Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Fases de una auditoría

33/39
Recursos

¿Cuáles son las fases fundamentales de una auditoría?

En el proceso de auditoría, cada fase es crucial para garantizar la eficiencia y eficacia del análisis. Una auditoría meticulosamente planeada y ejecutada no solo revela cuestiones superficiales, sino que también profundiza en áreas críticas identificando riesgos y oportunidades de mejora. En este artículo, desglosamos las fases esenciales de una auditoría, cada una con su propia importancia y contribución al proceso completo.

¿Cómo prepararse para una auditoría efectiva?

La preparación es el fundamento sobre el cual se edifica una auditoría exitosa. Durante esta fase, se deben considerar los siguientes aspectos:

  • Recursos Necesarios: Determine la cantidad de auditores que se necesitarán. Evalúe si será un trabajo individual o en equipo.
  • Conocimiento del Proceso: Familiarícese profundamente con el proceso o componente tecnológico que se va a auditar (e.g., firewalls, bases de datos).
  • Buenas Prácticas y Normas: Asesórese con normas internacionales, como la ISO 27001, e incorpore otras buenas prácticas y estándares relevantes.

¿Cuál es la importancia del plan de auditoría y la lista de verificación?

El plan de auditoría y la lista de verificación son esenciales para estructurar el trabajo de auditoría:

  • Definición del Plan: Establezca los elementos a auditar, las fechas de inicio y fin, y las fases de trabajo específicas.
  • Horas de Trabajo: Determine cuántas horas diarias se dedicarán a la auditoría, considerando semanas de trabajo fraccionadas o completas.

¿Qué comprende la reunión de apertura?

La reunión de apertura establece una comunicación clara entre el auditor y el auditado:

  • Presentación del Alcance: Utilice una presentación sencilla para mostrar el alcance, el equipo involucrado y la duración estimada de la auditoría.
  • Claridad en Horas de Trabajo en Campo: Explique claramente que no todas las horas de la auditoría se gastarán en presencia del auditado, enfatizando el tiempo que se pasará recopilando y analizando evidencia.

¿Cómo identificar y gestionar riesgos?

La identificación de riesgos inicia esencialmente el trabajo de campo:

  • Matriz de Riesgos: Documente y gestione los riesgos potenciales que surgen durante el proceso.
  • Documentación y Evidencia: Asegúrese de contar con protocolos para obtener y gestionar evidencia de manera oportuna.

¿Qué involucra la ejecución del trabajo de campo?

Sentarse en sitio con el responsable del área auditada es fundamental:

  • Protocolo de Entrega de Evidencia: Defina cómo y cuándo se deberá entregar la evidencia recopilada en sitio. Puede ser durante y después de las reuniones, pero asegúrese de que sea inmediato.

¿Cómo presentar los hallazgos?

La presentación de hallazgos es el momento de comunicar las observaciones realizadas durante la auditoría:

  • Reuniones de Resultados: Presente los hallazgos con evidencia sólida a los responsables del área auditada.
  • Documentación Rigurosa: Mantenga actas de las reuniones y asegúrese de que cualquier declaración realizada por los auditados esté bien documentada.

¿Cuál es el proceso para la emisión del informe borrador?

El informe borrador es fundamental antes de emitir un informe oficial:

  • Estructura del Informe: Incluya el alcance, los objetivos, el trabajo de campo y las conclusiones.
  • Revisiones: Asegúrese de que las revisiones no cambien la naturaleza crítica de los hallazgos sin justificación.

¿Cómo solicitar planes de acción efectivos?

Un plan de acción bien estructurado aborda los hallazgos de la auditoría:

  • Responsabilidad Claramente Definida: Identifique quién será el responsable de implementar cada acción correctiva.
  • Fecha de Implementación: Establezca fechas realistas considerando el impacto y la magnitud del cambio necesario.

¿Qué implica la emisión del informe oficial?

El informe oficial representa el resultado final del proceso de auditoría:

  • Elaboración Final: Integre los planes de acción, los comentaros y rectificaciones hechas a los borradores.
  • Distribución Adecuada: Envíelo a las partes interesadas clave, incluyendo la dirección general y el comité de auditoría.

¿Cómo hacer seguimiento a los planes de acción?

Después de la auditoría, es esencial seguir los avances de los planes de acción:

  • Revisión de Compromisos: Verifique si los responsables han cumplido con los compromisos adquiridos.
  • Reportes Continuos: Informe las demoras y éxitos al comité de auditoría para mantener una documentación clara y transparente.

Al finalizar este recorrido por las fases de una auditoría, es evidente la importancia de una planificación meticulosa, una ejecución precisa y un seguimiento constante para asegurar que el proceso genere los resultados esperados. Mantente motivado y sigue mejorando tus habilidades en este campo tan vital para la seguridad y eficiencia empresarial.

Aportes 26

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Fases de una Auditoría

  1. Preparación de la auditoria

  2. Plan de auditoria - Lista de Verificación

  3. Reunión de apertura

  4. Identificación de riesgos

  5. Ejecución(Trabajo de campo)

  6. Presentación Hallazgos

  7. Emisión informe borrador

  8. Solicitud de planes de acción

  9. Emisión de informe oficial

  10. Seguimiento planes de acción

Comparto mis apuntes de la clase por si les sirven los consejos que da el profesor:

1. Preparación de la auditoria
	a. Preparar tus recursos, saber con cuantos auditores vas a tener disponibles
	b. Documentarte muy bien acerca del proceso o componente a auditar
2. Plan de auditoria - Lista de Verificación
	a. Definir los elementos a auditar con el auditor líder, con fecha y duración según el alcance y con fecha límite
3. Reunión de apertura
	a. Te sientas con el auditador, hacer una presentación con el alcance, el equipo, horas estimadas de trabajo, juntar evidencia, hacer claro que no todo el tiempo estarás en la oficina con el auditado
4. Identificación de riesgos
	a. Se empieza el trabajo de campo, obtener los posibles riesgos del proceso, se crea una matriz de riesgos, con riesgos iniciales y los otros saldrán mientras estás con la persona identificando procesos.
5. Ejecución(Trabajo de campo)
	a. Se está con la persona auditada, el responsable del proceso, reuniones donde te contextualizan y te muestra evidencia, se debe definir un protocolo de entrega (pantallazos, documentos) dar tiempo mientras recopila la información
6. Presentación Hallazgos
	a. Después del trabajo de campo se recopilan las evidencias y se determinan los hallazgos y se hace un reporte con las vulnerabilidades, se reporta al jefe o director de esa área, se debe tener buena evidencia y es muy importante documentar todo lo encontrado
7. Emisión informe borrador
	a. Pasar los hallazgos a un informe estructurado, tener alcance, objetivos, trabajo de campo realizado, conclusiones, riesgos, entregar en borrador, realizar cambios, verificar si los cambios no bajan la importancia al hallazgo
8. Solicitud de planes de acción
	a. Según los hallazgos te deben de entregar un plan de acción, o acción correctiva, es el compromiso para suplir y corregirlo encontrado en el hallazgo, definir muy bien y que quede claro quién será el responsable de corregir, también es fundamental la fecha de implementación, usar el juicio ingenieril. También tomar en cuenta que hay procesos que deben de ser continuos como la actualización de la infraestructura.
9. Emisión de informe oficial
	a. Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
10. Seguimiento planes de acción
	a. Según el plan de acción, revisar los compromisos que quedaron, pueden atrasarse o terminar bien, y se necesita ir documentando todo lo que suceda y reportar al comité de auditoría y al director general.

Creo que la fase de seguimiento de planes de acción puede llegar a requerir mas esfuerzo por que involucra un cambio en el proceso de cada área responsable de implementar el plan este plan de acción.

sería espectacular si el instructor nos pudiera facilitar una auditoría realizada en el pasado (se puede quitar el nombre de la empresa) donde se detallen todas estas etapas para tener al menos un modelo donde basarnos para nuestro ejercer.

  • Fases de una auditoria:
  1. Preparación de la auditoria: Preparar recursos, cuantos auditores colaboraran, correcta documentación, que procesos o componentes tecnológico se revisara.
  2. Plan de auditoria - Lista de Verificación: Definir el plan con el auditor líder, definir que procesos y fechas.
  3. Reunión de apertura: Reunión con el auditado, presentándole ( el alcance de la auditoria, el equipo auditor, horas estimadas de trabajo )
  4. Identificación de riesgos: Trabajo de campo, preparar posibles riesgos, apoyarse con la matriz de riesgo.
  5. Ejecución(Trabajo de campo): Sentado en sitio con la persona responsable del proceso, reuniones donde te contextualiza y te entrega la evidencia.
  6. Presentación Hallazgos: Después del trabajo de campo, identificar la evidencia y revisar todo lo anterior -> documentación y procesos. Para este apartado se debe tener el suficiente soporte para mencionar a los responsables que ese proceso tiene algunas fallas.
  7. Emisión informe borrador: Trasladar los hallazgos a una estructura de informe, depende del formato de la organización, alcance, objetivos, trabajo de campo, conclusiones, riesgos.
  8. Solicitud de planes de acción: Esas no conformidades, en la auditoria, se debe esperar a recibir una plan de acción por cada una de ellas, o una acción correctiva, que es un compromiso para suplir o mitigar o subsanar el hallazgo. (Tener en cuenta quien será el encargado de subsanar este hallazgo, y la fecha de implementación)
  9. Emisión de informe oficial: Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
  10. Seguimiento planes de acción: Revisar que los cambios se hallan realizado, la auditoria no termina si los compromisos de la solicitud de planes de acción no se cumplieron.

La fase de emisión de informes… hay algun curso para redacccion de informe sen platzi? help!

como se hace un plan de auditoria y lista de verificacion, profee Alex ?? agraedceria su respuesta

Hola Alex!
nos podría apoyar con un modelo?
Gracias!

Me parecen importantes los tips que maneja el maestro. Tomate tu tiempo y escribelos.

Creo yo que lo complicado como Auditor es mantener una buena conversación con Gerencia cuando de pronto tengas que ser firme en algunos puntos que se deban mejorar.

Fases de una auditoría

  1. Preparación de auditoría -> Preparar tus recursos y a las personas. Documentar todo.
  2. Plan de auditoría y Lista de verificación -> Definir el plan y fechas.
  3. Reunión de apertura -> Sentarte con la persona para darle el alcance y todos los detalles de la auditoría.
  4. Identificación de Riegos -> Matriz de riesgos.
  5. Ejecución (Trabajo de campo) -> Trabajar.
  6. Presentación de hallazgos -> Mostrar lo que has encontrado con pruebas.
  7. Emisión del informe borrador -> Documentación, pero como borrador.
  8. Solicitud de planes de acción -> Tener las acciones correctivas.
  9. Emisión de informe oficial -> Documentación oficial.
  10. Seguimiento de planes de acción -> Asegurarse de que se cumplen los trabajos.

Fases de una Auditoría

  1. Preparación de la auditoria.
  2. Plan de auditoria (Lista de Verificación)
  3. Reunión de apertura.
  4. Identificación de riesgos.
  5. Ejecución (Trabajo de campo).
  6. Presentación Hallazgos.
  7. Emisión informe borrador.
  8. Solicitud de planes de acción.
  9. Emisión de informe oficial.
  10. Seguimiento planes de acción.

La auditoría según la norma ISO 27001 consta de varias fases

  1. Planificación: En esta fase, se define el alcance de la auditoría, se determinan los objetivos y se elabora un plan de auditoría. Se establece el equipo de auditoría, se identifican los recursos necesarios y se acuerda la fecha y duración de la auditoría.

  2. Recopilación de información: En esta etapa, se recopila información sobre el sistema de gestión de seguridad de la información de la organización que será auditado. Se revisan documentos como la política de seguridad, procedimientos, registros, y otros documentos relacionados.

  3. Realización de la auditoría: Esta fase implica llevar a cabo la auditoría en sí. Se realizan entrevistas con el personal, se inspeccionan las instalaciones y se revisan los controles implementados. Durante esta etapa, se recopila evidencia objetiva para evaluar el cumplimiento de los requisitos de la norma ISO 27001.

  4. Análisis de la información: En esta etapa, se analiza la información recopilada durante la auditoría para evaluar el cumplimiento del sistema de gestión de seguridad de la información. Se comparan los hallazgos con los requisitos de la norma ISO 27001 y se determinan las no conformidades o áreas de mejora.

  5. Informe de auditoría: Se redacta un informe detallado que resume los resultados de la auditoría. Este informe incluye los hallazgos, las no conformidades identificadas, las áreas de mejora y las recomendaciones para la organización.

  6. Seguimiento y cierre de acciones: Después de recibir el informe de auditoría, la organización debe tomar medidas para abordar las no conformidades y las áreas de mejora identificadas. Se establecen acciones correctivas y preventivas para resolver los problemas y se realiza un seguimiento para garantizar que se implementen adecuadamente.

Presentacion Hallazgos

La** emisión del informe oficial **de auditoría, es una de las etapas más importantes y complejas, que va requerir el mayor cuidado en su elaboración para tomar una decisión final.

Desde la fase de presentación de hallazgos la cosa se pone mal mal.

  1. Preparación de la auditoria, conocer la tecnología y/o componentes a utilizar.
  2. Plan de auditoria - Lista de Verificación, en la cual se definen las fechas de todo el proceso de auditoria.
  3. Reunión de apertura, se le presenta el equipo de auditoria, el alcance y la cantidad horaria.
  4. Identificación de riesgos, realizar una matriz de riesgos.
  5. Ejecución(Trabajo de campo), estar en el lugar de trabajo con el equipo de la empresa, se esta revisando evidencia.
  6. Presentación Hallazgos, durante este proceso uno comenta al cliente como resulto la auditoria.
  7. Emisión informe borrador, en caso de necesitar cambios se debe revisar muy bien cuales son debido a que los cambios no pueden baja la importancia de lo que ya has investigado.
  8. Solicitud de planes de acción, se muestran los hallazgos que se tuvieron.
  9. Emisión de informe oficial, este incluye los planes de acción que debe tener la empresa.
  10. Seguimiento planes de acción, realizar una revisión despues de que se cumpla el tiempo en el que la empresa va a realizar los compromisos.
Se puede ver y evidenciar que tanto la preparación como la manera de explicar de un tutor es fundamental en cualquier área y/o tema. Me parece que las iso en ciertos términos suelen ser aburridas para algunas personas que suelen ser más de campo (incluyéndome) pero la manera en cómo explica, imteractua y da ejemplos este profesor es muy buena, fenomenal diría yo.

Excellentes puntos!

Mas claro imposible…

Identificación de riesgos, ya que lleva mucho tiempo y requiere involucrar a todas las partes de la organización.

La solicitud de planes de acción me parece que es lo más complicado, ya que este depende mucho de la voluntad de terceros y no tanto de la tuya.

La solicitud de planes de acción, creo que es lo mas importante.

Creeria que la ejecuccion es lo mas demorado

Muy completa la clase

Muy bueno los aportes profe