Auditoria de Seguridad

M.S.I. Ing. Darío Medina Ramírez

darellomx@yahoo.com.mx
darellomx@yahoo com mx
dario.medina@conagua.gob.mx
 CONTROL DE AUDITORIA DE SI
CONTROL DE AUDITORIA DE SI
•Técnicas para obtener evidencia de una 
auditoria.

•Entrevista, preguntar, escuchar, escuchar, escuchar,
•Observar,
•Revisión de documentos,
R i i t (l )
•Revisar registros (logs),
•Muestreo (hasta sentir satisfacer la no‐conformidad)
•Resumir analizar y evaluar
•Resumir, analizar y evaluar.
 C t l d l A dit i d SI
Control de la Auditoria de SI
Muestreo
M t
•Toda la evidencia posible del anexo A. de la 
ISO27001:2005,
ISO27001:2005
•Seleccionar los objetivos de control más 
representativos
•Seleccionar una muestra representativa, para 
garantizar la confianza de la no‐conformidad,
E id i d á d lt i id d
•Evidencia de áreas de alta prioridad,
•El auditor determinar el tamaño de la muestra,
•Debe representar la actividad de la auditoria
•Debe representar la actividad de la auditoria.
 C t l d l A dit i d SI
Control de la Auditoria de SI
Muestro… cont.
•Pedir permiso al tomar la muestra,
•Seguir y seguir adelante en caso de tener evidencia de
•Seguir y seguir adelante en caso de tener evidencia de 
la no‐conformidad, hasta terminar la muestra,
y
•Si tomamos la muestra y no encontramos nada 
representativo, nos vamos con la siguiente,
•Conscientes de que la muestra no representa el 100% 
d l
de la organización, la misma se encargará re realizar el 
i ió l i á li l
resto,
Centrarnos en el responsable a cargo de lo auditado.
•Centrarnos en el responsable a cargo de lo auditado
 C t l d l A dit i d SI
Control de la Auditoria de SI
Principales jugadores en la auditoria
•Auditor,
•Guía,
Figuras centrales mínimo
•Representante del área,
•Auditado,
•Observadores: auditor en formación, auditor;
•Interprete,
•Consultor,
•Asesor técnico de auditores.
 C t l d l A dit i d SI
Control de la Auditoria de SI
P
Para conducir la auditoria
d i l dit i

• Presentarse en el área,
Presentarse en el área
• Presentar credenciales,
• Explicar que es lo que vamos a observar
Explicar que es lo que vamos a observar,
• Investigar previamente sobre lo que 
p
pretendemos observar, ,
• No encontramos problemas, seguimos;
• El no tener problemas no significa parar la 
auditoria.
 C t l d l A dit i d SI
Control de la Auditoria de SI
P
Para conducir la auditoria… cont.
d i l dit i t

• El
El check
check list es un apoyo, no una regla a seguir;
es n apo o no na regla a seg ir
• Si existen rastros de una no conformidad 
potencial, decidir:
potencial, decidir:
• Mostrar indiferencia,
• Tomar nota para verificarlo después,
p p ,
• Seguir adelante inmediatamente.
• Podrá afectar el tamaño de la muestra,
• Podrá afectar el plan de la auditoria.
 A dit i d SI
Auditoria de SI
Las 7 amigas del Auditor

•¿Cómo?(H)
•¿Cuándo? (W)
•¿Qué? (W)
•¿Dónde? (W)
•¿Quién? (W)
•¿Porqué? (W)
•¿Me podría mostrar?
 C t l d l A dit i d SI
Control de la Auditoria de SI
Preguntas abiertas
• Que hace,
• Qué procesos sigue,
• Donde lo hace,,
• Quién lo hace,
• Como lo hace
Como lo hace,
• Show me
• Tell me
 C t l d l A dit i d SI
Control de la Auditoria de SI
Preguntas

• No hacer preguntas que quiten el tiempo,
• Preguntas relacionadas,
Preguntas relacionadas
• Preguntas retóricas,
• No hacer muchas preguntas cerradas,
• Hacer preguntas abiertas.
p g
 C t l d l A dit i d SI
Control de la Auditoria de SI
E t it d l
Entrevista de la auditoria
dit i

• Asegurarse que la persona indicada este disponible,
Asegurarse que la persona indicada este disponible
• Usar el lenguaje apropiado para las personas,
• Explicar el método para la toma de notas,
• Usar técnicas de entrevista,
• Escuchar y tratar de no interrumpir al auditado,
• D l
Darle retroalimentación al auditado y respetar los 
t li t ió l dit d t l
tiempos,
• Ser diplomático todo el tiempo,
• Una vez terminada la entrevista dar el resumen.
 C t l d l A dit i d SI
Control de la Auditoria de SI
T
Tomar notas
t

TTomar evidencia objetiva
id i bj ti
•Declaraciones admisibles,
•Numero de documentos de la revisión de los
•Numero de documentos de la revisión de los 
issues encontrados,
•Identificadores
•Departamentos
•Títulos y roles de los auditados (nombre si es 
necesario).
 C t l d l A dit i d SI
Control de la Auditoria de SI
Tomar notas… cont.

•Las notas deberán ser usadas como referencia para:
•Investigación inmediata,
I ti ió t i
•Investigación posterior,
•Uso de un colega,
•Auditorias subsecuentes
•Auditorias subsecuentes.
•Las notas deben de ser:
Legibles,
•Legibles,
•Recuperables.
 C t l d l A dit i d SI
Control de la Auditoria de SI
Estableciendo los hechos

•Establecer las no‐conformidades,
•Obtener el acuerdo o aceptación del
•Obtener el acuerdo o aceptación del 
auditado,
ifi l h ll
•Verificar los hallazgos,
•Establecer los acuerdos de hechos,
•Obtener el acuerdo.
 C t l d l A dit i d SI
Control de la Auditoria de SI
Mantener informado al auditado

Para la auditoria se debe ser constructivo, útil 
y profesional;
y profesional;
•Revisar el progreso de la auditoria y los 
resultados regularmente
resultados regularmente,
•Evitar rumores y comentarios de pasillos,
 C t l d l A dit i d SI
Control de la Auditoria de SI
R
Reacciones del auditado
i d l dit d

•Ayuda a la extracción de información,
•Cambios continuos,
•Información voluntaria,
•Información no‐voluntaria,
•Tácticas de distracción o pérdida de tiempo,
•Detalla conflictos internos,
•Autoritario,
•Antagónico,

Máxima. El auditado siempre da beneficio de la duda, el auditor 
p
deberá dar certeza de lo auditado.
 C t l d l A dit i d SI
Control de la Auditoria de SI
J t d
Junta de revisión diaria
i ió di i

Las juntas de revisión diaria, normalmente son de 
Las j ntas de re isión diaria normalmente son de
15 a 20 min de duración, se lleva a cabo al final de 
cada día de la auditoria con el representante de 
seguridad o guía para:
•Revisar las no‐conformidades,
R l l i bl
•Resolver cualquier problema,
•Reportar el avance de la auditoria,
•Aclarar cualquier malentendido
•Aclarar cualquier malentendido.
 Mi ió CESNAV
Misión CESNAV
IImpartir estudios de posgrado, relacionados 
i di d d l i d
con las operaciones navales y la seguridad y 
defensa nacionales al personal de la
defensa nacionales al personal de la 
Secretaría de Marina Armada de México, 
invitados militares nacionales y extranjeros 
y j
y de la Administración Pública Federal, así 
como coadyuvar en la difusión de la 
d ti
doctrina naval y cultura marítima, mediante 
l lt íti di t
actividades académicas de investigación y 
difusión.
difusión
 Vi ió CESNAV
Visión CESNAV
SSer un centro educativo naval de 
d i ld
vanguardia con alta calidad 
académica, que desarrolle la 
dé d ll l
investigación, difunda el 
conocimiento e incremente la 
interacción con otros centros 
educativos nacionales y de otros 
países.
 P líti d C lid d CESNAV
Política de Calidad CESNAV
Comprometidos con la mejora 
C id l j
continua proporcionando servicios 
académicos de calidad para la 
dé d ld d l
preparación de Almirantes, 
Capitanes y Oficiales de la Armada 
de México, como especialistas y 
maestros de posgrado que la 
Institución demanda.
 V l
Valores CESNAV
CESNAV

Responsabilidad, Profesionalismo, 
Honestidad Lealtad Solidaridad
Honestidad, Lealtad, Solidaridad.