SEGURIDAD DE LA INFORMACIÓN Y

NORMAS 27001 Y 27002

05. REVISIÓN Y MEJORA

CONTENIDO
1. Gestión de Auditorías Internas
2. Gestión de Auditorías Externas
¿Cuál es el enfoque correcto sobre las auditorías internas?
A continuación algunas ideas:

1. La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar
el Sistema de Gestión de Seguridad de la Información, no sólo como un medio para obtener la
certificación.

2. Los auditores internos deben estar capacitados; esto significa que deben tener experiencia en
seguridad de la información, en tecnología de la información y en técnicas de auditoría. No
significa que el auditor debe ser un experto en esas áreas.

3. La auditoría interna debe ser realizada en forma positiva: recuerden que el objetivo debería
ser mejorar el sistema, no culpar a los empleados por sus errores.
¿Cuanto tiempo un Auditor Interno debería dedicar a las
auditorías internas?
a) Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones
grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de
organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).

b) Emplear auditores internos a tiempo parcial: esta es la situación más común, las
organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo
tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en
cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio
trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo
habitual del otro.

c) Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada
de la organización, también se la considera auditor interno porque la auditoría es realizada
por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una
persona experimentada en este campo (consultor independiente, etc.).
 ¿Cómo es la auditoría?
 ¿Donde auditarán?
 ¿A quienes auditarán?
 ¿Cómo es una INSPECCIÓN?

 ¿Cómo es una Auditoría Interna:

Objetivo de las auditorías del SGSI
Las auditorías del SGSI se realizan para determinar y verificar si los objetivos
de control, controles, procesos, directivas, normas y procedimientos del SGSI
están…:
 Conforme a los requisitos de la norma ISO 27001 y de la legislación o
reglamentos vigentes.
 Conforme a los requisitos identificados de seguridad de la información.
 Implementados y se mantienen eficazmente.
 Operando con un desempeño de acuerdo a lo esperado.

Su ejecución es obligatoria. (Punto 6 de la norma ISO 27001)

Proceso de Auditoría Interna
Programa Anual Lista de
Plan de Auditoría Comunicar el plan
de Auditoría verificación

Establecer una
Elaborar el Programa
estructura de Lista de El jefe del equipo
Anual de Auditoría Elaborar el Plan de
verificación para auditor comunica con
Interna teniendo en Auditoría/ Itinerario de
registrar la información un correo al Jefe del
cuenta a los auditores, Auditoría
o hallazgos encontrados área Auditada el Plan
tipo de auditoría
en la auditoría

Preparar auditores
internos o tomar la Coordina con
anticipación al inicio de
decisión de contratación auditoría.
del servicio
Proceso de Auditoría Interna
Reunión de
apertura
Se lleva a cabo la reunión de
apertura, se presenta el Plan
de Auditoría
Se realiza/ejecuta la auditoría
Ejecución de la
auditoría
Se realiza/ejecuta la auditoría
según guía de la Lista de
Verificación
Se revisa si las acciones
correctivas previas fueron
eficaces
Revisar requisitos según el
orden de:
1. De la ISO 27001
2. Del anexo A de la ISO
27001
3. Cumplimiento de
procedimientos
Informe de
Reunión de Cierre
Auditoría
El auditor jefe/líder elabora
Informe de Auditoría, el cual
puede contener:
Se presenta el informe de
1. Hallazgo de No auditoria con el resultado de
Conformidades la auditoría Interna.
2. Hallazgo de Observaciones
3. Oportunidades de Mejora
El gestor de la empresa debe
continuar con el
Procedimiento de Gestión de
Acciones Correctivas y
Preventivas
 MEJORA CONTINUA
ACCIONES CORRECTIVAS Y PREVENTIVAS
 Acciones Correctivas Programa de AI
y/o Preventivas Planificación de AI
PLAN

ACT DO

CHECK Ejecución de AI
Verificación de la Eficacia
Informe General de
Seguimiento de Implementación
Auditorías Internas del
De AC y AP
SGSI
Enfoques de mejora con:

 Mejora Continua
 Acciones Correctivas
 Acciones Preventivas
CONCEPTOS

MEJORA CONTINUA:

Actividad recurrente para aumentar la capacidad para

cumplir los requisitos

¿Que busca?
• Minimizar los riesgos frente a la
calidad del producto y la
satisfacción del cliente.
• Optimizar los procesos y los
recursos.
• Estandarizar las comunicaciones
internas y externas.
• Flexibilizar el sistema de gestión
CONCEPTOS

ACCIÓN CORRECTIVA:

Acción tomada para eliminar la causa de

una no conformidad detectada u otra
situación indeseable.

Nota 1. Puede haber más de una causa para una

no conformidad.
Nota 2. La acción correctiva se toma para prevenir
que algo vuelva a producirse mientras que la
acción preventiva se adopta para prevenir que
algo suceda.
Nota 3. Existe diferencia entre corrección y acción
correctiva.
CONCEPTOS

ACCIÓN PREVENTIVA:

Acción tomada para eliminar la causa de una no

conformidad potencial u otra situación
potencialmente indeseable.

Nota 1. Puede haber más de una causa para una no conformidad

potencial.

Nota 2. La acción preventiva se toma para prevenir que algo

suceda mientras que la acción correctiva se toma para prevenir
que vuelva a producirse.
Diferencia entre corrección y acción Diferencia entre acción correctiva y
correctiva acción preventiva

 La corrección es solamente la  La acción correctiva busca la

eliminación de la no conformidad eliminación de la no conformidad y
existente, sin investigar ni eliminar de sus causas raíz, para evitar que
causas vuelva a ocurrir.

 La acción correctiva busca la  La acción preventiva trata de

eliminación de la no conformidad y eliminar las causas de las no
de sus causa raíz, para evitar que conformidades potenciales, para
vuelva a ocurrir evitar que ocurran.
Sin embargo, la base conceptual para sus
análisis es similar
 TALLER 1
OBJETIVO

Diferenciar conceptualmente los términos relativos a la conformidad y a la

gestión.

METODOLOGÍA

• Relacionar los términos de la columna A con los textos de la columna B de la

siguiente página.
 COLUMNA A COLUMNA B
B1. Existe la preocupación que al no inventariar los
A1. Acción de Mejora
informes de diseño suministrados por el cliente para el
contrato XXXX, se corra el riesgo de no preservarse su
información.
B2. Las acciones correctivas establecidas hasta la
A2. Acción Correctiva fecha se dirigen al efecto y no a eliminar la causa de
la no conformidad.

B3. Incrementar en un 90% la satisfacción del cliente,

A3. Acción Preventiva mediante la compra de equipos que permitan
aumentar la capacidad instalada en la organización,
considerando que el estudio de mercado muestra una
tendencia creciente. Teniendo en cuenta que la
satisfacción del cliente ha estado en el 75% en los
últimos 3 años.
A4. Corrección
B7. Realizar la reedición y reimpresión del informe
técnico que no cumple con las normas exigidas
por el cliente.
Problemática…

Obstáculos para resolver los problemas a fondo

 Falta de voluntad
 Falta de disciplina
 Falta de métodos ordenados
Para:

 Analizar las no conformidades

 Encontrar sus causas raíz
 Planear las secciones correctivas necesarias
 Asegurar que se llevaron a cabo
 Asegurar que fueron eficaces
La Ruta del Mejoramiento o
Método de Solución de Problemas,
MSP

Metodología para solucionar los

problemas reales y potenciales,
como también implementar acciones
de mejora
 Ruta del Mejoramiento
EL PROBLEMA

?
LA SITUACIÓN ACTUAL ¿POR QUÉ?
¿CUÁNDO?
P
ACCIONES CORRECTIVAS Y PREVENTIVAS

FORMULACIÓN DE TEORÍAS ¿CÓMO?

¿QUIÉN?
¿DÓNDE?
LAS ACCIONES
ACCIONES DE MEJORA

LA EJECUCIÓN
H
LA VERIFICACIÓN

V
DOCUMENTACIÓN

A
LA CONCLUSIÓN
 RUTA DEL MEJORAMIENTO PARA ACorrectiva, APreventiva, AMejora
(FILOSOFÍA DEL CICLO P-H-V-A)

ETAPA DEL
PASO No. NOMBRE DEL PASO POSIBLES TÉCNICAS A USAR
CICLO

1 Encontrar un problema. Pareto, h. de verificación, histograma, c. de control

Buscar todas las posibles
2 causas.
Investigar cual es la causa
3 más importante.
PLANEAR
Considerar las medidas de
4 remedio.
Poner en práctica las
HACER 5 medidas de remedio.
Revisar los resultados
VERIFICAR 6 obtenidos
Observar el problema, lluvia de ideas, diagrama de
Ishikawa.
Pareto, estratificación, D. de dispersión, Diagrama de
Ishikawa.
¿Por qué? …Necesidad
¿Qué?…….. Objetivo
¿Dónde? …. Lugar
¿Cuánto? ... Tiempo y costo
¿Cómo? ….. Plan
Seguir el plan elaborado en el paso anterior e involucrar
a los afectados.
Histograma, Pareto, c. de control, h. de verificación

Prevenir la recurrencia del Estandarización, inspección, Supervisión H. de

7 mismo problema.
ACTUAR
8 Conclusión.
verificación, cartas de control
Revisar y documentar el procedimiento seguido y
planear.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
dffjjfdd fffffff ffffffff
Diagrama que expresa, Para investigar, de
1. Diagrama de ffffffff
de modo simple y forma sinérgica, las
Causa y Efecto fácil, la serie de causas causas de un problema
de un efecto
ffffffff ffffffff jkkkkkk

Cuándo se Utiliza :
• Cuando se requiere organizar grandes cantidades de información sobre el
problema y determinar exactamente las posibles causas.

Reglas Básicas:
• Equipo de trabajo competente
• Seleccionar las categorías de análisis y utilizar la técnica de los 3 por qué,
ubicando el resultado en las categorías. Priorizar y seleccionar la causa raíz.
 LA TEORÍA DE LOS TRES POR QUÉ

1er POR QUÉ 2do POR QUÉ 3er POR QUÉ

PROVEEDOR
MATERIAL

ESPECIFICACIÓN
MÁQUINAS
PROBLEMA
INFORMACIÓN
MÉTODOS
NO SABE
ENTRENAMIENTO

MANO DE
NO PUEDE
OBRA SEGURIDAD

NO QUIERE
RECONOCIMIENTO

¡Se aplican las cinco herramientas anteriores,

SIEMPRE SOPORTANDO EN LOS SÍNTOMAS DEL PROBLEMA...!
 Acciones Preventivas
El problema
¿Qué podría pasar ?
¿En cuánto ?
¿Cuándo podría ocurrir ?
¿Dónde ?
¿Por qué pasaría ?
¿Quién sería el responsable ?
¿Cómo podría pasar ?
¿Cuánto costaría la solución ?
¿Cuánto costaría no hacer nada?
Específicas para Acciones Preventivas
BENCHMARKING
(Referenciamiento Competitivo)

Determinar a qué se le va P
hacer Benchmarking

Formar un equipo de Benchmarking

e identificar los socios del Benchmarking H

Recopilar y analizar la
información del Benchmarking V

A
Actuar mejoramiento de procesos
Acciones Correctivas
4. Plan de Acción Correctiva:
¿Qué? ¿Quién? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cuántos?

Plan de Acción Preventiva

¿Qué? ¿Quién? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Cuántos?

Verificación Acción y Conclusión

Indicadores: Normalización:

Puntos de control y verificación: Conclusión:

 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
2. Estratificación Diferentes maneras Para posibilitar una
de agrupar los mismos mejor evaluación de la
datos situación, identificando
el principal problema

Cuándo se Utiliza :
Cuando se requiere recoger datos agrupados para tomar decisiones.

Reglas Básicas:
Elaborar el formato estableciendo los estratos o categorías.
Recoger los datos.
Analizar los datos y concluir según las tendencias de los datos.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
3. Hoja de Deya Deyanira urquina Alfonso
xxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxx xxxxxxxxxxxxxxxx
xxx
xx
tipo
Planilla para la Para facilitar la
Verificación recolección de datos recolección de datos
xxxxxx xxxxxxxxxxxxxxxxxxxxxx xxx
xx xxxxxxxxxx xxx
xxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx xxx

concernientes a un
xxxxx xxxxxxxxxxxxxxxxxxxxxx xx
xxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxx

xxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxx

xxx
xxx
xxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxx
xxx
xxx
determinado problema
Total 025

Cuándo se Utiliza :
• Cuando requiere verificar la existencia o la conformidad de una situación.

Reglas Básicas:
• Elaborar la lista de verificación con los ítems necesarios para solucionar los
problemas.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?

Porcentaje Acumulado
Cantidad de Defectos
4. Gráfico de Diagrama de barras Para jerarquizar el
Pareto que ordena los casos, ataque a los problemas
200-
200-
150-
150-

100-
100-

50-
de mayor a menor
50-
0-
0-

Cuándo se Utiliza :
• Los datos pueden clasificarse en categorías. El rango de cada categoría es
significativo.

Reglas Básicas:
• Seleccionar las categorías de los datos, frecuencia, acumulada, porcentaje y
porcentaje acumulado.
• Graficar las barras y el gráfico de línea.
• Concluir sobre pocos vitales y los muchos triviales.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
5. Diagrama de Gráfico cartesiano que Para determinar la
Porce

Correlación representa la relación existencia de la

Cantidad de Defectos
200-

150-

100- entre variables relación entre

variables.
50-

0-

100-

150-

200-
50-
0-
Porcentaje Acumulado

Cuándo se Utiliza :
• Se requiere establecer fuerza de asociación entre una causa y un efecto.
Verificar si es la causa raíz.

Reglas Básicas:
• Seleccionar las variables, pintarlas en ejes cartesianos, pintar los puntos,
calcular la correlación, interpretar.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
6. Histograma Diagrama de barras Para verificar el
que representa la comportamiento de un
200-

150-

100-

50-
distribución de proceso con relación a
0- frecuencias de una la especificación
población

100-

150-

200-
50-
0-
Cuándo se Utiliza :
• Al hacer seguimiento del desempeño actual de un proceso, al seleccionar el
siguiente producto/servicio a mejorar, al verificar la eficacia de las acciones
sobre un proceso, cuando se necesita conocer la variabilidad de un
proceso.

Reglas Básicas:
• Buscar máximo y mínimo de los datos, calcular el rango, hallar límite inferior y
superior, determinar la amplitud de los intervalos, obtener la frecuencia,
construir gráficamente el histograma, analizar.
 Herramientas Estadísticas
Herramienta Forma ¿Qué es? ¿Para qué sirve?
7. Carta de 200-
Gráfico con límites de Para identificar la
Control 150- control que permiten el aparición de causas
(y Gráficas) monitoreo de los especiales en los
100-

50-

0-
procesos procesos

100-

150-

200-
50-
0-
Cuándo se Utiliza :
• Para tener línea base y llevar a cabo mejoras en los procesos, para saber
como se comporta el proceso, para enfocar los cambios importantes del
proceso, analizar los efectos de un cambio realizado en un proceso.

Reglas Básicas:
• Definir qué se va a medir, establecer periodicidad del muestreo, trazar los ejes
y los límites de la variable, pintar los datos, interpretar el comportamiento.
CONTENIDO
1. Gestión de Auditorías Internas
2. Gestión de Auditorías Externas
PROCESO DE AUDITORIA DE
CERTIFICACIÓN
Proceso de auditoria de certificación

Pre-auditoria (Opcional)

Auditoria de Certificación

Fase 1

Fase 2
Pre - auditoria

Pre-auditoria (Opcional)

Auditoria de análisis con el fin de establecer el estado de

cumplimiento con la norma con vistas a la auditoria.
Auditoria de Certificación – Fase 1

Auditoria de Certificación

Fase 1

Revisión del alcance, Revisión de la dirección, Análisis del

método de la Gestión de Riesgos y resultados,Establecimiento
de aplicabilidad, Política SI y Procedimientos.
Auditoria de Certificación – Fase 1
Impreso o escrito en papel.
Almacenado electrónicamente.
Enviado por correo ordinario o por e-mail.
Videos corporativos.
Verbal - en conversaciones

“……cualquier tipo de información, o significado que se encuentre medido

o almacenado, deberá encontrarse siempre protegido.”
(ISO/IEC 27001: 2005)
Auditoria de Certificación – Fase 1

Salvaguardar la confidencialidad, integridad y disponibilidad

de la información escrita, hablada e información existente en
soporte informático.
Auditoria de Certificación – Fase 1

ISO/ IEC 27001:2005

Especificación para la certificación de Sistemas de gestión de

seguridad de la información.
 Definición de Política


Política documentada
Fase1

Definir alcance del

Fase 2

Alcance del Sistema
SGSI
Information assets

Auditoria de riesgos

Amenazas, Auditoria de riesgos
Fase 3 vulnerabilidades,
impactos

Las organizaciones Resultados y conclusiones

Fase 4 aprovechan la gestión del
riesgo
Grado de aseguramiento
requerido
Gestión del riesgo 
Seleccionar controles y opciones
Sección 3 de esta parte de la
BS 7799, objetivos y controles
Fase 5 Definir objetivos y

Controles adicionales no
incluidos en la BS 7799
controles para
implantarlos 
Seleccionar objetivos y controles

Fase 6 Preparar un
establecimiento de
aplicabilidad
Establecimiento de aplicabilidad

Figura 1 – Estableciendo una herramienta de trabajo
Auditoria de Certificación – Fase 1

Chequeo del Alcance y de la Política del SGSI

Definición del alcance

Alcance de la certificación
Cubre las partes de su negocio que van a ser auditadas bajo la
ISO 27001
 Definición del alcance

Dirección General
SGC

Operaciones Dtpto. Financiero Dtpto. Comercial Dtpto. RR.HH

Recepción de datos

Escaneado

Almacenamiento
de datos
Establecimiento del Alcance
Provision de Sistemas de Gestión de datos, recepción de dichos
datos, escaneado y almacenamiento de los datos en cuestión.
De acuerdo con el establecimiento de aplicabilidad emitido el
01/10/2006.
Establecimiento de la Política
La Dirección General, junto con los empleados de los
departamentos afectados en la implantación, tienen la
obligación de desarrollar una Política de Seguridad dentro de
la empresa relacionada con la información interna y externa
que la empresa maneja.
Establecimiento de la Política
Política del SGSI
Es un documento que identifica:
• Establecimiento del compromiso de la dirección.
• Definición de la seguridad de la información dentro de su
organización.
• Explica los principios del Sistema.
• Definición de responsabilidades.
• Referencia al soporte documental.
• Cumplimiento con los requisitos legales.
Auditoria de Certificación – Fase 1

Entrevistas con Comité, Responsable del Sistema y partes

implicadas
Comité de Seguridad
El Comité:
• Revisará y modificará la Política.
• Realizará inspecciones sobre la exposición a los cambios de los activos
frente a grandes amenazas.
• Revisará e inspeccionará amenazas en materia de seguridad de la
información.
• Actas de las reuniones.
Responsable del SGSI
• Apoyar al Comité de Seguridad.
• Dirigir y mantener el SGSI.
• Realizar auditorias internas.
• Información.
• Trabajar con los procesos implicados.
Procesos implicados
Procesos implicados:
• Responsables de los activos registrados en su área y de implantar el
Sistema en su proceso.
Auditoria de Certificación – Fase 1

Registro de activos y gestión de riesgos

Registro de Activos
ISO 27001 requisitos:
• Identificar los activos con el alcance del SGSI y los responsables de gestionar
dichos activos.
Identificación de riesgos

• Las vulnerabilidades son debilidades asociadas a los activos

identificados.
• Estas debilidades quizás son tratadas cómo una amenaza, causando
una brecha en materia de seguridad con el resultado de pérdida y daño
de estos activos.
Auditoria de Certificación – Fase 1

Factor de riesgo y ranking

Factor de riesgos

• Un documento o documentos, los cuales identifican cómo todos los

componentes del negocio, son parte de la Política de la empresa,
evalúan sus vulnerabilidades, sus factores de riesgos, y la necesidad de
medidas de seguridad supletorias tomadas.
• Niveles de Factor de Riesgo
Auditoria de Certificación – Fase 1

Establecimiento de aplicabilidad
Establecimiento de aplicabilidad
Un documento el cual indica cada una de las cláusulas en ISO
27001 que son aplicables.

• Dónde sea aplicable se identificará procedimiento.

• Dónde no sea aplicable se identificará por qué no.
Proceso de certificación

Auditoria de Certificación

Fase 2

Revisión de las políticas contra las que se están trabajando.

Auditoria de la implantación de los controles de seguridad y
sistema de control operacional.
Auditoria de Certificación – Fase 2

Sistema de control operacional

Auditoria Interna
Auditoria interna

• La auditorias internas son planificadas y se generan informes de auditoria

dónde se identifica que el SGSI se encuentra correctamente implantado.
Revisión por la Dirección
El Comité de Seguridad se reune periodicamente con el fin de
analizar:
• Resultados de la auditoria interna
• Cambios en el SGSI
• Informes de incidentes
Plan de Continuidad de Negocio
• Documentado.
• Identificando roles y responsabilidades.
• Simulacro
• BIA (Business Interruption Analysis).
Proceso de certificación ISO 27001
Acciones correctivas, revisión y emisión de
Certificación
certificados

El Sistema puede estar integrado con otro tipo de

Sistemas (ISO 9001, ISO 14001, OHSAS 18001, ISO 20000,
BS 25999)
Auditorías de seguimiento ISO 27001

Fase 7 Auditoria anual

Auditoria de seguimiento Tri-anualmente auditoria de recertificación
Principales deficiencias detectadas
en auditorias
Principales deficiencias detectadas en auditorias
• No existen evidencias que los planes de continuidad de negocio han sido
revisados.
• No existe mecanismo para actualizar los cambios referentes a la legislación
o regulaciones aplicables a la empresa en materia de Seguridad.
• Los planes de continuidad de negocio se encuentran realizados pero no
revisados.
• No se encuentran claramente definidos los responsables de los activos de
la información.
• Inadecuadas auditorias internas
• Pobre control de las contraseñas en el Sistema y niveles de uso.
• Limitados controles de acceso físico en relación a visitas de clientes y
proveedores.
Situación de la auditoria de certificación de
Sistema de Seguridad de la información a
nivel mundial.
Bibliografía
 http://www.iso27000.es/iso27000.html
 La auditoría. Economistas Rasi. Alejandro García Ruiz, noviembre de 2007
 Muchas Gracias
Dirección: Av. San Luis 1771 – San Borja
Teléfono: 626-1400 Anexos 7531-7532
Correo: informes@inictel-uni.edu.pe
Pagina web: http://inictel-virtual.pe