Upload
ruko10
View
122
Download
5
Embed Size (px)
Citation preview
Curso
AUDITOR INTERNO
Sistemas de Gestión de la Seguridad de la Información
ISO/IEC 27001:2005
2AI 27001 REV.01-03-09
AUDITOR INTERNO SGSI
Proporcionar:
Entendimiento de la filosofía, principios y requisitos de ISO 27001.
Prácticas y talleres de aplicación
Entender ISO 27001 en cualquier organización
Conocer el funcionamiento general de la Norma ISO 27001.
Conciencia de cómo aplicarlos en el contexto de la auditoria
Entendimiento de las implicaciones para una auditoria efectiva y adecuada
Objetivos
3AI 27001 REV.01-03-09
AUDITOR INTERNO SGSI
Dar a conocer los fundamentos de la Seguridad de Información y su implementación a través de un Sistema de Gestión de Seguridad de Información: SGSI
Explicar el propósito de un SGSI y los procesos involucrados como se define en la ISO 27001:2005
Explicar el rol de un auditor para planificar, informar, guiar y realizar el seguimiento de una auditoría SGSI de acuerdo con la ISO 19011
Asumir el rol de un auditor en auditorías internas y externas
Objetivos
4AI 27001 REV.01-03-09
Introducción
A la Seguridad de la Información.
Información
Seguridad de Información
Importancia de la Seguridad de Información
5AI 27001 REV.01-03-09
“ La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto, necesita ser protegido adecuadamente”
ISO 17799:2005
Información
6AI 27001 REV.01-03-09
Verbal / Conversaciones
Electrónica
Presentaciones
Escrita / Impresa
Enviada correo
Tipo de Información
7AI 27001 REV.01-03-09
La información puede ser:
Ciclo de la Información
ProcesadaTransmitida
Creada Almacenada
8AI 27001 REV.01-03-09
La información puede ser:
Ciclo de la Información
Utilizada: Para propósitos correctos e incorrectos
Destruida, Perdida, Corrompida
9AI 27001 REV.01-03-09
“ Cualquier forma que tome la información, o los medios mediante los cuales es compartida o almacenada, debe ser siempre protegida de una forma apropiada”
ISO 17799:2005
Información
10AI 27001 REV.01-03-09
AmenazasAmenazasVirus, Gusanos, Troyanos = Malware.
Captura del PC desde el exteriorMails “anónimos con información crítica o con agresiones, infectada
Robo de información
Robo de contraseñas Ingreso a la red de las empresas desde el internet con fines no éticos
Hackers Fraudes informáticos.
Programas bomba – destrucción de información
Destrucción de equipos
Robo de laptops - información
Acceso indebido a documentos confidenciales Intercepción de
comunicaciones
Software ilegal
Falsificación de documentos
Ingeniería Social (Kevin Mitnick)
Phishing
(pesca)
11AI 27001 REV.01-03-09
Estadísticas
90%90%
Detectaron Detectaron brechas de brechas de seguridadseguridad
85%85%
Tuvo perdidas Tuvo perdidas monetarias monetarias
producidas por producidas por brechas de brechas de seguridadseguridad
80%80%
Sufrió Sufrió ataques de ataques de
Virus Virus informáticosinformáticos
Detecto Detecto penetración de su penetración de su
infraestructura infraestructura por personas por personas
externasexternas
40%40%
Perdidas cuantificadas de por lo menos $377 millones (USD), o $2 millones (USD) por encuestado
Fuente: “Computer Crime and Security Survey 2006”, del Fuente: “Computer Crime and Security Survey 2006”, del “Computer Security Institute “Computer Security Institute
12AI 27001 REV.01-03-09
La seguridad de información protege la información de las amenazas para asegurar la continuidad del negocio, minimizar el perjuicio para el negocio y maximizar el retorno de la inversión y de las oportunidades del negocio
Seguridad de Información
13AI 27001 REV.01-03-09
ProcesosProcesos
PersonasPersonasTecnología Equipos Tecnología Equipos
INFORMACIÓNINFORMACIÓN
Seguridad de la InformaciónSeguridad de la Información
Proteger la InformaciónProteger la Información
14AI 27001 REV.01-03-09
Asegura el acceso a la información cuando lo requieren las personas autorizadas
Confidencialidad
Integridad Disponibilidad
Principios de seguridad
Asegura que la información no ha sido modificada protegiendo la totalidad, exactitud y métodos de almacenamiento
Garantiza el acceso a la información de acuerdo con las funciones y autorizada
Seguridad de Información
15AI 27001 REV.01-03-09
En algunas organizaciones, la integridad y/o la disponibilidad puede ser más importante que la confidencialidad.
Seguridad de Información
IntegridadDisponibilidad
Confidencialidad
16AI 27001 REV.01-03-09
ISO 27002:2005 (17799:2005)
Código de buenas prácticas para la gestión de la seguridad de la información
ISO 27001:2005
Tecnología de la Información – Técnicas de seguridad – sistemas de gestión de la seguridad de la información - Requerimientos
ISO 17799 / ISO 27001 Gestión de la Seguridad de la Información
17AI 27001 REV.01-03-09
Historia del ISO 27001 Inicio de los 90 El Ministerio de Industria y Comercio del Reino Unido da
soporte a su desarrollo
1995 Adoptado por primera vez como British Standard (BS)
1998 Se publican los requisitos para la certificación
1999 Se edita la Segunda Edición
– Se añaden el comercio electrónico, los ordenadores portátiles y
contratación con terceros.
2000 ISO aprueba ISO 17799 Parte 1 en Agosto.
2002 BS 7799-2:2002 publicado el 5 de Septiembre
– Énfasis en la concordancia con ISO 9001 y la ISO 14001
– Se adopta el modelo PDCA
2003 Más de 500 certificados emitidos
2004 Más de 1.000 certificados en todo el mundo
2005 Se publica ISO 27001
ISO 27001 Gestión de la seguridad de la
información
18AI 27001 REV.01-03-09
Introducción a los Sistemas de Gestión de la Seguridad de la Información.
Los beneficios de un sistema de gestión de la seguridad de la información
ISO 27001
Los conceptos de un SGSI
19AI 27001 REV.01-03-09
Propósitos
Proporcionar las mejores prácticas de seguridad de la información
Permitir a las organizaciones desarrollar, implementar y medir prácticas efectivas de gestión de la seguridad
Proporcionar confianza en el comercio entre organizaciones
Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas
ISO 27002 / ISO 27001 Gestión de la Seguridad de la Información
20AI 27001 REV.01-03-09
Factores que afectan al Sistema de Gestión de la Seguridad de la Información
Gestión de la seguridad
de la información
Legislación
Exigencias del consumidor
Visión corporativa y políticas
Riesgo creciente
Tolerancia al riesgo
Competencia- Negocios
Valores sociales
Cultura corporativa
Competencia - costes
Consumidor
Globalización
Accionistas
GobiernoVecino
Empleados
Sindicatos
21AI 27001 REV.01-03-09
Factores Claves de Éxito
Definir una Políticas de Seguridad que refleje los objetivos del negocio / empresa
El enfoque de la implementación concuerda con la cultura de la compañía
Apoyo visible y compromiso de la dirección
Buena comprensión de los requisitos de seguridad, de la evaluación de riesgo y de la gestión del riesgo
ISO 27002 / ISO 27001 Gestión de la Seguridad de la Información
22AI 27001 REV.01-03-09
Factores Claves de Éxito
Marketing de Seguridad efectivo a todos los directivos y empleados
Comunicar las políticas y estándares de seguridad de información a todos los empleados y proveedores
Proporcionar formación apropiada
Disponer de un sistema de medida, exhaustivo y equilibrado, para evaluar el rendimiento de la gestión de la seguridad para elaborar sugerencias de mejora
ISO 27002 / ISO 27001 Gestión de la Seguridad de la Información
23AI 27001 REV.01-03-09
SGSIISO 27001
ISO 17799:2005
ISO 19011 ISO 14001
SGCISO 9001:2000
Compatibilidad con otras normas
24AI 27001 REV.01-03-09
Compatibilidad con otras normas
ISO 9001 Sistemas de gestión de Calidad - requerimientos
IS0 14001 - Sistemas de gestión ambiental – Especificación con directivas de uso
25AI 27001 REV.01-03-09
ISO 19011
Contiene información sobre:
Términos y definiciones
Principios de auditoría
Gestión de un programa de auditoría
Actividades de auditoría
Competencia y evaluación de auditores
Directivas para la auditoría de los sistemas de gestión de la calidad y/o el
medio ambiente
26AI 27001 REV.01-03-09
Plan-Do-Check-Act
Plan
Los objetivos y los procesos tienen que estar planificados e implementados
Do
Los procesos son implementados
Check
Los procesos y el producto obtenido son monitorizados y medidos frente políticas, objetivos, requerimientos
Act
Se emprenden acciones para mejorar el proceso continuadamente
27AI 27001 REV.01-03-09
Cadena de actuaciones
Amenazas/VulnerabilidadesProbabilidad/Impacto
Gestión OrganizacionalGrado de Aseguramiento
Controles ISOControles adicionales
IndicadoresAuditoríasRevisión
Definición de Política y Objetivos
Determinación del Alcance
Análisis de Activos
Análisis de Riesgos
Gestión de Riesgos
Selección de Objetivos de Control y Controles
Métodos de Control
Implantación y Operación Práctica
Motorización y Revisión
Mantenimiento y Mejora Continua
PolíticaObjetivos
Alcance
ResultadosAnálisis
ResultadosAnálisis
PlanificaciónTratamiento
ObjetivosControles
Métodos
Acciones correctivasAcciones preventivas
PolíticasObjetivosProcesos
ProcedimientosInstrucciones
ControlesOtros
Plan
Do
Check
Act
28AI 27001 REV.01-03-09
Ciclo Plan-Do-Check-Act y mejora continuada
Act• Como mejorar
la próxima vez?
Emprender acciones para mejorar continuamente
la ejecución de los procesos – efectividad y eficiencia
Plan• ¿Qué hacer?• Como
hacerlo
Establecer los objetivos
necesarios para obtener resultados en
relación a las necesidades del cliente
y las políticas de la organización
Check• Ha salido según lo
planeado?
Monitorizar y medir procesos y el producto
en relación a políticas, objetivos y necesidades
Do• Hacer lo que se
planificó
Implantar los procesos
29AI 27001 REV.01-03-09
Partes
Necesidades y
expectativasde la
Seguridad de la
Información
Interesadas
Modelo PDCA aplicado a los procesos SGSI
Partes
Interesadas
Seguridad de la
información gestionada
Establecer el SGSI
Establecer el SGSI
Implantación y operativa
SGSI
Implantación y operativa
SGSI
Mantener y mejorar el
SGSI
Mantener y mejorar el
SGSI
Monitorizar y revisar el SGSI
Monitorizar y revisar el SGSI
Plan
Do Act
Check
30AI 27001 REV.01-03-09
ISO 27001 visión general y cláusula 4
Estructura de la ISO 27001
Alcance y aplicación
Cláusula 4. Sistema de Gestión de la Seguridad de la Información Cláusula 4.1 Requisitos generales Cláusula 4.2 Establecer y gestionar el SGSI Cláusula 4.3 Requerimientos de documentación
31AI 27001 REV.01-03-09
La estructura de la ISO 27001
1 Alcance 1.1 General
1.2 Aplicación
2 Referencias normativas
3 Términos y definiciones
4 Sistema de gestión de la seguridad de la información 4.1 Requisitos generales
4.2 Establecer y gestionar el SGSI
4.3 Requerimientos de documentación
ISO 27001Tecnología de la información – Técnicas de Seguridad – Sistemas de gestión de la seguridad de la información - Requerimientos
32AI 27001 REV.01-03-09
La estructura del ISO 27001
5 Responsabilidad de la Dirección 5.1 Compromiso de la dirección 5.2 Gestión de recursos
6 Auditorías internas SGSI
7. Revisión por la Dirección del SGSI 7.1 General 7.2 Entradas para la revisión 7.3 Salidas de la revisión
8 Mejora del SGSI 8.1 Mejora continuada 8.2 Acción correctiva 8.3 Acción preventiva
33AI 27001 REV.01-03-09
La estructura de la ISO 27001
Anexo A (normativo)Objetivos de control y controles
Anexo B (informativo)Principios OCDE* y la norma internacional
Anexo C (informativo)Correspondencia entre BS EN ISO 9001: 2000, BS EN ISO 14001:1996 e ISO 27001:2005
* OCDE: Organización para la Cooperación y el Desarrollo Económico compuesta por 30 Estados, cuyo objetivo es coordinar sus políticas económicas y sociales. Fue fundada en 1961 y su sede central se encuentra en la ciudad de París, Francia. Constituido como uno de los foros mundiales más influyentes
34AI 27001 REV.01-03-09
Alcance
Requerimientos para Establecer Implementar Ejecutar Monitorizar Revisar Mantener y Mejorar Un SGSI documentado dentro del contexto de los
riesgos generales de negocio de la organización
El SGSI está diseñado para asegurar La selección de controles de seguridad adecuados y
racionales que protejan los activos de información y aporten confianza a las partes interesadas
35AI 27001 REV.01-03-09
Aplicación de la norma
Genérica
Aplicable a todas las organizaciones
Exclusiones: No afecten a la capacidad o a la responsabilidad de
proporcionar seguridad de la información que cumpla con los requisitos de seguridad determinados por la evaluación de riesgos y los requerimientos reguladores
Deben ser justificadas y se deben proporcionar evidencias de que los riesgos asociados son admisibles
Los requisitos de las cláusulas 4, 5, 6, 7 y 8 no pueden excluirse
36AI 27001 REV.01-03-09
4.1 Requerimientos generales
La organización debe :
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado
Establecer el proceso según el modelo PDCA
37AI 27001 REV.01-03-09
ISO 27001; cláusula 4
4Sistema de gestión de la seguridad de la información
4.1Requisitos generales
4.2Establecer y gestionar el SGSI
4.3Requerimientos de documentación
4.2.1Establecer el SGSI
4.2.2Implantación y operativa del SGSI
4.2.3Monitorizar y revisar el SGSI
4.3.1General
4.3.2 Control de documentos
4.3.3Control de registros4.2.4
Mantener y mejorar el SGSI
38AI 27001 REV.01-03-09
ISO 27001:2005, cláusulas 5, 6, 7, 8 y Anexo A
Cláusula 5. Responsabilidad de la dirección Cláusula 5.1 Compromiso de la dirección Cláusula 5.2 Gestión de recursos
Cláusula 6. Auditoría interna SGSI
Cláusula 7. Revisión por la Dirección Cláusula 7.1 General Cláusula 7.2 Revisión entradas Cláusula 7.3 Revisión salidas
Cláusula 8. Mejora del SGSI Cláusula 8.1 Mejora continua Cláusula 8.2 Acción correctiva Cláusula 8.3 Acción preventiva
39AI 27001 REV.01-03-09
ISO 27001; cláusula 5
5Responsabilidad de la dirección
5.1Compromiso de la dirección
5.2 Gestión de recursos
5.2.1 Provisión de recursos
5.2.2Formación, concienciación y competencia
40AI 27001 REV.01-03-09
5.1 Responsabilidad de la dirección
La dirección evidenciará el compromiso de la dirección:
Comunicar la importancia de los objetivos de seguridad, requerimientos legales y regulatorios, la mejora continua
Establecer un objetivo, planes y la política de seguridad
Solicitar revisiones
Decidir el nivel de riesgo residual
41AI 27001 REV.01-03-09
5.2 Gestión de recursos
5.2.1 Proporcionar recursos para:
Configurar y mantener el SGSI
Establecer procedimientos de seguridad
Identificar requerimientos legales, regulatorios y contractuales
Adecuar la seguridad de los controles implantados
Llevar a cabo revisiones
Mejorar el proceso
42AI 27001 REV.01-03-09
5.2 Gestión de recursos
5.2.2 Formación, conciencia y competencia:
Las responsabilidades asignadas al personal del SGSI debe estar acorde a su competencia
Ofrecer formación
Evaluar la efectividad de la formación
Asegurar que los empleados estén concientizados
Mantener evidencias de formación, experiencia y efectividad
43AI 27001 REV.01-03-09
ISO 27001; cláusula 6
6Auditoría interna SGSI
44AI 27001 REV.01-03-09
ISO 27001; cláusula 7
7Revisión del SGSI por la Dirección
7.1General
7.2 Revisión entradas
7.3Revisión salidas
45AI 27001 REV.01-03-09
ISO 27001; cláusula 8
8Mejora del SGSI
8.1Mejora continua
8.2 Acción correctiva
8.3Acción preventiva
46AI 27001 REV.01-03-09
Inicio
Establecer el SGSI
Pre auditoria
Auditoria de certificación
CERTIFICACIÓNCERTIFICACIÓN
Acciones correctivas
SGSI
47AI 27001 REV.01-03-09
Es un reconocimiento por parte de una empresa independiente del cumplimiento y eficiencia de un Sistema de Gestión de la Calidad de una empresa.
Es una ventaja competitiva.
Certificación
48AI 27001 REV.01-03-09
Inicio
Establecer el SGSI
Pre auditoria
Auditoria de certificación
Auditorias de seguimiento
Año 2
Año 1
Año 3
Acciones correctivas
SGSI
49AI 27001 REV.01-03-09
Anexo A (normativa)
Objetivos de control y controles
Derivados de, y alineados con los de BS ISO/IEC 17799
Proporcionan ayuda en la implementación y orientación sobre las mejores prácticas en los controles para cumplir con los objetivos especificados
Referenciados durante la auditoría para identificar no-conformidades y acciones correctivas
50AI 27001 REV.01-03-09
Riesgo: herramientas y técnicas de evaluación
Gestión del riesgo
Evaluación del riesgo
51AI 27001 REV.01-03-09
Seguridad al 100%
52AI 27001 REV.01-03-09
Definiciones
Riesgo:
La posibilidad de incurrir en pérdida o daño
En riesgo:
Vulnerable, posibilidad de sufrir daño o pérdida
Correr un riesgo:
Incurrir en una acción sin considerar la posibilidad de daño que conlleva
Arriesgar:
Exponer a daño o pérdida
53AI 27001 REV.01-03-09
Riesgo de Seguridad
Un riesgo de seguridad es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información o grupo de ellos
54AI 27001 REV.01-03-09
Metodología
Riesgo residual
Límitey
Autorización
Identificacióny
Clasificación
Valoración del riesgo
Resultadoy
RecomendaciónNivel de aceptación
Plan de Tratamiento
Acción
AltaDirección
Procesos de gestión del riesgo
55AI 27001 REV.01-03-09
Clasificación de activos
Activos de información Base de datos Procedimientos Material de formación
Documentos en papel Inventarios Contratos
Activos de Software Aplicaciones software Software de sistema Herramientas “Case”
Activos físicos Ordenadores Fax Aparatos de aire
acondicionado Edificios Dispositivos de red Bienes
Personas Personal Clientes Suscriptores
Servicio Calefacción Red Telecomunicaciones Energía Aire acondicionado Agua corriente
Intangibles Buena voluntad / reputación Confianza en la organización Imagen corporativa
Dinero
56AI 27001 REV.01-03-09
Procesos de gestión del riesgo
Com
mun
icat
e &
con
sult
Mon
itor
& r
evie
w
Identificar riesgos
Analizar los Riesgos
Evaluar los Riesgos
Com
unic
ar y
con
sulta
r
Mon
itoriz
ar y
rev
isar
Val
orar
Rie
sgos
Tratar los Riesgos
Establecer el Contexto
57AI 27001 REV.01-03-09
Principios de gestión del riesgo
Transferir Evitar
Reducir
Consecuencia
Probabilidad
Aceptar
Muy Alta
Muy Baja Muy Alta
58AI 27001 REV.01-03-09
ÍtemRiesgo
Riesgo
MuyBajo
MuyAlto
#1
#2
#3
#4
#5
#6
#7
#8
#9#10
#11
Gestión del Riesgo (2)
Nivel de Control
Nivel ProtecciónMínimo
Nivel Aceptabledel RiesgoY1
59AI 27001 REV.01-03-09
Tiempo
Riesgo
Muy Bajo
MuyAlto
Nivel ProtecciónMínimo
Nivel de Control
#4
Nivel Aceptabledel RiesgoY1
Gestión del Riesgo (3)
T4T3T2T1
60AI 27001 REV.01-03-09
Valoración del riesgo (cuantitativo)
3K
(6)
Coste del
impacto
3KFormación interna de conducta
1.5K0.5alta1. Código malicioso2. Operación no autorizada3. Integridad del personal
F100 / Sistem
a de nómina
Financiero
(10)(9)(8)(7)(5)(4)(3)(2)(1)
TiempoCoste
ActividadPérdida esperad
a(5) X (6)
SeveridadRelación de Impactos probables
Ítem de
Riesgo
Tipo de riesgo
MitigaciónPrioridadAnálisisIdentificación
Prob. de
producirse.
61AI 27001 REV.01-03-09
Valoración del riesgo (semi-cuantitativo)
18
Nivel de riesgo
(1)X(2)X(3)
Impacto
2
1
3
Probabilidad
(2)
( C ):
Fuga de información sensible
( I ): Falsificación
(D):
Afectar la imagen corporativa
C – I -- A
Amenaza
3
3
3
Probabilidad
(3)
2
Valor
(1)
F100 / Sistema
de nóminas
No. SOPLista de Métodos
de Control
ListaPropietario /
Usuario / Ubicación
Catálogo
1. E07-1
2. P21-0
3. E02-2
4. P32-1
5. P02-3
1. Comprobar antecedentes
2. Gestión de contraseñas
3. Entornos aislados
4. Control de cambios
5. Vacaciones forzosas
6. Aumentar la frecuencia de “backup”
7. Definición de funciones
1. Código malicioso
2. Operación no autorizada
3. Integridad del personal
F. M. / Acc. / Dep.
Finanzas.
software
ControlContramedidaVulnerabilidadActivo de información
62AI 27001 REV.01-03-09
Valoración de riesgos (cualitativa)
Hacker
Probabilidad
Consecuencia
Intruso
Falta de formación IS
Acceso no autorizado
Fuego
Actos de Diós
Robo
Usoinapropiado
Cuestión IPR
Baja Media Alta
Media
Alta
Huelga
Fallo deBackup
Fallo en emplazamiento
remoto
Fallo de CCTV
Fallo BCP
Fallo del cortafuegos
Fallo de red
Código malicioso
Empleado resentido
Falta de configuraciones
IncumplimientoDel contrato
Integridad
El seguro no cubre
Fallo de electricidad
FalloUPS
Fraude
63AI 27001 REV.01-03-09
Auditoria
64AI 27001 REV.01-03-09
AUDITORIA
Proceso sistemático, independiente y documentado para obtener evidencias de auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoria.
ISO 19011
65AI 27001 REV.01-03-09
Principios de Auditoria
Integridad
Presentación Ecuánime
Debido Cuidado Profesional
Confidencialidad
Independencia
Enfoque basado en la Evidencia
66AI 27001 REV.01-03-09
Tipos de Auditoría según la Relación cliente - proveedor
AUDITORIA INTERNA Auditorias de 1ª parte, son conducidas por la
propia organización o en su nombre, para propósitos internos o de análisis crítico por la dirección, y pueden constituir la base para una auto declaración de conformidad de la organización.
AUDITORIA EXTERNA De 2ª parte: ejecutada por el cliente De 3ª parte: ejecutada por Organismos de
Certificación
67AI 27001 REV.01-03-09
Conjunto de políticas, procedimientos o requisitos utilizados como referencia
Registros, declaraciones de hecho o cualquier otra información que son pertinentes para los criterios de auditoria y que son verificables
Resultado de la evaluación de la evidencia de la auditoria recopilada frente a los criterios de la auditoria
Persona con la competencia para llevar a cabo una auditoria
Uno a más auditores que llevan a cabo una auditoria, con el apoyo de expertos técnicos, si es necesario.
Persona que aporta conocimientos específicos o su experiencia al equipo auditor
Conjunto de una o mas auditorias planificadas para unperiodo de tiempo determinado y dirigidas hacia un propósito específico
Descripción de las actividades in situ y de los preparativos de una auditoria
Extensión y límites de una auditoría
3.2 criterios de auditoría
3.3 evidencia de auditoría
3.4 hallazgos de la auditoría
3.8 auditor
3.9 equipo auditor
3.10 experto técnico
3.11 programa de auditoría
3.12 plan de auditoría
3.13 alcance de auditoría
Términos y Definiciones
68AI 27001 REV.01-03-09
Gestión de un programa de auditoría
Objetivos y amplitud de un programa de auditoría
Responsabilidades, recursos y procedimientos del programa de auditoría
Implementación del programa de auditoría
Registros del programa de auditoría
Seguimiento y revisión del programa de auditoría
69AI 27001 REV.01-03-09
Autoridad para programar
Establecer el programa• objetivos/ alcance• procedimientos• recursos• responsabilidades
Implementar el programa• programar las auditorías• desarrollar los planes de auditoría• evaluar los auditores• seleccionar el equipo auditor• dirigir las actividades de auditoría• mantener los registros
Monitorear y revisar el Programa
Plan
Do
Check
Act Mejorar el Programa
Gestión de un programa de auditoria
70AI 27001 REV.01-03-09
Actividades de auditoría
Inicio de la auditoría
Revisión de la documentación
Preparación de las actividades de auditoría in situ
Realización de las actividades de auditoría in situ
Preparación, aprobación y distribución del informe de la auditoría
Finalización de la auditoría
Realización de las actividades de seguimiento de una auditoría
71AI 27001 REV.01-03-09
Cómo Conducir una Auditoría Eficaz ‘Basada en Procesos’
Reunión de planificación Reunión de planificación previa a la auditoríaprevia a la auditoría
Reunión con elRepresentante de la Dirección
Revisión de los procesos
Revisión de registrosde procesos importantes
Acuerdo sobreAcuerdo sobreel alcance de la auditoríael alcance de la auditoría
Entender lasecuencia de
actividades
Entender elEntender elfuncionamiento funcionamiento de los procesosde los procesos
Revisión documentosPlan de auditoría
Elaboración checklist
Realización de la auditoríaIdentificación de mejoras
Documentar y emitir el InformeDocumentar y emitir el Informede Auditoría y SACsde Auditoría y SACs
Reunión de CierreReunión de CierrePresentación de hallazgosPresentación de hallazgos
Auditorías de SeguimientoAuditorías de Seguimientoy cierre de hallazgosy cierre de hallazgos
72AI 27001 REV.01-03-09
Inicio de la Auditoria
Designación del líder de equipo auditor
Definición de los objetivos, el alcance y los criterios de auditoria
Determinación de la viabilidad de la auditoria
Selección del equipo auditor
Establecimiento del contacto inicial con el auditado
73AI 27001 REV.01-03-09
Documentos: documentos y registros relevantes del SGSI reportes de auditorías anteriores
Propósito:
informar a los auditores de los procesos a ser auditados
diseñar un plan de auditoría desarrollar una lista de verificación o checklist
Revisión de la documentación
74AI 27001 REV.01-03-09
Para:
Proporcionar información al equipo auditor, al auditado y al cliente;
Permitir la programación y coordinación de las actividades de auditoría.
Preparación del plan de auditoria
Preparación de las actividades de auditoria in situ
75AI 27001 REV.01-03-09
Líder del equipo
Miembros del equipo
Papel y responsabilidad de:
Asignación de las tareas al equipo auditor
76AI 27001 REV.01-03-09
Auditor Líder
Posee experiencia adicional en auditorias
Responsable de:
Todas las fases de la auditoría. La selección de los miembros del equipo. La preparación del plan de auditoría. Representar al equipo auditor ante la gerencia. La preparación y entrega del informe de auditoría La dirección de las actividades de seguimiento.
77AI 27001 REV.01-03-09
Auditor
Posee experiencia adicional en auditorias
Responsable de:
Apoya al equipo auditor durante la auditoria Realizar toda la planificación asignada Documenta el 100% de la evidencia revisada En caso de existir no conformidades, estás deben estar
sustentada en evidencias y criterios de auditoria Entrega informe de auditoria al auditor líder. Realiza actividades de seguimiento.
78AI 27001 REV.01-03-09
Experto Técnico
Si el conocimiento y habilidades necesarios no se encuentran cubiertos en su totalidad por los auditores del equipo auditor, se pueden satisfacer incluyendo expertos técnicos.
Los expertos técnicos actúan bajo ladirección de un auditor.No auditan sólo son el complemento técnico de la auditoría y apoyan en estos temas al equipo auditor.
79AI 27001 REV.01-03-09
Preparación de documentos de trabajo
Listas de Verificación y planes de muestreo de auditoria
Formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoria y registros de las reuniones
El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de auditoria, que pueden cambiarse como resultado de la información recopilada durante la auditoria.
80AI 27001 REV.01-03-09
Propósito de la Lista de Verificación
■ Asegurar la profundidad y la continuidad de la investigación.
■ Ayuda a mantener la marcha de la auditoría con una rápida referencia de las áreas auditadas.
■ Ayuda al auditor líder a hacer reasignaciones rápidas cuando se necesiten
■ Provee registro de ejecución de la auditoría.
81AI 27001 REV.01-03-09
Lista de Verificación
Preparadas para cada actividad / proceso del sistema de gestión de calidad
Registrar el cumplimiento o incumplimiento
Oportunidad de resumir y sintetizar las observaciones
Despersonaliza la auditoría Administración de tiempo Uniformidad al proceso de auditoría
VENTAJAS:
82AI 27001 REV.01-03-09
Realización de las actividades de auditoria in situ
Reunión de apertura
Comunicación durante la auditoria
Papel y responsabilidades de los guías y observadores
Recopilación y Verificación de la información
Generación de hallazgos
Conclusiones de auditoria
Reunión de Cierre
83AI 27001 REV.01-03-09
Reunión de Apertura
Requiere la asistencia de:
Conducida por el auditor líderPresentación del equipo auditorRevisión del Itinerario de auditoríaMétodo de auditoríaAlcance y criterio de AuditoríaCanales de comunicaciónOportunidad para realizar preguntas
Equipo auditorMiembros del área auditadaRepresentante de la gerencia
84AI 27001 REV.01-03-09
Recopilación y verificación de la información
Recopilar mediante un muestreo apropiado y verificar, la información pertinente para los objetivos, el alcance y los criterios de auditoria, incluyendo información relacionada con las interrelaciones entre funciones, actividades y procesos. Sólo la información que es verificable puede constituir evidencia de la auditoria.
Registrar la evidencia de auditoria
85AI 27001 REV.01-03-09
El proceso de Auditoria
Hallazgos dela auditoría
Fuentes de información
Información
Evidencia de auditoría
Conclusiones de la auditoría
Reunir y seleccionar información
Verificación
Comparar con el criterio de la auditoría
Revisión
86AI 27001 REV.01-03-09
Métodos para recopilar información
Entrevistas
Observación de actividades
Revisión de documentos
87AI 27001 REV.01-03-09
Generación de hallazgos de auditoria
La evidencia de auditoria evaluada frente a los criterios de auditoria genera los hallazgos de auditoria
Los hallazgos de auditoria pueden indicar tanto conformidad como no conformidad con los criterios de auditoria.
Los hallazgos de auditoria pueden identificar una oportunidad para la mejora.
El equipo auditor debe reunirse cuando sea necesario para revisar los hallazgos de la auditoria en etapas adecuadas durante la misma.
88AI 27001 REV.01-03-09
Técnicas
Técnicas de Verificación:Entrevista.Muestreo.Rastreo.Comprobación.
Listas de verificación
Técnicas que requieren ser desarrolladas por el auditor hasta conseguir habilidad y experiencia.
89AI 27001 REV.01-03-09
Determinación de la Muestra para la Auditoría
a) Actividades rutinarias de trabajo.
b) Actividades no rutinarias.
c) Métodos que estén relacionados con estos trabajos y con sus errores.
90AI 27001 REV.01-03-09
Consejos para Ejecutar la Auditoria
Contacto cara a cara. Mostrarse interesado. Tomar notas en corto tiempo. Inclinar la cabeza (aceptar), ocasionalmente. Observar el lenguaje corporal. Hablar claramente. Preguntas abiertas. Verificar con evidencia. Preguntas silenciosas. Dar las gracias.
91AI 27001 REV.01-03-09
Actitudes a tomar para controlar la auditoria
Permanecer seguro
Administrar el tiempo adecuadamente
No dejarse conducir o engañar
Ser detallista y eficiente
Evitar apartarse del tema
Evitar saturarse
92AI 27001 REV.01-03-09
Tácticas del Auditado
Pérdida de tiempo
Querer manejar al auditor
Probar la fortaleza de
carácter del auditor
Respuestas limitadas
Situaciones inesperadas
93AI 27001 REV.01-03-09
El auditor debe evitar…
Ser controvertido Ser negativo, indisciplinado Ser crítico Caer en disputas Discutir personalidades Comparar al auditado Ser sarcásticos Utilizar palabras ofensivas
94AI 27001 REV.01-03-09
Puntos clave para recordar…
Pregunte
Escuche
Observe
Piense
Evalúe
Registre
95AI 27001 REV.01-03-09
Preparación de las conclusiones de la auditoria
Revisar los hallazgos de la auditoria y cualquier otra información apropiada recopilada durante la auditoria frente a los objetivos de la misma.
En caso de existir no conformidades se deben documentar.
Acordar las conclusiones de la auditoria, teniendo en cuenta la incertidumbre inherente al proceso de auditoria
Preparar recomendaciones, si estuviera especificado en los objetivos de la auditoria, y
Comentar el seguimiento de la auditoria, si estuviera incluido en el plan de la misma.
El equipo auditor debe reunirse antes de la reunión de cierre para:
96AI 27001 REV.01-03-09
No conformidad
Oportunidad de mejora
Hallazgos de la auditoría
Un hallazgo de la auditoría puede ser:
97AI 27001 REV.01-03-09
El no cumplimiento de un requisito.
(ISO 9000:2005)
No conformidad
98AI 27001 REV.01-03-09
Cumplimiento de la norma
Implementación de un proceso u otros requisitos documentados
Implementación de requisitos legales o contractuales
No requisito = No es no conformidad
Puede ser una falla en:
Una No Conformidad
99AI 27001 REV.01-03-09
1. Visión general del hallazgo
2. Descripción de la no conformidad
3. Ejemplo de evidencia objetiva
4. Resumen del requisito
Incluye:
Una declaración de Hallazgo
100AI 27001 REV.01-03-09
EJEMPLO1
Se evidencia que la organización ha definido política de control de visitantes mediante credenciales con número de identificación; sin embargo,
2
no se evidencia que tal política no se cumple cuando la visita olvida devolver la credencial y regresa al siguiente día a continuar trabajando con la misma credencial sin ser registrados en recepción.
3
Casos:
Instaladores de la fibra óptica en el área de almacenamiento credenciales 1324, 1325. Estas credenciales corresponden a la secuencia del día de ayer (23/03/200x) que fue de 1312 hasta 1329.
4
Incumpliendo el requisito del anexo A.9.1.1 Perímetro de seguridad física “Control: Los perímetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta, o puesto de recepción manual) deben utilizarse para proteger las áreas que contienen la información y las instalaciones de procesamiento de la información.”.
101AI 27001 REV.01-03-09
MAYOR::
incumplimiento total de un proceso, procedimiento u operación del sistema de calidad
ausencia total de un requisito número de fallas menores indicando una ruptura total
del sistema Riesgo inminente para la calidad del producto
MENOR:: Fallas menos severas en un proceso, procedimiento u
operación del sistema de calidad
Clasificación de las SACs
102AI 27001 REV.01-03-09
No es esencial
El propósito es la mejora del sistema
Acciones correctivas eficaces son más
importantes
Clasificación: Auditoría de Primera Parte
103AI 27001 REV.01-03-09
Puntos buenos que pueden beneficiar a otras áreas de la organización
Áreas de interés
Deficiencias a las que se les concede el “beneficio de la duda”
Recomendaciones para la mejora
Oportunidades para la mejora
104AI 27001 REV.01-03-09
Reunión de Cierre
Objetivo y alcance.
Muestreo.
Presentación de hallazgos.
Detallar hallazgos con soporte de evidencia.
Entrega de SAC’s y obtener firma.
Tiempo de respuesta de SAC’s.
Evitar abuso de su posición como auditor.
Informe de Auditoría y seguimiento.
Agradecer las atenciones.
105AI 27001 REV.01-03-09
Alcance y objetivo.
Itinerario de la Auditoría.
Identificar la documentación de referencia.
Ref. de Listas de Verificación.
Integrantes del equipo Auditor.
Personal contactado (de la empresa).
Resumen de hallazgos.
Preparación, aprobación y distribución del informe de auditoria
Informe de Auditoria
106AI 27001 REV.01-03-09
Informe de Auditoria
Identificar las NO-CONFORMIDADES.
Solicitud de Acciones Correctivas.
Indicar el motivo por el cual se llegó a omitir algún elemento. Cuando aplique.
Resumen con declaración del equipo auditor sobre el cumplimiento del Sistema hacia los objetivos.
Detalle de las acciones de seguimiento.
Preparación, aprobación y distribución del informe de auditoria
107AI 27001 REV.01-03-09
Opiniones subjetivas.
Información confidencial.
Crítica hacia individuos.
Declaraciones ambiguas.
Detalles triviales.
Hallazgos no mencionados en la reunión de cierre.
No incluir en el Informe de Auditoria los siguientes aspectos:
108AI 27001 REV.01-03-09
Aprobación y distribución del informe de auditoria
Tiempo de entrega
Fechado, revisado y aprobado
Distribuido a los receptores autorizados
Confidencialidad
Preparación, aprobación y distribución del informe de auditoria
109AI 27001 REV.01-03-09
Finalización y Seguimiento
Una auditoria finaliza cuando todas las actividades descritas en el plan de auditoria se hayan realizado y el informe de auditoria aprobado se haya distribuido.
Actividades de seguimiento de una auditoria según las conclusiones (acciones correctivas, preventivas o de mejora).
Verificación de implementación de acciones y su eficacia.
110AI 27001 REV.01-03-09
Competencia y evaluación de los auditores
Atributos personales
Conocimientos y habilidades
Educación, experiencia laboral, formación como auditor y experiencia en auditorías
Mantenimiento y mejora de la competencia
Evaluación del auditor
111AI 27001 REV.01-03-09
Competencia y evaluación de los auditores
La fiabilidad en el proceso de auditoria y la confianza en el mismo dependen de la competencia de aquellos que llevan a cabo la auditoria. Esta competencia se basa en la demostración de: Las cualidades personales Aptitud para aplicar los conocimientos y habilidades,
adquiridos mediante la educación, experiencia laboral formación como auditor, y la experiencia en auditorias
112AI 27001 REV.01-03-09
Atributos personales
Ético.- imparcial, honesto y discreto
Mentalidad abierta.- dispuesto a considerar ideas o puntos de vista alternativos
Diplomático.- con tacto en las relaciones con las personas
Observador .-activamente consciente y capaz de entender las situaciones
Versátil.- se adapta fácilmente a diferentes situaciones
Tenaz.- alcanza conclusiones oportunas basadas en el análisis y razonamiento lógicos,
Seguro de si mismo.-actúa y funciona de forma independiente a la vez que se relaciona eficazmente con otros.
113AI 27001 REV.01-03-09
Conocimientos y habilidades
Aplicar principios y técnicas de auditoria
Planificar y organizar el trabajo eficazmente
Llevar a cabo la auditoria dentro del horario acordado
Establecer prioridades y centrarse en los asuntos de importancia
Conocimientos genéricos y habilidades de los líderes de equipos auditores
Conocimientos específicos y habilidades de auditores de Sistemas de Gestión de la calidad
114AI 27001 REV.01-03-09
Auditores
Puntos a ser considerados en la calificación:
Educación Experiencia Participación en auditorías Adiestramiento
a) Técnicas de auditoríab) Sistemas de Calidad
Registros de calificación
115AI 27001 REV.01-03-09
Ya en la práctica…
116AI 27001 REV.01-03-09
REUNIÓN DE APERTURA
Saludar y realizar la presentación del equipo auditor
Agradecer la presencia de los auditados y auditores
Leer el alcance de la auditoria
Explicar el proceso de preparación de la auditoria incluida la realización del plan de auditoria y la revisión documental
Explicar que la auditoria busca evidenciar que el SGGI esté implementado y se mantenga de manera eficaz
Hacer énfasis en la necesidad de apertura de parte de los auditados así como el aporte de los auditores
Explicar al auditado que la información que se maneje durante la auditoria será confidencial y que los auditores hemos firmado acuerdo de confidencialidad
117AI 27001 REV.01-03-09
REUNIÓN DE APERTURA
Explicar que la auditoria es un proceso de muestreo.
Explicar y aclarar el proceso para comunicar los hallazgos durante la auditoría.
Confirmar el punto de contacto si se descubre un aspecto importante.
Explicar la categorización de No Conformidad Mayor / Menor y Observación
Confirmar el plan de auditoria, incluyendo cualquier cambio de actividades o de cobertura
Indicar que si durante la auditoria se tiene previsto revisar un proceso que requiera protección personal se nos haga conocer para tomar las precauciones del caso
Confirmar la hora para la reunión de cierre, invitar a los asistentes, así como a otras funciones interesadas
118AI 27001 REV.01-03-09
REUNIÓN DE CIERRE
Saludar y dar las gracias por la asistencia a la reunión de cierre, tanto a auditados como auditores.
Dar a conocer en resumen el resultado de la auditoria (Procesos revisados, fortalezas y debilidades (no conformidades)).
Dar a conocer el tratamiento que se le tiene que dar a las no conformidades y las actividades de seguimiento de las mismas.
Estar dispuesto a resolver consultas por parte de los auditados
Dar las gracias y despedirse
119AI 27001 REV.01-03-09
WHEN YOU NEED TO BE
SURE!
MUCHAS GRACIAS POR SU
PARTICIPACION
SGS del Ecuador S.A.
Km. 5.5 Vía a Daule
(Junto al Colegio Dolores Sucre)
Guayaquil, Ecuador
República del Salvador N35 182 y Suecia
Edif. Almirante Colón ,Piso 3
Quito, Ecuador
Rosalyn RamírezOperations CoordinatorSystems & Services Certificatione: [email protected]
Telf: +593(4) 2252300 ext.129Móvil: +593(9) 9485923Fax: +593(4) 2252300 ext. 214