Вы находитесь на странице: 1из 7

CASO OBJETO DE ESTUDIO DE AUDITORÍA INTERNA

PRAI MÓDULO 6
CURSANTE: RICHAR MAUCÓ

Una empresa de software, recibe la auditoria de otorgamiento de certificado basado en la ISO27001. Dando continuidad a la agenda de
trabajo, el auditor se ubica en el área de Gestión Integral, donde audita el control de la información documentada, pero evidencia que la
información de origen procedente del exterior de la compañía está en Mandarín, aquella relacionada con la infraestructura de TI, la cual es
usada diariamente por el personal de la empresa. Al preguntar a algunos empleados, no conocen este idioma por lo cual no tiene acceso a
dicha información y que la persona que se capacito en este tema, con el proveedor, ya no labora en la misma. Adicionalmente el jefe de Help
Desk indica que los equipos e infraestructura no poseen manuales que puedan entender los técnicos, por lo que se genera demoras en la
atención a los usuarios de las distintas áreas estratégicas de la empresa, a pesar que este servicio está contemplado en el plan de continuidad
de la compañía.

1. ¿Cuál es el inconveniente que se presenta y que está en contraposición de lo solicitado por la norma?

El inconveniente que se presenta es que a pesar que está contemplado en el plan de continuidad de la empresa el servicio de atención al
usuario en lo referente a TI, resulta ser que dentro de la información de origen externo, no existen manuales de los equipos e infraestructura en
el idioma que pueda ser entendido por los técnicos, ya que toda la información relacionada con la infraestructura TI, se encuentra en el idioma
Mandarín, por lo que imposibilita el acceso a dicha información y la única persona que fue capacitada en el tema por el proveedor ya no labora
en la empresa, por lo que se ha generado demora en el servicio de atención al usuario en las distintas áreas estratégicas de la empresa.

Si bien la empresa contempla lo establecido por la Norma ISO 27001:2013, en su Numeral 7.5.1. Generalidades referido a que “El sistema de
gestión de la seguridad de la organización debe incluir: b) toda la información documentada que la organización ha determinado que es
necesaria para la eficacia del sistema de gestión de la seguridad de la información”; La empresa no contempló lo establecido en el Numeral
7.5.2. Creación y actualización, que establece que “Cuando se crea y actualiza información documentada, la organización debe asegurarse
de que lo siguiente sea apropiado: b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por
ejemplo, papel, electrónico) y c) la revisión y aprobación con respecto a la idoneidad y adecuación”.

Por otro lado, en cuanto al acceso de la información el Numeral 7.5.3 Control de la información documentada, contempla igualmente que “la
información documentada requerida por el sistema de gestión de la seguridad de la información y por esta Norma se debe controlar para
asegurarse que: a) esté disponible y adecuada para su uso, donde y cuando se necesite”; adicionalmente establece en el Numeral 7.5.3.
que “La información documentada de origen externo, que la organización ha determinado que sea necesaria para la planificación y operación
del sistema de gestión de la seguridad de la información, se debe identificar y controlar según sea adecuado.
Y por último se evidencia en cuanto al anexo A de la norma; fallas en cuanto al dominio A17 Gestión de la Continuidad del Negocio
específicamente en el Control A17.1.3. donde se verifica que no se han probado ni verificado las acciones previstas en el plan de continuidad
del negocio.

2. Realice las Notas de Campo respectivas y documente el caso según formato anexo:

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO 27001:2013


NOTAS DE CAMPO VERSIÓN: 1.01
EMPRESA: Consultores CDR C.A. FECHA: 30MAYO2019 AUDITOR: Lic. RICHAR MAUCÓ
OBJETIVO DE LA AUDITORÍA: Validar el sistema de gestión integral para lograr la auditoria de otorgamiento de ISO27001:2013
CRITERIO DE AUDITORÍA: ISO 27001:2013
PROCESO: Control de Información Documentada NÚMERO DE AUDITORÍA: 1/2019
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013 ¿Se dispone de la documentación requerida por la la información documental usada
7.5.1. a) norma más la requerida por la organización diariamente por el personal de la empresa
7.5.1. b) incluyendo? relacionada con la infraestructura de TI, de
-La política de la Seguridad de la Información y el origen procedente del exterior de la
alcance del Sistema de Gestión compañía se encuentra documentada en
-Los procesos principales de la seguridad de la Idioma Mandarín; y el personal de la
Información Empresa que es usuario de dicha
-Los Documentos exigidos por la Norma ISO 27001 documentación desconoce dicho idioma,
incluyendo registros imposibilitando el acceso a la
-Los Documentos propios de Seguridad de la documentación referida.
Información identificados por la empresa (manuales e
instrucciones técnicas etc.); necesarios para la eficacia
del Sistema de Gestión.
ISO 27001:2013 ¿Existe un control documental donde se verifica? La persona capacitada para el manejo de la
7.5.2. a) -Quien publica el documento información documental relacionada con la
7.5.2. b) -Quien lo autoriza y como se revisan infraestructura de TI, ya no labora en la
7.5.2. c) -Formato, Estilos y Medios de Soportes de publicación empresa
-Su almacenamiento y protección
¿La información documental requerida por la Norma y
la necesaria para la eficacia del Sistema de Gestión de
Seguridad de la Información se encuentra debidamente
identificada?

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO 27001:2013


NOTAS DE CAMPO VERSIÓN:
EMPRESA: Consultores CDR C.A. FECHA: 30MAYO2019 AUDITOR: Lic. RICHAR MAUCÓ
OBJETIVO DE LA AUDITORÍA: Validar el sistema de gestión integral para lograr la auditoria de otorgamiento de ISO27001:2013
CRITERIO DE AUDITORÍA: ISO 27001:2013
PROCESO: Control de Información Documentada NÚMERO DE AUDITORÍA: 1/2019
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013 ¿La información documentada de origen externo es
7.5.3. identificada y controlada, según sea adecuado?
7.5.3. a)
7.5.3. b) ¿La información documental se encuentra disponible?
7.5.3. c)
7.5.3. d) ¿La información documental se encuentra
7.5.3. e) razonablemente segura y está bien controlada, es
7.5.3. f) protegida adecuadamente?

¿Existen una política de control para la distribución,


accesos, uso y recuperación de la información
documental?

¿La información documental se encuentra preservada


o almacenada en un sitio adecuado y es conservada en
buen estado?

¿Se tienen en cuenta los cambios, configuraciones,


versiones, copias de seguridad, almacenamiento de la
información documentada?)?

¿Existen controles en cuanto a retención y disposición


de la información documental

ISO 27001:2013 1.- ¿Se ha elaborado un plan de continuidad del


Anexo A negocio ante incidentes de Seguridad de la
A17 Gestión de la Información?
Continuidad del
Negocio 2.- ¿Se ha implementado las medidas de recuperación
A17.1 Continuidad de previstas en el plan de Continuidad del Negocio?
la seguridad de la
información
3.- ¿Se han verificado o probado las acciones previstas
en el plan de Continuidad del Negocio?
Buenos días ejecutando la realización de la práctica individual y consultando la bibliografía referida al tema de auditoría se presentan las
siguientes inquietudes que de ser posible quisiera me fueran aclaradas por esta vía y son las siguientes:

1.- ¿En el formato NDC se debe explicar la NCF en el espacio NOTAS DEL AUDITOR y en el espacio de NFC simplemente se registra solo el número
de formato de NCF evidenciada? o se explica la NCF en dicho espacio?

2.- La auditoría de certificación de la ISO27001:2013 se basa en los requisitos de la Norma específicamente o para la auditoría establecemos la
inspección en función de los dominios y controles del anexo A? ¿o ambos?; ¿Y de ser ambos cual se registra en los diferentes formatos a
desarrollar en la auditoría?

3.- ¿Los requisitos se deben describir en cada espacio del formato en forma individual o se pueden agrupar para la formulación de preguntas de la
siguiente manera por ejemplo? Y segunda si se indica primero el requisito y después la norma al cual está referido ejemplo: 7.5.3. a) Norma
ISO27001:2013?
REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
7.5.3. a)
7.5.3. b)
7.5.3. c)

O de esta manera

REQUISITO Y
PREGUNTAS NOTAS DEL AUDITOR NFC
NORMA
ISO 27001:2013
7.5.3.
ISO 27001:2013
7.5.3. a)
ISO 27001:2013
7.5.3. b)

Вам также может понравиться