Informacin

La informacin es un activo que, como

otros activos importantes del negocio,
tiene valor para una organizacin y, por
lo tanto, necesita ser protegido
adecuadamente

ISO
17799:2005

AI 27001 5
REV.01-03-09
 Tipo de Informacin

Escrita / Presentacione
Impresa s

Electrnica Enviada correo

Verbal / Conversaciones
AI 27001 6
REV.01-03-09
 Ciclo de la Informacin

La informacin puede ser:

Creada Almacenada

Transmitida
Procesada

AI 27001 7
REV.01-03-09
 Ciclo de la Informacin

La informacin puede ser:

Utilizada: Para propsitos correctos e incorrectos

Destruida, Perdida, Corrompida

AI 27001 8
REV.01-03-09
 Informacin

Cualquier forma que tome la informacin,

o los medios mediante los cuales es
compartida o almacenada, debe ser
siempre protegida de una forma
apropiada
ISO
17799:2005

AI 27001 9
REV.01-03-09
 Amenazas
Virus, Gusanos, Troyanos = Malware.
Robo de informacin

Mails annimos con informacin Captura del PC desde el exterior

crtica o con agresiones, infectada
Robo de contraseas Ingreso a la red de las empresas
desde el internet con fines no ticos
Robo de laptops -
Hackers Fraudes informticos. informacin

Programas bomba destruccin de informacin

Destruccin de equipos
Acceso indebido a documentos
confidenciales Intercepcin de
Phishing
comunicaciones
(pesca)
Software Falsificacin de documentos
ilegal
Ingeniera Social (Kevin Mitnick)
AI 27001 10
REV.01-03-09
 Seguridad de Informacin

La seguridad de informacin protege la

informacin de las amenazas para
asegurar la continuidad del negocio,
minimizar el perjuicio para el negocio y
maximizar el retorno de la inversin y de
las oportunidades del negocio

AI 27001 12
REV.01-03-09
 Seguridad de la Informacin
Procesos
Tecnologa Equipos Personas

INFORMACIN

Proteger la Informacin
AI 27001 13
REV.01-03-09
 Seguridad de Informacin
Confidencialidad
Garantiza el acceso a la informacin
de acuerdo con las funciones y
autorizada

Principios
de seguridad

Integridad Disponibilidad
Asegura que la informacin no ha Asegura el acceso a la
sido modificada protegiendo la informacin cuando lo requieren
totalidad, exactitud y mtodos de las personas autorizadas
almacenamiento
AI 27001 14
REV.01-03-09
 Seguridad de Informacin

En algunas organizaciones, la integridad y/o

la disponibilidad puede ser ms importante
que la confidencialidad.
Confidencialidad

Disponibilidad
Integridad

AI 27001 15
REV.01-03-09
 Plan-Do-Check-Act

Plan
Los objetivos y los procesos tienen que estar
planificados e implementados
Do
Los procesos son implementados

Check
Los procesos y el producto obtenido son
monitorizados y medidos frente polticas, objetivos,
requerimientos

Act
Se emprenden acciones para mejorar el proceso
continuadamente
AI 27001 26
REV.01-03-09
 Ciclo Plan-Do-Check-Act y mejora
continuada
Establecer los
Emprender acciones para objetivos
mejorar continuamente necesarios para
la ejecucin de los procesos obtener resultados en
efectividad y eficiencia
Act Plan relacin a las
necesidades del cliente
Qu hacer?
Como mejorar Como y las polticas de la
la prxima vez? hacerlo
organizacin

Check Do
Hacer lo que se
Ha salido segn lo planific
planeado?
Monitorizar y medir Implantar los
procesos y el producto procesos
en relacin a polticas, objetivos
y necesidades

AI 27001 28
REV.01-03-09
 Modelo PDCA aplicado a los procesos SGSI

Plan

Establecer
Establecerelel
SGSI
SGSI

Partes Mantener Partes

Implantacin
Implantacin Manteneryy
Do yy operativa mejorar
mejorarelel Act
Interesadas operativa SGSI Interesadas
SGSI SGSI
SGSI

Necesidades
y Seguridad
expectativas de la
de la Monitorizar
Monitorizaryy informacin
Seguridad revisar
de la revisarelelSGSI
SGSI gestionada
Informacin

Check

AI 27001 29
REV.01-03-09
 SGSI

Pre Acciones
Inicio
auditoria correctivas
CERTIFICACIN

Establecer el Auditoria de
SGSI certificacin

AI 27001 46
REV.01-03-09
 Certificacin

Es un reconocimiento por parte de una

empresa independiente del cumplimiento y
eficiencia de un Sistema de Gestin de la
Calidad de una empresa.

Es una ventaja competitiva.

AI 27001 47
REV.01-03-09
 SGSI

Pre Acciones Auditorias de

Inicio auditoria correctivas seguimiento

Ao Ao Ao
1 2 3

Establecer el Auditoria de
SGSI certificacin

AI 27001 48
REV.01-03-09
 Riesgo: herramientas y tcnicas de
evaluacin

Gestin del riesgo

Evaluacin del riesgo

AI 27001 50
REV.01-03-09
 Seguridad al 100%

AI 27001 51
REV.01-03-09
 Definiciones

Riesgo:

La posibilidad de incurrir en prdida o dao

En riesgo:

Vulnerable, posibilidad de sufrir dao o prdida

Correr un riesgo:

Incurrir en una accin sin considerar la posibilidad de dao que

conlleva

Arriesgar:

Exponer a dao o prdida

AI 27001 52
REV.01-03-09
 Valoracin de riesgos (cualitativa)

Probabilidad
Alta El seguro
Fallo de CCTV Acceso no autorizado no cubre
Robo
Falta de Cdigo malicioso
configuraciones Falta de
Fallo de formacin IS
Backup
Intruso
Fallo de red
Fallo de
Integridad electricidad
Media Fraude
Fallo BCP
Fallo en
Uso emplazamiento Incumplimiento
inapropiado remoto Del contrato Fallo
UPS
Hacker Cuestin IPR Fuego

Huelga Empleado resentido Fallo del

Actos de Dis
cortafuegos

Baja Media Alta

Consecuencia
AI 27001 62
REV.01-03-09
 Auditoria

AI 27001 63
REV.01-03-09
 AUDITORIA

Proceso sistemtico, independiente y

documentado para obtener evidencias de
auditoria y evaluarlas de manera objetiva
con el fin de determinar la extensin en
que se cumplen los criterios de auditoria.

ISO 19011

AI 27001 64
REV.01-03-09
 Principios de Auditoria

Integridad
Presentacin Ecunime
Debido Cuidado Profesional
Confidencialidad
Independencia
Enfoque basado en la Evidencia

AI 27001 65
REV.01-03-09
 Tipos de Auditora segn la
Relacin cliente - proveedor

AUDITORIA INTERNA
Auditorias de 1 parte, son conducidas
por la propia organizacin o en su
nombre, para propsitos internos o de
anlisis crtico por la direccin, y pueden
constituir la base para una auto
declaracin de conformidad de la
organizacin.

AUDITORIA EXTERNA
De 2 parte: ejecutada por el cliente
De 3 parte: ejecutada por Organismos de
Certificacin

AI 27001 66
REV.01-03-09
 Trminos y Definiciones
Conjunto de polticas, procedimientos o requisitos utilizados
3.2 criterios de auditora como referencia

Registros, declaraciones de hecho o cualquier otra informacin

3.3 evidencia de auditora que son pertinentes para los criterios de auditoria y que son
verificables

Resultado de la evaluacin de la evidencia de la auditoria

3.4 hallazgos de la auditora recopilada frente a los criterios de la auditoria

3.8 auditor Persona con la competencia para llevar a cabo una auditoria

Uno a ms auditores que llevan a cabo una auditoria,

3.9 equipo auditor con el apoyo de expertos tcnicos, si es necesario.

Persona que aporta conocimientos especficos o su experiencia

3.10 experto tcnico al equipo auditor

Conjunto de una o mas auditorias planificadas para un

3.11 programa de auditora periodo de tiempo determinado y dirigidas hacia un propsito
especfico

Descripcin de las actividades in situ y de los preparativos de

3.12 plan de auditora una auditoria

Extensin y lmites de una auditora

3.13 alcance de auditora
AI 27001 67
REV.01-03-09
 Gestin de un programa de auditora

Objetivos y amplitud de un programa de

auditora
Responsabilidades, recursos y
procedimientos del programa de
auditora
Implementacin del programa de
auditora
Registros del programa de auditora
Seguimiento y revisin del programa de
auditora

AI 27001 68
REV.01-03-09
 Gestin de un programa de auditoria

Autoridad para
programar

Establecer el programa
objetivos/ alcance
procedimientos Plan
recursos
responsabilidades

Implementar el programa
Act Mejorar el programar las auditoras
Programa desarrollar los planes de auditora Do
evaluar los auditores
seleccionar el equipo auditor
dirigir las actividades de auditora
mantener los registros

Check
Monitorear y revisar el
Programa
AI 27001 69
REV.01-03-09
 Actividades de auditora

Inicio de la auditora
Revisin de la documentacin
Preparacin de las actividades de auditora in situ
Realizacin de las actividades de auditora in situ
Preparacin, aprobacin y distribucin del informe
de la auditora
Finalizacin de la auditora
Realizacin de las actividades de seguimiento de
una auditora

AI 27001 70
REV.01-03-09
 Inicio de la Auditoria

Designacin del lder de equipo auditor

Definicin de los objetivos, el alcance y
los criterios de auditoria
Determinacin de la viabilidad de la
auditoria
Seleccin del equipo auditor
Establecimiento del contacto inicial con
el auditado

AI 27001 72
REV.01-03-09
 Revisin de la documentacin

Documentos:
documentos y registros relevantes del SGSI
reportes de auditoras anteriores

Propsito:

informar a los auditores de los procesos a ser

auditados
disear un plan de auditora
desarrollar una lista de verificacin o checklist

AI 27001 73
REV.01-03-09
 Preparacin de las actividades de auditoria
in situ

Preparacin del plan de auditoria

Para:
Proporcionar informacin al equipo
auditor, al auditado y al cliente;

Permitir la programacin y coordinacin

de las actividades de auditora.

AI 27001 74
REV.01-03-09
 Asignacin de las tareas al equipo auditor

Papel y responsabilidad de:

Lder del equipo

Miembros del equipo

AI 27001 75
REV.01-03-09
 Auditor Lder

Posee experiencia adicional en auditorias

Responsable de:

Todas las fases de la auditora.

La seleccin de los miembros del equipo.
La preparacin del plan de auditora.
Representar al equipo auditor ante la gerencia.
La preparacin y entrega del informe de auditora
La direccin de las actividades de seguimiento.

AI 27001 76
REV.01-03-09
 Auditor

Posee experiencia adicional en auditorias

Responsable de:

Apoya al equipo auditor durante la auditoria

Realizar toda la planificacin asignada
Documenta el 100% de la evidencia revisada
En caso de existir no conformidades, ests deben estar
sustentada en evidencias y criterios de auditoria
Entrega informe de auditoria al auditor lder.
Realiza actividades de seguimiento.

AI 27001 77
REV.01-03-09
 Experto Tcnico

Si el conocimiento y habilidades necesarios no se

encuentran cubiertos en su totalidad por los auditores del
equipo auditor, se pueden satisfacer incluyendo expertos
tcnicos.

Los expertos tcnicos actan bajo la

direccin de un auditor.
No auditan slo son el complemento tcnico de la
auditora y apoyan en estos temas al equipo auditor.

AI 27001 78
REV.01-03-09
 Preparacin de documentos de trabajo

Listas de Verificacin y planes de muestreo de auditoria

Formularios para registrar informacin, tal como evidencias
de apoyo, hallazgos de auditoria y registros de las reuniones

El uso de listas de verificacin y formularios no debera

restringir la extensin de las actividades de auditoria, que
pueden cambiarse como resultado de la informacin
recopilada durante la auditoria.

AI 27001 79
REV.01-03-09
 Propsito de la Lista de Verificacin

Asegurar la profundidad y la continuidad de la investigacin.

Ayuda a mantener la marcha de la auditora con una rpida
referencia de las reas auditadas.
Ayuda al auditor lder a hacer reasignaciones rpidas cuando se
necesiten
Provee registro de ejecucin de la auditora.

AI 27001 80
REV.01-03-09
 Lista de Verificacin

Preparadas para cada actividad / proceso del sistema de

gestin de calidad

Registrar el cumplimiento o incumplimiento

Oportunidad de resumir y sintetizar las observaciones

VENTAJAS:

Despersonaliza la auditora
Administracin de tiempo
Uniformidad al proceso de auditora

AI 27001 81
REV.01-03-09
 Realizacin de las actividades de auditoria in situ

Reunin de apertura
Comunicacin durante la auditoria
Papel y responsabilidades de los guas y
observadores
Recopilacin y Verificacin de la informacin
Generacin de hallazgos
Conclusiones de auditoria
Reunin de Cierre

AI 27001 82
REV.01-03-09
 Reunin de Apertura

Requiere la asistencia de:

Equipo auditor
Miembros del rea auditada
Representante de la gerencia

Conducida por el auditor lder

Presentacin del equipo auditor
Revisin del Itinerario de auditora
Mtodo de auditora
Alcance y criterio de Auditora
Canales de comunicacin
Oportunidad para realizar preguntas

AI 27001 83
REV.01-03-09
 Recopilacin y verificacin de la
informacin

Recopilar mediante un muestreo apropiado y

verificar, la informacin pertinente para los
objetivos, el alcance y los criterios de auditoria,
incluyendo informacin relacionada con las
interrelaciones entre funciones, actividades y
procesos. Slo la informacin que es verificable
puede constituir evidencia de la auditoria.
Registrar la evidencia de auditoria

AI 27001 84
REV.01-03-09
 El proceso de Auditoria

Fuentes de
Reunir y seleccionar informacin
informacin
Informacin
Verificacin
Evidencia de
auditora
Comparar con el criterio
de la auditora Hallazgos de
la auditora
Revisin
Conclusiones
de la auditora

AI 27001 85
REV.01-03-09
 Mtodos para recopilar informacin

Entrevistas
Observacin de actividades
Revisin de documentos

AI 27001 86
REV.01-03-09
 Generacin de hallazgos de auditoria

La evidencia de auditoria evaluada frente a

los criterios de auditoria genera los
hallazgos de auditoria
Los hallazgos de auditoria pueden indicar
tanto conformidad como no conformidad
con los criterios de auditoria.
Los hallazgos de auditoria pueden identificar
una oportunidad para la mejora.
El equipo auditor debe reunirse cuando sea
necesario para revisar los hallazgos de la
auditoria en etapas adecuadas durante la
misma.

AI 27001 87
REV.01-03-09
 Tcnicas

Tcnicas de Verificacin:
Entrevista.
Muestreo.
Rastreo.
Comprobacin.

Listas de verificacin

Tcnicas que requieren ser desarrolladas por el

auditor hasta conseguir habilidad y experiencia.

AI 27001 88
REV.01-03-09
 Determinacin de la Muestra para la Auditora

a) Actividades rutinarias de trabajo.

b) Actividades no rutinarias.
c) Mtodos que estn relacionados con estos trabajos y con
sus errores.

AI 27001 89
REV.01-03-09
 Consejos para Ejecutar la Auditoria
Contacto cara a cara.
Mostrarse interesado.
Tomar notas en corto tiempo.
Inclinar la cabeza (aceptar), ocasionalmente.
Observar el lenguaje corporal.
Hablar claramente.
Preguntas abiertas.
Verificar con evidencia.
Preguntas silenciosas.
Dar las gracias.

AI 27001 90
REV.01-03-09
 Actitudes a tomar para controlar la auditoria

Permanecer seguro
Administrar el tiempo adecuadamente
No dejarse conducir o engaar
Ser detallista y eficiente
Evitar apartarse del tema
Evitar saturarse

AI 27001 91
REV.01-03-09
 Tcticas del Auditado

Prdida de tiempo
Querer manejar al auditor
Probar la fortaleza de
carcter del auditor
Respuestas limitadas
Situaciones inesperadas

AI 27001 92
REV.01-03-09
 El auditor debe evitar

Ser controvertido
Ser negativo, indisciplinado
Ser crtico
Caer en disputas
Discutir personalidades
Comparar al auditado
Ser sarcsticos
Utilizar palabras ofensivas

AI 27001 93
REV.01-03-09
 Puntos clave para recordar

Pregunte
Escuche
Observe

Piense
Evale
Registre

AI 27001 94
REV.01-03-09
 Preparacin de las conclusiones de la
auditoria

El equipo auditor debe reunirse antes de la reunin de cierre para:

Revisar los hallazgos de la auditoria y

cualquier otra informacin apropiada
recopilada durante la auditoria frente a los
objetivos de la misma.
En caso de existir no conformidades se deben
documentar.
Acordar las conclusiones de la auditoria,
teniendo en cuenta la incertidumbre inherente
al proceso de auditoria
Preparar recomendaciones, si estuviera
especificado en los objetivos de la auditoria, y
Comentar el seguimiento de la auditoria, si
estuviera incluido en el plan de la misma.

AI 27001 95
REV.01-03-09
 Hallazgos de la auditora

Un hallazgo de la auditora puede ser:

No conformidad

Oportunidad de mejora

AI 27001 96
REV.01-03-09
 No conformidad

El no cumplimiento de un
requisito.

(ISO 9000:2005)

AI 27001 97
REV.01-03-09
 Una No Conformidad

Puede ser una falla en:

Cumplimiento de la norma

Implementacin de un proceso u otros requisitos

documentados

Implementacin de requisitos legales o

contractuales

No requisito = No es no conformidad
AI 27001 98
REV.01-03-09
 Una declaracin de Hallazgo

Incluye:
1. Visin general del hallazgo

2. Descripcin de la no conformidad

3. Ejemplo de evidencia objetiva

4. Resumen del requisito

AI 27001 99
REV.01-03-09
 EJEMPLO
1
Se evidencia que la organizacin ha definido poltica de control de
visitantes mediante credenciales con nmero de identificacin; sin
embargo,
2
no se evidencia que tal poltica no se cumple cuando la visita olvida
devolver la credencial y regresa al siguiente da a continuar trabajando con
la misma credencial sin ser registrados en recepcin.
3
Casos:
Instaladores de la fibra ptica en el rea de almacenamiento credenciales
1324, 1325. Estas credenciales corresponden a la secuencia del da de ayer
(23/03/200x) que fue de 1312 hasta 1329.
4
Incumpliendo el requisito del anexo A.9.1.1 Permetro de seguridad fsica
Control: Los permetros de seguridad (barreras tales como paredes,
puertas de entrada controladas por tarjeta, o puesto de recepcin manual)
deben utilizarse para proteger las reas que contienen la informacin y las
instalaciones de procesamiento de la informacin..

AI 27001 100
REV.01-03-09
 Clasificacin de las SACs

MAYOR:
incumplimiento total de un proceso, procedimiento u
operacin del sistema de calidad
ausencia total de un requisito
nmero de fallas menores indicando una ruptura total
del sistema
Riesgo inminente para la calidad del producto
MENOR:
Fallas menos severas en un proceso, procedimiento u
operacin del sistema de calidad

AI 27001 101
REV.01-03-09
 Clasificacin: Auditora de Primera Parte

No es esencial

El propsito es la mejora del sistema

Acciones correctivas eficaces son ms

importantes

AI 27001 102
REV.01-03-09
 Oportunidades para la mejora

Puntos buenos que pueden beneficiar a otras

reas de la organizacin
reas de inters
Deficiencias a las que se les concede el
beneficio de la duda
Recomendaciones para la mejora

AI 27001 103
REV.01-03-09
 Reunin de Cierre

Objetivo y alcance.
Muestreo.
Presentacin de hallazgos.
Detallar hallazgos con soporte de evidencia.
Entrega de SACs y obtener firma.
Tiempo de respuesta de SACs.
Evitar abuso de su posicin como auditor.
Informe de Auditora y seguimiento.
Agradecer las atenciones.

AI 27001 104
REV.01-03-09
 Preparacin, aprobacin y
distribucin del informe de auditoria

Informe de Auditoria
Alcance y objetivo.

Itinerario de la Auditora.

Identificar la documentacin de referencia.

Ref. de Listas de Verificacin.

Integrantes del equipo Auditor.

Personal contactado (de la empresa).

Resumen de hallazgos.

AI 27001 105
REV.01-03-09
 Preparacin, aprobacin y
distribucin del informe de auditoria
Informe de Auditoria

Identificar las NO-CONFORMIDADES.

Solicitud de Acciones Correctivas.

Indicar el motivo por el cual se lleg a omitir algn elemento.

Cuando aplique.

Resumen con declaracin del equipo auditor sobre el

cumplimiento del Sistema hacia los objetivos.

Detalle de las acciones de seguimiento.

AI 27001 106
REV.01-03-09
 No incluir en el Informe de Auditoria los siguientes aspectos:

Opiniones subjetivas.

Informacin confidencial.

Crtica hacia individuos.

Declaraciones ambiguas.

Detalles triviales.

Hallazgos no mencionados en la reunin de cierre.

AI 27001 107
REV.01-03-09
 Preparacin, aprobacin y distribucin del
informe de auditoria

Aprobacin y distribucin del informe de

auditoria

Tiempo de entrega
Fechado, revisado y aprobado
Distribuido a los receptores autorizados
Confidencialidad

AI 27001 108
REV.01-03-09
 Finalizacin y Seguimiento

Una auditoria finaliza cuando todas las

actividades descritas en el plan de auditoria
se hayan realizado y el informe de auditoria
aprobado se haya distribuido.

Actividades de seguimiento de una

auditoria segn las conclusiones (acciones
correctivas, preventivas o de mejora).

Verificacin de implementacin de acciones

y su eficacia.
AI 27001 109
REV.01-03-09
 Competencia y evaluacin de los auditores

Atributos personales

Conocimientos y habilidades

Educacin, experiencia laboral, formacin

como auditor y experiencia en auditoras

Mantenimiento y mejora de la competencia

Evaluacin del auditor

AI 27001 110
REV.01-03-09
 Competencia y evaluacin de los auditores

La fiabilidad en el proceso de auditoria y la

confianza en el mismo dependen de la
competencia de aquellos que llevan a cabo
la auditoria. Esta competencia se basa en la
demostracin de:
Las cualidades personales
Aptitud para aplicar los conocimientos y
habilidades, adquiridos mediante la educacin,
experiencia laboral formacin como auditor, y la
experiencia en auditorias

AI 27001 111
REV.01-03-09
 Atributos personales

tico.- imparcial, honesto y discreto

Mentalidad abierta.- dispuesto a considerar ideas o puntos de
vista alternativos
Diplomtico.- con tacto en las relaciones con las personas
Observador .-activamente consciente y capaz de entender las
situaciones
Verstil.- se adapta fcilmente a diferentes situaciones
Tenaz.- alcanza conclusiones oportunas basadas en el anlisis
y razonamiento lgicos,
Seguro de si mismo.-acta y funciona de forma independiente
a la vez que se relaciona eficazmente con otros.

AI 27001 112
REV.01-03-09
 Conocimientos y habilidades

Aplicar principios y tcnicas de auditoria

Planificar y organizar el trabajo eficazmente
Llevar a cabo la auditoria dentro del horario
acordado
Establecer prioridades y centrarse en los
asuntos de importancia

Conocimientos genricos y habilidades de los

lderes de equipos auditores
Conocimientos especficos y habilidades de
auditores de Sistemas de Gestin de la calidad

AI 27001 113
REV.01-03-09
 Auditores

Puntos a ser considerados en la calificacin:

Educacin
Experiencia
Participacin en auditoras
Adiestramiento
a) Tcnicas de auditora
b) Sistemas de Calidad

Registros de calificacin

AI 27001 114
REV.01-03-09