Fases de una Auditoría: Paso a Paso para su Ejecución

Clase 33 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Ejecutar una auditoría de seguridad de la información requiere método, criterio profesional y un orden riguroso. Cada fase cumple un propósito específico y saltarse alguna compromete la calidad de todo el trabajo. A continuación se explican las fases que componen este proceso, desde la preparación inicial hasta el seguimiento de los compromisos adquiridos.

¿Cómo preparar correctamente una auditoría?

La preparación de la auditoría es el punto de partida [0:20]. Aquí defines los recursos disponibles: cuántos auditores participan o si trabajarás solo. Lo esencial es documentarte a fondo sobre el proceso o componente tecnológico que vas a revisar. Si auditas un firewall, necesitas conocer qué tipo de firewall maneja la organización. Si revisas una base de datos, debes saber si el gestor es Oracle o SQL Server.

Como insumo principal conviene apoyarse en la norma ISO 27001, pero también en otros estándares internacionales y buenas prácticas que ofrezcan directrices complementarias [1:12].

Una vez preparado, viene el plan de auditoría y la lista de verificación [1:28]. Ambas tareas se ejecutan en la misma fase. El plan implica sentarte con el auditor líder y definir:

Qué elementos se van a auditar.
Fecha de inicio y duración estimada.
Distribución de horas de trabajo por fase.
Fecha de entrega de informes.

Si tu jornada es compartida y solo puedes dedicar cuatro horas diarias al proyecto, extiende el cronograma de forma realista.

¿Qué se comunica en la reunión de apertura?

La reunión de apertura [2:25] es el primer contacto formal con el auditado. Preparas una presentación sencilla donde expones el alcance, presentas al equipo auditor y explicas las horas estimadas. Un punto clave: aclara que no todo el tiempo estarás en trabajo de campo. De cuarenta horas programadas, quizás solo veinte serán en sitio. El resto lo dedicarás a revisar evidencia, redactar documentos y generar observaciones desde tu oficina.

¿Cómo se ejecuta el trabajo de campo?

Antes de ir a sitio, realizas la identificación de riesgos [3:38]. Ya debes contar con una matriz de riesgos inicial, similar a la que se construye en un laboratorio previo. Otros riesgos aparecerán conforme te sientes con la persona responsable.

Durante la ejecución del trabajo de campo [4:02] te reúnes con el responsable del proceso, por ejemplo el DBA. Es fundamental establecer un protocolo de entrega de evidencia:

Evidencia tomada en sitio con pantallazos: debe enviarse tan pronto termine la reunión.
Documentos almacenados en un SharePoint o directorio compartido: concede un tiempo razonable para descargarlos.
Si alguien necesita permisos especiales, puede tardar un par de horas.

Desarrolla tu criterio de auditor para distinguir cuándo la persona realmente no puede entregar la información por permisos, y cuándo necesita días para construir un documento que aseguraba tener listo [5:15].

¿Cómo presentar hallazgos con respaldo sólido?

La presentación de hallazgos [5:42] requiere evidencia contundente. Nunca menciones algo que no puedas soportar con documentación. Si alguien te dice verbalmente que no controlan las licencias de software, no puedes trasladar esa afirmación al jefe sin respaldo, porque en presencia de su superior probablemente lo negará y tu credibilidad profesional se verá afectada.

La solución es manejar actas de reunión [6:42]. Al terminar cada sesión, envías un resumen con lo conversado. Si la persona no responde en tres días, el acta queda como evidencia socializada.

¿Qué estructura tiene el informe borrador?

El informe borrador [7:18] contiene alcance, objetivos, trabajo de campo realizado y las conclusiones con los riesgos identificados. Se entrega primero al gerente del área, no al auditado operativo. Pueden solicitarte cambios de redacción, pero debes analizar que esos cambios no reduzcan la importancia del hallazgo. Puedes ceder en términos de forma, nunca en fondo.

¿Qué debe contener un plan de acción efectivo?

La solicitud de planes de acción [8:28] exige que cada hallazgo tenga una acción correctiva con tres elementos claros:

Responsable: una cabeza visible del área, generalmente el gerente.
Fecha de implementación: realista y acordada con criterio profesional.
Causa raíz: la acción debe resolver el origen del problema, no solo el síntoma.

Si encuentras servidores sin parches en tres meses, no basta con que se comprometan a parchearlos. Deben establecer un proceso continuo que evite la recurrencia [10:48].

Respecto a la fecha, si alguien promete algo en un mes pero tu experiencia indica que no es viable, sugiere dos meses. Para trabajos grandes, acuerda entregas por fases.

El informe oficial [11:32] se genera una vez incorporados los planes de acción con fechas y responsables. Se entrega al CEO, al comité de auditoría y a la dirección general. Este documento es el que revisará cualquier auditoría de tercera parte.

Finalmente, el seguimiento de planes de acción [12:06] verifica el cumplimiento. Si los compromisos se cumplieron, la auditoría se cierra. Si quedaron atrasados, se reporta al comité de auditoría y a la alta gerencia. El respaldo del liderazgo organizacional es fundamental para que los responsables prioricen sus compromisos y eviten quedar expuestos en los reportes mensuales.

¿Cuál de estas fases representa el mayor reto en tu organización? Comparte tu experiencia en los comentarios.

Comentarios

Noldia Chavez Cavero

student•

Fases de una Auditoría

Preparación de la auditoria
Plan de auditoria - Lista de Verificación
Reunión de apertura
Identificación de riesgos
Ejecución(Trabajo de campo)
Presentación Hallazgos
Emisión informe borrador
Solicitud de planes de acción
Emisión de informe oficial
Seguimiento planes de acción

David Leonardo Rodriguez Jimenez

student•

muchas gracias

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Jorge René García Rosado

student•

Comparto mis apuntes de la clase por si les sirven los consejos que da el profesor:

1. Preparación de la auditoria
	a. Preparar tus recursos, saber con cuantos auditores vas a tener disponibles
	b. Documentarte muy bien acerca del proceso o componente a auditar
2. Plan de auditoria - Lista de Verificación
	a. Definir los elementos a auditar con el auditor líder, con fecha y duración según el alcance y con fecha límite
3. Reunión de apertura
	a. Te sientas con el auditador, hacer una presentación con el alcance, el equipo, horas estimadas de trabajo, juntar evidencia, hacer claro que no todo el tiempo estarás en la oficina con el auditado
4. Identificación de riesgos
	a. Se empieza el trabajo de campo, obtener los posibles riesgos del proceso, se crea una matriz de riesgos, con riesgos iniciales y los otros saldrán mientras estás con la persona identificando procesos.
5. Ejecución(Trabajo de campo)
	a. Se está con la persona auditada, el responsable del proceso, reuniones donde te contextualizan y te muestra evidencia, se debe definir un protocolo de entrega (pantallazos, documentos) dar tiempo mientras recopila la información
6. Presentación Hallazgos
	a. Después del trabajo de campo se recopilan las evidencias y se determinan los hallazgos y se hace un reporte con las vulnerabilidades, se reporta al jefe o director de esa área, se debe tener buena evidencia y es muy importante documentar todo lo encontrado
7. Emisión informe borrador
	a. Pasar los hallazgos a un informe estructurado, tener alcance, objetivos, trabajo de campo realizado, conclusiones, riesgos, entregar en borrador, realizar cambios, verificar si los cambios no bajan la importancia al hallazgo
8. Solicitud de planes de acción
	a. Según los hallazgos te deben de entregar un plan de acción, o acción correctiva, es el compromiso para suplir y corregirlo encontrado en el hallazgo, definir muy bien y que quede claro quién será el responsable de corregir, también es fundamental la fecha de implementación, usar el juicio ingenieril. También tomar en cuenta que hay procesos que deben de ser continuos como la actualización de la infraestructura.
9. Emisión de informe oficial
	a. Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
10. Seguimiento planes de acción
	a. Según el plan de acción, revisar los compromisos que quedaron, pueden atrasarse o terminar bien, y se necesita ir documentando todo lo que suceda y reportar al comité de auditoría y al director general.

Elmer Padilla Espinoza

student•

Buenos apuntes, se te agradecen.

Fernando Alberto Velasquez Aguilera

student•

gracias por el aprote.

DANIEL TENOCH SANCHEZ GARCIA

student•

Creo que la fase de seguimiento de planes de acción puede llegar a requerir mas esfuerzo por que involucra un cambio en el proceso de cada área responsable de implementar el plan este plan de acción.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Francisco Javier Alvarado Villalba

student•

buen resumen!

Wilson Barrera

student•

sería espectacular si el instructor nos pudiera facilitar una auditoría realizada en el pasado (se puede quitar el nombre de la empresa) donde se detallen todas estas etapas para tener al menos un modelo donde basarnos para nuestro ejercer.

Gerardo Portocarrero

student•

Fases de una auditoria:

Preparación de la auditoria: Preparar recursos, cuantos auditores colaboraran, correcta documentación, que procesos o componentes tecnológico se revisara.
Plan de auditoria - Lista de Verificación: Definir el plan con el auditor líder, definir que procesos y fechas.
Reunión de apertura: Reunión con el auditado, presentándole ( el alcance de la auditoria, el equipo auditor, horas estimadas de trabajo )
Identificación de riesgos: Trabajo de campo, preparar posibles riesgos, apoyarse con la matriz de riesgo.
Ejecución(Trabajo de campo): Sentado en sitio con la persona responsable del proceso, reuniones donde te contextualiza y te entrega la evidencia.
Presentación Hallazgos: Después del trabajo de campo, identificar la evidencia y revisar todo lo anterior -> documentación y procesos. Para este apartado se debe tener el suficiente soporte para mencionar a los responsables que ese proceso tiene algunas fallas.
Emisión informe borrador: Trasladar los hallazgos a una estructura de informe, depende del formato de la organización, alcance, objetivos, trabajo de campo, conclusiones, riesgos.
Solicitud de planes de acción: Esas no conformidades, en la auditoria, se debe esperar a recibir una plan de acción por cada una de ellas, o una acción correctiva, que es un compromiso para suplir o mitigar o subsanar el hallazgo. (Tener en cuenta quien será el encargado de subsanar este hallazgo, y la fecha de implementación)
Emisión de informe oficial: Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
Seguimiento planes de acción: Revisar que los cambios se hallan realizado, la auditoria no termina si los compromisos de la solicitud de planes de acción no se cumplieron.

Oscar Eduardo Delgado Ballesteros

student•

La fase de emisión de informes.. hay algun curso para redacccion de informe sen platzi? help!

Angel Beltran

student•

Hola compañero te puede ayudar el curso de escritura de Platzi, ademas de los cursos de gerencia, eso te ayuda bastante ademas puedes buscar informes en Internet de auditorias de este tipo y vas mirando que estructura o palabras claves utilizan para plasmar toda la información de una auditoria en un informe!!

Saludos. :)

Alexander Antonio Ponce Castillo

student•

como se hace un plan de auditoria y lista de verificacion, profee Alex ?? agraedceria su respuesta

Pedro Richard Barzola Mucha

student•

Hola Alex! nos podría apoyar con un modelo? Gracias!

Pablo Josue Puma Lima

student•

cuando la auditoria encuentra hallazgo muy severos(duros) tanto que dice el SI esta obsoleto ¿el tiempo puede pasar el año?

Alex Tovar

teacher•

Hola @Saulo_Puma que bueno que este tomando el curso. Si tu pregunta esta enfocada al plan de acción o las acciones correctivas que va a entregar la Organización para solucionar el hallazgo, te cuento que el tiempo dependerá de que tan robusta será la implementación que se va a desarrollar, sin embargo, cuando son tiempos tan altos es necesario definir fases con entregables claros y también se deben definir controles compensatorios que mitiguen en algo los riesgos mientras llega la solución definitiva.. no puedes quedar expuesto al riesgo todo un año!

Arturo Moran

student•

Me parecen importantes los tips que maneja el maestro. Tomate tu tiempo y escribelos.

Jeisson Yamit Vargas Pabon

student•

Creo yo que lo complicado como Auditor es mantener una buena conversación con Gerencia cuando de pronto tengas que ser firme en algunos puntos que se deban mejorar.

Miguel Angel Reyes Moreno

student•

Fases de una auditoría

Preparación de auditoría -> Preparar tus recursos y a las personas. Documentar todo.
Plan de auditoría y Lista de verificación -> Definir el plan y fechas.
Reunión de apertura -> Sentarte con la persona para darle el alcance y todos los detalles de la auditoría.
Identificación de Riegos -> Matriz de riesgos.
Ejecución (Trabajo de campo) -> Trabajar.
Presentación de hallazgos -> Mostrar lo que has encontrado con pruebas.
Emisión del informe borrador -> Documentación, pero como borrador.
Solicitud de planes de acción -> Tener las acciones correctivas.
Emisión de informe oficial -> Documentación oficial.
Seguimiento de planes de acción -> Asegurarse de que se cumplen los trabajos.

Nelson Contreras

student•

Fases de una Auditoría

Preparación de la auditoria.
Plan de auditoria (Lista de Verificación)
Reunión de apertura.
Identificación de riesgos.
Ejecución (Trabajo de campo).
Presentación Hallazgos.
Emisión informe borrador.
Solicitud de planes de acción.
Emisión de informe oficial.
Seguimiento planes de acción.

Martin Borges Nogueira

student•

Buenas, profe. Una pregunta: a la hora de realizar la Emisión del Informe Oficial, ¿a qué se refiere con "fecha comprometida"?

Leonardo Camelo Z.

student•

Mi interpertacion es que se entregue en la fecha en la que se comprometió a cumplir cada una de las soluciones a los hallazgos detectados en la auditoria.

Diana Maria Andica Bueno

student•

Si una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo, este se tiene en cuenta en el informe final entregado o no se incluye porque ya tuvo solucion?

Andres Maximiliano Moreira

student•

Hola a todos! ¿quien me explica bien: dónde y cómo puedo certificarme en la iso 27001? Gracias!!

Leydi Geraldine Osorio Vega

student•

¿cuánto se puede cobrar por una auditoría?

Alejandro Barraza Montaño

student•

Muy buena pregunta, sería excelente que el profesor @Alex Tovar o en su defecto alguien con el expertiz en el área de auditoría nos la despejara

Luis Antonio Martínez Cárcamo

student•

La auditoría según la norma ISO 27001 consta de varias fases

Planificación: En esta fase, se define el alcance de la auditoría, se determinan los objetivos y se elabora un plan de auditoría. Se establece el equipo de auditoría, se identifican los recursos necesarios y se acuerda la fecha y duración de la auditoría.
Recopilación de información: En esta etapa, se recopila información sobre el sistema de gestión de seguridad de la información de la organización que será auditado. Se revisan documentos como la política de seguridad, procedimientos, registros, y otros documentos relacionados.
Realización de la auditoría: Esta fase implica llevar a cabo la auditoría en sí. Se realizan entrevistas con el personal, se inspeccionan las instalaciones y se revisan los controles implementados. Durante esta etapa, se recopila evidencia objetiva para evaluar el cumplimiento de los requisitos de la norma ISO 27001.
Análisis de la información: En esta etapa, se analiza la información recopilada durante la auditoría para evaluar el cumplimiento del sistema de gestión de seguridad de la información. Se comparan los hallazgos con los requisitos de la norma ISO 27001 y se determinan las no conformidades o áreas de mejora.
Informe de auditoría: Se redacta un informe detallado que resume los resultados de la auditoría. Este informe incluye los hallazgos, las no conformidades identificadas, las áreas de mejora y las recomendaciones para la organización.
Seguimiento y cierre de acciones: Después de recibir el informe de auditoría, la organización debe tomar medidas para abordar las no conformidades y las áreas de mejora identificadas. Se establecen acciones correctivas y preventivas para resolver los problemas y se realiza un seguimiento para garantizar que se implementen adecuadamente.

Jose Fernando Peréz

student•

Presentacion Hallazgos

Wilmer Paguay

student•

La** emisión del informe oficial **de auditoría, es una de las etapas más importantes y complejas, que va requerir el mayor cuidado en su elaboración para tomar una decisión final.

Fases de una Auditoría: Paso a Paso para su Ejecución

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

Controles de Seguridad Física y del Entorno en ISO 27001

Seguridad de las Operaciones según ISO 27001

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

Seguridad en el Desarrollo de Software según OWASP Top 10

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

Auditoría de Sistemas de Seguridad según ISO 27001

Terminología de Auditoría según ISO 27001