
Actividades de auditora
Gestin del programa de auditora

MP-30C-V2
28
Auditor lder y grupo auditor
P
A
H
V
MP-30C-V2
29
En qu aporta
al auditor la documentacin?
La documentacin del sistema y
del proceso, es vital para entender
qu es lo que vamos a hacer como
auditores para orientarnos hacia el
objetivo del programa.
MP-30C-V2
30
Qu podemos obtener
de la documentacin del SGSI y del proceso?
Poltica y objetivos del SGSI: propsitos del SGSI.

Alcance: cobertura del SGSI.
Procedimientos y controles que apoyan el SGSI: adecuacin y suficiencia del
SGSI.
Metodologa de valoracin de riesgos: conocer los criterios utilizados para
analizar y evaluar los riesgos de la organizacin.
Informe de valoracin de riesgos: configuracin de los riesgos de la
organizacin (el informe es adecuado a la realidad de la organizacin,
coherencia con la metodologa).
MP-30C-V2
31
Qu podemos obtener
de la documentacin del SGSI y del proceso?
Plan de tratamiento de riesgos: controles adecuados y suficientes para
los riesgos. Gestin apropiada de recursos, responsabilidades, y
prioridades para manejar el riesgo.
Procedimientos de planificacin, operacin y control de los procesos:
entender el hacer del proceso.
Declaracin de aplicabilidad: coherencia de los objetivos de control y
controles seleccionados de acuerdo a la metodologa de valoracin.
Reportes de auditora, no conformidades, acciones tomadas, etc.: la
evolucin del proceso y su historia a travs de resultados.
MP-30C-V2
32
Conclusiones del equipo

auditor respecto a la documentacin revisada
Aspectos fuertes que son claros y aportan valor.
Aspectos por mejorar de la documentacin, para dar
claridad y aporte de valor.
Aspectos de la documentacin, que ayudarn al
auditor en la auditora de campo.
MP-30C-V2
33
Qu podemos
obtener de la norma ISO 27001?
PROCESO: Gestin Humana
PLANEAR
HACER
VERIFICAR
ACTUAR
4.1
4.2.1
5.2.1
.
.
.
.
4.2.2
4.3.3
5.2.2
.
.
.
4.2.3
6
.
.
.
4.2.4
8.1
8.2
8.3
.
.
.
Es una gua para orientarnos hacia el cumplimiento de los requisitos mnimos del
SGSI, al interior de un proceso.
Algunos captulos se pueden auditar COMPLETOS o tan slo una PARTE DE ELLOS
segn como corresponda y aporte al objetivo del programa de auditora.
MP-30C-V2
Nota:
34
Preparacin de
las actividades de auditora in situ
Plan de auditora
Auditor lder
P
A
H
V
MP-30C-V2
35
Plan de auditora
Contenido:
Objetivos de la auditora
Criterios de la auditora y documentos de referencia.
Alcance (unidades de
funcionales y procesos).
la
organizacin,
unidades
Agenda (fechas, lugares y tiempo).

Funciones y responsabilidades del equipo auditor.
Recursos.
Revisado y aceptado
MP-30C-V2
36
Preparacin de
Lista de verificacin
Equipo auditor
P
A
H
V
MP-30C-V2
37
Utilidad de la
lista de verificacin
Ayudar a la gestin del tiempo,
indicando lo que ha de cubrirse en
cada proceso.
Recopilar las evidencias
de la auditora en orden
lgico.
Facilitar el cubrimiento de cada
actividad, obteniendo respuesta
para los requerimientos.
MP-30C-V2
38
Pgina ___ de ___
PLAN No.
FECHA:
PROCESO:
Informacin a buscar
Documentos y/o
registros
Comentarios / observaciones /
conclusiones / hallazgos
OBSERVACIONES:
RESPONSABLE:
MP-30C-V2
39
Realizacin de
Reunin de apertura
Auditor lder
P
A
H
V
MP-30C-V2
40
Reunin de apertura
Objeto:
Confirmar plan de auditora.
Describir las actividades de la auditora in situ.
Confirmar canales de comunicacin.
Responder preguntas del auditado.
MP-30C-V2
41
Realizacin de
Recopilacin y verificacin de la
informacin
Auditor lder y su Equipo auditor
P
A
V
MP-30C-V2
42
Recopilacin y
verificacin de la informacin
Fuentes de informacin
Recopilacin mediante un muestreo
apropiado y verificacin
Evidencia de la auditora
Evaluacin vs. Criterios
Revisin
Conclusiones de la auditora
MP-30C-V2
43
Fuentes de informacin
Condiciones de operacin
Acuerdos con terceras partes

Equipo de funcionamiento
Mediciones
Incidentes de
seguridad reportados
Registros
Observacin
Acuerdos de confidencialidad
Estadsticas (datos)
Condiciones de almacenamiento
MP-30C-V2
44
Realizacin de
La entrevista
Auditor lder, Equipo auditor y
auditado
P
A
V
MP-30C-V2
45
La entrevista
DOCUMENTAR EN LISTA DE
VERIFICACIN (+/-)
ACEPTACIN DEL AUDITADO
CONCLUSIN HALLAZGO
EVIDENCIA
ESCUCHA ACTIVA
ESCUCHAR
PREGUNTAR
46
Cierre
Apertura
MP-30C-V2
Durante la entrevista
Elogie adecuadamente los elementos positivos, muestre
reconocimiento.
Haga una crtica en forma colaboradora y dando aliento
(Cmo se puede evitar esto la prxima vez?).
No haga juicios de valor sobre expresiones del interlocutor.
Tenga paciencia, deje hablar.
Mantenga contacto visual, concentrado.
Efecte relaciones de atencin (asentir, si, mmh, ...).
MP-30C-V2
47
Barreras en la
comunicacin efectiva
Personalidades
Los de buen/mal carcter
Influencia del
factor humano
Los payasos
Los que discuten
Los que siempre buscan asesora
Los nerviosos
Los confiados
Los ocupados
MP-30C-V2
48
Para evitar problemas

Deje que el otro termine de hablar, tenga paciencia.
No emita juicios de valor sobre las expresiones del interlocutor.
(Cmo se le ocurre, Esto no es as).
Evite las expresiones S (Pero se sabe que actualmente...),
mejor es En la norma dice.... o Segn lo establecido o
conocido, ....
Evite las formulaciones con T Usted (Ud. debera..., T
has perdido la oportunidad de...). Son fcilmente captadas como
una adjudicacin de culpas, mejor es emplear yo: Yo le
recomiendo..., Segn mi opinin, ..., Recog la experiencia
siguiente..., Tales requisitos son obligatorios....
Haga comentarios con respecto al hecho, no a la persona. Sus
comentarios no deben ser desmedidos.
MP-30C-V2
49
Rol del auditor

RECUERDE QUE EL AUDITOR BUSCA
Actitud Participativa del auditado para que:
Asuma una posicin abierta.

Sea honesto.
Se sienta bien.
EL AUDITOR NO BUSCA
Ser un inspector del auditado que:
Busque fallas.
Busque violaciones de procedimientos.
Esto podra generar posiciones defensivas, hostilidades,
ocultamiento de los hechos.
MP-30C-V2
50
Cules
preguntas se pueden hacer?
Tipos de
preguntas
Qu busca?
Ejemplos
ABIERTAS
Las
preguntas
abiertas
estimulan al auditado a ser el
que hable ms, y as se reduce
el nmero de preguntas que el
auditor debe formular.
Dgame qu procedimiento sigue usted?"

Mustreme cmo funciona esto?"
Cmo procesa los resultados del servicio?"
De dnde viene este formato?"
Qu hace cuando...?"
CERRADAS
Las preguntas cerradas estn

diseadas
para
obtener
respuestas breves del auditado.
"Usted diligenci este formato?"

"Es este el archivo para ubicar los documentos internos y
externos?"
"Qu informacin entreg al usuario?"
"Quin trabaj con usted en la entrega de la informacin?"
"Djeme ver si entend correctamente. Me dijo que primero
hablaron con el usuario y luego enviaron una carta de
respuesta con la misma informacin soportada con otros
documentos Correcto?"
SONDEO
Las preguntas de sondeo o

aclaracin
son
preguntas
abiertas diseadas para extraer
informacin especfica y ms
profunda acerca de un tpico.
"Por favor, explique que est ocurriendo aqu?"

"Por qu estas quejas no han sido atendidas?"
"Qu quiere decir?"
"Dme algunos ejemplos"
"Cmo funciona esto?"
"Me va a decir algo ms?
MP-30C-V2
51
Cules
preguntas se deben evitar?
Tipos de
preguntas
Qu busca?
Ejemplos
CAPCIOSAS
Las
preguntas
capciosas
sugieren al auditado la respuesta
"correcta"
o
"polticamente
correcta".
Siempre programa a los profesionales as... verdad?"

"Supongo que sabe que esto que encontramos va contra la
ley...
"Por supuesto, para usted es obvio que sta es la informacin
que necesito, no?"
"Por supuesto que esta solicitud debi ser tramitada?"
MLTIPLES
Las preguntas mltiples pueden

confundir al auditado y hacerle
olvidar
algunas
de
sus
respuestas, o hacer que se
enfoque en algo de menor
importancia.
"Cundo comenz en este trabajo le informaron acerca del

manual de procedimientos? Sabe en dnde se encuentra el
manual? Quin le ense a hacer su trabajo?"
AGRESIVAS
Estas preguntas son una va

segura para poner al auditado
fuera de lugar.
"As que usted es al que se le ocurri...?"

"Finalmente pudieron trabajar juntos y resolver este
problema?"
"Parece que usted realmente tiene problemas para manejar
este proceso"
"No pudo averiguar cmo archivar esto correctamente?"
"En el tiempo que lleva en este puesto no se ha molestado
en leer el procedimiento?
Ese asistente suyo... Djeme decirle...!
MP-30C-V2
52
Entrevista
El manejo de la lista de verificacin es dinmico,
se debera hacer de lo general a lo particular.
CMO ES LA
PLANIFICACIN?
DENTRO DE
NUESTRO
MAPA
ESTE
PROCESO...
CMO SE HACE?
CMO SON LOS
RESULTADOS?
CMO HA
MEJORADO?
Cundo se enva la
informacin?
Qu hace usted cuando...?
Mustreme un ejemplo...
Dgame como se evala las
necesidades...
Por qu esto ocasiona
problemas con...?
Qu ocurre despus de...
Dme algunos ejemplos de..
MP-30C-V2
53
Bloqueos en la comunicacin
IMPACIENCIA
S
DE
U
T IT
AC
TO
ES
OS
T
EN
MI
I
V
MO
DA
RA
I
M
DESCONFIANZA
MP-30C-V2
54
Realizacin de
Generacin de hallazgos
Auditor lder y Equipo auditor
P
A
V
MP-30C-V2
55
Es el resultado de la evaluacin de la evidencia de la auditora,
recopilada frente a los criterios de auditora.
EVIDENCIA DE
LA AUDITORA
CRITERIOS DE
AUDITORA
Registros
Poltica SGSI
HALLAZGOS
Declaraciones
Objetivos SGSI
Procedimientos
Observaciones
Requisitos
CONFORMIDAD
NO CONFORMIDAD POTENCIAL: (AP)
OPORTUNIDADES DE MEJORA
NO CONFOMIDAD REAL: (C y AC)
MP-30C-V2
56
La orientacin
de las no conformidades puede ir a ...
Hallazgos que evidencian fallas e impactos a los objetivos de la auditora y el
objetivo definido.
Hallazgos que incumplen requisitos del cliente, legales o de la entidad que
impactan en los resultados.
Hallazgos repetidos durante la recoleccin de la informacin.
El hallazgo que genera un alto impacto para la entidad.
La documentacin es diferente a lo que sucede en la realidad.
El auditado no tiene conocimiento de las disposiciones documentadas
aplicables.
Contradicciones en polticas, procedimientos, formatos, guas, etc...
MP-30C-V2
57
Presentacin de hallazgos
Redaccin de No Conformidades
La importancia de una buena redaccin de una No
Conformidad, radica en que con base en ella, la
organizacin toma las AC y AP correspondientes.
Una NC redactada correctamente, bsicamente consta de 3
partes:
1. La evidencia que sustenta el hallazgo.
2. El requisito de la ISO 27001 que incumple.
3. La declaracin de la No Conformidad.
MP-30C-V2
58
Presentacin de hallazgos
EVITE CITAR:
Algunos proceso conocen sus riesgos.

Muchos registros no tienen los resultados de
Pocos auditores no tienen la independencia.
Casi todos los controles operativos estn desactualizados.
Varios reclamos de los clientes muestran la ineficacia del
SGSI.
Ciertos operarios desconocen dnde estn los instructivos.
MP-30C-V2
59
Errores en la
redaccin de hallazgos
NO CONFORMIDADES LARGAS Y CONFUSAS
La revisin por la direccin programada para ejecutarse el da
10 de enero fue realizada en las instalaciones del club y el
programa elaborado coincida con el evento de entrenamiento
en toma de conciencia de la seguridad de la informacin, por lo
cual fue necesario posponerla hasta el da siguiente (11 de
enero) y como ocurri un corte de energa, no se dej registro.
REFERENCIA A NOMBRES
El Dr. Mendoza no posee los registros que demuestran la
competencia del personal que realiza trabajos de auditora de
seguridad de la informacin.
MP-30C-V2
60
Errores en la
redaccin de hallazgos
EXPRESIN DE OPINIONES
La metodologa establecida para calificar los riesgos asociados a los
activos, no est orientada como lo indican las nuevas teoras de
gestin del riesgo.
IDENTIFICACIN DE REQUISITOS EQUIVOCADOS
No se evidenci la competencia del personal que realiza las
actividades de mantenimiento de los servidores de las bases de
datos de los clientes de la empresa.
(Reportada contra el requisito 4.1).
MP-30C-V2
61
Realizacin de
Realizacin de la reunin de
cierre
Auditor lder
P
A
V
MP-30C-V2
62
Reunin de cierre
Procesos auditados, interacciones,
niveles de la organizacin.
Hallazgos y conclusiones de la
auditora.
Solicitud
accin
correctiva.
Fechas tentativas para las acciones
correctivas y preventivas.
Eventualmente, acuerdos sobre la
precisin de las no conformidades.
MP-30C-V2
63
Realizacin de
Preparacin, aprobacin y
distribucin del informe de la
auditora
Auditor lder
P
A
V
MP-30C-V2
64
Contenido del
informe de auditora
Objetivos de la auditora.
Alcance de la auditora.
Identificacin del cliente de la auditora.
Identificacin del lder del equipo auditor y los miembros.
Fechas y lugares donde se realizaron las actividades.
Criterios de auditora.
Hallazgos de auditora.
Conclusiones de auditora.
Etc.
MP-30C-V2
65
Qu no debera
incluir el informe de auditora
Opiniones subjetivas.
Informacin confidencial.
Crticas a las personas.
Declaraciones ambiguas.
Detalles triviales.
Observaciones y hallazgos que no fueron
presentados o discutidos en la reunin de
cierre.
MP-30C-V2
66
Modelo de
informe de auditora interna
UNIDAD(ES) DE NEGOCIO / REGIONAL(ES) / PROCESO(S) AUDITADO(S):___________________________________________
FECHA: ___________________________________
1.
RESPONSABLE(S) DEL(OS) PROCESO(S):
________________________________________________________________
2.
AUDITOR Y/OEQUIPO AUDITOR:
___________________________________________________________________________________________________________
___________________________________________________________________________________________________________
3.
OBJETIVO DE LA AUDITORA:
___________________________________________________________________________________________________________
___________________________________________________________________________________________________________
4.
ALCANCE DE LA AUDITORA:
___________________________________________________________________________________________________________
___________________________________________________________________________________________________________
5.
PERSONAL ENTREVISTADO:
___________________________________________________________________________________________________________
___________________________________________________________________________________________________________
6.
DOCUMENTACIN ANALIZADA (CRITERIOS)
___________________________________________________________________________________________________________
___________________________________________________________________________________________________________
Informe No. ________ Pgina ___ de ___
MP-30C-V2
67
Modelo de
7.
RESULTADOS DE LA AUDITORA
7.1 CONFORMIDAD: (favor hacer un listado)

____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
7.2 OPORTUNIDADES DE MEJORA: (favor hacer un listado)
____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
7.3 NO CONFORMIDADES POTENCIALES: (favor hacer un listado)
____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
7.4 NO CONFORMIDADES REALES: (favor hacer un listado)
____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
8. SEGUIMIENTO A ACCIONES PENDIENTES:
NMERO DE ACCIONES ANTERIORES CERRADAS _________
NMERO DE ACCIONES ANTERIORES ABIERTAS _________
RAZONES
____________________________________________________________________________________________________________
____________________________________________________________________________________________________________
MP-30C-V2
68
Modelo de
9. CONCLUSIN GENERAL DE LA AUDITORA:
_________________________________________________________________________________________________________
_________________________________________________________________________________________________________
Aprobado por: __________________
Aceptacin: ________________________
MP-30C-V2
69
Realizacin de
Auditor lder
P
A
V
MP-30C-V2
70
Plan de auditora cumplido.

Informe de auditora aprobado y distribuido.
Disposicin de documentos y registros
(conservar o destruir?).
MP-30C-V2
71
Realizacin de
Realizacin de las actividades de

seguimiento de la auditora
Auditor lder, Equipo auditor,
Auditado
P
A
V
MP-30C-V2
72
Actividades de seguimiento
Verificar las respuestas a las solicitudes de
acciones correctivas, preventivas o de
mejora.
Verificar la eficacia
implementadas.
de
las
acciones
En caso de tener acciones pendientes,

reprogramar un nuevo seguimiento.
Elaborar el programa de la auditora de
seguimiento de ser necesario.
MP-30C-V2
73
Seguimiento
del programa de auditora
Cumplimiento de objetivos.
Identificar oportunidades de mejora
Indicadores de desempeo:
a. Aptitud de los equipos auditores para
implementar el plan de auditora.
b. Conformidad de programas y calendarios.
c. Retroalimentacin de los clientes, auditados y
auditores.
Responsable del
proceso de auditora
MP-30C-V2
74
Revisin del
a. Resultados y tendencias.
b. Conformidad con procedimientos.
c. Necesidades y expectativas de interesados.
d. Registros.
e. Prcticas de auditora.
f. Coherencia de auditores.
Responsable del
proceso de auditora
MP-30C-V2
75
Mejora del
Acciones Correctivas
Auditora como Proceso

OBJETIVO:
RESPONSABLE:
Acciones Preventivas
ENTRADAS
DEL
PROCESO
MA-A11-V7
RESULTADOS
DEL
PROCESO
Responsable del
proceso de auditora
MP-30C-V2
76
TALLERES
MP-30C-TALLERES-V2
Taller 1.
La auditora como un proceso
OBJETIVO
Identificar la auditora interna como un proceso en la organizacin y
su enfoque de gestin a travs del programa de auditoras.
METODOLOGA
Leer el captulo 5 de la norma ISO 19011.
Identificar su aplicacin y enfoque por procesos.
Determinar objetivo del proceso, autoridad, proveedores
(entradas), clientes (resultados), recursos, seguimiento y
medicin, documentos asociados.
Discutir en grupo de acuerdo con las instrucciones del docente.
MP-30C-TALLERES-V2
Taller 1.
PROCESO:
OBJETIVO:
RESPONSABLE:
Proveedor Entrada
Recursos:
Actividades:
Seguimiento/medicin:
Salida
Cliente
Documentos:
MA-30C-V1
Taller 2.
Revisin documental
OBJETIVO
Hacer una revisin de la documentacin, con el fin de decidir si
se puede hacer auditora o se requieren otras actividades.
METODOLOGA
Con base en la documentacin suministrada por los
auditados, realice un anlisis de la misma, orientada al
cumplimiento del programa de auditora.
Consignar las conclusiones respecto a las fortalezas y
aspectos por mejorar en la documentacin, para informar
al auditado.
MP-30C-TALLERES-V2
Taller 2.
Revisin documental
METODOLOGA
Hacer una revisin de la norma ISO 27001 con el fin de
verificar qu requisitos pueden ser auditados dentro del
proceso y que nos aportan al cumplimiento de los
objetivos del programa.
Consignar las conclusiones en el PHVA del proceso.
Registrar las observaciones necesarias para el trabajo de
campo, con base en el ejercicio anterior.
Decidir si se puede seguir con la planeacin de la
auditora o se requiere una visita al proceso.
MP-30C-TALLERES-V2
Taller 2.
DOCUMENTACIN DEL PROCESO:
Aspectos fuertes de
la documentacin
Aspectos por
mejorar en la
documentacin
Aspectos a tener en
cuenta para el trabajo
de campo
MA-30C-V1
Taller 3.
Plan de auditora
OBJETIVO
Adquirir habilidades para elaborar un plan de auditora.
METODOLOGA
Con base en los resultados de la revisin documental,
elaborar el plan de auditora.
Utilizar el formato anexo y las directrices del docente.
Presentar el plan de auditora al auditado, para su
aprobacin.
MP-30C-TALLERES-V2
Taller 3.
OBJETIVO:
ALCANCE:
CRITERIOS:
AUDITOR
LDER:
EQUIPO AUDITOR:
REUNIN DE APERTURA:
FECHA
HORA
REUNIN DE CIERRE:
PROCESO / ACTIVIDAD
OBSERVACIONES
AUDITADO
AUDITOR (ES)
OBSERVACIONES:
ELABORADO POR:
APROBADO:
FECHA:
MA-30C-V1
Taller 4.
OBJETIVO
Adquirir habilidades para elaborar la lista de verificacin.
METODOLOGA
Con base en los resultados de la revisin documental y el
plan de auditora, elaborar una lista de verificacin que lo
lleve a cumplir con el objetivo del programa de auditora.
Utilizar el formato anexo y las directrices del docente.
MP-30C-TALLERES-V2
Taller 4.
Pgina ___ de ___
PLAN No.
FECHA:
PROCESO:
Informacin a buscar
Documentos y/o
registros
Comentarios / observaciones /
conclusiones / hallazgos
OBSERVACIONES:
RESPONSABLE:
MA-30C-V1
Taller 5.
Simulacro
OBJETIVO
Realizar el simulacro de acuerdo a todo lo visto hasta el
momento, con el fin de aplicarlo.
METODOLOGA
Con base en los documentos elaborados hasta el
momento en la planeacin de la auditora, realizar un
simulacro donde se aplique:
a. Reunin de apertura.
b. Recoleccin de la informacin.
c. Balance de auditores.
d. Reunin de cierre.
MP-30C-TALLERES-V2
Taller 5.
Simulacro
METODOLOGA
Realizar el simulacro de acuerdo al plan de auditora y las

instrucciones dadas por el docente.
Nota: los puntos c y d son bsicamente la informacin
que se consigna en el informe que se realiza posterior a la
reunin de cierre.
MP-30C-TALLERES-V2

30c-V2 Auditorias Internas en Un Sgsi

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

30c-V2 Auditorias Internas en Un Sgsi

Загружено:

Авторское право:

Доступные форматы

MP-30C-V2

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Brindarle al participante el conocimiento fundamental relacionado con el

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

LO QUE SE DEBE HACER

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Auditora como proceso

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Conocimiento de la norma en SGSI.

Derechos reservados ICONTEC-

Conocimiento en sistemas de gestin.

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

LDER DEL EQUIPO AUDITOR

Educacin secundaria (vase

Igual que para el auditor

Igual que para el auditor

Igual que para el auditor

Igual que para el auditor

Al menos 2 de los 4 aos en

2 aos en la segunda disciplina

Igual que para el auditor

Igual que para el auditor

Cuatro auditoras completas

Tres auditoras completas con

Tres auditoras completas con

Derechos reservados ICONTEC-

Algunas notas ...

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Seguimiento y revisin del

Derechos reservados ICONTEC-

Beneficios para el S.G.S.I

Los programas se van actualizando en la medida en

Derechos reservados ICONTEC-

Documento (s) de Referencia:

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Implementar el programa (competencia de

Resultados acordes al programa.

Gestin del programa de auditora

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Poltica y objetivos del SGSI: propsitos del SGSI.

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Conclusiones del equipo

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Derechos reservados ICONTEC-

Informe No. ______ Pgina _ de ___

Informe No. ______ Pgina _ de ___

Informe No. ______ Pgina _ de ___