30c-V2 Auditorias Internas en Un Sgsi

7/21/2019 30c-V2 Auditorias Internas en Un Sgsi

1/88

MP-30C-V2


2/88

MP-30C-V2

Aspectos Generales

Horario

Recesos -> refrigerios/almuerzo

Uso telfono mensajes

Parqueo

No Fumar

Evaluacin


3/88

MP-30C-V2

Metodologa

Exposicin magistral

Taller

Puesta en comn

Material

Certificado


4/88

MA-30C-V1

Auditoras internas enun SGSI

Fundamentos y principios d e auditora.

Esquema principal para la realizacin deuna auditora siguiendo el ciclo PHVA.

Planeacin y ejecucin de la auditora in

situ.

Act iv idades pos teri ores a la au dit ora d e unSGSI.

Brindarle al participante el conocimiento f undamental relacionado con elproceso de auditoras internas en un sistema de gestin de seguridadde la informacin.

Proporcionar al participante una herramienta para definir y gestionar ensu organizacin el pr oceso de auditoras internas en un SGSI.

Conocer y aplicar la metodologa establecida en la norma ISO 19011para el desarrollo de las auditoras internas.

16 horas

Contenido:

Dirigido a:

Objetivo:DURACIN

Directores de Operaciones o gerentes de reas con

responsabilidad ejecutiva en el negocio.

Gerentes y especialistas en s eguridad de informacininteresados en conocer el modelo de gestin de la seguridad de

la informacin basado en ISO 27002.

Personas responsables de la coordinacin y desarrollo d e

actividades relacionadas con el diseo, implementacin y

control de Sistemas de Gestin de Seguridad de la Informacin.

Profesionales interesados en la formacin en aspectos

relacionados con l a Gestin d e la Seguridad de la Informacin.

Normas Aplicadas:ISO/IEC 27001, ISO/IEC 27002,

ISO 19011


5/88

MP-30C-V2

Auditorauna herramienta de gestin

AUDITORA DE SGSI

ALTA DIRECCIN

EFICAZ Y EFICIENTEFORTALEZAS Y DEBILIDADES

SGSI


6/88

MP-30C-V2

Para quhacer auditoras?

Cumplimiento de requisitos de norma,legislacin y reglamentaciones.

Cumplimiento de requisitos de seguridadde la informacin.

Implementacin y mantenimiento eficaz.

Desempeo acorde con lo esperado.

Objetivos de controlControlesProcesos

Procedimientos


7/88

MP-30C-V2

Principiosde la auditora

CONDUCTA TICA

PRESENTACIN ECUNIME

CUIDADO PROFESIONAL

AUDITORES

INDEPENDENCIA ENFOQUE BASADO

EN LA EVIDENCIA

PROCESO DE AUDITORA


8/88

MP-30C-V2

Enfoque delas auditorasCRITERIOS

LO QUE SE DEBE HACER

- ESPECIFICACIONES- PLIEGO DE CONDICIONES- REGLAMENTOS- MANUAL DE SEGURIDAD- NORMAS- PROCEDIMIENTOS- MODOS OPERATIVOS, ETC.

REALIDAD

PROCESOS

LO QUE SE HACE

OBJETIVO

LO QUE SE QUIEREHACER

CUMPLIR SISTEMTICAMENTEREQUISITOS DEL SISTEMA DE

LA SEGURIDAD DE LAINFORMACION ESPECIFICADOS

ENTRADAS

D1

D2 D3

D1: ConvenienciaD2: SuficienciaD3: Eficacia

SALIDAS


9/88

MP-30C-V2

Conceptosrelativos a la auditora

Cliente de laAudi tora

Programa de

auditora

AuditorAUDITORA

Hallazgos de la auditora

Criterios de la auditora

Equipo auditor

Evidencia de la auditora

Experto tcnico

Conclusiones de auditor a

Auditado

Plan de auditora

Objetivos de auditora


10/88

MP-30C-V2

Clases de auditora

OBJETIVOS: Evaluar la capacidad para

cumplir los requisitosmnimos del modelo ISO27001.

OBJETIVOS: Evaluar la adecuacin para cumplir

eficazmente los requisitos del SGSIdel desarrollo del proveedor.

Verificar la aplicacin dedisposiciones contractuales.

OBJETIVOS:Determinar si el SGSI: Cumple los requisitos de la ISO

27001 y de la legislacin oreglamentaciones pertinentes. Cumple los requisitos identificados de

seguridad de la informacin. Estn implementados y se mantienen

eficazmente. Tienen un desempeo acorde con lo

esperado.

Para: Certificacin oreconocimiento por un tercero.

Para: Evaluar y seleccionar proveedores. Ejecutar re evaluacin a

proveedores. Mantener relaciones gana-gana.

Para: Evaluar la eficacia del SGSI. Identificar oportunidades de

mejoramiento. Necesidad de cambios en el enfoque

de la seguridad.

ORGANIZACIN

AUDITORA EXTERNA

CLIENTES, PROVEEDORES

AUDITORA EXTERNA

ORGANIZACIN

AUDITORA INTERNA

TERCERA PARTESEGUNDA PARTEPRIMERA PARTE

Objetivos de control Controles Procesos Procedimientos


11/88

MP-30C-V2

Auditora como proceso

ENTRADASENTRADASDELDEL

PROCESOPROCESO

RESULTADOSRESULTADOSDELDEL

PROCESOPROCESO

OBJETIVO:OBJETIVO:RESPONSABLE:RESPONSABLE:


12/88

MP-30C-V2

Competenciay evaluacin de los auditores

COMPETENCIA DE LOSAUDITORES

Gestin Humana


13/88

MP-30C-V2

Competencia

Conocimientos yhabilidades

genricos

CALIDAD AMBIENTAL


especficos de calidad


especficos de medioambiente

INFORMACIN


especficosde seguridad dela informacin


14/88

MP-30C-V2

Atributos personales

tico

Mente abierta

Diplomtico

Observador

Perceptivo

Verstil

Tenaz

Decidido

Seguro de smismo


15/88

MP-30C-V2

Conocimientosgenricos y habilidades

Principios, procedimientos y tcnicas deauditora.

Documentos del sistema de gestin y dereferencia.

Situaciones de la organizacin.

Leyes, reglamentos y otros requisitosaplicables pertinentes a la discipl ina.


16/88

MP-30C-V2

Conocimientos genricosy habilidades de los lderes de los equipos auditores

Planificar la auditora y hacer un uso eficaz de los recursosdurante la auditora.

Representar al equipo auditor en las comunicaciones con elcliente de la auditora y el auditado.

Organizar y d irigir a los miembros del equipo auditor.

Proporcionar direccin y orientacin a los auditores enformacin.

Conducir al equipo auditor para llegar a las conclusiones dela auditora.

Prevenir y resolver conflic tos.

Preparar y completar el info rme de la auditora.


17/88

MP-30C-V2

Formacin delos equipos de auditora en SGSI

Conocimiento de la norma en SGSI.

Comprensin de seguridad de la informacin.

Comprensin de la evaluacin del riesgo y gestin del riesgodesde la perspectiva del negocio.

Conocimiento tcnico de la actividad que va a ser auditada.


18/88

MP-30C-V2

Formacin delos equipos de auditora en SGSI

Conocimiento general de los requisitos regulatoriosrelevantes para el SGSI.

Conocimiento en sistemas de gestin.

Comprensin de los principios de auditora basados en lanorma ISO 19011.

Conocimiento de la revisin de la eficacia y la medida de laeficacia de los controles.


19/88

MP-30C-V2

Concepto de competencia

Educacin

Formacin

Habilidades

Experiencia

Calificaciones

Cualidadespersonales

(atributos)

Apti tud paraaplicarconocimientosy habilidades

Demostracin


20/88

MP-30C-V2

Ejemplo de competencia

Igual que para el auditor24 h de formacin en la segundadiscipli na (vase la nota 4)

40 h de formacin en auditoraFormacin comoauditor

Igual que para el auditor2 aos en la segunda disciplina(vase la nota 3)

Al m enos 2 de lo s 4 ao s enroles o funcionesrelacionadas a la seguridadde la informacin

Experiencialaboral en elcampo de lagestin de laseguridad de lainformacin

Igual que para el auditorIgual que para el auditor4 aos de experiencia entecnologas de la informacin(vase la nota 2)

Experiencialaboral total

Igual que para el auditorIgual que para el auditorEducacin secun daria (vasenota 1)

Educacin

Tres auditoras co mpletas conun total de al menos 15 das deexperiencia en audito raactuando como lder del equipoauditor, bajo la direccin yorientacin de un auditorcompetente como lder delequipo auditor (vase la nota 5)

Tres auditoras completas co nun total de al menos 15 das deexperiencia en auditora en lasegunda disciplina, bajo ladireccin y orientacin de unauditor competente como lderdel equipo auditor en lasegunda discip lina (vase lanota 5)

Cuatro auditoras completascon un t otal de al menos 20das de experiencia enauditora como auditor enformacin, bajo la direccin yorientacin de un auditorcompetente como lder delequipo auditor (vase la nota5)

Experiencia enauditoras

LDER DEL EQUIPO AUDITORAUDITOR EN AMBAS

DISCIPLINASAUDITORPARMETRO


21/88

MP-30C-V2

Algunas notas ...

Nota 1. La educacin secundaria es aquella parte del sistema de educacin nacionalque comienza despus del grado primario o elemental, y que se completa antes delingreso a la universidad o a una institucin educativa similar.

Nota 2. El nmero de aos de experiencia laboral podra reducirse en un ao si lapersona ha completado una educacin apropiada posterio r a la secundaria.

Nota 3. La experiencia laboral en la segunda disciplina puede ser simultnea a laexperiencia laboral en la primera disciplina.

Nota 4. La formacin en la segunda disciplina es para adquirir conocimientos de lasnormas, leyes, reglamentos, principios, mtodos y tcnicas pertinentes.

Nota 5. Una auditora completa es la que trata todos los pasos (revisin de ladocumentacin, anlisis del riesgo, evaluacin de la implementacin y reporte deaudiora). La experiencia global en auditoras debera comprender la totalidad de lanorma de sistemas de gestin .


22/88

MP-30C-V2

Mtodos de evaluacin

Revisin de

Registros

Entrevista

Observacin

Retroalimentacinpositiva y negativa

Revisin despus

de la auditora

Examen


23/88

MP-30C-V2

PROGRAMA DE AUDITORA

INTERNA DE SGSICliente de la auditor a

(Alta Direccin)

Programa deauditora interna de un SGSI


24/88

MP-30C-V2

Gestin deun programa de auditoraAutoridad para el

programa de auditora

Establecimiento para el

programa de auditor ia

Implementacin delprograma de auditora

Seguimiento y revisin delprograma de auditora

Mejora delprograma de

auditora

Competenciay evaluacin

de losauditores

Actividadesde auditora


25/88

MP-30C-V2

Programa 3(2 aos)

Aporte al S.G.S.I

Beneficiosparael

S.G.S.I

Programa 1(2.5 aos)

Programa 2(3 aos)

Los prog ramas se van actualizando en la medida enque se obtienen los resultados esperados


26/88

MP-30C-V2

Programa de auditora

Recursos:

Observaciones:

Elaborado por:Aprobado:

ResponsableFecha ltima auditora/Fecha programacin

auditora interna

Procesos

Documento (s) de Referencia:Fecha de actualizacin:

Alcance del programa:

Objetivo del programa:


27/88

MP-30C-V2

Inicio de la Auditora

Revisin de la documentacin

Preparacin de las activ idades de auditora in situ

Realizacin de las actividades de auditor a in si tu

Preparacin, aprobacin y distribuc in del informe de auditora

Finalizacin de la auditora

Realizacin de las actividades deseguimiento de la auditora

Actividadesde la auditora


28/88

MP-30C-V2

Ciclo PHVA enel proceso de auditora

P

HV

A

Establecimiento del programa deauditoras (alcance, objetivos, recursos,procedimientos, etc.)

Implementar el programa (competencia deauditores, actividades de auditora).

Resultados acordes al programa.Suficiencia de recursos.Satisfaccin del auditado.Acc ion es correcti vas y p revent ivas alprograma o al proceso de auditoras,etc.

Mejora del programa.Informe a la gerencia.

Re-asignacin de recursos.Cambios a los objetivos del progr ama.Re-entrenamiento de auditores, etc.

P

HVA

Inicio de la auditora.Revisin de ladocumentacin.Preparacin de actividadesen sitio.

Realizacin de actividadesen sitio.

Preparacin, aprobacin ydistribucin del informe.Finalizacin de la auditora.

Act ivi dades de segui miento dela auditora.

GestiGestin del programa de auditorn del programa de auditoraa

Activ idades de audi torActividades de auditoraa


29/88

MP-30C-V2


Auditor lder y grupo auditor


PP

HH

VV

AA

P


30/88

MP-30C-V2

En qu aportaal auditor la documentacin?

La documentacin del sistema y

del proceso, es vital para entenderqu es lo que vamos a hacer como

auditores para orientarnos hacia el

objetivo del programa.


31/88

MP-30C-V2

Qu podemos obtenerde la documentacin del SGSI y del proceso?

Poltica y objetivos del SGSI: propsitos del SGSI.

Alcance: cobertura del SGSI.

Procedimientos y controles que apoyan el SGSI: adecuacin y suficiencia delSGSI.

Metodologa de valoracin de riesgos: conocer los criterios utilizados paraanalizar y evaluar los riesgos de la organizacin.

Informe de valoracin de riesgos: configuracin de los riesgos de laorganizacin (el informe es adecuado a la realidad de la organizacin,

coherencia con la metodologa).


32/88

MP-30C-V2

Qu podemos obtenerde la documentacin del SGSI y del proceso?

Plan de tratamiento de riesgos: controles adecuados y suficientes paralos riesgos. Gestin apropiada de recursos, responsabilidades, yprioridades para manejar el riesgo.

Procedimientos de planificacin, operacin y control de los procesos:entender el hacer del proceso.

Declaracin de aplicabilidad: coherencia de los objetivos de control ycontroles seleccionados de acuerdo a la metodologa de valoracin.

Reportes de auditora, no conformidades, acciones tomadas, etc.: laevolucin del proceso y su histo ria a travs de resultados.


33/88

MP-30C-V2

Conclusiones del equipoauditor respecto a la documentacin revisada

Aspectos fuertes que son claros y aportan valor.

Aspectos por mejorar de la documentacin, para darclaridad y aporte de valor.

Aspectos de la documentacin, que ayudarn alauditor en la auditora de campo.


34/88

MP-30C-V2

Qu podemosobtener de la norma ISO 27001?

4.2.4

8.1

8.2

8.3

.

.

.

4.2.3

6

.

.

.

4.2.2

4.3.3

5.2.2

.

.

.

4.1

4.2.1

5.2.1

.

.

.

.

ACTUARVERIFICARHACERPLANEAR

PROCESO: Gestin Humana

Es una gua para orientarnos hacia el cumplimiento de los requisitos mnimos delSGSI, al int erior de un proceso.

Algunos captul os se pueden auditar COMPLETOS o tan slo una PARTE DE ELLOS

segn como co rresponda y aporte al objetivo del programa de auditora.


35/88

MP-30C-V2

Plan de auditora

Auditor lder

Preparacin de

las actividades de auditora in situ

PP

HHVV

AA

P


36/88

MP-30C-V2

Plan de auditora

Objetivos de la auditora

Criterios de la auditor a y documentos de referencia.

Alcance (un idades de la organizac in, unidadesfuncionales y procesos).

Agenda (fechas, lugares y tiempo).

Funciones y responsabilidades del equipo auditor.

Recursos.

Contenido:Contenido:

Revisado y aceptadoRevisado y aceptado


37/88

MP-30C-V2

Lista de verificacin

Equipo auditor

Preparacin de


PP

HHVV

AA

P


38/88

MP-30C-V2

Ayudar a la gestin del tiempo,indicando lo que ha de cubrirse encada proceso.

Facili tar el cubr imiento de cadaactividad, obteniendo respuestapara los requerimientos.

Utilidad de la

lista de verificacin

Recopilar las evidenciasde la auditora en ordenlgico.


39/88

MP-30C-V2

Lista de verificacinPgina ___ de ___

FECHA:

PROCESO:

PLAN No.

Comentarios / observaciones /conclusiones / hall azgos

Documentos y/oregistros

A

V

H

P

Informacin a buscar

RESPONSABLE:OBSERVACIONES:


40/88

MP-30C-V2

Reunin de apertura

Auditor lder

Realizacin de


PP

HHVV

AA

H


41/88

MP-30C-V2

Objeto:

Reunin de apertura

Confirmar plan de auditora.

Describir las actividades de la auditora in situ.

Confirmar canales de comunicacin.

Responder preguntas del auditado.


42/88

MP-30C-V2

Recopilacin y verificacin de lainformacin

Auditor lder y su Equipo auditor

Realizacin de


PP

HHVV

AA

H


43/88

MP-30C-V2

Fuentes de informacin

Recopilacin mediante un muestreoapropiado y verificacin

Evaluacin vs. Criterios

Revisin

Conclusiones de la auditora

Recopilacin y

verificacin de la informacin

Evidencia de la auditora

Hallazgos de la auditor a


44/88

MP-30C-V2

Registros

Observacin

Estadsticas (datos)

Equipo de funcionamientoMediciones

Condiciones de operacin

Acuerdos de conf idencial idad

Condiciones de almacenamiento

Fuentes de informacin

Acuerdos con terceras partes

Incidentes deseguridad reportados


45/88

MP-30C-V2

La entrevista

Auditor lder, Equipo auditor yauditado

Realizacin de


PP

HHVV

AA

H


46/88

MP-30C-V2

La entrevista

PREGUNT

AR

ESCUCHA

ACTIVA

CierreAper tura

DOCUMENTAR

EN

LISTA

DE

VERIFICACI

N(+/-)

ACEPTACIN

DEL

AUDITADO

CONCLUSIN

H

ALLAZGO

EVIDENC

IA

ESCUCHA

R


47/88

MP-30C-V2

Elogie adecuadamente los elementos positivos, muestrereconocimiento.

Haga una crtica en forma colaboradora y dando aliento(Cmo se puede evitar esto la prxima vez? ).

No haga juicios de valor sobre expresiones del interlocutor.

Tenga paciencia, deje hablar.

Mantenga contacto v isual, concentrado.

Efecte relaciones de atencin (asentir, si , mmh , ...).

Durante la entrevista


48/88

MP-30C-V2

Influencia delfactor humano

Los de buen/mal carcter

Los payasos

Los que discuten

Los que siempre buscan asesora

Los nerviosos

Los confiados

Los ocupados

Personalidades

Barreras en la

comunicacin efectiva


49/88

MP-30C-V2

Deje que el otro termine de hablar, tenga paciencia.

No emita juicios de valor sobre las expresiones del interlocutor.(Cmo se le ocurre , Esto no es as).

Evite las expresiones S (Pero se sabe que actualmente...),mejor es En la norma dice.... o Segn lo establecido oconocido, ....

Evite las formulaciones con T Usted (Ud. debera..., Thas perdido la oportunidad de... ). Son fcilmente captadas comouna adjudicacin de culpas, mejor es emplear yo : Yo lerecomiendo..., Segn mi opinin, ..., Recog la experienciasiguiente..., Tales requisitos son obligatorios....

Haga comentarios con respecto al hecho, no a la persona. Suscomentarios no deben ser desmedidos.

Para evitar problemas


50/88

MP-30C-V2

RECUERDE QUE EL AUDITOR BUSCAActi tud Participat iva del auditado para que:

Asuma una posicin abierta. Sea honesto.

Se sienta bien.

EL AUDITOR NO BUSCASer un inspector del auditado que:

Busque fallas. Busque violaciones de procedimientos.

Esto podra generar posiciones defensivas, hostilidades,

ocultamiento de los hechos.

Rol del auditor


51/88

MP-30C-V2

Cules

preguntas se pueden hacer?

"Usted diligenci este formato?"

"Es este el archivo para ubicar los documentos internos yexternos?"

"Qu informacin entreg al usuario?"

"Quin trabaj con usted en la entrega de la informacin?"

"Djeme ver si entend correctamente. Me dijo que primerohablaron con el usuario y luego enviaron una carta derespuesta con la misma informacin soportada con otrosdocumentos Correcto?"

Las preguntas cerradas estn

diseadas para obtenerrespuestas breves del auditado.

CERRADAS

Las preguntas de sondeo oaclaracin son preguntasabiertas diseadas para extraerinformacin especfica y msprofunda acerca de un tpico.

Las preguntas abiertasestimulan al auditado a ser elque hable ms, y as se reduceel nmero de preguntas que elauditor debe formular.

Qu busca?

"Por favor, explique que est ocurriendo aqu?"

"Por qu estas quejas no han sido atendidas?"

"Qu quiere decir?"

"Dme algunos ejemplos""Cmo funciona esto?"

"Me va a decir algo ms?

SONDEO

Dgame qu procedimiento sigue usted?"

Mustreme cmo funciona esto?"

Cmo procesa los resultados del servicio?"

De dnde viene este formato?"

Qu hace cuando...?"

ABIERTAS

EjemplosTipos de

preguntas


52/88

MP-30C-V2

Cules

preguntas se deben evitar?

"Cundo comenz en este trabajo le informaron acerca delmanual de procedimientos? Sabe en dnde se encuentra elmanual? Quin le ense a hacer su t rabajo?"

Las preguntas mltiples puedenconfundir al auditado y hacerleolvidar algunas de susrespuestas, o hacer que seenfoque en algo de menorimportancia.

MLTIPLES

"As que usted es al que se le ocurri...?"

"Finalmente pudieron trabajar juntos y resolver esteproblema?"

"Parece que usted realmente tiene problemas para manejareste proceso"

"No pudo averiguar cmo archivar esto correctamente?""En el tiempo que lleva en este puesto no se ha molestadoen leer el procedimiento?Ese asistente suyo... Djeme decirle...!

Estas preguntas son una vasegura para poner al auditadofuera de lugar.

AGRESIVAS

EjemplosQu busca?Tipos de

preguntas

Siempre programa a los profesionales as... verdad?"

"Supongo que sabe que esto que encontramos va contra laley...

"Por supuesto, para usted es obvio que sta es la informacinque necesito, no?"

"Por supuesto que esta solicitud debi ser tramitada?"

Las preguntas capciosassugieren al auditado la respuesta"correcta" o "polticamentecorrecta".

CAPCIOSAS


53/88

MP-30C-V2

CMO ES LAPLANIFICACIN?

CMO SE HACE?

CMO SON LOSRESULTADOS?

Cundo se enva lainformacin?

Qu hace usted cuando...?

Mustreme un ejemplo...

Dgame como se evala lasnecesidades...

Qu ocurre despus de...CMO HAMEJORADO?

DENTRO DENUESTRO

MAPAESTE

PROCESO...

El manejo de la lista de verificacin es dinmico,se debera hacer de lo general a lo parti cular.

Por qu esto ocasionaproblemas con...?

Dme algunos ejemplos de..

Entrevista


54/88

MP-30C-V2

IMPACIENCIA

ACT

ITUDE

S

MIRA

DA

DESCONFIANZA

GEST

OS

MOVIMIENTO

S

Bloqueos en la comunicacin


55/88

MP-30C-V2

Generacin de hallazgos

Auditor lder y Equipo auditor

Realizacin de


PP

HHVV

AA

H


56/88

MP-30C-V2

Hallazgos de la auditora

EVIDENCIA DELA AUDITORA

Registros

Declaraciones

Observaciones

CRITERIOS DEAUDITORA

Poltica SGSI

Objetivos SGSI

Procedimientos

Requisitos

HALLAZGOS

+ _

NO CONFORMIDAD POTENCIAL: (AP)

NO CONFOMIDAD REAL: (C y AC)

CONFORMIDAD

OPORTUNIDADES DE MEJORA

Es el resultado de la evaluacin de la evidencia de la auditora,recopilada frente a los criterios de auditora.


57/88

MP-30C-V2

La orientacin

de las no conformidades puede ir a ...Hallazgos que evidencian fallas e impactos a los objetivos de la auditora y elobjetivo definido.

Hallazgos que incumplen requisitos del cliente, legales o de la entidad queimpactan en los resultados.

Hallazgos repetidos durante la recoleccin de la infor macin.

El hallazgo que genera un alto im pacto para la entidad.

La documentacin es diferente a lo que sucede en la realidad.

El auditado no tiene conocimiento de las disposiciones documentadasaplicables.

Contradicciones en polticas, procedimientos, formatos, guas, etc...


58/88

MP-30C-V2

Redaccin de No Conformidades

La importancia de una buena redaccin de una No

Conformidad, radica en que con base en ella, laorganizacin toma las AC y AP correspondientes.

Una NC redactada correctamente, bsicamente consta de 3partes:

1. La evidencia que sustenta el hallazgo.2. El requis ito de la ISO 27001 que incumple.

3. La declaracin de la No Conformidad.

Presentacin de hallazgos


59/88

MP-30C-V2

EVITE CITAR:

Algunos proceso conocen sus riesgos.

Muchos registros no tienen los resultados de

Pocos auditores no tienen la independencia.

Casi todos los controles operativos estn desactualizados.

Varios reclamos de los clientes muestran la ineficacia delSGSI.

Ciertos operarios desconocen dnde estn los instructivos.

Presentacin de hallazgos

E l


60/88

MP-30C-V2

NO CONFORMIDADES LARGAS Y CONFUSAS

La revisin por la direccin programada para ejecutarse el da10 de enero fue realizada en las instalaciones del club y elprograma elaborado coincida con el evento de entrenamientoen toma de conciencia de la seguridad de la informacin, por locual fue necesario posponerla hasta el da siguiente (11 deenero) y como ocurri un corte de energa, no se dej registro.

REFERENCIA A NOMBRES

El Dr. Mendoza no posee los registros que demuestran lacompetencia del personal que realiza trabajos de auditora deseguridad de la informacin.

Errores en la

redaccin de hallazgos

E l


61/88

MP-30C-V2

EXPRESIN DE OPINIONES

La metodologa establecida para calificar los riesgos asociados a los

activos, no est orientada como lo indican las nuevas teoras de

gestin del riesgo.

IDENTIFICACIN DE REQUISITOS EQUIVOCADOS

No se evidenci la competencia del personal que realiza las

actividades de mantenimiento de los servidores de las bases de

datos de los clientes de la empresa.

(Reportada contra el requisito 4.1).

Errores en la

redaccin de hallazgos

R li i d


62/88

MP-30C-V2

Realizacin de la reunin decierre

Auditor lder

Realizacin de


PP

HH

VV

AA

H


63/88

MP-30C-V2

Hallazgos y conclusiones de laauditora. Solicitud accincorrectiva.

Eventualmente, acuerdos sobre laprecisin de las no conformidades.

Fechas tentativas para las accionescorrectivas y preventivas.

Procesos auditados, interacciones,niveles de la organizacin.

Reunin de cierre

Realizacin de


64/88

MP-30C-V2

Preparacin, aprobacin ydistribucin del informe de la

auditora

Auditor lder

Realizacin de


PP

HH

VV

AAV

Contenido del


65/88

MP-30C-V2

Objetivos de la auditora.

Identificacin del cliente de la auditora.

Identificacin del lder del equipo auditor y los miembros.

Fechas y lugares donde se realizaron las actividades.

Contenido del

informe de auditora

Alcance de la audi tora.

Hallazgos de auditora.

Etc.

Criterios de auditora.

Conclusiones de auditora.

Qu no debera


66/88

MP-30C-V2

Qu no debera

incluir el informe de auditora

Opiniones subjetivas.

Informacin confidencial.

Crticas a las personas.

Declaraciones ambiguas.

Detalles triviales.

Observaciones y hallazgos que no fueronpresentados o discutidos en la reunin de

cierre.

Modelo de


67/88

MP-30C-V2

Modelo de

informe de auditora interna

Informe No. ________ Pgin a ___ de ___

UNIDAD(ES) DE NEGOCIO / REGIONAL(ES) / PROCESO(S) AUDITADO(S):___________________________________________

FECHA: ___________________________________

1. RESPONSABL E(S) DEL(OS) PROCESO(S): ________________________________________________________________

2. AUDITOR Y/OEQUIPO AUDITOR:______________________________________________________________________________________________________________________________________________________________________________________________________________________

3. OBJETIVO DE LA AUDITORA:

______________________________________________________________________________________________________________________________________________________________________________________________________________________

4. ALCANCE DE LA AUDITORA:______________________________________________________________________________________________________________________________________________________________________________________________________________________

5. PERSONAL ENTREVISTADO:______________________________________________________________________________________________________________________________________________________________________________________________________________________

6. DOCUMENTACIN ANALIZADA (CRITERIOS)______________________________________________________________________________________________________________________________________________________________________________________________________________________

Modelo de


68/88

MP-30C-V2

7. RESULTADOS DE LA AUDITORA

7.1 CONFORMIDAD: (favor hacer un list ado)________________________________________________________________________________________________________________________________________________________________________________________________________________________

7.2 OPORTUNIDADES DE MEJORA: (favor h acer un l istado)________________________________________________________________________________________________________________________________________________________________________________________________________________________

7.3 NO CONFORMIDADES POTENCIALES: (favor hacer un list ado)____________________________________________________________________________________________________________

____________________________________________________________________________________________________________

7.4 NO CONFORMIDADES REALES: (favor hacer u n li stado)________________________________________________________________________________________________________________________________________________________________________________________________________________________

8. SEGUIMIENTO A ACCIONES PENDIENTES:

NMERO DE ACCIONES ANTERIORES CERRAD AS _________

NMERO DE ACCIONES ANTERIORES ABIERTAS _________

RAZONES________________________________________________________________________________________________________________________________________________________________________________________________________________________

Modelo de



Modelo de


69/88

MP-30C-V2

9. CONCLUSIN GENERAL DE LA AUDITORA:

__________________________________________________________________________________________________________________________________________________________________________________________________________________

Apro bado p or: __________________ Acep tacin: ________________________

Modelo de



Realizacin de


70/88

MP-30C-V2


Auditor lder

Realizacin de


PP

HH

VV

AAV


71/88

MP-30C-V2

Plan de auditora cumplido.

Informe de auditora aprobado y dist ribuido.

Disposicin de documentos y registros(conservar o destruir?).


Realizacin de


72/88

MP-30C-V2A

Realizacin de las actividades deseguimiento de la auditora

Auditor lder, Equipo auditor,Auditado


PP

HH

VV

AA


73/88

MP-30C-V2

Verificar las respuestas a las solicitudes deacciones correctivas, preventivas o demejora.

Verificar la eficacia de las accionesimplementadas.

En caso de tener acciones pendientes,reprogramar un nuevo seguimiento.

Elaborar el programa de la auditora de

seguimiento de ser necesario.

Actividades de seguimiento

Seguimiento


74/88

MP-30C-V2

del programa de auditora

Cumplimiento de objetivos.

Identificar oportunidades de mejora

Indicadores de desempeo:

a. Apti tud de los equipos auditores paraimplementar el plan de auditora.

b. Conformidad de programas y calendarios.c. Retroalimentacin de los clientes, auditados y

auditores.

Responsable delproceso de auditora

Revisin del


75/88

MP-30C-V2

a. Resultados y tendencias.

b. Conformidad con procedimientos.

c. Necesidades y expectativas de interesados.

d. Registros.

e. Prcticas de auditora.

f. Coherencia de auditores.



Mejora del


76/88

MP-30C-V2


Acciones Correctivas

Acciones Preventivas

9MA-A11-V7

AuditoraAuditora comocomo ProcesoProceso

ENTRADASENTRADASDELDEL

PROCESOPROCESO

RESULTADOSRESULTADOSDELDEL

PROCESOPROCESO

OBJETIVO:OBJETIVO: RESPONSABLE:RESPONSABLE:



77/88

MP-30C-TALLERES-V2

TALLERESTALLERES

Taller 1.La auditora como un proceso


78/88

MP-30C-TALLERES-V2

La auditora como un proceso

OBJETIVO

Identificar la auditora interna como un proceso en la organizacin y

su enfoque de gestin a travs del programa de auditoras.

METODOLOGA

Leer el captulo 5 de la norma ISO 19011.

Identificar su aplicacin y enfoque por procesos.

Determinar objetivo del proceso, autoridad, proveedores(entradas), clientes (resultados), recursos, seguimiento y

medicin, documentos asociados.

Discutir en grupo de acuerdo con las instrucciones del docente.

Taller 1.


79/88

MA-30C-V1

PROCESO:

RESPONSABLE:

OBJETIVO:

Actividades:Proveedor Entrada Salida Cliente

Seguimiento/medicin:Recursos: Documentos:

Taller 2.Revisin documental


80/88

MP-30C-TALLERES-V2

OBJETIVO

Hacer una revisin de la documentacin, con el fin de decidir si

se puede hacer auditora o se requieren otras actividades.

METODOLOGA

Con base en la documentacin suministrada por losauditados, realice un anlisis de la misma, orientada alcumplimiento del programa de auditora.

Consignar las conclusiones respecto a las fortalezas yaspectos por mejorar en la documentacin, para informaral auditado.

Taller 2.Revisin documental


81/88

MP-30C-TALLERES-V2

METODOLOGA

Hacer una revisin de la norma ISO 27001 con el fin deverificar qu requisitos pueden ser auditados dentro delproceso y que nos aportan al cumplimiento de losobjetivos del programa.

Consignar las conclusiones en el PHVA del proceso.

Registrar las observaciones necesarias para el trabajo decampo, con base en el ejercicio anterior.

Decidir si se puede seguir con la planeacin de laauditora o se requiere una visita al proceso.

Taller 2.


82/88

MA-30C-V1

DOCUMENTACIN DEL PROCESO: Aspectos a tener encuenta para el trabajo

de campo

Aspectos pormejorar en la

documentacin

Aspectos fuertes dela documentacin

Taller 3.Plan de auditora


83/88

MP-30C-TALLERES-V2

OBJETIVO

Adquirir habilidades para elaborar un plan de auditora.

METODOLOGA

Con base en los resultados de la revisin documental,elaborar el plan de auditora.

Util izar el formato anexo y las directrices del docente.

Presentar el plan de auditora al auditado, para suaprobacin.

Taller 3.OBJETIVO:


84/88

MA-30C-V1

AUDITOR (ES)AUDITADOOBSERVACIONESPROCESO / ACTIVIDADHORAFECHA

OBSERVACIONES:

EQUIPO AUDITOR:

CRITERIOS:

AUDITORLDER:

ALCANCE:

FECHA:APROBADO:ELABORADO POR:

REUNIN DE CIERRE:REUNIN DE APERTURA:

Taller 4.Lista de verificacin


85/88

MP-30C-TALLERES-V2

OBJETIVO

Adquirir habilidades para elaborar la lista de verificacin.

METODOLOGA

Con base en los resultados de la revisin documental y elplan de auditora, elaborar una lista de verificacin que lolleve a cumplir con el objetivo del programa de auditora.

Util izar el formato anexo y las directrices del docente.

Taller 4.Pgina ___ de ___


86/88

MA-30C-V1

FECHA:

PROCESO:

PLAN No.

Comentarios / observaciones /conclusiones / hallazgos

Documentos y/oregistros

A

V

H

P

Informacin a buscar

RESPONSABLE:OBSERVACIONES:

Taller 5.Simulacro


87/88

MP-30C-TALLERES-V2

OBJETIVO

Realizar el simulacro de acuerdo a todo lo visto hasta el

momento, con el fin de aplicarlo.

METODOLOGA

Con base en los documentos elaborados hasta elmomento en la planeacin de la auditora, realizar unsimulacro donde se aplique:

a. Reunin de apertura.b. Recoleccin de la informacin.c. Balance de auditores.d. Reunin de cierre.

Taller 5.Simulacro


88/88

MP-30C-TALLERES-V2

METODOLOGA

Realizar el simulacro de acuerdo al plan de auditora y lasinstrucciones dadas por el docente.

Nota: los puntos c y d son bsicamente la informacin

que se consigna en el informe que se realiza posterior a lareunin de cierre.

30c-V2 Auditorias Internas en Un Sgsi

Documents

Transcript of 30c-V2 Auditorias Internas en Un Sgsi