Académique Documents
Professionnel Documents
Culture Documents
1. La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar
el Sistema de Gestión de Seguridad de la Información, no sólo como un medio para obtener la
certificación.
2. Los auditores internos deben estar capacitados; esto significa que deben tener experiencia en
seguridad de la información, en tecnología de la información y en técnicas de auditoría. No
significa que el auditor debe ser un experto en esas áreas.
3. La auditoría interna debe ser realizada en forma positiva: recuerden que el objetivo debería
ser mejorar el sistema, no culpar a los empleados por sus errores.
¿Cuanto tiempo un Auditor Interno debería dedicar a las
auditorías internas?
a) Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones
grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de
organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).
b) Emplear auditores internos a tiempo parcial: esta es la situación más común, las
organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo
tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en
cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio
trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo
habitual del otro.
c) Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada
de la organización, también se la considera auditor interno porque la auditoría es realizada
por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una
persona experimentada en este campo (consultor independiente, etc.).
¿Cómo es la auditoría?
¿Donde auditarán?
¿A quienes auditarán?
¿Cómo es una INSPECCIÓN?
Establecer una
Elaborar el Programa
estructura de Lista de El jefe del equipo
Anual de Auditoría Elaborar el Plan de
verificación para auditor comunica con
Interna teniendo en Auditoría/ Itinerario de
registrar la información un correo al Jefe del
cuenta a los auditores, Auditoría
o hallazgos encontrados área Auditada el Plan
tipo de auditoría
en la auditoría
Preparar auditores
internos o tomar la Coordina con
anticipación al inicio de
decisión de contratación auditoría.
del servicio
Proceso de Auditoría Interna
Reunión de Ejecución de la Informe de
Reunión de Cierre
apertura auditoría Auditoría
ACT DO
CHECK Ejecución de AI
Verificación de la Eficacia
Informe General de
Seguimiento de Implementación
Auditorías Internas del
De AC y AP
SGSI
Enfoques de mejora con:
Mejora Continua
Acciones Correctivas
Acciones Preventivas
CONCEPTOS
MEJORA CONTINUA:
¿Que busca?
• Minimizar los riesgos frente a la
calidad del producto y la
satisfacción del cliente.
• Optimizar los procesos y los
recursos.
• Estandarizar las comunicaciones
internas y externas.
• Flexibilizar el sistema de gestión
CONCEPTOS
ACCIÓN CORRECTIVA:
ACCIÓN PREVENTIVA:
METODOLOGÍA
Falta de voluntad
Falta de disciplina
Falta de métodos ordenados
Para:
?
LA SITUACIÓN ACTUAL ¿POR QUÉ?
¿CUÁNDO?
P
ACCIONES CORRECTIVAS Y PREVENTIVAS
LA EJECUCIÓN
H
LA VERIFICACIÓN
V
DOCUMENTACIÓN
A
LA CONCLUSIÓN
RUTA DEL MEJORAMIENTO PARA ACorrectiva, APreventiva, AMejora
(FILOSOFÍA DEL CICLO P-H-V-A)
ETAPA DEL
PASO No. NOMBRE DEL PASO POSIBLES TÉCNICAS A USAR
CICLO
Cuándo se Utiliza :
• Cuando se requiere organizar grandes cantidades de información sobre el
problema y determinar exactamente las posibles causas.
Reglas Básicas:
• Equipo de trabajo competente
• Seleccionar las categorías de análisis y utilizar la técnica de los 3 por qué,
ubicando el resultado en las categorías. Priorizar y seleccionar la causa raíz.
LA TEORÍA DE LOS TRES POR QUÉ
PROVEEDOR
MATERIAL
ESPECIFICACIÓN
MÁQUINAS
PROBLEMA
INFORMACIÓN
MÉTODOS
NO SABE
ENTRENAMIENTO
MANO DE
NO PUEDE
OBRA SEGURIDAD
NO QUIERE
RECONOCIMIENTO
Determinar a qué se le va P
hacer Benchmarking
Recopilar y analizar la
información del Benchmarking V
A
Actuar mejoramiento de procesos
Acciones Correctivas
4. Plan de Acción Correctiva:
¿Qué? ¿Quién? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cuántos?
Cuándo se Utiliza :
Cuando se requiere recoger datos agrupados para tomar decisiones.
Reglas Básicas:
Elaborar el formato estableciendo los estratos o categorías.
Recoger los datos.
Analizar los datos y concluir según las tendencias de los datos.
Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
3. Hoja de Deya Deyanira urquina Alfonso
xxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxx xxxxxxxxxxxxxxxx
xxx
xx
tipo
Planilla para la Para facilitar la
Verificación recolección de datos recolección de datos
xxxxxx xxxxxxxxxxxxxxxxxxxxxx xxx
xx xxxxxxxxxx xxx
xxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxx
concernientes a un
xxxxx xxxxxxxxxxxxxxxxxxxxxx xx
xxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxx
Cuándo se Utiliza :
• Cuando requiere verificar la existencia o la conformidad de una situación.
Reglas Básicas:
• Elaborar la lista de verificación con los ítems necesarios para solucionar los
problemas.
Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
Porcentaje Acumulado
Cantidad de Defectos
4. Gráfico de Diagrama de barras Para jerarquizar el
Pareto que ordena los casos, ataque a los problemas
200-
200-
150-
150-
100-
100-
50-
de mayor a menor
50-
0-
0-
Cuándo se Utiliza :
• Los datos pueden clasificarse en categorías. El rango de cada categoría es
significativo.
Reglas Básicas:
• Seleccionar las categorías de los datos, frecuencia, acumulada, porcentaje y
porcentaje acumulado.
• Graficar las barras y el gráfico de línea.
• Concluir sobre pocos vitales y los muchos triviales.
Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
5. Diagrama de Gráfico cartesiano que Para determinar la
Porce
Cantidad de Defectos
200-
150-
0-
100-
150-
200-
50-
0-
Porcentaje Acumulado
Cuándo se Utiliza :
• Se requiere establecer fuerza de asociación entre una causa y un efecto.
Verificar si es la causa raíz.
Reglas Básicas:
• Seleccionar las variables, pintarlas en ejes cartesianos, pintar los puntos,
calcular la correlación, interpretar.
Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
6. Histograma Diagrama de barras Para verificar el
que representa la comportamiento de un
200-
150-
100-
50-
distribución de proceso con relación a
0- frecuencias de una la especificación
población
100-
150-
200-
50-
0-
Cuándo se Utiliza :
• Al hacer seguimiento del desempeño actual de un proceso, al seleccionar el
siguiente producto/servicio a mejorar, al verificar la eficacia de las acciones
sobre un proceso, cuando se necesita conocer la variabilidad de un
proceso.
Reglas Básicas:
• Buscar máximo y mínimo de los datos, calcular el rango, hallar límite inferior y
superior, determinar la amplitud de los intervalos, obtener la frecuencia,
construir gráficamente el histograma, analizar.
Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
7. Carta de 200-
Gráfico con límites de Para identificar la
Control 150- control que permiten el aparición de causas
(y Gráficas) monitoreo de los especiales en los
100-
50-
0-
procesos procesos
100-
150-
200-
50-
0-
Cuándo se Utiliza :
• Para tener línea base y llevar a cabo mejoras en los procesos, para saber
como se comporta el proceso, para enfocar los cambios importantes del
proceso, analizar los efectos de un cambio realizado en un proceso.
Reglas Básicas:
• Definir qué se va a medir, establecer periodicidad del muestreo, trazar los ejes
y los límites de la variable, pintar los datos, interpretar el comportamiento.
CONTENIDO
1. Gestión de Auditorías Internas
2. Gestión de Auditorías Externas
PROCESO DE AUDITORIA DE
CERTIFICACIÓN
Proceso de auditoria de certificación
Pre-auditoria (Opcional)
Auditoria de Certificación
Fase 1
Fase 2
Pre - auditoria
Pre-auditoria (Opcional)
Auditoria de Certificación
Fase 1
Política documentada
Fase1
Auditoria de riesgos
Amenazas, Auditoria de riesgos
Fase 3 vulnerabilidades,
impactos
Controles adicionales no
incluidos en la BS 7799
controles para
implantarlos
Seleccionar objetivos y controles
Fase 6 Preparar un
establecimiento de
aplicabilidad
Establecimiento de aplicabilidad
Figura 1 – Estableciendo una herramienta de trabajo
Auditoria de Certificación – Fase 1
Alcance de la certificación
Cubre las partes de su negocio que van a ser auditadas bajo la
ISO 27001
Definición del alcance
Dirección General
SGC
Recepción de datos
Escaneado
Almacenamiento
de datos
Establecimiento del Alcance
Provision de Sistemas de Gestión de datos, recepción de dichos
datos, escaneado y almacenamiento de los datos en cuestión.
De acuerdo con el establecimiento de aplicabilidad emitido el
01/10/2006.
Establecimiento de la Política
La Dirección General, junto con los empleados de los
departamentos afectados en la implantación, tienen la
obligación de desarrollar una Política de Seguridad dentro de
la empresa relacionada con la información interna y externa
que la empresa maneja.
Establecimiento de la Política
Política del SGSI
Es un documento que identifica:
• Establecimiento del compromiso de la dirección.
• Definición de la seguridad de la información dentro de su
organización.
• Explica los principios del Sistema.
• Definición de responsabilidades.
• Referencia al soporte documental.
• Cumplimiento con los requisitos legales.
Auditoria de Certificación – Fase 1
Establecimiento de aplicabilidad
Establecimiento de aplicabilidad
Un documento el cual indica cada una de las cláusulas en ISO
27001 que son aplicables.
Auditoria de Certificación
Fase 2