Talleres ISO 27001 v2

Curso de Auditores Internos de Norma ISO 27001:2005
TALLER No 1
ISO 27001 INTRODUCCIN AUDITORIA INTERNA
OBJETIVO Brindar una introduccin al estudiante de la metodologa de casos, utilizada durante el curso de formacin de auditores internos de un Sistema de Gestin de Seguridad de la informacin ISMS ISO 27001. METODOLOGIA Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar el trabajo individual. Deben sustentar sus respuestas al Tutor del curso con sus respuestas. En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y de ISO 27001 (No utilizar la norma). TIEMPO Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde LOS HECHOS, SOLO LOS HECHOS! Caso Cumple o no Cumple 1 2 3 4 5 6 Todos los casos de este taller tienen relacin en la organizacin XUAN INC.
CASO No 1: La organizacin establece intercambio de informacin con el organismo supervisor, esta informacin es enviada por medio electrnico, la organizacin defini una excelente poltica de intercambio de informacin y por lo tanto no fue necesario definir el procedimiento de intercambio de informacin. CASO No 2: La organizacin incluy en el programa de auditorias la realizacin de auditorias de segunda parte al sistema de gestin de la seguridad de la informacin (proveedores potenciales de servicios crticos), incluy en su presupuesto para el siguiente ao la asignacin de recursos para ejecutar las auditorias anteriores en un perodo de seis meses. La organizacin esta decidiendo a quien designa como responsable de esta actividad.
CASO No 3: La organizacin ha definido en el SGSI el proceso de Talento Humano, en este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso legal para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual
Pgina 1

de funciones especficamente auditores Internos al SGSI, los siguientes requisitos: Educacin: Ingeniera, Formacin: Auditor interno certificado de aprobacin, Experiencia: haber realizado dos auditorias internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analticas, excelente comunicacin verbal y escrita, observador, persistente y manejo de situaciones difciles. En la revisin de registros de la ltima auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramrez, Xian Vargas y Gian Wu). Usted verifica que los registros de habilidades y experiencia estn correctos. Con el cumplimiento de los requisitos de educacin y formacin Xu Ramrez ingeniero de sistemas con evidencia de diploma, certificado auditor interno aprobado y verificacin de confirmacin de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de ingeniero electrnico con especializacin en auditorias internas al SGSI la cual evidenci registro de aprobacin, por ltimo Gian Wu certificado de ingeniero aeronutico con especializacin en diseo aeroespacial, al revisar no encuentra certificado de auditor interno, el dueo del proceso responde que Gian Wu con la experiencia de trabajar durante 10 aos en la organizacin y por su educacin ha sido mas que suficiente. CASO No 4: La organizacin Telecomunica TE S.A., ha establecido contratos y acuerdos de nivel de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administracin de firewall, gestin de ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los SLA, por lo tanto no ha sido necesario realizar auditorias a intervalos regulares. CASO No 5: En su revisin de las auditorias internas realizadas en el ltimo ao, usted evidencia la inclusin de 2 auditorias internas en el programa de la organizacin XUAN Inc, registra en su lista de comprobacin la realizacin de auditorias internas a todos los procesos del SGSI en el primer semestre, en el ltimo semestre evidencia que no se incluy al proceso de gestin de cambios y gestin de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las ltimas dos auditorias no se detect no conformidades. CASO No 6: La organizacin Zing Productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este tem en la gestin de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningn incidente con respecto a la red.
Pgina 2
TALLER No 2
ISO 27001 - CUMPLIMIENTO DE LA NORMA
OBJETIVO Mejorar el entendimiento de la norma, con relacin de los requisitos establecidos y su relacin con situaciones reales en las organizaciones. METODOLOGIA En cada una de las siguientes situaciones, el participante en el curso de formacin de auditores internos debe determinar las clusulas de ISO/IEC 27001:2005 que puede aplicar. (No cumplimiento). Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones. TIEMPO Tiempo mximo de 45 minutos para el desarrollo del taller. Se destina tiempo para revisin.
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde LOS HECHOS, SOLO LOS HECHOS!
Pgina 3

HOJA DE TRABAJO INTEGRANTES:
ELEMENTOS QUE APLICAN

CASO No 1 CASO No 2 CASO No 3 CASO No 4 CASO No 5 CASO No 6 CASO No 7 CASO No 8 CASO No 9
1.
La organizacin Online And Transaction S.A., utiliza las transacciones en lnea (internet) como medio de pago a sus proveedores y tambin para el envi de documentacin importante a sus clientes. Se ha implementado controles rigurosos para garantizar la integridad de informacin transmitida, no se ha identificado riesgos al respecto. En la organizacin XUAN INC., en el proceso de Ingeniera, usted como Auditor lder solicita al encargado del mismo los registros de mantenimiento de equipos, registros gestionados en la base Informtica ATENEA donde segn la explicacin recibida se almacena toda la informacin de los computadores de la empresa, aproximadamente 500. Usted observa en las diferentes carpetas de ATENEA el registro del nmero de servicio realizado, el nombre del responsable del equipo, la descripcin del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del tcnico; despus de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el tcnico responsable no ingres el detalle de los mantenimientos realizados. En el Banco Panamericano se realiz una auditoria al SGSI verificando que el anlisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontr evidencia de la metodologa, criterios para aceptacin del riesgo, la identificacin de los riesgos, el anlisis y evaluacin de los riesgos, el tratamiento de los riesgos y la seleccin de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontr la aprobacin por la alta direccin.
2.
3.
Pgina 4

4. En la auditoria de certificacin de la organizacin Sistema Gestin SG, en la norma ISO 27001, el auditor evidencio que no hay una descripcin de la metodologa para valoracin de riesgos, es decir, no hay un enfoque hacia la valoracin del riesgo. Durante la realizacin de auditoria en la organizacin SSC Graphics, el Gerente de la empresa explica que cuando usted vaya al proceso de produccin no va encontrar al Director de Produccin ni a dos Operadores fundamentales para el mismo, debido a que fueron retirados por problemas de bajo desempeo. Usted pregunta cuanto hace que fueron retirados? explica que desde hace tres meses, porque el personal es contratado a termino fijo, no se han reemplazado porque el jefe financiero no ha designado recursos y por lo tanto no han sido reemplazados, usted escribe en su lista de chequeo. Cmo ha definido las competencias para el Director de Produccin, Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente entrega unos documentos y explica que ha sido un trabajo muy bueno realizado para definir las caractersticas de cada cargo; despus de revisarlos, slo observa definidas las responsabilidades. Usted verifica los registros de terminacin de la contratacin laboral y no se encuentran. En Diciembre, usted es designado como auditor lder para realizar una auditoria interna a Financiera Suprema S.A., ofrece servicios de financiacin de crditos al sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de las auditorias realizadas, usted evidencia ejecucin en julio 15 y octubre 30. Usted pregunta Cuntas no conformidades fueron encontradas?, el responsable indica que en Julio/15: once (11) y en Octubre/30: trece (13), todas cerradas eficazmente, porque la alta Direccin esta muy comprometida; usted detalla y observa que los problemas detectados en el mes octubre son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificacin. Usted audita al responsable de tecnologa de informacin, Cul es la periodicidad de verificacin de los sistemas de informacin?, entrega un programa que define una frecuencia de cada seis (6) meses. La ltima verificacin fue hace trece (13) meses, el responsable menciona que se cambi el intervalo a un ao y adems por el cambio de la infraestructura tecnolgica. En la auditoria realizada en la organizacin del sector estatal Ministerio Fomento Empresarial, el auditor entrevist al encargado del centro de cmputo Cuales controles se han establecido para el centro de cmputo? El nico procedimiento es el sistema de control de entrada por llave. Qu personas tienen llave del centro de cmputo? El Gerente del centro de cmputo, el encargado del centro de cmputo y el personal de limpieza, la seora que realiza la limpieza, la cual pertenece a la nomina de la agencia de limpieza ZZZ. El auditor entrevista a la seora de limpieza que se encuentra en el centro de computo Cul es el procedimiento utilizado para realizar la limpieza? Por ejemplo al realizar la limpieza, dejo la puerta abierta mientras utilizo la aspiradora. El auditor al revisar la planilla de ingreso al centro de cmputo, no evidencia registro de la persona entrevistada, adems escribe, la ltima revisin de los derechos de acceso fue hace dos aos. Se revis el listado de personal autorizado para disponer de llaves y no se encontr el personal de limpieza y no hay evidencia de la comunicacin de la poltica de seguridad de la informacin a la agencia de limpieza. La organizacin Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario que indica todas las transacc iones por internet deben usar llave electrnica inmediatamente. La alta direccin decide esperar los resultados de la gestin de r iesgos planeada hasta dentro de cuatro (4) meses para tomar una decisin al respecto de su implementacin.
5.
6.
7.
8.
9.
Pgina 5
TALLER No 3
ISO 27001 ELABORACIN DEL PROGRAMA DE AUDITORIA
OBJETIVO Permitir al estudiante fortalecer los conceptos sobre el diseo del programa de auditoria. METODOLOGIA Para realizar este taller, el participante en el Curso de Auditoria Interna deber realizar el trabajo en grupos designados por el tutor Deben sustentar su propuesta al Tutor del curso con sus respuestas. Los estudiantes deben leer el caso y elaborar una propuesta de programa de auditora, se pueden utilizar los formatos de ejemplo al final del taller o emplear otros formatos que cumplan con los requisitos del programa de auditoria de acuerdo con la norma ISO27001:2005 TIEMPO Tiempo mximo de 40 minutos para el desarrollo del taller y tiempo de revisin
La organizacin Services and Support ha implantado un sistema de gestin de seguridad de la informacin de acuerdo con la norma ISO 27001:2005, el sistema an no ha sido certificado y la compaa tiene inters en obtener su certificado de cumplimiento debido a que durante el siguiente ao participar en convocatorias estatales. SAS tiene como misin la prestacin de servicios de call center tercerizado a clientes del sector bancario de habla inglesa a nivel mundial. La organizacin tiene 3 sedes en las ciudades de Nueva Deli, Londres y Nueva York, lo que le permite prestar servicios sin interrupcin 24 horas al da a todos los clientes de los bancos a los que presta sus servicios SAS. Su plan de personal est compuesta por 400 empleados en Deli, 250 empleados en Londres y 500 en Nueva York. Dentro de su planta de empleados ha destinado 3 oficiales de seguridad de la informacin uno para cada sede y un gerente de servicios de tecnologa que coordinar la operacin global de los call center. Su infraestructura de comunicaciones est tercerizada con proveedores locales que se interconectan globalmente. Los servicios que estn dentro del alcance del SGSI incluyen: Comercializacin Global: responsable de los procesos de venta de servicios y mantenimiento de clientes Modelamiento Financiero: Proceso responsable del desarrollo de los casos de negocio de clientes potenciales de los servicios de SAS Planificacin Tecnolgica responsable del soporte y mantenimiento de la plataforma global de call center Comunicacin Oportuna: Proceso misional responsable de la prestacin de servicios de call center a los clientes de los bancos que compran los servicios de SAS
Pgina 6

Programa de auditoria para (nombre de organizacin) Fecha de elaboracin del programa de auditora Perodo del programa de auditora Responsable del programa Objetivos del programa de auditoria
Auditorias que componen el programa de auditoria
Auditoria (Identificacin de la auditoria)
Aspecto a auditar (proceso, actividad, requisito)
Fechas programadas
Detalle de la auditorias Auditoria Objetivo(s) Fecha(s) programas Aspecto(s) a Auditar Auditor(es) designados Recursos tcnicos Recursos Financieros Recursos Humanos Otros Recursos Criterios Mtodos o procedimientos Detalle de la auditorias Auditoria Objetivo(s) Fecha(s) programas Aspecto(s) a Auditar Auditor(es) designados Recursos tcnicos Recursos Financieros Recursos Humanos Otros Recursos Criterios Mtodos o procedimientos
Pgina 7
TALLER No 4
REVISIN DE LA -POLTICA
OBJETIVO Aclarar las dudas de los requisitos relacionados con la poltica de seguridad de la informacin segn ISO 27001:2005. METODOLOGIA Revisar la poltica y determinar si hay cumplimiento con respecto a los requisitos de ISO 27001. Que pregunta incluira en su lista de verificacin para aclarar el cumplimiento, cuando est en la auditoria en sitio? Realizar este taller en grupo de trabajo designado por el tutor. Deben presentar sus conclusiones al tutor del curso. TIEMPO Tiene un tiempo mximo de cincuenta (50) minutos para el desarrollo del Taller. Se destina tiempo para revisin.
Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde LOS HECHOS, SOLO LOS HECHOS!
Pgina 8

Organizacin Xuam Services Inc. INTRODUCCIN OBJETO ALCANCE Aplica para los empleados relacionados directamente con la seguridad. REQUISITOS LEGALES Y/O REGLAMENTARIOS DEFINICIONES Directrices: Descripcin que aclara lo que se debera hacer y cmo hacerlo, para alcanzar los objetivos establecidos en las polticas. RESPONSABLES PROCEDIMIENTO POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN Est orientada a gestionar eficazmente la seguridad tratada por los sistemas informticos de la empresa as como los activos que interactan con los sistemas informticos. Compromiso de adoptar cuantas medidas de ndole tcnica y organizativa estn a su alcance, en funcin de las posibilidades y avances tecnolgicos. Aplicar los objetivos de control y controles necesarios, que garanticen la disponibilidad y confidencialidad. Las medidas implantadas se acreditarn mediante auditorias solo informticas. Disponer de un sistema de gestin de seguridad formalizado y documentado. Establecer los requisitos de seguridad mediante un conjunto de principios y reglas declarando como se especificar y gestionar la proteccin de los diferentes activos de la informacin de una manera consistente y efectiva. Gestionar y reducir los riesgos a un nivel aceptable. Cumplir con las Leyes y reglamentaciones vigentes. Comunicar la poltica de seguridad de informacin solo a los empleados. Doc: SGSI-POL-00 V00 POLTICAS ESPECFICAS GESTIN DE RIESGO POLTICAS ESPECFICAS RECURSOS Y DEL USUARIO POLTICAS ESPECFICAS TCNICAS APROBACIN POLTICA SEGURIDAD Ver Procedimiento de revisin de la direccin, seccin aprobaciones. CONTROL DE CAMBIOS
Pgina 9

Resultados del anlisis
Pgina 10
TALLER No 5
REVISIN DOCUMENTACIN SGSI
OBJETIVO Reforzar el aprendizaje con respecto a los documentos requeridos por la norma ISO 27001:2005. METODOLOGIA Analizar el Manual del SGSI suministrado en el taller. Verificar los documentos requeridos por ISO 27001 Realizar este Taller en grupo de trabajo y redactar sus comentarios en la hoja de trabajo. TIEMPO Tiene un tiempo mximo de 50 minutos para el desarrollo del Taller. Se destina tiempo para revisin. Recuerde que las cuatro (4) metodologas documentadas exigidas por ISO 27001 no son procesos, si se integran pueden ser un proceso. Control de Documentos + Auditorias Internas + Accin Correctiva + Accin Preventiva = Ejemplo: Proceso de Gestin del SGSI o Proceso de Mejora Continua.
Pgina 11

ANALISIS DEL MANUAL de SGSI SI CUMPLE O NO CUMPLE. EL EQUIPO DE TRABAJO DEBE ENTREGAR LOS HALLAZGOS DE CUMPLIMIENTO O INCUMPLIMIENTO. (Incluir clusula) * * * * * * * * * * * * * * * *
Pgina 12

MANUAL DEL SGSI
Este manual contiene los detalles organizacionales del Sistema de Gestin de la seguridad de la informacin hacia el cumplimento de la organizacin de los requisitos de la norma ISO/IEC 27001:2005. 1.0 ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN La compaa Xuam Services Inc., se define para sus actividades que incluye: Proveedor de servicios de tecnologas de la informacin y consultora en soluciones de gestin de conocimiento, comercio electrnico y gestin de hosting en la ciudad de Miami y Atlanta. Excluye A.12.1 y A.12.6. 2.0 3.0 4.0 INTRODUCCIN A LA COMPAA Y ANTECEDENTES ORGANIGRAMA Ver SGSI-ORG-00 V1. PROPSITO Y ALCANCE DEL MANUAL Este manual aplica a las actividades detalladas en el alcance del sistema de gestin de seguridad de la informacin en la ciudad de Bogot. 5.0 la
FORMATO Y REVISIN El formato de este manual est diseado por secciones, las cuales brindan conformidad con los requisitos de la norma ISO/IEC 27001:2005. El SGSI esta apoyado en la definicin de los documentos requeridos como el alcance, poltica, objetivos, procedimientos, metodologa de valoracin de riesgos, informe de tratamiento de riesgos, plan de tratamiento de riesgos y registros exigidos por la norma. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN 6.1 Requisitos Generales: La compaa ha documentado, implementado y mantenido un SGSI que cumple con los requisitos de la ISO 27001. 6.2 Requisitos de documentacin El SGSI descrito en este manual intenta proporcionar directrices que deben seguirse para alcanzar de forma efectiva nuestra poltica de seguridad de la informacin y los objetivos asociados, teniendo en cuenta los requerimientos del negocio, legales y reguladores. La organizacin adopta el enfoque basado en procesos, definidos como: a) Estratgicos: Planeacin y direccin estratgica Gestin seguridad de la informacin Gestin de riesgos Gestin control interno - auditorias b) Operacin: Comercializacin Consultora soluciones de gestin conocimiento Servicio Comercio electrnico Servicio Hosting Gestin continuidad del negocio c) Apoyo. Gestin contratacin y legal Gestin servicios de tecnologa Gestin recursos Gestin incidentes Gestin legal Se ha definido la descripcin e interaccin de procesos, en: Planeacin y direccin estratgica SGSI-DIR-00 V1.
6.0
Pgina 13

Gestin de Riesgos SGSI-RIE-00 V3. Gestin de la Continuidad del Negocio SGSI-DIR-00 V3. Documentacin complementaria como: Declaracin de aplicabilidad SGSI-RIE-05 V5. 6.3 Control de documentos. Todos los documentos de este manual se controlan de acuerdo con la norma de creacin de documentos e procedimiento de control de documentos. Los documentos de origen externo relacionados con el SGSI sern controlados y los documentos obsoletos deben ser identificados. 6.4 Control de registros. Segn lo definido en el procedimiento documentado de control de registros. 5.0 RESPONSABILIDAD DE LA DIRECCIN 5.1 Compromiso de la direccin: Comunicando a todo el personal la necesidad de cumplir con los requisitos de los clientes, legales y reglamentarios. En la importancia de cumplir con los objetivos de seguridad de la informacin y ajustarse a la poltica de seguridad de la informacin, sus responsabilidades con la ley y la necesidad de mejora contnua. Llevar a cabo reuniones de revisin de la gestin para asegurar la conveniencia y la efectividad de nuestro SGSI. Animar para implantar una cultura de mejora continua en todos los aspectos del negocio de la compaa y monitorear y medir continuamente los niveles aceptables de riesgo en la organizacin. 5.2 Poltica de seguridad de la informacin (Ver SGSI-POL-00 V00). 5.3 Responsabilidad y autoridad, el equipo de direccin debe asegurar que las responsabilidades y autoridades estn definidas y sean comunicadas a la organizacin para asegurar la efectiva implementacin y el mantenimiento de nuestro SGSI. La organizacin ha definido el organigrama. Esta estructura identifica las funciones y sus interrelaciones en la compaa. El manual del SGSI especfica los requisitos del trabajo y los recursos y personal responsable por las actividades definidas. Todo el personal est formado en los requisitos del sistema, particularmente en lo referente a la monitorizacin del nivel del servicio proporcionado. La organizacin tiene definido el manual de funciones. 5.4 Gestin de recursos 5.4.1 Provisin de recursos para asegurar que los procedimientos de seguridad de la informacin dan apoyo a los requisitos del negocio. 5.4.2 Formacin, conocimiento y competencia, este requisito se cumple al contratar personal competente. REVISIN DE GESTIN DEL SGSI 6.1 Generalidades, el equipo de direccin debe revisar el SGSI, a intervalos de seis (6) meses para asegurar la conveniencia y efectividad del SGSI. Se deja registro en las actas de revisin al SGSI. Se tiene en cuenta todos los requisitos estipulados en las entradas y salidas de la revisin y se deja registrado en las actas de revisin al SGSI. 6.2 Auditorias internas, se ha definido un procedimiento documentado. Los resultados de las auditorias son registrados. Se tienen auditores internos calificados. MEJORA DEL SGSI 7.1 Mejora continua, cubre la metodologa utilizada en el registro, recoleccin, anlisis, resumen y comunicacin de todos los datos pertinentes para monitorear y mejorar la efectividad del funcionamiento y del SGSI. 7.2 Accin preventiva, se ha establecido un instructivo documentado para las no conformidades potenciales y las medidas preventivas se disponen para eliminar o minimizar que ocurran (Clusula 8.3 ISO 27001).
6.0
7.0
Pgina 14

Anexos: SGSI-DIR-00 V1. Planeacin y direccin estratgica
CARACTERIZACION PROCESO PLANEACIN Y DIRECCIN ESTRATGICA
OBJETIVO DEL PROCESO
Codigo: Versin:1 Pag
RESPONSABLE
Este proceso tiene por objeto brindar evidencia de compromiso de la alta direccin Gerente con el SGSI, gestionar recursos al SGSI y revisar el SGSI a intervalos planificados.
PROCESO
ENTRADA
ACTIVIDADES
SALIDA
PROCESO Todos los procesos
Requisitos y P Establecer y aprobar polticas expectativas SGSI,objetivos, procesos.
Acciones correctivas y preventivas
G. Riesgos
P Aprobar metodologa de valoracin de riesgos, autorizar para implementar y Actas operar el SGSI, decidir criterios aceptacin riesgo y niveles de riesgo aceptable.
G. Riesgos
Procesos internos
P Establecer funciones y responsabilidades del SGSI, Comunicacin del SGSI.
Manual funciones, responsabilida RH des. Comunicados
Partes interesadas
Procesos internos G. Riesgos
Presupuesto y SGSI, P Asignar recursos para implementar plan plan de Financiero y tratamiento de riesgos. personal TI Registros de H Decidir los riesgos residuales riesgos propuestos y operar el SGSI V Realizar seguimiento y revisin regular del SGSI, medicin de la eficacia de los controles, revisar la valoracin de riesgos a intervalos planificados, verificando la realizacin auditorias internas, actualizar los planes de seguridad de la informacin. Acta de revisin gerencial, decisiones tomadas
Revisin Gerencial
Todos los procesos
Revisiones
A Implementar mejoras identificadas, Planes de Implementar acciones correctivas y preventivas, comunicar y asegurar que las mejora mejoras logren los objetivos del SGSI
Partes interesadas
Pgina 15

DOCUMENTOS Y/O REGISTROS DOCUMENTOS EXTERNOS NUMERALES APLICABLES Control de Documentos DO-PR- Legislacin aplicable 4.1, 4.2.1 y 7 GC-01,Control de Registros DOPR-GC-02, Auditorias AP-PR-GC04, Acciones correctivas y RECURSO DEL PROCESO HUMANOS Personal relacionado con el alcance del SGSI INFRAESTRUCTURA Instalaciones fisicas y lgicas, maquinaria y equipo, equipos de comunicacin interna, software CONTROLES APLICABLES AL PROCESO QUE SE CONTROLA RESPONSABLE DEL CONTROL METODOLOGIA DE CONTROL FRECUENCIA CONTROL
Indicadores
Responsable del proceso Gerente

INDICE DE GESTIN
Informes de Indicador, Monitoreo, Reunin comite seguridad informacin, Reunin de Revisin SGSI.
MEDICION DEL PROCESO PERIODICIDAD Mensual
Mensual semestral
INDICADOR
RESPONSABLE
META 80%
Gestin de Riesgos SGSI-RIE-00 V3. Se realiza gestin de riesgos a los procesos del SGSI, al contratar proveedores que afecten el SGSI, cuando hay cambio en el SGSI. Se debern identificar: Activos, amenazas ms probables, salvaguardas, responsables que protegen de dichas amenazas. Categora BASICA no se tiene en cuenta y se focaliza en resultados medios y altos. Si la categora es MEDIA, el anlisis de riesgos deber ser ms formal, catlogo bsico de amenazas. Adems, se debern identificar los mismos puntos de la categora bsica (activos, propietarios, amenazas, salvaguardas) y adems debern valorarse. Para la categora ALTA, el anlisis de riesgos deber ser totalmente formal y deber identificarse las vulnerabilidades. El anlisis de riesgos debe garantizar resultados comparables y reproducibles. El anlisis de riesgos debe incluir los siguientes puntos: Valoracin del impacto de la materializacin de la amenaza sobre la confidencialidad, integridad y disponibilidad de cada activo. Valoracin de la probabilidad teniendo en cuenta amenazas, vulnerabilidades, impacto y controles de seguridad ya implantados. Valoracin de los riesgos con clasificacin de los riesgos en aceptables y no aceptables segn el criterio de aceptacin del riesgo y los niveles de riesgo aceptable. Tratamiento del riesgo con aceptacin del riesgo (criterio de aceptacin del riesgo y deben identificarse los niveles de aceptacin del riesgo) y transferir a otras partes los riesgos, resultados registrados en el plan de tratamiento de riesgo y actualizacin de la declaracin de aplicabilidad. Revisin del anlisis de riesgos para mantener permanentemente actualizado cada dos (2) meses o teniendo en cuenta cambios en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas, efectividad de los controles implantados, eventos externos, legales o regulatorios, contractuales, sociales, econmicos, etc. Declaracin de aplicabilidad SGSI-RIE-05 V5. Clausula Detalle Aplicacin 4.2.1 Establecer SGSI S
4.2.2 4.2.3 4.2.4 4.3
Implementar y operar el SGSI Seguimiento y revisin del SGSI Mantener y mejorar el SGSI Requerimientos de
Si Si Si Si
Aplicabilidad Manual SGSI, documentos requeridos, operando SGSI desde 1/09/2010. Definido en la interaccin de los procesos como G. Riesgos. Definido en la definicin de los procesos Actividades H Definido en la definicin de los procesos Actividades V Definido en la definicin de los procesos Actividades A Documentacin definida e incluida en
Pgina 16

documentacin la definicin de los procesos y control de procedimientos de Control documentos y registros. SI Si Si Si Si Si Si Si Procedimiento auditorias internas Revisin anual del SGSI Procedimiento acciones correctivas y preventivas
5 6 7 8 A.5 A.6 A.7 A.7.1.1
Responsabilidad de la direccin Auditorias internas Revisin de la direccin Mejora del SGSI Poltica del SGSI Organizacin de la seguridad de la informacin Gestin de activos Inventario de activos
A.7.1.2
Propiedad de activos
Si
A.7.1.3 A.72.1
Uso aceptable de los activos Directrices de clasificacin
Si Si
A.7.2.2
Etiquetado informacin
manejo
de
Si
8.2
Seguridad de RH
A.9.1.1 A.9.1.2 A.9.1.3 A.9.1.4 A.9.1.5 A.10
Seguridad fsica
Se ha implementado y se mantiene un sistema de informacin, el cual relaciona todos los activos de la organizacin, sean tangibles o intangibles, este control se realiza desde su adquisicin o relacin con la organizacin. En el sistema de informacin de control de activos, se ha designado un propietario o responsable, tambin se han designado responsables a los procesos, procesamiento de informacin y reas sensibles de la organizacin. Poltica de gestin de activos Procedimiento de clasificacin de activos etiquetado y manejo de informacin Procedimiento de clasificacin de activos etiquetado y manejo de informacin Antes de la contratacin laboral con roles y responsabilidades, Seleccin de personal y trmino y condiciones laborales. Documentos de definicin permetro fsico, procedimiento de control de acceso, herramientas y polticas de control de acceso fsico, Diseo seguridad. Procedimiento de operaciones G. Cambios, G. Capacidad, G. Monitoreo, Backup. Herramienta OpManager, OpStaar, OppUtils. Active Directory. Procedimiento control de acceso Procedimiento gestin incidentes, definicin responsabilidades, Herramienta cuantificacin y monitores incidentes eventos. Procedimiento recoleccin evidencias
Comunicaciones y Operaciones
A.11 A.13
Control de acceso Gestin de incidentes seguridad en la informacin de
Si S
Pgina 17

A.14 A.15 Gestin Continuidad del negocio Conformidad S S Procedimiento cumplimiento polticas y normas de seguridad. Procedimiento auditoria TI.
Procedimiento Accin correctiva: (Parte del procedimiento) Xuam Services Inc. PROCEDIMIENTO DE ACCIN CORRECTIVA OBJETO ALCANCE Edicin: 0 Fecha: Cdigo: P - AC - 03
Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia, las acciones correctivas deben ser apropiadas a las causas y problemas encontrados. Aplica para todos los procesos del SGSI REGISTROS
ACTIVIDADES RESPONSABLES 1. Detectar problemas o no conformidades: (Auditoras internas, g. incidentes, g. cambios, monitoreo, auditoria proveedores, 1. Cualquier colaborador auditorias externas, revisin de la direccin, etc.) 2. Registrar problemas. 2. Jefe de rea, Representante de la direccin
Herramienta
3. Analizar las causas 4. Determinar accin correctiva y registrar. 5. Implementar accin. 6. Seguimiento a la accin.
3. Jefe de rea o proceso 4. Jefe de rea, Representante de la direccin 5. Dueo del proceso 6. Jefe de rea, Representante de la direccin
Herramienta Formato de accin correctiva Formato de accin correctiva F. accin correctiva F. accin correctiva F. accin correctiva F. accin correctiva
7. Eficaz NO
SI Cierre e
7. Auditores internos
8. Generar nueva solicitud de accin correctiva 9. Cerrar accin correctiva. 10. Registro indicadores 11. Ingresar informacin al reporte y revisin direccin
9. Jefe de rea, Representante de la direccin 10. Auditores internos 10. Representante SGSI - direccin 11. Alta Direccin
F. accin correctiva F. accin correctiva Indicadores Reporte Revisin direccin
Pgina 18

Gestin Configuracin - Formato Servidor FILE SERVER CONFIGURATION
Location Date Name File Server Name NetWare Version User license
File Server Brand Base Memory Total Memory UPS Capacity
File Server Model Extended Memory Boot Method Power Monitoring
Network Boards Name Driver
I/O Port
Address
IRQ
DMA
Node
Slot
Net No
Floppy Disk Drives Letter Size
Capacity
CD-ROM Drive Letter Speed
Type
Brand
Model
Internal Hard Drives Letter Size (Mb)
Controller
DOS part.
Net part.
Brand
Model
Disk/Device Sub-Systems Device Device Device Number Type Controller 0 1 2 3
Size (Mb)
Netware Partition
Drive Brand
Drive Model
Comments
Pgina 19

Procedimiento clasificacin y control de activos - etiquetado Edicin: 0 Fecha: PROCEDIMIENTO CLASIFICACIN Y CONTROL Cdigo: P - AT - 01 DE ACTIVOS ETIQUETADO Xuam Services Inc. 1. OBJETIVO Determinar las actividades requeridas para la gestin e inventario de activos del SGSI. Garantizar el etiquetado de los activos y manejo de la informacin de acuerdo con la definicin de clasificacin de activos de la organizacin. 2. ALCANCE Este procedimiento aplica para todos los activos del SGSI de la organizacin. 3. DEFINICIONES: 4. PUNTOS IMPORTANTES: NORMAS RELACIONADAS / REFERENCIAS N/A DESCRIPCIN DE ROLES Y RESPONSABILIDADES Comit de Seguridad de la informacin Definir los mtodos de etiquetado y manejo de informacin. Definir los procesos y actividades que requieren de etiquetado y manejo de informacin. Responsable de la Gestin del Sistema de Seguridad de la informacin Soportar la gestin de etiquetado y manejo de informacin Gestor de activos Coordinar actividades para la identificacin de los activos del SGSI. Procesos a cargo Todos los responsables de los procesos, gestin de compras, gestin de seguridad fsica son responsables de la gestin de activos y propietarios de los activos. Comit de Seguridad de la informacin Ejecutar actividades para el cumplimiento de este procedimiento. 5. EXPLICACIN: Se aplica este procedimiento: Cuando se ingresa un activo de informacin al SGSI Cuando hay una salida de un activo de informacin del SGSI Cuando hay uso de etiquetas (fsicas o electrnicas) en el SGSI. Tipos de activos de seguridad de la informacin: a) Informacin b) Software c) Fsicos d) Servicios e) Personas y sus calificaciones, habilidades y experiencia f) Intangibles
Pgina 20

Toda informacin considerada como CONFIDENCIAL y de USO INTERNO debe estar etiquetada, sin importar su medio (fsico o digital). 5.1 Etiquetado de documentos Segn procedimiento de control de documentos. 5.2 Etiquetado de correos electrnicos. Los correos electrnicos que estn clasificados como USO INTERNO y CONFIDENCIAL, deben contener la siguiente leyenda: Este mensaje puede contener informacin confidencial o de uso interno de la organizacin, 5.3 Etiquetado de paquetes Los paquetes para almacenar y transferir informacin clave, deben ser identificados etiqueta que indica CONFIDENCIAL. 5.4 Etiquetado de presentaciones En el caso de que alguna presentacin, contenga informacin de tipo CONFIDENCIAL o de USO INTERNO, debe incluir muy claro lo siguiente: USO CONFIDENCIAL DE LA ORGANIZACIN. 5.5 Etiquetado de Telecomunicaciones Si hay transferencia de datos con organizaciones externas se debe: Segn procedimiento y directrices de transmisin de datos. Habilitado uso de trafic filter y firewall. Uso llaves criptogrficas. Clasificacin informacin: Uso interno Confidencial Secreta Altamente secreto MANEJO DE LA INFORMACIN Informacin pblica: Informacin privada: Informacin confidencial Se debe tener en cuenta los siguientes cuidados y controles de seguridad para mantener de forma confidencial: No podr ser divulgada o transferida a personas o funcionarios no autorizados. Evite ubicar informacin en lugares de fcil acceso por personas no autorizadas. Destruya de forma segura toda la informacin confidencial, cuando deje de ser necesaria. La informacin confidencial, debe ser almacenada en sistemas seguros. La informacin confidencial, almacenada en porttiles debe estar de forma cifrada. REQUERIMIENTO DE ACCESO 6. APROBACIN Y GESTIN DE CAMBIOS
Elaborado por: Revisado por: Versin Fecha Nombre aprobador Cambio Aprobacin
Pgina 21
TALLER No 6
ISO 27001 PLAN DE AUDITORIA
OBJETIVO Clarificar los conceptos referentes a programa y plan de auditoria. METODOLOGIA Determinar las clusulas a incluir en el programa de auditoria y generar el plan de auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de auditoria interna deber soportarse en lo visto en clase y en la Norma ISO 27001. Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los resultados del taller. TIEMPO Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller. Se destina tiempo para revisin. DESARROLLO
Parte A. Programa de auditoria: Se ha determinado en el programa el proceso denominado contratacin SGSI, determine que clusulas se deben considerar para evidenciar conformidad con respecto a la norma ISO 27001:2005. (No hay exclusiones). Organizacin Join Ingenieria S.A. Proceso contratacin de servicios
Parte B. Plan de auditoria: Generar el plan de auditoria, puede considerar auditar otras reas/funciones o procesos necesarios para evidenciar conformidad. La alta Direccin decide incluir en el programa de auditoria interna el proceso de produccin ubicado en 3 sucursales Bogot, Cali y Medelln. Se detalla los 3 Subprocesos operativos: Para cada subproceso se encuentran seleccionados e implementados todos los controles que le aplican, Procesamiento de datos: revisar los logs del centro de cmputo, operar los servidores, generar e imprimir los informes y enviar informacin a clientes internos y externos. Bogot, Cali y Medelln. En Medelln se realiza remotamente la gestin de revisin de logs del centro de cmputo y es gestionado desde Bogota.
Pgina 22

Medios de almacenamiento: Administrar todos los medios de almacenamiento de la organizacin y de los clientes (tales como cintas, cds, dvds y discos extrables). Bogot y Medelln. Comunicaciones: Instalar y mantener todos los equipos de comunicaciones tales como routers, switches, VPN, MODEM, firewall y monitoreo del servicio de canales, correo e Internet. Bogot, Cali y Medelln.
Pgina 23

PLAN DE AUDITORIA
Pgina 24
TALLER No 7
ISO 27001 LISTA DE VERIFICACIN
OBJETIVO Practicar la generacin de preguntas de acuerdo con las clusulas de la Norma ISO/IEC 27001:2005. METODOLOGIA Para realizar este taller el participante en el curso de auditoria interna deber soportarse en Norma ISO 27001. Realizar una lista de verificacin del SGSI para evidenciar conformidad de las clusulas 5 y 6 y Anexo A.10. Se divide el curso en grupos y se asigna clusulas a cada grupo. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. El equipo de trabajo debe sustentar los resultados del taller. TIEMPO Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller. Se destina tiempo para revisin. DESARROLLO LISTA DE VERIFICACIN Organizacin: Auditores: Proceso:
No. CLAUSULA PREGUNTA
Observaciones Cumple(s/n
Pgina 25

No. CLAUSULA PREGUNTA
Observaciones Cumple(s/n
Comentarios:
Nombre y Firma Auditor:
Nombre y Firma Auditado:
Pgina 26
TALLER No 8
ISO 27001 REUNIN DE APERTURA
OBJETIVO Mejorar el entendimiento de los temas vistos hasta el momento. METODOLOGIA Preparar el contenido de una reunin de apertura de la organizacin (taller 11), la organizacin es Do brasil Electronic S.A., se dedica al diseo, ensamble y venta de componentes electrnicos de seguridad. La organizacin est ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Ro de Janeiro en donde ensambla alarmas de seguridad para edificios. La auditoria se realizara en Sao Paulo. Para realizar este Taller se integran grupos de trabajo.
TIEMPO Tiempo de preparacin 35 minutos y tiempo para su presentacin por grupos. DESARROLLO Aspectos adicionales a tener en cuenta al momento de realizar la reunin de apertura presentacin de auditores, confirmar estndar, alcance SGSI, alcance de auditoria, criterios, confirmar el plan de auditoria que incluye las reuniones de retroalimentacin, horas de almuerzo y cierre de auditoria, mtodos de la auditoria (aclaracin que la auditoria slo se basar en una muestra seleccionada por el grupo de auditores, se confirma los canales de comunicacin, confirmacin de los recursos requeridos para la realizacin de la auditoria, confirmar los acuerdos de confidencialidad y confirmar algn lineamiento adicional que los auditores deben de conocer con respecto a la seguridad, permitir preguntas de los auditados.
Pgina 27
TALLER No 9
ISO 27001 COMO PREGUNTAR
OBJETIVO Realizar y practicar preguntas a realizar en una auditoria en sitio. METODOLOGIA Se tienen diferentes situaciones de una organizacin real, en la cual se debe preparar las preguntas y realizar directamente al auditado: Situacin a) Direccin Situacin b) Recurso Humano Situacin c) Mejora del SGSI Situacin d) Centro de cmputo Situacin e) Legal Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. Retroalimentacin guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria. TIEMPO Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisin. DESARROLLO
Pgina 28
TALLER No 10
REDACCION DE HALLAZGOS DE INCUMPLIMIENTO
OBJETIVO Generar habilidad en el auditor para detectar no conformidades, mejora su redaccin, clasificacin y sustentacin. METODOLOGIA En cada una de las siguientes situaciones, el participante en el curso de tcnicas de auditoria interna debe determinar si hay hallazgo de incumplimiento, clasificar de acuerdo a la clusula Norma ISO 27001 y realizar la redaccin respectiva. Realizar este taller en grupo determinado por el tutor y debe sustentar sus conclusiones en las hojas respectivas. TIEMPO Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisin. DESARROLLO Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde LOS HECHOS, SOLO LOS HECHOS AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Proceso revisado: Hallazgos:
Estndar y Nmero de Elemento:
Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Pgina 29
Auditor
AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR
Auditor
AUDITORIAS DE SGSI
SOLICITUD DE ACCIONES CORRECTIVAS
MAYOR
MENOR
Auditor CASOS
La organizacin YING SEG INC, construye Sistemas de Control Electrnico segn las especificaciones de los diseos de los clientes. Usted forma parte de un equipo de auditoria que revisa el Proceso de Gestin del SGSI (Control de documentos y registros) en este proceso se tiene establecido que los originales de la documentacin del sistema operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de los equipos de la empresa deben estar en la sala de control de documentos. Tambin se audita al proceso de Gestin del Talento Humano. Cuando se acerca a la sala de control de documentos, usted observa la puerta abierta, observa a los empleados de produccin en la sala de control de documentos buscando en el archivo de documentos obsoletos unos planos de los diseos del control electrnico del proyecto Gate Close II, usted solicita los registros de ingreso y evidencia que los empleados no estn en la planilla de Pgina 30

ingreso, adems revisa los derechos asignados y ninguno tiene registro de asignacin de ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos establecidos. Roberta se disculpa por el hecho de que el rea parece desordenada, explica que estuvo de vacaciones por Navidad y Ao Nuevo. Usted pregunta como auditor lder Cmo se controla la documentacin del sistema operativo? Roberta lo lleva al archivero que contiene dicha documentacin; usted selecciona cinco (5) documentos para revisar, solicita el listado de documentos maestros y observa los niveles de revisin de los documentos elegidos del archivo contra la lista maestra, todos salvo el Manual uno tiene la revisin correcta, este documento debe ser revisin 2, solicita la aprobacin de la nueva versin y no est disponible, Roberta dice que cree que la versin del documento nuevo est entre los documentos pendientes. Usted solicita a Roberta ver el procedimiento de control de documentos establecido por la organizacin, ella confiesa que presto su copia a otra rea de la organizacin, pero hay una copia del procedimiento enmarcada y fijada en la pared, junto a la puerta, para que todos la lean, usted observa las fotocopias no controladas. Usted pregunta a Roberta como se controla el listado maestro de documentos?; ella dice que este es un registro codificado F-LD-GSGSI-001 Revisin 2 e invoca una hoja electrnica en su computadora y muestra cmo asienta los nuevos documentos que se reciben. Al indagar Cmo se controla la entrada a la computadora? Roberta responde que la puerta de la sala siempre est cerrada con llave, cuando ella no est. Luego solicita cmo se controlan y distribuyen los cambios de ingeniera, Roberta muestra el archivo maestro de informes de cambios de ingeniera, selecciona seis (6) y observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuy los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta explica que falta personal y ha tenido que depender de la secretaria de ingeniera para pasar las copias a los trabajadores de produccin y que la secretaria no le devuelve las hojas de acuses de recibo. Usted observa un estante con catlogos de varios distribuidores de electrnica, usted pregunta a Roberta si estn controlados, ella responde que slo se usan como referencia y nunca salen de la sala, dice que los Ingenieros usan el catlogo de partes computarizado cuando necesitan publicar las especificaciones de las partes y como son tantos y muy poco se utilizan no se han incluido en el SGSI. Roberta lo lleva al proceso de gestin de talento humano, donde encuentran al Director, Anbal Ramrez usted se presenta y solicita donde estn establecidas las competencias del personal, las funciones y responsabilidades en seguridad en la informacin, entrega un archivo. En el archivo evidencia cumplimiento de seleccin de personal, trminos y condiciones de la relacin laboral, conformidad con educacin y formacin en la seguridad en la informacin. Al solicitar cinco (5) hojas de vida al azar, tambin verifica el proceso disciplinario de algunos empleados y contratista, es conforme con los requisitos, por ltimo revisa la devolucin de activos y comunicacin de la eliminacin de derechos del personal que sali de la organizacin en los ltimos ocho (8) meses y encuentra los registros pertinentes, Anbal explica que a travs de una interaccin estrecha entre gerentes y empleados han evitado una descripcin especfica de perfiles de cargos, usted busca en el listado maestro de documentos y no hay existencia de la definicin indicada por Anbal, al hablar con Anbal sobre los contratos de trabajo de cuatro (4) cargos distintos, Anbal explica que en estos se encuentran los controles adecuados, usted verifica la informacin y esta de acuerdo, usted registra en su lista de verificacin. Agradece a Roberta y Anbal y regresa a la sala de reuniones privada para redactar el informe de auditoria.
Pgina 31
TALLER No 11
REDACCION DE OBSERVACIONES
OBJETIVO
Mejorar las habilidades para utilizar adecuadamente las observaciones u oportunidades de mejora y su redaccin respectiva.
METODOLOGIA
En cada una de las situaciones de este taller, el participante debe determinar si hay una oportunidad de mejora u observacin con respecto a la Norma ISO 27001 y realizar la redaccin respectiva. Trabajo en grupo. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. Sustentar sus redacciones.
TIEMPO
Tiene un tiempo mximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisin.
DESARROLLO
Con los casos del taller anterior, determinar si hay observaciones u oportunidades de mejora. Casos: Pasan al proceso de gestin de tarjetas donde observan que el encargado Rafael Nez, guarda las tarjetas en una caja fuerte y las claves en otra. El software que controla la expedicin de tarjetas esta temporalmente suspendido debido a que le estn incluyendo otras rutinas de validacin y control. Al pasar por el cuarto de servidores ven que la puerta tiene una cantonera que restringe el acceso y al preguntar a Carlos lvarez, Director del rea Ha definido controles para el control de acceso fsico y lgico?, l dice que si y ensea reglamentacin sobre registros tanto de acceso fsico como lgico, al revisar los registros y observa que solo estn hasta el mes pasado, a lo cual el gerente comenta que mensualmente se estn enviando los registros al departamento de archivo para su almacenamiento dado que la organizacin estableci un tiempo de retencin de 1 ao. Al preguntar al gerente de servicios de tecnologa si existe un procedimiento de continuidad del negocio en caso de desastres o causas mayores, el comenta que se ha establecido un procedimiento y se ha validado el plan de continuidad del negocio. Se tiene un servidor idntico al de produccin donde se carga diariamente la informacin actualizada y se encuentra ubicado en otro sitio diferente al centro de cmputo, con todas las acometidas independientes,
Pgina 32

igualmente se encuentra protegido por ups y planta elctrica. Se realiz la valoracin de los riesgos para los activos crticos y se tiene un plan de pruebas y actualizacin de cambios. As mismo existen funciones y responsabilidades definidas en caso de ser necesario utilizarlo. Se solicitaron estos documentos y se encontr conformidad en los mismos. En la revisin del sistema de backup encuentra que algunas cintas son almacenadas en la oficina de sistemas sobre un mueble. Estndar /Elemento Observaciones u Oportunidades de Mejora
ISO 27001 ELEMENTO ________
PROCESO:
Pgina 33
TALLER No 12
ISO 27001 ANALISIS DE LOS PROCESOS
OBJETIVO Fortalecer el conocimiento de la determinacin de no conformidad, observaciones, su clasificacin, redaccin y sustentacin. METODOLOGIA La auditoria simulada debe seguir los siguientes pasos: 1. Reunin del equipo auditor (Anlisis de Hallazgos). 2. Clasificacin de los hallazgos con respecto a una clusula de la norma. 3. Determinacin de observaciones u oportunidades de mejora 4. Solicitud de acciones correctivas. El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una observacin (oportunidad de mejora) con respecto a la Norma ISO 27001. Determinar la clusula de ISO 27001, relacionada con el hallazgo de la posible no conformidad u observacin. Si se declara que el hallazgo es una No Conformidad debe ser redactada en el formato Solicitud de Accin Correctiva (SAC). Si se declara que el hallazgo es una Observacin debe ser redactada en el formato Observaciones/Oportunidades de Mejora. Taller en grupo y sustentacin de resultados en la reunin de cierre formal. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. TIEMPO Tiene un tiempo mximo de 50 minutos para el desarrollo del Taller. Se destina tiempo para revisin. DESARROLLO AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR Proceso revisado: Estndar y Nmero de Elemento: Hallazgos:
MENOR
Auditor AUDITORIAS DE SGSI Proceso revisado: Hallazgos: SOLICITUD DE ACCIONES CORRECTIVAS Estndar y Nmero de Elemento: MAYOR MENOR
Pgina 34

Auditor Estndar /Elemento
Observaciones u Oportunidades de Mejora
Pgina 35

Do Brasil Electronic S.A. Se dedica al diseo, ensamble y venta de componentes electrnicos de seguridad. La organizacin est ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Ro de Janeiro en donde ensambla alarmas de seguridad para edificios. Auditora en sitio es realizada por dos auditores. Para el caso el oficial de seguridad y responsable del SGSI es el Ing. Rodio Paez. LA AUDITORIA Se realiz la reunin de apertura en la organizacin Do Brasil Electronic S.A., en la ciudad de Sao Paulo. Auditoria Ciudad de Sao Paulo: Se visita el Proceso de almacenamiento, en el estn los componentes electrnicos para ensamble, los productos terminados y lo ms importante para la organizacin los diseos exclusivos y propios de los productos y en algunos casos nicos en Brasil. El auditor esta acompaado por el responsable del SGSI. Se comprueba ubicacin de los elementos almacenados, ubicacin de extintores, demarcacin de zonas, identificacin de piezas, registro de ingreso de componentes, registros de salida de equipos terminados, inventario y sistema de informacin, el auditor registra todo, est de acuerdo con el procedimiento definido SGSI-PR-ALM-001 del proceso de Almacn. Usted observa a 3 personas trabajando en una de las esquinas del almacn, usted se presenta y pregunta a uno de los contratistas: Cual trabajo estn realizando? Estamos instalando un nuevo sensor de humedad y temperatura en esta zona. Usted pregunta al responsable de Almacn Roberta Daz, Si tienen las autorizaciones correspondientes para estar en la zona? Roberta informa que por supuesto. Ellos son contratistas de Mantenimientos JKF que estn desde hace cuatro (4) meses trabajando todos los das en la organizacin. Usted solicita la identificacin respectiva No. 123789 Alberto Rin, 123790 Jhonatan Ribo y 011156 Luis Ribereido. Cuantas entradas hay en el almacn? Roberta muy atenta responde solo dos. Una entrada para el personal que labora en el almacn y contratistas; otra que solo se utiliza para ingreso de componentes y entrega de productos terminados. Usted observa la puerta No. 2 y detalla un Camin Security JKF que esta parqueado en el rea de cargue de productos y descargue de componentes electrnicos. Usted contina revisando la zona de almacn y observa en una esquina papel de desperdicio y basura desordenada. Luego se dirige a un cuarto pequeo, pregunta que se almacena en ese lugar, Roberta informa que lgicamente las cintas de backup y algunos equipos de computo para dar de baja, es una zona reservada para IT. Usted registra la cinta con la etiqueta XXX-001, XXX-002 y XXX-003. Los siguientes computadores son equipos para dar de baja: INV-AF-PC-234, INV-AF-PC-132, INV-AF-PC-133, INV-AF-PC-134, INV-AFPC-145, INV-AF-IMP-14, INV-AF-UPS-113, INV-AF-UPS-15 y INV-AF-SCAN-56. Usted solicita verificar la informacin de los discos de los equipos INV-AF-PC-234, INV-AF-PC132 y INV-AF-PC-145. En el proceso de gestin de seguridad de la informacin, usted solicita al Ingeniero Rodio Paez, el procedimiento de auditorias internas? Rodino entrega los registros de auditorias internas. Usted revisa los registros entregados y encuentra el programa anual de auditorias, la designacin de responsables, los planes de las auditorias programadas, las listas de verificacin, verifica que los auditores no auditaran su propio proceso, evidencia que se realiz auditorias a todos los procesos y detalla los reportes de auditorias internas, detalla otros aspectos y escribe en su lista de verificacin los hallazgos. En el Proceso IT, se verifica el equipo INV-AF-PC-234 en el inventario y no aparece como activo. Tambin analiza en los equipos registrados para dar de baja a INV-AF-PC-132 y no se encuentra. Adicionalmente solicita al Sr. Robert Robles Pgina 36

prender el equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de baja y que no debe tener informacin; se verifica en los equipos registrados para dar de baja se encuentra registrado. Robert prende el equipo etiquetado INV-AF-PC-145 y con sorpresa aparece el sistema operativo. Usted verifica el Proceso de administracin de servicios tecnolgicos como es el ingreso de personal a la organizacin, le informan que el personal puede ingresar nicamente por la entrada principal, todos tienen tarjetas de control de acceso personalizado. En el listado de personal autorizado para ingresar en la seccin de Almacn se encuentran Ingeniero Rodio Paez, Roberta Daz, los 3 almacenistas, Identifica las credenciales No. 123789, 123790, las cuales corresponde claramente al permiso del da para el contratista Security JKF. Se solicita los registros de Backup, usted busca en sus apuntes las anotaciones de las etiqueta encontradas en almacn XXX-001, XXX-002 y XXX-003, busca en la realizacin de backup y encuentra evidencia de los registros XXX-002 y XXX-003, pero no se encuentra la etiqueta XXX-001. Le informan que esta cinta no se registr porque se utiliz de prueba al momento de instalar el servidor de backup, pero se guarda para estos fines. Nuevamente el Ingeniero Rodio Paez, los lleva al proceso de gestin de seguridad de la informacin, usted solicita las acciones correctivas y preventivas realizadas en el presente ao, el gerente del proceso entrega un archivo con esta informacin, all encuentra 6 acciones correctivas y 1 accin preventiva, todas cerradas a la fecha, previamente se haba observado en las actas del comit de seguridad una queja repetitiva de varios clientes acerca de que no tenan acceso a su cuenta porque la claves no haban sido desbloqueadas oportunamente, y esta no estaba registrada como accin correctiva. Al preguntar al responsable acerca de este inconveniente, dijo que la persona encargada de desbloquear las claves era nueva en el puesto y no se encontraba capacitada, y como el comit de seguridad decidi capacitarla no se registro como accin correctiva. En el Proceso Financiero usted valida las aprobaciones para dar de baja los equipos por parte del Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente Financiero, persona responsable de la aprobacin y asignacin de dar de baja los activos de la organizacin. Al observar el rea de tesorera encuentra que no hay ninguna persona laborando en esta oficina, usted se acerca a la ventanilla y alcanza a visualizar varias chequeras, dos contratos No. 13456-RIO y 34346-SAO PAULO Confidenciales, adems de otros papeles sobre el escritorio. Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicit permiso para salir temprano el da de hoy. Usted comenta al Gerente financiero sobre los documentos importantes, l ndica que ella es muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados. Finalmente termina el proceso de auditora, muchas gracias al Ingeniero Rodio Pez, realiza la reunin de auditores internos para definir el respectivo informe.
Pgina 37
TALLER No 13
ISO 27001- JUEGO DE ROLES
OBJETIVO Fortalecer el conocimiento de la norma ISO 27001 en situaciones extremas. METODOLOGIA Tutor explica la situacin a los alumnos que se encuentran en el saln. Se debe realizar una auditoria en sitio. (Utilizacin lista verificacin). Se destina un tiempo lmite para realizar la auditoria. La auditoria simulada debe seguir los siguientes pasos: 1. Saludo al auditado. 2. Ejecucin de la auditoria (Entrevista) Trabajo en grupo y retroalimentacin guiada por el tutor para destacar las fortalezas y las recomendaciones de mejora a cada una de las situaciones del desarrollo de la auditoria. TIEMPO Tiene un tiempo mximo de 45 minutos para el desarrollo del Taller.
Roles: El tutor explica a los estudiantes que se deben conformar grupos de 2 estudiantes. En cada grupo un estudiante asumir el rol de auditor Otro estudiante asumir el rol de entrevistado y el tutor le asignar una forma de comportarse en la auditoria. Las posibles opciones son: Auditado es nuevo en el proceso y no tiene informacin suficiente para responder Auditado tiene muchos aos en el proceso y quiere explicar todas las actividades al auditado Auditado contesta con respuestas mnimas y cerradas Auditado no sigue los procedimientos y quiere que el auditor no registres esas fallas Auditado est inconforme con la organizacin y opina que todo est mal Auditado considera que la auditoria busca una excusa para despedirlo Auditado es desordenado y no encuentra la informacin solicitada Auditado entrega informacin que no es la solicitada Auditado trata de engaar al auditor con charlas y explicaciones tcnicas.
Pgina 38
TALLER No 14
ISO 27001 REUNIN DE CIERRE
OBJETIVO Mejorar las habilidades del auditor para comunicar los resultados de auditoria y sustentar sus decisiones.
METODOLOGIA Con el taller Anlisis de procesos, presentar la justificacin de los hallazgos y su clasificacin. Para realizar este Taller el participante en el curso de auditoria interna deber soportarse en la norma ISO 27001. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. Presentacin grupo de evidencias de conformidad, solicitud de accin correctiva y observaciones. TIEMPO Tiene un tiempo mximo de (30) minutos para el desarrollo del Taller.
Pgina 39
TALLER No 15
ISO 27001 Seguimiento y Accin correctiva
OBJETIVO Determinar en el auditor interno la concientizacin requerida para garantizar la verificacin de las no conformidades y cierre eficaz del proceso auditoria interna. METODOLOGIA Con el taller de anlisis de procesos (registro de no conformidades), seleccionar una (1) no conformidad y determinar las clusulas que usted revisara para garantizar que el anlisis de causa y actividades son eficaces para realizar el cierre de la no conformidad. Recuerde que los formatos suministrados son solamente guas para el desarrollo del curso. El equipo de trabajo presentar los resultados del Taller al tutor. TIEMPO Tiene un tiempo mximo de (25) minutos para el desarrollo del Taller. DESARROLLO Verificacin Clusula
Evidencias
Eficaz Si No Fecha de cierre: Firma auditor En caso de no ser eficaz se genera nueva SAC
Pgina 40

Talleres ISO 27001 v2

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Talleres ISO 27001 v2

Hochgeladen von

Copyright:

Verfügbare Formate

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

ELEMENTOS QUE APLICAN

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Auditorias que componen el programa de auditoria

Auditoria (Identificacin de la auditoria)

Aspecto a auditar (proceso, actividad, requisito)

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Resultados del anlisis

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

PROCESO Todos los procesos

Requisitos y P Establecer y aprobar polticas expectativas SGSI,objetivos, procesos.

Acciones correctivas y preventivas

P Establecer funciones y responsabilidades del SGSI, Comunicacin del SGSI.

Manual funciones, responsabilida RH des. Comunicados

Procesos internos G. Riesgos

Todos los procesos

Curso de Auditores Internos de Norma ISO 27001:2005

Responsable del proceso Gerente

4.2.2 4.2.3 4.2.4 4.3

Curso de Auditores Internos de Norma ISO 27001:2005

5 6 7 8 A.5 A.6 A.7 A.7.1.1

Uso aceptable de los activos Directrices de clasificacin

A.9.1.1 A.9.1.2 A.9.1.3 A.9.1.4 A.9.1.5 A.10

Control de acceso Gestin de incidentes seguridad en la informacin de

Curso de Auditores Internos de Norma ISO 27001:2005

F. accin correctiva F. accin correctiva Indicadores Reporte Revisin direccin

Curso de Auditores Internos de Norma ISO 27001:2005

File Server Brand Base Memory Total Memory UPS Capacity

File Server Model Extended Memory Boot Method Power Monitoring

Network Boards Name Driver

Floppy Disk Drives Letter Size

CD-ROM Drive Letter Speed

Internal Hard Drives Letter Size (Mb)

Disk/Device Sub-Systems Device Device Device Number Type Controller 0 1 2 3

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Nombre y Firma Auditor:

Nombre y Firma Auditado:

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Curso de Auditores Internos de Norma ISO 27001:2005

Proceso revisado: Hallazgos:

Estndar y Nmero de Elemento:

Proceso revisado: Hallazgos:

Estndar y Nmero de Elemento:

Curso de Auditores Internos de Norma ISO 27001:2005

Proceso revisado: Hallazgos:

Estndar y Nmero de Elemento: