Seguridad de la información

Como activo más valioso la información debe ser protegida y la seguridad de la

información es la aplicación y gestión de medidas de seguridad para protegerla de
una amplia gama de amenazas
Triada de la seguridad
La ISO-27001 es muy enfática en mencionar 3 principios que se deben cumplir:
1. Confidencialidad: los datos deben ser accedidos sólo por personas
autorizadas.
2. Disponibilidad: los datos deben estar disponibles cuando se requieran.
3. Integridad: los datos deben ser modificados sólo desde procesos
legítimamente
autorizados por usuarios autorizados.
Esta triada de la seguridad asegura que la información está siendo protegida si
estos tres principios se cumplen.
M2 - Sistema de gestión de seguridad
Es un conjunto de políticas procedimientos guías recursos y actividades asociadas
que son gestionadas de manera colectiva por una compañía
Tareas de SGSI
• Establecer
o Definir políticas y normas
• Implementar
o Empezar a gestionar todo y comprar recursos tecnológicos
• Operar
o Mantener dentro del proceso y garantizando que se cumplan las
directrices
• Monitorizar
o Verificar continuamente
• Revisar
o Mirar indicadores en caso de no cumplir ajustar políticas
• Mantener
o Esto es un proceso continuo que debe ajustarse en el día a día de la
empresa
• Mejorar
o Actualizar frecuentemente
Factores críticos
• Que la política,los objetivos y actividades de seguridad de la información
estén alineados con los objetivos de la organización.
• Apoyo visible de todos los niveles de organización, en especial de
dirección.
• Programa efectivo de concienciación, formación y educación sobre
seguridad de la información.
• Un proceso eficaz de gestión de incidentes SI.
• Un enfoque efectivo de GCN (gestión de continuidad de negocio).
 • Un sistema de medición utilizado para evaluar el desempeño en gestión de
la SI y para proporcionar la mejora continua.
Beneficios SGSI
• Aumentar la confianza en la organización por las partes interesadas
• Una gestión desde un punto de vista económico de las invenciones en SI
• Ayuda para la alta dirección en la alineación de si enfoque hacia la gestión
de la SI,con el contexto de la gestión y gobierno del riesgo corporativo.

M5 - Contenido de la norma
Términos y definiciones
• Control de acceso:
Medios para asegurar que el acceso a los activos esta autorizado y
restringido en función de los requisitos de negocio y de seguridad
• Auditoria:
Proceso sistemático independiente y documentado para obtener evidencias
y evaluarlas de manera objetiva con el fin de determinar el grado de
cumplimiento.
• Alcance de auditoria:
Extensión y limites de una auditoria.
 • Conformidad:
Cumplimiento de un requisito.
• Competencia:
Capacidad para aplicar conocimientos y habilidades con el fin de lograr los
resultados previstos.
• Mejora continua:
Actividad recurrente para mejorar el desempeño.
• Control:
Medida que modifica el riesgo.
• Objetivo de control:
Declaraciones que describe lo que se quiere lograr como resultado de la
implementación de controles.
• Acción correctiva:
Actividad para eliminar la causa de una no conformidad.
• Evento:
Ocurrencia o cambio de un conjunto particular de circunstancias.
• Incidente de SI:
Evento o serie de eventos de la SI, inesperados o no deseados, que tienen
una probabilidad significativa de comprometer las operaciones del negocio
y de amenazar la SI.

M6 - ¿Que es iso 27001?

Esta norma internacional se ha preparado para proporcionar los requisitos para el
establecimiento, implementación mantenimiento y mejora continua de un sistema
de gestión de la seguridad de la información.
Generalidades
• Puedes ser utilizada por partes internas y externas para evaluar la
capacidad de la organización para cumplir con sus propios requisitos de
seguridad.
• Describe la versión de conjunto y el vocabulario de los sistemas de gestión
de la SI.
• El orden en que la norma presenta los requisitos no indica su importancia ni
implica el orden en el cual deben implementarse.
• Esta dividida 14 grupos con 114 controles de seguridad pero todo depende
del tamaño de la empresa
• Hay una sección adicional sobre la sub-contratación
ISO 27000
• Técnicas de la información.
• Técnicas de seguridad.
• Sistemas de gestión de la seguridad de la información.
M7 - Contenido de la Norma
Contexto de la organización
La organización debe determinar las cuestiones externas e internas que son
importantes para su propósito y que afectan su capacidad para lograr los
resultados provistos de sus sistemas de gestión de la seguridad de la información.
1. Comprensión de la organización y de su Contexto
Tener muy claro como mi SGSI apoya a la organización en otras palabras
observar la empresa y su entorno antes de plantear sugerencias
1. Comprensión de las necesidades y expectativas de las partes interesadas
• ¿Que esperan de resultado?
• ¿Como satisfago sus necesidades?
1. Determinación del alcance del SGSI
Cual es el alcance, que voy a cubrir, se recomienda poner fases y se integren
como un todo
1. SGSI
es el resultado del trabajo
Liderazgo
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema
de gestión de la seguridad de la información
1. Lidezargo y compromiso
Siempre al pie del cañón
1. Política
se define por el encargado de SI pero difundida por la alta dirección
1. Roles, Responsabilidades y Autoridades en la organización
debe de quedar claro quien es el oficial de seguridad de la información, la cabeza
de seguridad y personas involucradas
Planificación
Al planificar la organización debe asegurar que el SGSI pueda conseguir sus
resultados previstos y lograr la mejora continua.
1. Acciones para tratar los riesgos y oportunidades
Identificar las cosas que posible mente genere No conformidades y garantizar
oportunidades de mejora (mitigando riesgo y que las oportunidades fluyan de
mejor manera)
1. Objetivos de seguridad de la información y planificación para su
consecución
Planificar que los objetivos de control se cumplan ej. siclos de vida de usuarios
Soporte, operación, evaluación y mejora
Soporte:
La organización debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementación, mantenimiento y mejora continua del SGSI.
7.1 recursos
7.2 competencia.
7.3 conciencia.
7.4 Comunicación.
7.5 Información documentada. (la norma no dice cómo debo identificar mis
documentos, pero si marca directrices)
Operación
La organización debe poner en ejecución el sistema de gestión de seguridad de la
información dentro de la compañía.
8.1 planificación y control operacional.
8.2 apreciación de los riesgos de seguridad de la información.
8.3 tratamiento de los riesgos de seguridad de la información.
Evaluación del desempeño
La organización debe evaluar el desempeño de la seguridad de la información y la
eficacia de SGSI.
9.1 seguimiento, medición, análisis y evaluación.
9.2 Auditoria Interna
9.3 Revisión por la dirección.
10. Mejora
La organización debe evaluar la necesidad de acciones para eliminar las causas
de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte.
10.1 No conformidad y acciones correctivas. (esas no conformidades son
entregadas por las auditorias y te dice que porcentaje o que parte de los objetivos
de control estas cumpliendo)

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la

información de buenas prácticas. Deberá considerar cada uno de estos controles
al formular su plan de tratamiento de riesgos.
La descripción de la mayoría de los controles es bastante vaga, por lo que se
recomienda que revise la ISO 27002, que contiene más información sobre su
implementación.
Para cada uno de los 114 controles debe registrar:
• Si es aplicable a sus actividades, procesos y riesgos de
seguridad de la información.
• Si lo has implementado o no.
• Si lo ha considerado no aplicable, su justificación para
hacerlo.
Para la mayoría de las organizaciones, los 114 controles
serán aplicables, y es probable que ya hayan implementado
algunos de ellosComposición del Anexo A
1. Políticas de Seguridad de la Información: hace referencia a los controles
sobre cómo escribir y revisar políticas de seguridad.
2. Organización de la Seguridad de la información: los controles se encargan
de establecer responsables. Al mismo tiempo también se centra en
dispositivos móviles y situaciones como la de teletrabajo.
3. Seguridad de los Recursos Humanos: controles para las situaciones previas
y posteriores referentes a la contratación y finalización de contrato de
personal.
4. Gestión de Recursos: establecidos para realizar inventario, clasificación de
información y manejo de los medios de almacenamiento.
5. Control de Acceso: control del acceso tanto a la información como a
aplicaciones u otro medio que contenga información.
6. Criptografía: controles para gestionar encriptación de información.
7. Seguridad física y ambiental: controles para garantizar factores externos,
seguridad de equipo y medios que puedan comprometer la seguridad.
8. Seguridad Operacional: controles relacionados con gestión de la protección
de malware o vulnerabilidades.
9. Seguridad de las comunicaciones: Control sobre la seguridad de las redes,
transmisión de información, mensajería…
10. Adquisición, desarrollo y mantenimiento de Sistemas: controles que
establecen los requisitos de seguridad en desarrollo y soporte.
11. Relaciones con los proveedores: incluye lo necesario a la hora de realizar
contratos y seguimiento a proveedores.
12. Gestión de Incidentes en Seguridad de la Información: sirven para reportar
eventos las debilidades, así como procedimientos de respuesta.
13. Aspectos de Seguridad de la Información de la Gestión de la Continuidad
del Negocio: referidos a la planificación de continuidad de negocio.
14. Cumplimiento: control relacionado a la hora de identificar regulaciones
relacionadas con seguridad de la información y hacer que se cumplan.
•
Clasificación de los activos de información

La clasificación de activos de información es lograr tener un detalle de que

información fluye dentro de los procesos organizacionales.
COBIT es un marco de trabajo donde su objetivo es la implementación de un
gobierno de T.I, gestión a nivel de objetivos de control, auditoria. Este apoya a un
proceso de negocio que es apalancado por un proceso de tecnología.
Los datos se deben transformar se genera información para obtener conocimiento,
con el conocimiento se crea valor porque depende de las estrategias que se
tomen en un futuro se soportaran sobre ese conocimiento terminando por el
proceso de negocio.

Es importante identificar donde puede haber un problema en el ciclo.

Se tiene que considerar toda la información relevante para la empresa, no solo a
la información automatizada.
En cuanto a la información puede ser de cuatro tipos:
 • La información estructurada está definida en una base de datos.
• La información no estructurada es que se tome la información donde no se
cumple un estándar y le falta ser procesada.
• La información formal es aquella la cual está plasmada en un documento o
sistema.
• La información informal es la cual es respaldada por alguna persona pero
todavía no está plasmado en un documento
Se tiene que generar el mayor conocimiento posible para después ser clasificada
de acuerdo a la criticidad de la compañía.
Arquitectura de la Información
Diccionario corporativo de datos
• Se necesita este diccionario para el intercambio de datos para poder
compartirse entre sistemas de Información.
Esquema de clasificación de datos
• Se debe saber cómo se almacena los datos dentro de la empresa
Niveles de seguridad
• Estrategias a seguir para proteger la información
Esquema de clasificación de datos.
• Se debe establecer un esquema de clasificación que aplique a toda la
compañia.
COBIT mejora la calidad de toma de decisiones gerenciales asegurándose que
proporciona información confiable y segura.
Inventario de activos de información
La identificación de activos valiosos para el negoci donde la información es unica y
no se puede encontrar en algun otro sistema.
Las actividades para obtener un inventario de activos son:
1. Definición
2. Revisión
3. Actualización
4. Publicación
Se debe tener en cuenta que se tiene que hablar con cada area para conocer los
sistemas, ya que solo esa area sabe mas que alguna otra acerca del sistema que
se ocupe.

Cualquiera2015
De acuerdo a la confidencialidad
° Altamente confidencial (Su divulgación genera gran riesgo para la compañía)
° Confidencial ( Es perjudicial que caiga en manos equivocadas)
° Pública ( Cualquier individuos puede tener acceso)
° No clasificada (tratarla como altamente confidencial)
De acuerdo a la integridad
° Alta (su perdida o modificación genera gran impacto en la compañía)
° Media (Si se cambia algún dato el daño es moderado)
° Baja (Su modificación no genera ningún riesgo)
° No clasificada (darle criterio de alta)
De acuerdo a la Disponibilidad
° Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compañía)
° Media ( Su no disponibilidad es de impacto moderado )
° Baja ( Genera un impacto leve)
del Riesgo

Tratamiento de Riesgo
° Mitigar: implementando controles
° Transferir: Tercerizar
° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
° Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo
 Controles
Cualquier proceso, política, dispositivo, practica u otra acción que modifique un
riesgo
Clasificación de controles
° Preventivos: Anticipan
° Detectivos: identificar al momento que se presenta el riesgo
° Correctivos: revertir el daño ya hecho, restaurar.
° Disuasivos ( no es estándar en ISO pero importante )
Tipos de Controles
° Manual: TI nulo, tiende a ser peligroso.
° Semiautomático: sistemas funcionando en conjunto con la parte humana.
° Automático: Operación basada en tecnología.
Tres líneas de defensa

En este punto del curso, es importante mencionar un documento

de alta relevancia dentro de la norma ISO 27001 y es
la Declaración de Aplicabilidad o también conocido como SoA
(SoA por las siglas en inglés de Statement of Applicability). Este
documento puede encontrarse en el formato que más le
convenga a una organización ya que la norma no tiene un formato
preestablecido; lo relevante está en su contenido, que en general
debe incluir los objetivos de control y controles seleccionados de
la norma, las razones por las cuales han sido seleccionados y las
medidas de seguridad adicionales cuando aplique.

La Declaración de Aplicabilidad en la ISO 27001 es un documento

generado a partir del análisis de riesgos realizado. Sin embargo,
es importante mencionar que si la organización pretende
implementar un sistema de gestión de seguridad de la
información, pero no está interesada en alcanzar la conformidad
total con ISO 27001, ni tiene entre sus planes obtener la
certificación, la Declaración de Aplicabilidad no es obligatoria.
Pero las organizaciones que quieren o necesitan obtener la
certificación, sí o sí deben elaborar una Declaración de
Aplicabilidad.

No obstante, así la intención de la organización no sea obtener la

certificación, es importante aclarar que la Declaración de
Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este
documento define el alcance del sistema de gestión de seguridad
de la información. Y también se convierte en la guía para el
auditor. Por eso, debe existir antes de la auditoría de certificación
y, también, antes de la auditoría interna del sistema.

Una vez que se han definido las opciones de tratamiento para los
riesgos, la organización debe aplicar medidas de seguridad, es
decir, decidir de qué manera serán mitigados los riesgos. Es en
este punto cuando se desarrolla la Declaración de Aplicabilidad,
el documento donde se registran los controles de seguridad que
son aplicables (necesarios) y si éstos se encuentran operando o
todavía no.

Para concluir, te puedo decir que la Declaración de

Aplicabilidad en la norma ISO 27001 se trata de un documento
que enlista los controles de seguridad establecidos en el Anexo A
(114 controles) que has decidido aplicar o implementar dentro de
tu Sistema de Gestión de Seguridad de la Información.

ANEXO A NUMEROLOGIA

A5 Políticas de seguridad de la información

A5.1 Directrices de gestión de la seguridad de la información
A5.1.1 Políticas para la seguridad de la información
A5.1.2 Revisión de las políticas para la seguridad de la información
A6 Organización de la seguridad de la información
A6.1 Organización interna
A6.1.1 Roles y responsabilidades en seguridad de la información
A6.1.2 Segregación de tareas
A6.1.3 Contacto con las autoridades
A6.1.4 Contacto con grupos de interés especial
A6.1.5 Seguridad de la información en la gestión de proyectos
A6.2 Los dispositivos móviles y el teletrabajo
A6.2.1 Política de dispositivos móviles
A6.2.2 Teletrabajo
A7 Seguridad relativa a los recursos humanos
A7.1 Antes del empleo
A7.1.1 Investigación de antecedentes
A7.1.2 Términos y condiciones del empleo
A7.2 Durante el empleo
A7.2.1 Responsabilidades de gestión
A7.2.2 Concienciación, educación y capacitación en seguridad de la información
A7.2.3 Proceso disciplinario
A7.3 Finalización del empleo o cambio en el puesto de trabajo
A7.3.1 Responsabilidades ante la finalización o cambio
A8 Gestión de activos
A8.1 Responsabilidad sobre los activos
A8.1.1 Inventario de activos
A8.1.2 Propiedad de los activos
A8.1.3 Uso aceptable de los activos
A8.1.4 Devolución de activos
A8.2 Clasificación de la información
A8.2.1 Clasificación de la información
A8.2.2 Etiquetado de la información
A8.2.3 Manipulado de la información
A8.3 Manipulación de los soportes
A8.3.1 Gestión de soportes extraíbles
A8.3.2 Eliminación de soportes
A8.3.3 Soportes físicos en tránsito
A9 Control de acceso
A9.1 Requisitos de negocio para el control de acceso
A9.1.1 Política de control de acceso
A9.1.2 Acceso a las redes y a los servicios de red
A9.2 Gestión de acceso de usuario
A9.2.1 Registro y baja de usuario
A9.2.2 Provisión de acceso de usuario
A9.2.3 Gestión de privilegios de acceso
A9.2.4 Gestión de la información secreta de autenticación de los usuarios
A9.2.5 Revisión de los derechos de acceso de usuario
A9.2.6 Retirada o reasignación de los derechos de acceso
A9.3 Responsabilidades del usuario
A9.3.1 Uso de la información secreta de autenticación
A9.4 Control de acceso a sistemas y aplicaciones
A9.4.1 Restricción del acceso a la información
A9.4.2 Procedimientos seguros de inicio de sesión
A9.4.3 Sistema de gestión de contraseñas
A9.4.4 Uso de utilidades con privilegios del sistema
A9.4.5 Control de acceso al código fuente de los programas
A10 Criptografía
A10.1 Controles criptográficos
A10.1.1 Política de uso de los controles criptográficos
A10.1.2 Gestión de claves
A11 Seguridad física y del entorno
A11.1 Áreas seguras
A11.1.1 Perímetro de seguridad física
A11.1.2 Controles físicos de entrada
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protección contra las amenazas externas y ambientales
A11.1.5 El trabajo en áreas seguras
A11.1.6 Áreas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
A11.2.2 Instalaciones de suministro
A11.2.3 Seguridad del cableado
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones
A11.2.7 Reutilización o eliminación segura de equipos
A11.2.8 Equipo de usuario desatendido
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia
10
A12 Seguridad de las operaciones
A12.1 Procedimientos y responsabilidades operacionales
A12.1.1 Documentación de procedimientos operacionales
A12.1.2 Gestión de cambios
A12.1.3 Gestión de capacidades
A12.1.4 Separación de los recursos de desarrollo, prueba y operación
A12.2 Protección contra el software malicioso (malware)
A12.2.1 Controles contra el código malicioso
A12.3 Copias de seguridad
A12.3.1 Copias de seguridad de la información
A12.4 Registros y supervisión
A12.4.1 Registro de eventos
A12.4.2 Protección de la información del registro
A12.4.3 Registros de administración y operación
A12.4.4 Sincronización del reloj
A12.5 Control del software en explotación
A12.5.1 Instalación del software en explotación
A12.6 Gestión de la vulnerabilidad técnica
A12.6.1 Gestión de las vulnerabilidades técnicas
A12.6.2 Restricción en la instalación de software
A12.7 Consideraciones sobre la auditoria de sistemas de información
A12.7.1 Controles de auditoría de sistemas de información
A13
Seguridad de las comunicaciones
A13.1 Gestión de la seguridad de las redes
A13.1.1 Controles de red
A13.1.2 Seguridad de los servicios de red
A13.1.3 Segregación en redes
A13.2 Intercambio de información
A13.2.1 Políticas y procedimientos de intercambio de información
A13.2.2 Acuerdos de intercambio de información
A13.2.3 Mensajería electrónica
A13.2.4 Acuerdos de confidencialidad o no revelación

A14 Adquisición, desarrollo y mantenimiento de los sistemas de información

A14.1 Requisitos de seguridad en los sistemas de información
A14.1.1 Análisis de requisitos y especificaciones de seguridad de la información
A14.1.2 Asegurar los servicios de aplicaciones en redes públicas
A14.1.3 Protección de las transacciones de servicios de aplicaciones
A14.2 Seguridad en el desarrollo y en los procesos de soporte
A14.2.1 Política de desarrollo seguro
A14.2.2 Procedimiento de control de cambios en sistemas
A14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema
operativo
A14.2.4 Restricciones a los cambios en los paquetes de software
A14.2.5 Principios de ingeniería de sistemas seguros
A14.2.6 Entorno de desarrollo seguro
A14.2.7 Externalización del desarrollo de software
A14.2.8 Pruebas funcionales de seguridad de sistemas
A14.2.9 Pruebas de aceptación de sistemas
A14.3 Datos de prueba
A14.3.1 Protección de los datos de prueba
A15 Relación con proveedores
A15.1 Seguridad en las relaciones con proveedores
A15.1.1 Política de seguridad de la información en las relaciones con los
proveedores
A15.1.2 Requisitos de seguridad en contratos con terceros
A15.1.3 Cadena de suministro de tecnología de la información y de las
comunicaciones
A15.2 Gestión de la provisión de servicios del proveedor
A15.2.1 Control y revisión de la provisión de servicios del proveedor
A15.2.2 Gestión de cambios en la provisión del servicio del proveedor
A16 Gestión de incidentes de seguridad de la información
A16.1 Gestión de incidentes de seguridad de la información y mejoras
A16.1.1 Responsabilidades y procedimientos
A16.1.2 Notificación de los eventos de seguridad de la información
A16.1.3 Notificación de puntos débiles de la seguridad
A16.1.4 Evaluación y decisión sobre los eventos de seguridad de información
A16.1.5 Respuesta a incidentes de seguridad de la información
A16.1.6 Aprendizaje de los incidentes de seguridad de la información
A16.1.7 Recopilación de evidencias
A17 Aspectos de seguridad de la información para la gestión de la continuidad de
negocio
A17.1 Continuidad de la seguridad de la información
A17.1.1 Planificación de la continuidad de la seguridad de la información
A17.1.2 Implementar la continuidad de la seguridad de la información
A17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
información
A17.2 Redundancias
A17.2.1 Disponibilidad de los recursos de tratamiento de la información
A18 Cumplimiento
A18.1 Cumplimiento de los requisitos legales y contractuales
A18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
A18.1.2 Derechos de Propiedad Intelectual (DPI)
A18.1.3 Protección de los registros de la organización
A18.1.4 Protección y privacidad de la información de carácter personal
A18.1.5 Regulación de los controles criptográficos
A18.2 Revisiones de la seguridad de la información
A18.2.1 Revisión independiente de la seguridad de la información
A18.2.2 Cumplimiento de las políticas y normas de seguridad
A18.2.3 Comprobación del cumplimiento técnico
7
¿Qué es auditoria?
Proceso sistemático, independiente, documentado, para obtener evidencia y
evaluarla objetivamente, para determinar que tanto se cumplen los criterios de la
auditoria.
Sistemático: Planeado
Independiente: El auditor es libre de elegir el área a auditar.
Documentado: Que tenga un soporte escrito.
Evidencia: Corroborar la veracidad de lo indicado por el auditado.
Se cumplen: Verificar las tareas realizadas.
Evaluarla objetivamente: Capacidad técnica por parte del auditor.
Criterios de auditoria: Que se va revisar específicamente
Tipos de Auditoria
Interna .- Dentro de la organización. de primera parte.
Externa .- Internacionales. de segunda y tercera parte.(cada año)
Términos de Auditoría
Evidencia: Registro de información verificable.
Cliente: Dueño del proceso, auditado.
Auditor: Quien lleva a cabo el proceso de auditar.
**Auditado: **Organización que esta siendo auditada
Programa d Auditoría: Programa de auditorias con alcance de un año.
Alcance: Definir al inicio del proceso, hasta donde va a llegar la auditoria, teniendo claros
los recursos disponibles.
Conclusiones: Resultado de la auditoria considerando los objetivos y hallazgos.
Hallazgos: Evidencia, señalización de algunas inconformidades a mejor y levantar.

Fases de una Auditoría

1. Preparación de la auditoria
a. Preparar tus recursos, saber con cuantos auditores vas a tener
disponibles
b. Documentarte muy bien acerca del proceso o componente a auditar
2. Plan de auditoria - Lista de Verificación
a. Definir los elementos a auditar con el auditor líder, con fecha
y duración según el alcance y con fecha límite
3. Reunión de apertura
a. Te sientas con el auditador, hacer una presentación con el
alcance, el equipo, horas estimadas de trabajo, juntar evidencia, hacer
claro que no todo el tiempo estarás en la oficina con el auditado
4. Identificación de riesgos
a. Se empieza el trabajo de campo, obtener los posibles riesgos
del proceso, se crea una matriz de riesgos, con riesgos iniciales y los
otros saldrán mientras estás con la persona identificando procesos.
5. Ejecución(Trabajo de campo)
a. Se está con la persona auditada, el responsable del proceso,
reuniones donde te contextualizan y te muestra evidencia, se debe definir
un protocolo de entrega (pantallazos, documentos) dar tiempo mientras
recopila la información
6. Presentación Hallazgos
a. Después del trabajo de campo se recopilan las evidencias y se
determinan los hallazgos y se hace un reporte con las vulnerabilidades,
se reporta al jefe o director de esa área, se debe tener buena evidencia
y es muy importante documentar todo lo encontrado
7. Emisión informe borrador
a. Pasar los hallazgos a un informe estructurado, tener alcance,
objetivos, trabajo de campo realizado, conclusiones, riesgos, entregar en
borrador, realizar cambios, verificar si los cambios no bajan la
importancia al hallazgo
8. Solicitud de planes de acción
a. Según los hallazgos te deben de entregar un plan de acción, o
acción correctiva, es el compromiso para suplir y corregirlo encontrado
en el hallazgo, definir muy bien y que quede claro quién será el
responsable de corregir, también es fundamental la fecha de
implementación, usar el juicio ingenieril. También tomar en cuenta que
hay procesos que deben de ser continuos como la actualización de la
infraestructura.
9. Emisión de informe oficial
a. Poner ahora sí bien el formato oficial, se agregan los
hallazgos con su plan de acción, fecha comprometida y responsable, ahora
se hace un reporte oficial que se entregaría al oficial externo cuando
realmente se vaya a certificar en la ISO
10. Seguimiento planes de acción
a. Según el plan de acción, revisar los compromisos que quedaron,
pueden atrasarse o terminar bien, y se necesita ir documentando todo lo
que suceda y reportar al comité de auditoría y al director general.
14
Resultado de la Auditoría
• Conformidad - Cumplimiento
• No Conformidad - Incumplimiento
Incumplimientos más comunes
-documentación no encontrada
-competencias de recurso humano no evaluado
-controles implementados adecuadamente
-no conformidades por auditorias internas sin cierre eficaz
-acciones correctivas sin revisión de la dirección
-deficiencia en metodología de análisis de riesgos
-incumplimiento de procedimientos
Reporte de no conformidades
La evidencia: Lista de hallazgos, respaldos con evidencia objetiva o atestiguada
por el auditor
La referencia: Al requisito de la norma y/o manual de calidad o procedimiento. Un
requisito a la vez, el que mas aplica.
La Conclusión: Genérica, breve, precisa y aceptada por el auditado
Plan de continuidad del negocio