TALLER APLICACIÓN NORMA ISO 27001

NOMBRES Y APELLIDOS: xxxxxxxxxxxxxxxxxx

DOCUMENTO DE IDENTIDAD: xxxxxxxxxx

ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA

OBJETIVO
¨ Brindar una introducción al estudiante de la metodología de casos, utilizada durante el
curso de formación de auditores internos de un Sistema de Gestión de Seguridad de la
información ISMS ISO 27001.

METODOLOGIA
¨ Deben sustentar sus respuestas
¨ En cada una de las siguientes situaciones, el participante de Auditoria Interna debe
determinar si hay cumplimiento o no.
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

¡LOS HECHOS, SOLO LOS HECHOS!

Caso Cumple o no Cumple Numeral o Control

1 La organización NO CUMPLE A13.2.2
definió una excelente
política de intercambio
de información y por lo
tanto no fue necesario
definir el procedimiento
de intercambio de
información
2 incluyó en su NO CUMPLE 9.2 e
presupuesto para el
siguiente año la
asignación de recursos
para ejecutar las
auditorías a estos
proveedores
potenciales en un
período de seis meses.
La organización está
decidiendo a quien
designa como
responsable de esta
actividad
3 Gian Wu certificado NO CUMPLE 7.2 b)
de Ingeniero
Aeronáutico con
especialización en
diseño aeroespacial, al
revisar no encuentra
certificado de auditor
interno. Se indago con
el dueño del proceso y
respondió que Gian
Wu es Auditor del
SGSI pues con la
experiencia de trabajar
durante 10 años en la
organización y por su
educación, ha sido
más que suficiente
4 El responsable indica NO CUMPLE A.15.2.1
que se han definido
muy bien los contratos
y los ANS, por lo tanto
no ha sido necesario
realizar auditorías a
intervalos regulares
5 no se incluyó el CUMPLE 9.2 c)
proceso de gestión de
cambios ni gestión de
capacidades, el
responsable explica
que estos procesos no
se incluyeron en el
segundo ciclo porque
en las últimas dos
auditorías no se
detectó ninguna no
conformidad
6 organización Zing NO CUMPLE 6.1.2 c)
productions S.A., tiene
una red que es
gestionada por el
centro de datos del
SGSI, pero no ha
incluido este ítem en la
gestión de riesgos
7 . Se han NO CUMPLE 6.1.2 c)
implementado
controles rigurosos
para garantizar la
integridad de
información transmitida
8 el técnico NO CUMPLE A.11.2.4
responsable no ingresó
el detalle de los
mantenimientos
realizados
9 evidencia de la NO CUMPLE 6.1.3 f)
metodología, criterios
para aceptación del
riesgo, la identificación
de los riesgos, el
análisis y evaluación de
los riesgos, el
tratamiento de los
riesgos y la selección
de los objetivos de
control y los controles
para el tratamiento de
los mismos
10 el auditor evidenció NO CUMPLE 6.1.2
que no hay una
descripción de la
metodología para
valoración de riesgos,
es decir, no hay un
enfoque hacia la
valoración del riesgo
11 el Gerente le NO CUMPLE 7.2
entrega unos
documentos y explica
que ha sido un trabajo
muy bueno, realizado
para definir las
características de cada
cargo. Después de
revisarlos, sólo
observa definidas las
responsabilidades.
Usted verifica los
registros de
terminación de la
contratación laboral y
no se encuentran
12 Usted revisa y NO CUMPLE 10.1 b)
observa que los
problemas detectados
durante el mes de
 octubre son los
mismos del mes de
Julio, revisa en sus
apuntes y confirma que
son los mismos que
aparecen en sus
registros de lista de
verificación
13 La última NO CUMPLE A.18.2.3
verificación fue hace
trece (13) meses, el
responsable menciona
que se cambió
intervalo a un año y
además por el cambio
de la infraestructura
tecnológica
14 El auditor al revisar NO CUMPLE A.11
la planilla de ingreso al
centro de cómputo, no
evidencia registro de la
persona entrevistada,
además detalla que la
última revisión de los
derechos de acceso
fue hace dos años. Se
revisó el listado de
personal autorizado
para disponer de llaves
y no se encontró al
personal de la limpieza
y no hay evidencia de
la comunicación de la
política de seguridad
de la información a la
agencia de limpieza
ZZZ
15 La alta dirección NO CUMPLE A.18.1.1
decide esperar los
resultados de la gestión
de riesgos planeada
hasta dentro de cuatro
(4) meses para tomar
una decisión al
respecto de su
implementación
1. La organización establece intercambio de información con el organismo
supervisor, esta información es enviada por medio electrónico, la organización
definió una excelente política de intercambio de información y por lo tanto no fue
necesario definir el procedimiento de intercambio de información. NO CUMPLE
2. La organización incluyó en el programa de auditorías la realización de auditorías
de segunda parte al sistema de gestión de la seguridad de la información
(proveedores potenciales de servicios críticos), incluyó en su presupuesto para el
siguiente año la asignación de recursos para ejecutar las auditorías a estos
proveedores potenciales en un período de seis meses. La organización está
decidiendo a quien designa como responsable de esta actividad. NO CUMPLE
3. La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano.
En este proceso se han establecido los controles para brindar conformidad de las
funciones y responsabilidades del SGSI; un proceso para evidenciar cumplimiento
de requisitos legales y reglamentarios y contractuales con los empleados. En el
proceso de Control interno, tiene establecido en su manual de funciones
específicamente auditores Internos al SGSI, los siguientes requisitos: Educación:
Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber
realizado dos auditorías internas o participar como observador, Habilidades: Mente
abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita,
observador, persistente y manejo de situaciones difíciles. En la revisión de registros
de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos
(Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y
experiencia y están correctos. Con el cumplimiento de los requisitos de educación y
formación Xu Ramírez Ingeniero de Sistemas con su diploma como evidencia,
certificado auditor interno aprobado y verificación de confirmación de la universidad,
Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero Electrónico
con especialización en auditorías internas al SGSI el cual evidenció con registro de
aprobación. Por último Gian Wu certificado de Ingeniero Aeronáutico con
especialización en diseño aeroespacial, al revisar no encuentra certificado de
auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es
Auditor del SGSI pues con la experiencia de trabajar durante 10 años en la
organización y por su educación, ha sido más que suficiente. NO CUMPLE
4. La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de
niveles de servicio al SGSI con terceros, por ejemplo para servicios de
mantenimiento de UPS de centro de datos, administración de Firewall, gestión de
ingreso y salida de personal. El responsable indica que se han definido muy bien
los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorías a
intervalos regulares. NO CUMPLE
5. En su revisión de las auditorías internas realizadas en el último año, usted
evidencia la inclusión de 2 auditorías internas en el programa de la organización
XUAN Inc., registra en su lista de verificación la realización de auditorías internas a
todos los procesos del SGSI en el primer semestre. En el último semestre evidencia
que no se incluyó el proceso de gestión de cambios ni gestión de capacidades, el
responsable explica que estos procesos no se incluyeron en el segundo ciclo
porque en las últimas dos auditorías no se detectó ninguna no conformidad.
CUMPLE
6. La organización Zing productions S.A., tiene una red que es gestionada por el
centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos,
porque esta labor es ejecutada por personal calificado con evidencia de certificado
en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la
red. NO CUMPLE
 7. La organización Online And Transaction S.A., utiliza las transacciones bancarias en
línea (e-banking) como medio de pago a sus proveedores y a través de internet
también para el envió de documentación importante a sus clientes. Se han
implementado controles rigurosos para garantizar la integridad de información
transmitida. No se han identificado riesgos al respecto. NO CUMPLE
8. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor
líder solicita al encargado del mismo, los registros de mantenimiento de equipos, los
cuales son gestionados en la base Informática “ATENEA”, donde según la
explicación recibida se almacena toda la información de los computadores de la
empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas
de “ATENEA” el registro del número de servicio realizado, el nombre del
responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los
repuestos utilizados y el nombre del técnico; después de cotejar los servicios No
11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que
para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no
ingresó el detalle de los mantenimientos realizados. NO CUMPLE

9. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis

de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia
de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos,
el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de
los objetivos de control y los controles para el tratamiento de los mismos, sin embargo
para el riesgo residual propuesto no se encontró la aprobación por parte de la alta
dirección. NO CUMPLE

10. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la

norma ISO 27001, el auditor evidenció que no hay una descripción de la metodología
para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo.
NO CUMPLE

11. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de

la empresa explica que cuando usted vaya al proceso de producción, no va encontrar
al Director de Producción ni a dos Operadores considerados fundamentales para el
mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted
pregunta ¿cuánto hace que fueron retirados? Le responden que desde hace tres
meses, pues el personal es contratado a término fijo y no han sido reemplazados
porque el jefe financiero aún no ha designado los recursos necesarios. Usted escribe
su comentario en su lista de chequeo. Así mismo usted pregunta ¿Cómo ha definido
las competencias para el Director de producción, Operador del servidor de correo y
Operador del servidor de aplicaciones?, el Gerente le entrega unos documentos y
explica que ha sido un trabajo muy bueno, realizado para definir las características
de cada cargo. Después de revisarlos, sólo observa definidas las responsabilidades.
Usted verifica los registros de terminación de la contratación laboral y no se
encuentran. NO CUMPLE
12. En Diciembre, usted es designado como auditor líder para realizar una auditoria
interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al
sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de
las auditorías realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted
pregunta ¿cuantas no conformidades fueron encontradas?, el responsable indica
que en Julio se encontraron once (11) y en Octubre trece (13), todas cerradas
eficazmente, porque la alta Dirección está muy comprometida. Usted revisa y observa
que los problemas detectados durante el mes de octubre son los mismos del mes de
Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus
registros de lista de verificación. NO CUMPLE

13. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad

de verificación de los sistemas de información?, entrega un programa que define una
frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses,
el responsable menciona que se cambió intervalo a un año y además por el cambio
de la infraestructura tecnológica. NO CUMPLE

14. En la auditoría realizada en la organización del sector estatal Ministerio Fomento

Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuáles
controles se han establecido para el centro de cómputo? El único procedimiento es
el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de
cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y
el personal de limpieza, en particular la señora que realiza la limpieza, la cual
pertenece a la nómina de la agencia de limpieza ZZZ. El auditor entrevista a la señora
de limpieza que se encuentra en el centro de cómputo ¿Cuál es el procedimiento
utilizado para realizar la limpieza? Ella responde que al realizar la limpieza, deja la
puerta abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso
al centro de cómputo, no evidencia registro de la persona entrevistada, además
detalla que la última revisión de los derechos de acceso fue hace dos años. Se revisó
el listado de personal autorizado para disponer de llaves y no se encontró al personal
de la limpieza y no hay evidencia de la comunicación de la política de seguridad de
la información a la agencia de limpieza ZZZ. NO CUMPLE

15. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el

sector bancario el cual indica “todas las transacciones por internet deben usar llave
electrónica”. La alta dirección decide esperar los resultados de la gestión de riesgos
planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de
su implementación. NO CUMPLE