TALLER APLICACIÓN NORMA ISO 27001

NOMBRES Y APELLIDOS: SUSANA MOLINA SANCHEZ

DOCUMENTO DE IDENTIDAD: 1015405059

ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA

OBJETIVO
¨ Brindar una introducción al estudiante de la metodología de casos, utilizada durante el
curso de formación de auditores internos de un Sistema de Gestión de Seguridad de la
información ISMS ISO 27001.

METODOLOGIA
¨ Deben sustentar sus respuestas
¨ En cada una de las siguientes situaciones, el participante de Auditoria Interna debe
determinar si hay cumplimiento o no.
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde

¡LOS HECHOS, SOLO LOS HECHOS!

Caso Cumple o no Cumple Numeral o Control

1 tener una política en No cumple Control A.13.2.1
la transferencia de
información por medio ó
electrónico. Control A.8.3.3
2 cuando se tiene Si cumple Numeral 9.2 y control
acceso con A.15.1.2
proveedores se debe
hacer un tratamiento de
seguridad de la
información.
3 la alta dirección debe No cumple Control 5.3
asegurar los diferentes
roles y
responsabilidades
dentro de la
organización
4 se deben tener unos Si cumple Control A.7.1.2
acuerdos con los
empleados y
contratistas donde se
establece sus
responsabilidades todo
en torno a la seguridad
de la información
5 se debe establecer No cumple Numeral 9.3
una revisión de las no
conformidades
6 las redes se deben No cumple Control A.13.1.1
controlar y gestionar
para así mismo
proteger toda la
información
7 se deben tener Si cumple Control A.13.2.1
políticas y controles
para proteger la
transferencia de la
información dentro de
la organización y
cualquier entidad
externa
8 se debe mantener un No cumple Control A.8.1.1
inventario, una
identificación de los
activos
9 se debe tener un Si cumple Numeral 6.1.3
tratamiento de riesgos,
teniendo en cuenta los
resultados de la
evaluación de los
mismos,
10 se debe tener un No cumple Numeral 6.1.3
tratamiento de riesgos,
teniendo en cuenta los
resultados de la
evaluación de los
mismos,
11 la terminación de No cumple Control A.9.2.6
contrato de un
empleado se debe
realizar
inmediatamente se
 termine su empleo y
ajustar todo cambio
12 realizar criptografía Si cumple Numeral 10.1
para proteger la
confiabilidad la
autenticidad e
integridad de la
información
13 las auditorías a los Si cumple Control 12.7.1
sistemas de
información se deben
planificar para
disminuir
interrupciones en el
proceso de negocio.
14 controlar las áreas No cumple Control A.11.1.6
de acceso en donde
pueden entrar personal
no autorizado
15 control de llaves No cumple Control A.10.1.2
criptográficas para
proteger la información
1. La organización establece intercambio de información con el organismo
supervisor, esta información es enviada por medio electrónico, la organización
definió una excelente política de intercambio de información y por lo tanto no fue
necesario definir el procedimiento de intercambio de información.
2. La organización incluyó en el programa de auditorías la realización de auditorías
de segunda parte al sistema de gestión de la seguridad de la información
(proveedores potenciales de servicios críticos), incluyó en su presupuesto para el
siguiente año la asignación de recursos para ejecutar las auditorías a estos
proveedores potenciales en un período de seis meses. La organización está
decidiendo a quien designa como responsable de esta actividad.
3. La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano.
En este proceso se han establecido los controles para brindar conformidad de las
funciones y responsabilidades del SGSI; un proceso para evidenciar cumplimiento
de requisitos legales y reglamentarios y contractuales con los empleados. En el
proceso de Control interno, tiene establecido en su manual de funciones
específicamente auditores Internos al SGSI, los siguientes requisitos: Educación:
Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber
realizado dos auditorías internas o participar como observador, Habilidades: Mente
abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita,
observador, persistente y manejo de situaciones difíciles. En la revisión de registros
de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos
(Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y
experiencia y están correctos. Con el cumplimiento de los requisitos de educación y
formación Xu Ramírez Ingeniero de Sistemas con su diploma como evidencia,
 certificado auditor interno aprobado y verificación de confirmación de la universidad,
Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero Electrónico
con especialización en auditorías internas al SGSI el cual evidenció con registro de
aprobación. Por último Gian Wu certificado de Ingeniero Aeronáutico con
especialización en diseño aeroespacial, al revisar no encuentra certificado de
auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es
Auditor del SGSI pues con la experiencia de trabajar durante 10 años en la
organización y por su educación, ha sido más que suficiente.
4. La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de
niveles de servicio al SGSI con terceros, por ejemplo para servicios de
mantenimiento de UPS de centr o de datos, administración de Firewall, gestión de
ingreso y salida de personal. El responsable indica que se han definido muy bien
los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorías a
intervalos regulares.
5. En su revisión de las auditorías internas realizadas en el último año, usted
evidencia la inclusión de 2 auditorías internas en el programa de la organización
XUAN Inc., registra en su lista de verificación la realización de auditorías internas a
todos los procesos del SGSI en el primer semestre. En el último semestre evidencia
que no se incluyó el proceso de ges tión de cambios ni gestión de capacidades, el
responsable explica que estos procesos no se incluyeron en el segundo ciclo
porque en las últimas dos auditorías no se detectó ninguna no conformidad.
6. La organización Zing productions S.A., tiene una red que es gestionada por el
centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos,
porque esta labor es ejecutada por personal calificado con evidencia de certificado
en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la
red.
7. La organización Online And Transaction S.A., utiliza las transacciones bancarias en
línea (e-banking) como medio de pago a sus proveedores y a través de internet
también para el envió de documentación importante a sus clientes. Se han
implementado controles rigurosos para garantizar la integridad de información
transmitida. No se han identificado riesgos al respecto.
8. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor
líder solicita al encargado del mismo, los registros de mantenimiento de equipos, los
cuales son gestionados en la base Informática “ATENEA”, donde según la
explicación recibida se almacena toda la información de los computadores de la
empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas
de “ATENEA” el registro del número de servicio realizado, el nombre del
responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los
repuestos utilizados y el nombre del técnico; después de cotejar los servicios No
11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que
para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no
ingresó el detalle de los mantenimientos realizados.

9. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis

de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia
de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos,
el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de
 los objetivos de control y los controles para el tratamiento de los mismos, sin embargo
para el riesgo residual propuesto no se encontró la aprobación por parte de la alta
dirección.

10. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la

norma ISO 27001, el auditor evidenció que no hay una descripción de la metodología
para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo.

11. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de

la empresa explica que cuando usted vaya al proceso de producción, no va encontrar
al Director de Producción ni a dos Operadores considerados fundamentales para el
mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted
pregunta ¿cuánto hace que fueron retirados? Le responden que desde hace tres
meses, pues el personal es contratado a término fijo y no han sido reemplazados
porque el jefe financiero aún no ha designado los recursos necesarios. Usted escribe
su comentario en su lista de chequeo. Así mismo usted pregunta ¿Cómo ha definido
las competencias para el Director de producción, Operador del servidor de correo y
Operador del servidor de aplicaciones?, el Gerente le entrega unos documentos y
explica que ha sido un trabajo muy bueno, realizado para definir las características
de cada cargo. Después de revisarlos, sólo observa definidas las responsabilidades.
Usted verifica los registros de terminación de la contratación laboral y no se
encuentran.

12. En Diciembre, usted es designado como auditor líder para realizar una auditoria
interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al
sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de
las auditorías realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted
pregunta ¿cuantas no conformidades fueron encontradas?, el responsable indica
que en Julio se encontraron once (11) y en Octubre trece (13), todas cerradas
eficazmente, porque la alta Dirección está muy comprometida. Usted revisa y observa
que los problemas detectados durante el mes de octubre son los mismos del mes de
Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus
registros de lista de verificación.

13. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad

de verificación de los sistemas de información?, entrega un programa que define una
frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses,
el responsable menciona que se cambió intervalo a un año y además por el cambio
de la infraestructura tecnológica.

14. En la auditoría realizada en la organización del sector estatal Ministerio Fomento

Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuáles
controles se han establecido para el centro de cómputo? El único procedimiento es
 el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de
cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y
el personal de limpieza, en particular la señora que realiza la limpieza, la cual
pertenece a la nómina de la agencia de limpieza ZZZ. El auditor entrevista a la señora
de limpieza que se encuentra en el centro de cómputo ¿Cuál es el procedimiento
utilizado para realizar la limpieza? Ella responde que al realizar la limpieza, deja la
puerta abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso
al centro de cómputo, no evidencia registro de la persona entrevistada, además
detalla que la última revisión de los derechos de acceso fue hace dos años. Se revisó
el listado de personal autorizado para disponer de llaves y no se encontró al personal
de la limpieza y no hay evidencia de la comunicación de la política de seguridad de
la información a la agencia de limpieza ZZZ.

15. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el

sector bancario el cual indica “todas las transacciones por internet deben usar llave
electrónica”. La alta dirección decide esperar los resultados de la gestión de riesgos
planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de
su implementación.