Post on 18-Feb-2018
transcript
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 1/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Curso de Auditores Internos
Sistema de gestión de Seguridad de la
Información ISO 27001:2005
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 2/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Presentación
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 3/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Objetivos
Comprender la importancia del SGSI en lasorganizaciones
Identificar los requisitos de la norma ISO 27001
Identificar las competencias necesarias para
realizar auditorias al SGSI Conocer las etapas y actividades necesarias para
realizar auditorias
Desarrollar las destrezas necesarias para realizarauditorias al SGSI
Brindar las herramientas necesarias para realizarauditorias internas al SGSI
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 4/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Agenda
Definiciones y Principios de la Auditoría Evaluación de auditores
Programa de Auditoria
Planificación de la Auditoria
Realización de Auditorias
Informe de auditoria
Seguimiento a resultados de auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 5/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Es la norma internacional ISO queproporciona directrices sobre laauditoría a sistemas de gestión,incluyendo:o Principios de auditoriao Definición del programa de
auditoríao Realización de Auditoriaso Evaluación de competencia de
auditores
Aplicable a toda organización querealice auditorias internas o externaso gestione un programa deauditorias
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 6/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Norma técnica internacionalque brinda un modelo para elestablecimiento,implementación, operación,seguimiento, revisión,mantenimiento y mejora de unsistema de gestión deseguridad de la información
(SGSI). La norma ISO 27001:2005 es
un estándar certificable.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 7/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Entidad Certificadora:
Las Entidades de Certificación, sonaquellas organizaciones privadas,
que tienen como función evaluarla conformidad y certificar elcumplimiento de una norma dereferencia, ya sea del producto,
del servicio o del sistema degestión de una organización.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 8/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Organismo Acreditador:Las Entidades deAcreditación son las
responsables de reconocer lacapacidad de evaluar laconformidad y emitircertificados e informes, delos organismos evaluadoresde la conformidad: Entes decertificación.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 9/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Cada país dispone de una infraestructurade la calidad, conformada por unorganismo nacional de normalización y
una entidad nacional de acreditación.International
Accreditation
Forum
OrganismoAcreditador
Ente
CertificadorOrganismo
Normalizador
ISO
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 10/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Proceso de CertificaciónAuditoria
Interna
Pre Auditoria(Opcional)
Etapa 1Estudio de escritorio
Etapa 2Auditoria en Sitio
Recomendaciónde
Certificación
Solicitud deAcción Correctiva
Mayor
Cierre deSAC
Seguimiento
AuditoriaInterna
Auditoriasde
Seguimiento
Recertificación
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 11/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Auditoria:Proceso sistemático,independiente y
documentado paraobtener evidencias de laauditoría y evaluarlas demanera objetiva con el fin
de determinar la extensiónen que se cumplen loscriterios de auditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 12/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Auditoria interna:También llamada de primera parte,se realizan por, o en nombre de, lapropia organización, para la
revisión por la dirección y con otrosfines internos.
Las auditorías internas pueden
constituir la base para la auto-declaración de conformidad de unaorganización.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 13/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Auditoria Externa: Pueden ser desegunda o de tercera parte.◦ Auditoria de segunda parte: se llevan a cabo
por partes que tienen un interés en laorganización, tal como los clientes, o porotras personas en su nombre.
◦ Auditoria de tercera parte: se llevan a cabopor organizaciones auditoras independientesy externas, tales como aquellas queproporcionan el registro o la certificación deconformidad.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 14/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Auditoria combinada:
Cuando se auditan juntos dos o mássistemas de gestión de diferentes
disciplinas. (Calidad y Seguridad)
Auditoria conjunta:
Cuando dos o más organizacionescooperan para auditar a un únicoauditado.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 15/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Porqué realizar auditorias
La norma ISO 27001:2005especifica:◦ 4.2.3 Seguimiento y revisión del SGSI◦ La organización debe: Realizar
auditorías internas del SGSI aintervalos planificados
La auditoría es el mecanismomediante el cual medimos el
cumplimiento de los objetivos delSGSI y determinamos la necesidadde acciones de mejora
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 16/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Ciclo PHVA
Planear, Hacer, Verificar, Actuar
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 17/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 18/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Criterios de auditoria: Grupo de políticas,procedimientos o requisitos usados comoreferencia y contra los cuales se compara la
evidencia de auditoría
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 19/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Evidencia de Auditoria:
Registros, declaraciones de hechos ocualquier otra información que son
pertinentes para los criterios de auditoría yque son verificables.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 20/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Hallazgo de auditoria:
Resultados de la evaluación de la evidenciade la auditoría recopilada frente a los
criterios de auditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 21/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Hallazgos de Auditoria
Los hallazgos de auditoría indicanconformidad o no conformidad.
Si los criterios de auditoría sonseleccionados de requisitos legales o deotra índole, los hallazgos de auditoría sedenominan Cumplimiento oIncumplimiento.
Los hallazgos de auditoría pueden llevar ala identificación de oportunidades demejora o al registro de mejores prácticas.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 22/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Definiciones
Conclusiones de la auditoría
Resultado de una auditoría, tras considerar losobjetivos de la auditoría y todos los hallazgosde la auditoría
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 23/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Calificación de Auditores Internos
La competencia [de losauditores] debería serevaluada a través de unproceso que tiene en
cuenta el comportamientopersonal y la habilidad deaplicar el conocimiento yhabilidades ganadas através de la educación,experiencia laboral,entrenamiento de auditor yexperiencia en auditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 24/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Conocimiento y habilidades
Conocimientos genéricos y habilidadesde los auditores de sistemas de gestión
◦ Principios, procedimientos y métodos de
auditoría◦ Documentos del sistema de gestión y de
referencia
◦ Contexto organizacional
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 25/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Conocimientos y Habilidades
Requisitos legales y contractualesaplicables y otros requisitos queapliquen al auditado
Los conocimientos y habilidades
en esta área capacitan al auditorpara ser consciente y trabajardentro de los requisitos legales ycontractuales de la organización.
Leyes y regulaciones y susagencias gobernantes. Terminología legal básica. Contratación y responsabilidad.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 26/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Conocimientos y Habilidades
Los auditores deberían tener el conocimiento yhabilidades específicas para la disciplina y sectorque sean apropiados para auditar un tipoparticular de sistema de gestión y sector.
Requisitos y principios de sistemas de gestiónespecíficos a la disciplina, y su aplicación.
Conocimiento específico a la disciplinarelacionado con el sector particular, la naturaleza
de las operaciones o lugar de trabajo que estásiendo auditado, que sea suficiente para que elauditor evalúe las actividades, procesos yproductos (bienes y servicios) del auditado.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 27/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Requisitos para auditores internos
ISO 27001.Auditorias Internas del SGSI
… La selección de los auditores
y la realización de las auditoriasdeben asegurar la objetividad eimparcialidad del proceso de
auditoria. Los auditores nodeben auditar su propiotrabajo.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 28/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Requisitos de formación, toma deconciencia y competencia
5.2.2 Formación, toma deconciencia y competencia
La organización debe asegurar que
todo el personal al que se le asigneresponsabilidades definidas en elSGSI, sea competente para realizarlas tareas exigidas mediante:
a) …… competencias necesarias b) El suministro de formación …. c) La evaluación de la eficacia ….. d) El mantenimiento de registros ….
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 29/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Certificación de Auditores
Misión: Promover la confianza enla certificación acreditada en todoel mundo mejorando eldesempeño de los auditores
Grados de certificación:
Auditor interno
Auditor provisional
Auditor Auditor líder
Auditor principal
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 30/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Requisitos del auditor interno
Competencias
Formación
Educación Habilidades
Experiencia
Calificaciones
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 31/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 1
Introducción a la auditoria interna Evaluación de cumplimiento de los
requisitos del SGSI
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 32/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Principios de la auditoria
Los principios de la auditoriahacen de la actividad una
herramienta eficaz y fiable enapoyo de las políticas ycontroles de gestión,proporcionando información
sobre la cual una organizaciónpuede actuar para mejorar sudesempeño.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 33/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Principios de la auditoria
Integridad
Presentación ecuánime
Debido cuidado profesional
Confidencialidad
Independencia
Enfoque basado en la evidencia
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 34/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Integridad
Llevar a cabo su trabajo con honestidad,diligencia y responsabilidad Observar y cumplir con todos los requisitos
legales aplicables
Demostrar su competencia durante eldesarrollo del trabajo Llevar a cabo su trabajo de manera
imparcial; es decir, ser justo e imparcial en
todos sus negocios Ser sensible a cualquier influencia ejercida
sobre su juicio durante el curso de unaauditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 35/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Presentación Ecuánime
Los hallazgos, conclusiones e informes dela auditoría deberían reflejar converacidad y exactitud las actividades de laauditoría.
Se informa de los obstáculos significativosencontrados durante la auditoría y de lasopiniones divergentes sin resolver entre
el equipo auditor y el auditado. La comunicación debería ser sincera,
exacta, objetiva, clara y completa.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 36/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Debido cuidado Profesional
Los auditores deberían proceder con eldebido cuidado, de acuerdo con laimportancia de la tarea que desempeñan y
la confianza depositada en ellos por elcliente de la auditoría y por otras partesinteresadas.
Un factor importante en el desempeño de su
trabajo con el debido cuidado profesional estener la habilidad de hacer juicios razonablesen toda situación de auditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 37/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Confidencialidad
Los auditores deberían ejercitar ladiscreción en el uso y protección de lainformación adquirida en el curso de suslabores.
La información de auditoría no deberíaser usada de manera inapropiada paraganancia personal del auditor o del
cliente de auditoría ni de manera tal quevaya en detrimento de los intereseslegítimos del auditado.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 38/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Independencia
Los auditores deberían serindependientes de la actividad que esauditada mientras esto sea posible, y entodo caso actuarán de manera tal queestén libres de sesgo y conflicto deintereses.
Para auditorías internas, los auditores
deberían ser independientes de losgerentes operativos de las funciones aser auditadas.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 39/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Enfoque basado en evidencia
La evidencia de la auditoría debería serverificable.
En general, está basada en muestras de lainformación disponible, ya que una auditoría
se lleva a cabo durante un período detiempo delimitado y con recursos finitos.
Se debería aplicar un uso adecuado del
muestreo, ya que éste está estrechamenterelacionado con la confianza que puededepositarse en las conclusiones de laauditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 40/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Auditorias Internas
6 Auditorias internas al SGSI
La organización debe llevar acabo auditorias internas al SGSI
a intervalos planificados, paradeterminar si los objetivos decontrol, controles, procesos y
procedimientos de su SGSI
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 41/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Requisitos para la auditoria Interna
Se debe planificar un programa deauditorias tomando en cuenta elestado e importancia de los procesos y
las áreas que se van a auditar así comolos resultados de las auditorías previas.
Se deben definir los criterios, el
alcance, la frecuencia y los métodos deauditoria.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 42/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Objetivos de la auditoría interna
Confirmar que el sistema de gestión de laseguridad de la información es capaz delograr los objetivos del SGSI y cumple conla política del SGSI de la organización.
Confirmar que la organización haestablecido, implementado, operado, hahecho seguimiento, revisión, hamantenido y mejorado su SGSIdocumentado, en el contexto de lasactividades globales del negocio de laorganización.
Proporcionar al auditado una oportunidadpara MEJORAR su SGSI
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 43/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 2
Cumplimiento de la Norma ISO27001 Qué cláusulas afectan?
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 44/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Programa de auditoria
El programa de auditoría puedeincluir auditorías que tengan encuenta una o más normas desistemas de gestión ya seanllevadas a cabo por separado o en
combinación. El alcance de un programa de
auditoría debería estar basado enel tamaño y naturaleza de laorganización a ser auditada, asícomo en la naturaleza,funcionalidad y complejidad y elnivel de madurez del sistema degestión que se va a auditar.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 45/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Auditoria basada en riesgos
Se debería dar prioridad aasignar los recursos del
programa de auditoría paraauditar aquellos temas de mayorsignificancia dentro del sistema
de gestión.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 46/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
d l d
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 47/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Componentes del programa deAuditoriaEl programa de auditoría debería incluir la información yrecursos necesarios para organizar y conducir las auditorías demanera eficiente dentro de los tiempos especificados ytambién puede incluir lo siguiente: Objetivos para el programa de auditoría y auditorías
individuales
Alcance/número/tipos/duración/ubicación/cronograma delas auditorías. Procedimientos del programa de auditoría Criterios de auditoría Métodos de auditoría
Selección de equipos auditores Recursos necesarios, incluyendo viajes y hospedaje Procesos para manejo de confidencialidad, seguridad de la
información, salud y seguridad y otros temas similares.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 48/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Programa de auditoria
1
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 49/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Alcance y Criterios del programa
Alcance◦ Ubicación física◦ Unidades organizacionales◦ Actividades y procesos◦ Duración de la auditoria
Criterios◦ Normas
◦ Políticas
◦ Procedimientos
◦ Regulaciones
◦
Legislación◦ Requisitos del SGSI◦ Requisitos contractuales◦ Códigos de conducta del sector comercial
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 50/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Objetivos del programa de auditoria
La organización debe determinar los objetivosdel programa de auditoría. Para definir losobjetivos se debería considerar:
Prioridades de la dirección.
Propósitos comerciales.Requisitos del sistema de gestión.
Requisitos legales, reglamentarios ycontractuales.
Necesidad de evaluar a los proveedores.
Requisitos del cliente.
Necesidades de otras partes interesadas y
Riesgos para la organización.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 51/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Responsabilidades del programa
Establecer los objetivos y la amplitud delprograma de auditoría. Establecer las responsabilidades y los
procedimientos, y asegurarse de que se
proporcionan recursos. Asegurarse de la implementación del
programa de auditoría. Asegurarse de que se mantienen los
registros pertinentes del programa deauditoría, y Realizar el seguimiento, revisar y mejorar
el programa de auditoría.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 52/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Recursos del programa
Para la planificación y desarrollo delprograma de auditoría es necesarioconsiderar
◦ Recursos financieros◦ Técnicas de auditoría,◦ Procesos para alcanzar y mantener la
competencia de los auditores, y paramejorar su desempeño
◦ Disponibilidad de auditores y expertostécnicos
◦ Amplitud del programa de auditoría◦ Necesidades particulares de la
auditoría
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 53/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Logística del programa
2
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 54/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Logística del programa
Es necesario determinar las actividadespara:◦ Planificar y elaborar el calendario de las
auditorías◦ Asegurar la competencia de los auditores◦
Selección de los auditores apropiados◦ Realización de las auditorías◦ Seguimiento de la auditoría◦ Conservación de los registros del
programa de auditoría
◦ Seguimiento del desempeño y la eficaciadel programa de auditoría◦ Comunicación de los logros globales del
programa de auditoría a la alta dirección.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 55/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Registros del programa de auditoria
Registros relacionados con auditoríasindividuales: planes de auditoría,informes de auditoría, informes de noconformidades, informes de accionescorrectivas y preventivas, informes del
seguimiento de la auditoría. Resultados de la revisión del programa
de auditoría.
Registros relacionados con el personalde la auditoría: Competencia delauditor , evaluación de desempeño,selección de los auditores ymantenimiento y mejora continua.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 56/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Seguimiento del programa
3
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 57/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 3
Elaboración del Programa de auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 58/115
Material Propiedad Intelectual de Qualtic LtdaElaboró: Mg. Juan C.Alarcón, PMP, CISM
Realización de la auditoria
Auditoria: Proceso sistemático, independiente ydocumentado para obtener evidencias de laauditoria y evaluarlas de manera objetiva con el finde determinar la extensión en que se cumplen loscriterios de auditoria.
Auditor: Persona con la competencia para efectuaruna auditoria. Equipo auditor: uno o más auditores (3.8) que llevan
a cabo una auditoría (3.1), con el apoyo, si esnecesario, de expertos técnicos (3.10).
Auditado: organización que está siendo auditada Experto técnico: persona que aporta conocimientos
o experiencia específicos al equipo auditor.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 59/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
La auditoria
Los auditores no deben auditar supropio trabajo
Se deben definir en unprocedimiento documentado.
La dirección responsable del áreaauditada debe asegurarse de que lasacciones para eliminar las noconformidades
Las actividades de seguimientodeben incluir la verificación de lasacciones tomadas y el reporte de losresultados de la verificación.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 60/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Etapas de la auditoria
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Preparación ydistribucióndel informe
Finalización dela auditoria
Auditoria deseguimiento
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 61/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Inicio de la auditoria
Establecer contacto inicial con el auditado Determinar la viabilidad de realizar la
auditoria en la fecha programada
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 62/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Etapas de la auditoria
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Preparación ydistribucióndel informe
Finalización dela auditoria
Auditoria deseguimiento
Preparación de las actividades de la
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 63/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación de las actividades de laauditoria
Revisión de los documentosen preparación de laauditoria
Preparación del plan deauditoria
Asignación del trabajo del
equipo de auditoria Preparación de los
documentos de trabajo
Preparación de las actividades de la
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 64/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación de las actividades de laauditoria
Revisión documental (fase I)La revisión debería tener encuenta:
Cantidad de documentación
La naturaleza de la organización
Complejidad de la organización
Objetivos de la auditoria y
Alcance de la auditoria.Como resultado de la revisióndocumental se genera un reporte
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 65/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Claves en la revisión documental
El numeral 1.2 de la norma ISO27001, expone: No es aceptable la exclusión de cualquiera de los
numerales de los requisitos especificados en losnumerales 4,5,6,7 y 8 cuando una organizacióndeclara conformidad con la presente norma.
Cualquier exclusión de controles, consideradanecesaria para satisfacer los criterios deaceptación de riesgos, necesita justificarse y debesuministrarse evidencia de que los riesgosasociados ha sido aceptados apropiadamente porlas personas responsables.
El numeral 4.3 Requisitos de documentacióndetalla la documentación exigida al SGSI.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 66/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 4
Revisión de la Política
Análisis de la documentación del
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 67/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Análisis de la documentación delSGSI
La documentación del SGSI debe incluir registrosde las decisiones de la dirección, asegurar que lasdecisiones sean trazables a las decisiones ypolíticas de la gerencia, y que los resultadosregistrados sean reproducibles.
Es importante estar en capacidad de demostrar larelación entre los controles seleccionados y losresultados del proceso de valoración ytratamiento de riesgos, y seguidamente, con lapolítica y objetivos del SGSI.
La documentación exigida al SGSI incluye losdocumentos detallados en el numeral 4.3Requisitos de documentación
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 68/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 5
Revisión de la documentación del SGSI
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 69/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación del plan de auditoria
El líder del equipo auditor debería prepararun plan de auditoría basado en lainformación contenida en el programa deauditoría y en la documentación entregadapor el auditado.
El plan de auditoría debería considerar el
efecto de las actividades de auditoría en losprocesos del auditado y proveer la base parael acuerdo entre el cliente de auditoría, elequipo auditor y el auditado referente a larealización de la auditoría.
El plan debería facilitar la programación y
coordinación eficiente de las actividades deauditoría a fin de alcanzar efectivamente losobjetivos.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 70/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Elementos del plan de auditoria Objetivos y alcance.
Documento de referencia.
Lugares (direcciones) y contactos claves
Áreas o dependencias que serán auditadas.
Determinación de las cláusulas claves para prepararla lista de verificación.
Personas de contacto. Definición de los roles del grupo de auditores.
Fechas.
Hora y duración esperada para cada actividadprincipal.
Programación de reuniones.
Requisitos de confidencialidad. Distribución del informe y fecha esperada de la
publicación.
Elaboración y preparación de los documentos detrabajo.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 71/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Plan de auditoria
Organización:Dirección: Fechas
en sitio:
Auditor Líder:
Auditor:
Auditorexperto:
Estándar: ISO 27001:2005
Lenguaje de
auditoria:
Objetivos de laauditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 72/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Plan de auditoriaFecha Hora Auditor Area / Departamento / Proceso /
Función
Contacto
claveDía 1 de 5 8:00 LAD Llegada a la organización
8:05 Reunión de apertura
8:30 Presentación del SGSI por la
organización
9:00 Revisión documental del SGSI
10:00 Gestión de riesgos
11:30
Diseño y desarrollo
12:30 Almuerzo
13:50 Departamento legal
14:30 Centro de datos Secundario
16:30 Reunión de retroalimentación
17:00 Fin primer día
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 73/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 6
Elaboración del plan de auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 74/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Responsabilidades: Auditor Líder Dirección del proceso de auditoria. Ayuda en la selección del personal del
equipo. Responsable por todas las etapas de la
auditoria. Preparar el plan de auditoria. Representación del equipo auditor ante la
dirección. Preparación y entrega del informe final de
auditoria. Dirección de las actividades de seguimiento. Trato de la información con la discreción
debida.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 75/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Responsabilidades: Coauditor
Cumplir con el 100% de los requisitos deauditoria. Realizar efectivamente las actividades
asignadas. Documentar los hallazgos de auditoria. Conservar y salvaguardar la
documentación de la auditoria. Reportar los resultados de la auditoria. Verificar la eficacia de las acciones
aplicadas como resultado de laauditoria. Cooperación y soporte al auditor líder.
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 76/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación del auditor
Lea los procedimientos conanticipación.
Determine donde se realizan
inspecciones. Utilice listas de verificación.
Conozca la responsabilidad y
posición de las personasauditadas.
Sepa que pistas puede seguir.
Preparación de documentos de
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 77/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación de documentos detrabajo: Listas de Verificación
Optimiza tiempo Es una guía Herramienta para recolección de
evidencias Ayuda para identificar elementos y
procesos Valora el estado actual del SGSI Adecuar las preguntas al proceso a ser
auditado Utilización de preguntas: ¿QUÉ, CUÁNDO, CÓMO, DÓNDE, POR
QUÉ?
f
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 78/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Lista de verificaciónNo. Cláusula PREGUNTA HALLAZGO CUMPLE (S/N)
ll
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 79/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 7
Elaboración de lista de verificación
Et d l dit i
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 80/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Etapas de la auditoria
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Preparación ydistribucióndel informe
Finalización dela auditoria
Auditoria deseguimiento
l ó d d d
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 81/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Realización de actividades en sitio
Reunión de apertura Recolección de evidencias
Generación de hallazgos
Preparación de conclusiones Reunión de cierre
R ió d
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 82/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Reunión de apertura
◦
Confirmar plan de auditoria◦ Registros de reunión de apertura◦ Proporcionar un breve resumen de cómo
se llevarán a cabo las actividades deauditoría
◦ Conductos oficiales de comunicación.◦ Métodos utilizados en la auditoria.◦ Necesidad de recursos especiales.◦ Explicar No Conformidades◦ Hora y fecha de reunión de cierre◦ Proporcionar al auditado la oportunidad
de realizar preguntas.
T ll 8
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 83/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 8
Realizar la reunión de apertura
Ej ió d l di i
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 84/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Ejecución de la auditoria Haga un muestreo de actividades, no se centre
en una. Busque evidencia observando lo que ocurre y
revisando registros. Haga anotaciones completas. Escuche las explicaciones del auditado. Escriba y confirme más adelante si es
procedente. No de la impresión de que no cree. Escriba los detalles: procedimientos, registros,
ordenes, lotes, etc. Auditoria abierta y amigable resultará en un
acuerdo de que el problema existe. Verifique si la No Conformidad es o no puntual.
F t d i f ió
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 85/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Fuentes de información
F t d i f ió
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 86/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Fuentes de informaciónPosibles fuentes de información
◦ Entrevistas con empleados y otras personas◦ Observación de actividades y ambiente de trabajo◦ Documentación◦ Política, objetivos, planes, procedimientos, normas, riesgos … ◦ Registros
◦ Actas de reunión, informes de auditoria, seguimiento ymediciones
◦ Indicadores de gestión
◦ Retroalimentación de partes interesadas
◦ Bases de Datos e Internet
Puntos claves para recordar: Pregunte, Escuche, Observe, Piense, Evalué y Registre.
R li ió d l t i t
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 87/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Realización de la entrevista
Haga sentir cómodo al auditado Sea amigable.
Explicar la razón de la entrevista y delas notas tomadas
Iniciar con una descripción de lasactividades del auditado
No realizar preguntas inductivas. Evitepreguntas cuya respuesta sea SI o NO.
Resultados acordados con el auditado Agradecer a los auditados
L i d l dit
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 88/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Los amigos del auditor
Cómo Dónde
Por qué
Quién Cuándo
Qué
Muéstreme
Té i l t i t
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 89/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Técnicas para la entrevista Solicite explicación de las situaciones
Escuche cuidadosamente Mantenga el contacto cara a cara
Muéstrese interesado
Tome nota en corto tiempo Observe el lenguaje corporal
Hable clara y cuidadosamente
Conozca sus preguntas
Sea sistemático al preguntar
Exprese en otra forma la pregunta si no es bienentendida.
Use preguntas abiertas y confirme. Confirme que ha entendido completamente
todo
Agradezca al auditado
C t l d l t i t
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 90/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Control de la entrevista
Permanecer seguro. Administrar el tiempo
adecuadamente. No dejarse conducir o engañar.
Ser detallista y eficiente. Evitar apartarse del tema. Evitar saturarse.Evite las siguientes actitudes
Ser controvertido, negativo, critico,discutir, comparar al auditado, sersarcástico, …
C t l d l t i t
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 91/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Control de la entrevista
Las siguientes situacionesentorpecen la auditoria,detéctelas a tiempo ycontrólelas:◦ Perdida deliberada de tiempo◦ Intentar manejar al auditor◦ Uso de falsas situaciones
inesperadas◦ Intentar probar el carácter del
auditor◦ Usar respuestas limitadas◦ Intentar engañar al auditor
Taller 9
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 92/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 9
Cómo preguntar.
Generación de hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 93/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Generación de hallazgos Una vez que se han recolectado las evidencias, se
deben comparar contra los criterios para generarlos hallazgos.
Los incumplimientos más comunes son:◦ Planeación del SGSI no evidente
◦ Documentación no controlada
◦
Registros no integrados al SGSI◦ Política de seguridad y objetivos no divulgados
◦ Competencias del recurso humano no evaluada
◦ Controles implementados inadecuados
◦ Procesos sin medición ni seguimiento
◦ No conformidades por auditorias internas sin cierre
eficaz◦ Acciones correctivas sin revisión de la dirección
◦ Deficiencia en metodología de análisis de riesgo
◦ Incumplimiento de procedimientos
Hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 94/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Hallazgos
Resultados de la evaluación de laevidencia de la auditoría recopiladafrente a los criterios de auditoría
Hasta que no es clasificado, un hallazgode la auditoria puede ser una:
◦ Conformidad: cumplimiento de un requisito
◦ No conformidad: incumplimiento de unrequisito
◦ Observación
Hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 95/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Hallazgos
Cumplimiento:◦ Los requisitos (Norma, legal,
reglamentario, contractual) sepueden evidenciar
◦ La implementación del SGSI seajusta a la exigencia de la norma
◦ Los controles implementados
corresponden a las intenciones◦ La implantación es eficaz: hace lo
que se espera
Hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 96/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Hallazgos
Incumplimiento◦ La ausencia o el fracaso al implementar y manteneruno ó mas requisitos del SGSI.
◦ Una situación que, con base en la evidencia objetivadisponible, provocaría dudas significativas en cuanto ala capacidad del SGSI para cumplir la política y losobjetivos de seguridad de información.
◦ Afectación de la funcionalidad del SGSI
◦ Afectación de la integridad, disponibilidad oconfidencialidad de la información
◦ Afectación de los intereses de las partes interesadas
◦ Posibles fallas aisladas o generalizadas de requisitos
◦ Problema menor que requiere atención o ausencia
◦ Falla completa de un requisito
Clasificación de hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 97/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Clasificación de hallazgos
MayorExiste una falla total de un procedimiento oinstrucción de trabajo crítico en cuanto al SGSI, obien en el funcionamiento efectivo del SGSI.
◦ Hay una ausencia total de un requisito requerido
por la norma o por el SGSI.◦ Existen numerosos errores menores en el
procedimiento que al unirse, en forma colectivaconstituyen una falla total o importante en elprocedimiento.
◦ Falla Total no hay procedimiento.◦ Daño inmediato y total con respecto a la
disponibilidad, integridad y _________________de la seguridad de la información.
Clasificación de hallazgos
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 98/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Clasificación de hallazgos
Menor Se levanta cuando se ha identificado una
deficiencia (o deficiencias) en un proceso en laoperación del SGSI, pero que no es tan grave
como lo es una SAC mayor. Falla puntual en un proceso, procedimiento,
control, metodología o criterio.
Afecta levemente alguno de los enunciadosanteriores.
Reporte de no conformidades
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 99/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Reporte de no conformidades
Cada No Conformidad debe tener unreporte separado.
Las discrepancias deben atribuirsesolamente a una cláusula de la norma, lamás aplicable.
En ocasiones , la única referencia es ladocumentación de la organización El reporte debe contener 3 ítems :
1) Una visión general del hallazgo;Descripción completa y precisa de lo observado
2) Ejemplos de la evidencia de auditoria.3) Referencia a la cláusula del estándar odocumento de la organización.
Explicación de los requisitos de la cláusula / documento
Reporte de no conformidades
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 100/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Reporte de no conformidades
Se evidencio que la organización nocontrola adecuadamente los registros, loque se evidencia en la perdida de los
registros de formación del ingenieroXuan Lee, situación que incumple elnumeral 4.3.3 Control de registros de lanorma ISO 27001:2005
Taller 10
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 101/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 10
Redacción de hallazgos deincumplimiento
Observaciones
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 102/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Observaciones
Los hallazgos de auditoria también puedencatalogarse como:
“Observaciones”,
“Oportunidades de mejora”.
Se recomienda que siempre se inicie con unverbo en infinitivoo Asegurar …
o
Garantizar … o Mejorar …
o Fortalecer
Talleres
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 103/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Talleres
Taller 11 Redacción de observaciones Taller 12 Análisis de procesos
Taller 13 Juego de Roles
Etapas de la auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 104/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Etapas de la auditoria
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Preparación ydistribucióndel informe
Finalización dela auditoria
Auditoria deseguimiento
Preparación del informe
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 105/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Preparación del informe
Para la preparación del informe el equipoauditor realiza una reunión privada
◦ Cada uno relata sus hallazgos.
◦
El equipo evalúa y revisa los hallazgos.◦ Se define si son No Conformidades y su clase.
◦ Se prepara un borrador del reporte final.
Reunión de cierre
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 106/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Reunión de cierre La reunión de cierre es dirigida por el auditor líder. En la reunión:
Se agradece al auditado por su tiempo.
Se confirma el alcance SGSI, así como los nombres del representante delSGSI y la Dirección de la organización.
Se resume el alcance de auditoria.
Se aclara al auditado que no todas las no Conformidades se pueden
descubrir. Se confirma el objetivo de la auditoria y métodos usados.
Se aclara que las preguntas y discusiones se realizaran al final del informe.
Se presentan las No Conformidades. (Hechos solamente).
Se explica el mecanismo de seguimiento por el Auditor Líder.
Se acuerdan las fechas para terminación de las acciones correctivas. Se diligencian los registros de asistencia y se firman las no conformidades.
Se atienden las preguntas con respecto al informe.
Informe de auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 107/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Informe de auditoria Auditoria No
Fecha
Lugar
Auditores
Norma
Objetivo de la Auditoria
Personal entrevistado
Procesos Auditados
Resultado de Hallazgos SAC MAYORES: SAC MENORES: OBSERVACIONES:
Firma de los Auditores
Qué no incluir en el informe
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 108/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Qué no incluir en el informe
Opiniones subjetivas Información confidencial
Crítica hacia individuos
Declaraciones ambiguas Detalles triviales
Observaciones o no conformidades no
discutidas en la reunión de cierre
Taller 14
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 109/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 14
Realización de la reunión de cierre
Etapas de la auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 110/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Etapas de la auditoria
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Preparación ydistribucióndel informe
Finalización dela auditoria
Auditoria deseguimiento
Seguimiento de la auditoria
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 111/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Seguimiento de la auditoria
Dependiendo de los objetivos de la auditoría, lasconclusiones de la auditoría pueden indicar lanecesidad de acciones correctivas, preventivas, o demejora.
Tales acciones generalmente son decididas yemprendidas por el auditado en un intervalo detiempo acordado. Según sea apropiado, el auditadodebería mantener informados a la persona quegestiona el programa de auditoría y al equipo auditoracerca del estatus de estas acciones.
La finalización y efectividad de estas acciones deberíaser verificada. Esta verificación puede ser parte deuna auditoría posterior.
Seguimiento
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 112/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
SeguimientoVerificar el cierre efectivo de la no
conformidad
EfectivoNuevaFecha
VerificarNuevamente
EfectivoCerrar el
reporte
Nueva SAC
NO
SI
NO
SI
Taller 15
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 113/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Taller 15
Seguimiento y Acción correctiva
Resumen
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 114/115
Material Propiedad Intelectual de Qualtic Ltda
Elaboró: Mg. Juan C.Alarcón, PMP, CISM
Resumen
Inicio dela auditoria
Preparación dela
Auditoria
Realización de lasactividades
Finalización dela auditoria
Auditoria deseguimiento
Preparación ydistribución del
informe
Gracias
7/23/2019 Curso de Auditores Internos 27001_v4
http://slidepdf.com/reader/full/curso-de-auditores-internos-27001v4 115/115
Gracias