CASO OBJETO DE ESTUDIO DE AUDITORÍA INTERNA

PRAI MÓDULO 6
CURSANTE: RICHAR MAUCÓ

Una empresa de software, recibe la auditoria de otorgamiento de certificado basado en la ISO27001. Dando continuidad a la agenda de trabajo,
el auditor se ubica en el área de Gestión Integral, donde audita el control de la información documentada, pero evidencia que la información de
origen procedente del exterior de la compañía está en Mandarín, aquella relacionada con la infraestructura de TI, la cual es usada diariamente
por el personal de la empresa. Al preguntar a algunos empleados, no conocen este idioma por lo cual no tiene acceso a dicha información y que
la persona que se capacito en este tema, con el proveedor, ya no labora en la misma. Adicionalmente el jefe de Help Desk indica que los equipos
e infraestructura no poseen manuales que puedan entender los técnicos, por lo que se genera demoras en la atención a los usuarios de las
distintas áreas estratégicas de la empresa, a pesar que este servicio está contemplado en el plan de continuidad de la compañía.

1. ¿Cuál es el inconveniente que se presenta y que está en contraposición de lo solicitado por la norma?

El inconveniente que se presenta es que a pesar que está contemplado en el plan de continuidad de la empresa el servicio de atención al usuario
en lo referente a TI, resulta ser que dentro de la información de origen externo, no existen manuales de los equipos e infraestructura en el idioma
que pueda ser entendido por los técnicos, ya que toda la información relacionada con la infraestructura TI, se encuentra en el idioma Mandarín,
por lo que imposibilita el acceso a dicha información y la única persona que fue capacitada en el tema por el proveedor ya no labora en la
empresa, por lo que se ha generado demora en el servicio de atención al usuario en las distintas áreas estratégicas de la empresa.

Si bien la empresa contempla lo establecido por la Norma ISO 27001:2013, en su Numeral 7.5.1. Generalidades referido a que “El sistema de
gestión de la seguridad de la organización debe incluir: b) toda la información documentada que la organización ha determinado que es necesaria
para la eficacia del sistema de gestión de la seguridad de la información”; La empresa no contempló lo establecido en el Numeral 7.5.2. Creación
y actualización, que establece que “Cuando se crea y actualiza información documentada, la organización debe asegurarse de que lo siguiente
sea apropiado: b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo, papel,
electrónico) y c) la revisión y aprobación con respecto a la idoneidad y adecuación”.

Por otro lado, en cuanto al acceso de la información el Numeral 7.5.3 Control de la información documentada, contempla igualmente que “la
información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para
asegurarse que: a) esté disponible y adecuada para su uso, donde y cuando se necesite”; adicionalmente establece en el Numeral 7.5.3.
que “La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación
del sistema de gestión de la seguridad de la información, se debe identificar y controlar según sea adecuado.

Y por último se evidencia en cuanto al anexo A de la norma; fallas en cuanto al dominio A17 Gestión de la Continuidad del Negocio
específicamente en el Control A17.1.3. donde se verifica que no se han probado ni verificado las acciones previstas en el plan de continuidad
del negocio.
2. Realice las Notas de Campo respectivas y documente el caso según formato anexo:

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO 27001:2013

NOTAS DE CAMPO VERSIÓN: 1.01
EMPRESA: Consultores CDR C.A. FECHA: 30MAYO2019 AUDITOR: Lic. RICHAR MAUCÓ
OBJETIVO DE LA AUDITORÍA: Validar el sistema de gestión integral para lograr la auditoria de otorgamiento de ISO27001:2013
CRITERIO DE AUDITORÍA: ISO 27001:2013
PROCESO: Control de Información Documentada NÚMERO DE AUDITORÍA: 1/2019
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013 ¿Se dispone de la documentación requerida por la la información documental usada diariamente
7.5.1. a) norma más la requerida por la organización incluyendo? por el personal de la empresa relacionada
7.5.1. b) con la infraestructura de TI, de origen
-La política de la Seguridad de la Información y el procedente del exterior de la compañía se
alcance del Sistema de Gestión encuentra documentada en Idioma Mandarín;
-Los procesos principales de la seguridad de la y el personal de la Empresa que es usuario
Información de dicha documentación desconoce dicho
idioma, imposibilitando el acceso a la
-Los Documentos exigidos por la Norma ISO 27001 documentación referida.
incluyendo registros
-Los Documentos propios de Seguridad de la
Información identificados por la empresa (manuales e
instrucciones técnicas etc.); necesarios para la eficacia
del Sistema de Gestión.
ISO 27001:2013 ¿Existe un control documental donde se verifica? La persona capacitada para el manejo de la
7.5.2. a) información documental relacionada con la
7.5.2. b) -Quien publica el documento infraestructura de TI, ya no labora en la
7.5.2. c) -Quien lo autoriza y como se revisan empresa

-Formato, Estilos y Medios de Soportes de publicación

-Su almacenamiento y protección
¿La información documental requerida por la Norma y la
necesaria para la eficacia del Sistema de Gestión de
Seguridad de la Información se encuentra debidamente
identificada?
 DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO 27001:2013
NOTAS DE CAMPO VERSIÓN:
EMPRESA: Consultores CDR C.A. FECHA: 30MAYO2019 AUDITOR: Lic. RICHAR MAUCÓ
OBJETIVO DE LA AUDITORÍA: Validar el sistema de gestión integral para lograr la auditoria de otorgamiento de ISO27001:2013
CRITERIO DE AUDITORÍA: ISO 27001:2013
PROCESO: Control de Información Documentada NÚMERO DE AUDITORÍA: 1/2019
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013 ¿La información documentada de origen externo es
7.5.3. identificada y controlada, según sea adecuado?
7.5.3. a)
7.5.3. b) ¿La información documental se encuentra disponible?
7.5.3. c)
7.5.3. d) ¿La información documental se encuentra
7.5.3. e) razonablemente segura y está bien controlada, es
7.5.3. f) protegida adecuadamente?

¿Existen una política de control para la distribución,

accesos, uso y recuperación de la información
documental?

¿La información documental se encuentra preservada o

almacenada en un sitio adecuado y es conservada en
buen estado?

¿Se tienen en cuenta los cambios, configuraciones,

versiones, copias de seguridad, almacenamiento de la
información documentada?)?

¿Existen controles en cuanto a retención y disposición

de la información documental

ISO 27001:2013 1.- ¿Se ha elaborado un plan de continuidad del negocio

Anexo A ante incidentes de Seguridad de la Información?
A17 Gestión de la
Continuidad del 2.- ¿Se ha implementado las medidas de recuperación
Negocio previstas en el plan de Continuidad del Negocio?
A17.1 Continuidad de
la seguridad de la 3.- ¿Se han verificado o probado las acciones previstas
información en el plan de Continuidad del Negocio?
Buenos días ejecutando la realización de la práctica individual y consultando la bibliografía referida al tema de auditoría se presentan las
siguientes inquietudes que de ser posible quisiera me fueran aclaradas por esta vía y son las siguientes:

1.- ¿En el formato NDC se debe explicar la NCF en el espacio NOTAS DEL AUDITOR y en el espacio de NFC simplemente se registra solo el número
de formato de NCF evidenciada? o se explica la NCF en dicho espacio?

2.- La auditoría de certificación de la ISO27001:2013 se basa en los requisitos de la Norma específicamente o para la auditoría establecemos la
inspección en función de los dominios y controles del anexo A? ¿o ambos?; ¿Y de ser ambos cual se registra en los diferentes formatos a
desarrollar en la auditoría?

3.- ¿Los requisitos se deben describir en cada espacio del formato en forma individual o se pueden agrupar para la formulación de preguntas de
la siguiente manera por ejemplo? Y segunda si se indica primero el requisito y después la norma al cual está referido ejemplo: 7.5.3. a) Norma
ISO27001:2013?
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
7.5.3. a)
7.5.3. b)
7.5.3. c)

O de esta manera

REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
ISO 27001:2013
7.5.3. a)
ISO 27001:2013
7.5.3. b)