Terminología de Auditoría según ISO 27001

Clase 32 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Dominar la terminología que define la norma ISO 27001 para el proceso de auditoría es el primer paso para formarte como auditor interno. Cada concepto establece un lenguaje común y estandarizado que elimina ambigüedades y garantiza que todos los involucrados entiendan exactamente de qué se habla durante la verificación de un sistema de gestión de seguridad de la información.

¿Qué es la evidencia de auditoría y por qué debe ser verificable?

La evidencia de auditoría se define como los registros, declaraciones o hechos sobre cualquier situación que se presenta y que sean verificables [0:27]. Un funcionario puede explicar cómo funciona un control, cómo aplica la política de backup o cómo gestiona el control de cambios. Sin embargo, esa información inicial no es suficiente por sí sola.

Lo verdaderamente importante es que puedas sentarte con el responsable y pedirle que demuestre lo que afirma [1:10]. Por ejemplo:

Solicitar evidencia de que el backup se ejecuta en el horario establecido.
Revisar las pruebas de restauración y sus resultados.
Contrastar cada hecho relatado con documentación o registros reales.

Sin verificación, la información carece de valor dentro del proceso de auditoría.

¿Quiénes participan en una auditoría ISO 27001?

El cliente es la organización o el área que recibe la auditoría, también conocido como el auditado [1:37]. En una auditoría interna, el cliente sería el dueño del proceso bajo revisión, como el oficial de seguridad o el líder de seguridad de la empresa. En una auditoría externa o de tercera parte, el cliente es la compañía completa [2:13].

El auditor es la persona que ejecuta el trabajo de verificación [2:28]. Puede ser uno o varios profesionales, dependiendo del tamaño y alcance definido. Los recursos se calculan en términos de horas-hombre (HH). Este profesional debe reunir dos competencias fundamentales:

Conocer a profundidad la norma ISO 27001 y su catálogo de controles.
Tener la expertise técnica sobre la herramienta o tecnología que está verificando.

El auditado es el funcionario específico con el que te sientas a hacer el levantamiento de información [2:58]. Puede ser, por ejemplo, el DBA (administrador de base de datos) cuando el alcance implica verificar las pistas de auditoría de una base de datos.

¿Cómo se estructura un programa de auditoría?

El programa de auditoría es un conjunto de una o más auditorías planificadas normalmente para un año completo [3:27]. Las buenas prácticas recomiendan definirlo de enero a diciembre, considerando el contexto de la organización.

Por ejemplo, si auditas una empresa comercializadora de juguetes, diciembre será un mes crítico por la temporada navideña, así que no podrás realizar auditorías en ese período [3:55]. Lo recomendable es contar con al menos nueve o diez meses efectivos para dar cubrimiento a la mayoría de procesos.

Una estrategia eficaz consiste en segmentar la auditoría grande del sistema de gestión en auditorías más pequeñas ejecutadas mes a mes [4:22]. Así el programa queda mejor definido y los entregables se generan de forma continua.

¿Qué significa el alcance de la auditoría y por qué es crítico?

El alcance establece los límites de la auditoría y debe quedar claro y documentado antes de comenzar el trabajo [4:40]. Define hasta dónde vas a llegar en términos de tiempo y espacio, y debe ser coherente con los recursos disponibles.

Si eres el único auditor, ajusta el alcance para poder cubrirlo completamente.
Si cuentas con dos o tres auditores, el alcance puede ser mayor.
Solo un evento de fuerza mayor debería impedir el cumplimiento total del alcance.

El profesionalismo del auditor se mide precisamente por haber cubierto todo lo comprometido [5:30]. Dejar ítems sin revisar afecta la credibilidad del informe y el alineamiento con la ISO 27001.

¿Qué diferencia hay entre conclusiones y hallazgos?

Las conclusiones son el resultado final de la auditoría: una opinión independiente, objetiva y respaldada con evidencia [6:15]. Se entregan de acuerdo al alcance planificado inicialmente. Siguiendo el ejemplo del proceso de backups, la conclusión indicará si la organización cumple o no con su propia política.

Los hallazgos son las situaciones específicas que identificas durante el proceso y que derivan en no conformidades o incumplimientos [6:42]. Por ejemplo:

La política establece un backup incremental diario a medianoche.
Durante la revisión descubres que solo se ejecuta día de por medio.
El hallazgo documenta esa brecha entre lo definido y lo ejecutado.

Sobre estos hallazgos, el dueño del proceso debe entregar planes de acción o acciones correctivas [7:22]. En el caso del backup, podrían comprometerse a revisar la programación de tareas, corregir la configuración o evaluar si la herramienta presenta fallas.

Cada término de esta terminología se conecta con el siguiente: sin un alcance bien definido no hay programa sólido, sin evidencia verificable no hay hallazgos válidos, y sin hallazgos documentados no existen conclusiones que impulsen la mejora. ¿Cuál de estos conceptos consideras más desafiante en la práctica? Comparte tu experiencia.

Comentarios

Noldia Chavez Cavero

student•

Términos de Auditoría Evidencia: Registro de información verificable. Cliente: Dueño del proceso, auditado. Auditor: Quien lleva a cabo el proceso de auditar. **Auditado: **Organización que esta siendo auditada Programa d Auditoría: Programa de auditorias con alcance de un año. Alcance: Definir al inicio del proceso, hasta donde va a llegar la auditoria, teniendo claros los recursos disponibles. Conclusiones: Resultado de la auditoria considerando los objetivos y hallazgos. Hallazgos: Evidencia, señalización de algunas inconformidades a mejor y levantar.

Arturo Moran

student•

Buen resumen. gracias.

Brandon Nicolas Morales

student•

Gracias

DANIEL TENOCH SANCHEZ GARCIA

student•

Beder Danilo Casa Condori

student•

genial

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Kyb3r Cipher

student•

Ya casi se termina el curso :(

Patricia Estefania Saravia Enciso

student•

El alcance de la auditoria

*Debe definirse previamente al haber iniciado todo el trabajo de auditoria. *Define hasta dónde llegará la auditoria(limites de la auditoria), estará limitado al tiempo, el espacio y dependiendo de los recursos disponibles.

Piero Blanco

student•

algun ejemplo de hallazgo?

Lewis Rafael Susa Peñate

student•

Un hallazgo es una situación encontrada (sea en alguna entrevista, verificación in situ o documental), que al ser comparada contra la norma (ISO 27000), muestra alguna falta. Ejemplo: Contraseñas de los equipos : 1234 Cuando la norma establece parámetros o recomendaciones de seguridad en la cual, se establece: mínimo 8 caracteres, alfanuméricos, mayúsculas, minúsculas, caracteres especiales. Otro ejemplo sería: la zona de los servidores, no tienen acceso restringido. A esa área puede ingresar cualquier persona, sin autorización.

Wilmer Paguay

student•

Hay que recordar que para tener una auditoría exitosa, se debe crear un proceso de documentación claro que facilite la verificación y supervisión de los problemas.

Gerardo Portocarrero

student•

Términos de auditoria:

Evidencia: Registro o cualquier situaciones, que entrega el encargado del proceso, que se pueda presentar y que sean verificables.

Cliente: Al que le ejerce el proceso de auditoria, si es interna entonces se audita al oficial de seguridad o dueño del proceso, si es externa entonces toda la empresa en general

Auditor: Puede ser uno o mas dependiendo del alcance, ejecuta el proceso de verificación, debe conocer la ISO 27001 como también la competencia técnica de saber lo que audita.

Auditado: Con el encargado o funcionario del proceso.

Programa de auditoria: Conjunto de una o mas auditorias, con el alcance a un año, para que se pueda cubrir la mayoría de procesos.

Alcance: Debe estar documentado al comienzo y fin del trabajo, extensión y limite de una auditoria, física y de tiempo.

Conclusiones: Resultado de la auditoria de acuerdo al alcance definido.

Hallazgo: Situaciones que se dan como no conformidades, se identifico ese incidente la cual se debe corregir con planes de acción o acciones correctivas para mitigarlos.

Jeison Sneider Ruiz Zemanate

student•

TÉRMINOS DE AUDITORÍA

Evidencia: Registro, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

Cliente: Organización o persona que solicita una auditoría (Dueño del proceso, auditado).

Auditor: Persona que lleva a cabo una auditoría (Quien lleva a cabo el proceso de auditar).

Auditado: Organización que está siendo auditada.

Programa de Auditoría: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico (Programa de auditorías con alcance de un año).

Alcance: Extensión y límites de una auditoría, el alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos, así como el periodo de tiempo cubierto (Definir al inicio del proceso, hasta donde va a llegar la auditoría, teniendo claros los recursos disponibles).

Conclusiones: Resultado de la auditoría considerando los objetivos y hallazgos.

Hallazgos: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría (Evidencia, señalización de algunas inconformidades a mejorar y levantar).

Enrique Montes Trejo

student•

Buena clase, muy complementaria a todo lo que estamos viendo en el curso.

francisco escalante

student•

que norma o metodologia puedo profundizar para la auditoria alex?

Kevin Acosta

student•

Que diferencia hay entre el cliente y el auditado si es una auditoria interna?

Wilmer Paguay

student•

¿Cuál es tiempo de solución según la norma iso 27001 ante un hallazgo?

Rodrigo Andrés Gonzalez Aróstegui

student•

¿Que se hace en la situación en la que, durante la ejecución de una auditoria, el auditor encargado de llevar a cabo el proceso de revisión recibe una denuncia por parte de un funcionario de la compañía auditada, que de ser cierta, podría impactar de manera significativa la imagen reputacional de la organización? (Ejemplo: el alcance de una auditoría considera la revisión de aspectos de seguridad física de la organización. Un funcionario le denuncia al auditor que cierto empleados de la compañía están haciendo un mal uso de la infraestructura tecnológica de la compañía toda vez que, se encuentran minando criptomonedas en los servidores)

Alex Tovar

teacher•

Hola @rognark. De acuerdo al ejemplo que estás planteando, el auditor está revisando el proceso de Seguridad Física y la denuncia esta más enfocada a Seguridad de las Operaciones, sin embargo, esto no quiere decir que se deba hacer caso omiso a la denuncia, lo que debe hacer el auditor es comunicar la información que recibió al líder del equipo de auditoria para que este asigne un recurso para investigar el tema denunciado.

Rodrigo Andrés Gonzalez Aróstegui

student•

¿El alcance tiene que siempre ir enfocado a un proceso en particular? (He tenido la experiencia de ver auditorías cuyos alcances consisten en revisar dos a tres dominios del Anexo A de la ISO sin más)

Alex Tovar

teacher•

Hola @rognark. El alcance dependerá del tipo de auditoría que se esté realizando. Es decir, si es una auditoría interna para mejora continua, seguramente su alcance será como el que mencionas, auditando procesos en particular buscando darle cobertura a la mayoría posible en un periodo de tiempo. Ahora bien, si es una auditoría de Certificación, está revisará todo el SGSI y se realiza no antes de un periodo de al menos 3 meses durante el cual el sistema debe estar funcionando.

Andres Maximiliano Moreira

student•

Hola a todos! ¿quien me explica bien: dónde y cómo puedo certificarme en la iso 27001? Gracias!!

Jorge Marroquin

student•

Saludos Andres. Aquí puedes realizar la certificación internacional. El programa empieza este 6 de Julio 100% ONLINE. 🙌

Jorge Marroquin

student•

Saludos Andres. Aquí puedes realizar la certificación internacional. El programa empieza este 6 de Julio 100% ONLINE. 🙌

Mario Nel Villamizar Ochoa

student•

cuando se tienen contratistas ¿la norma evidencia la obligacion de que la organizacion entregue computador? o concede que el contratista lleve su portatil.

Luis Fernando Ramírez Contreras

student•

Sería excelente que se abordará en algún capítulo de acá las actualizaciones respecto a la versión 2022 y el adenda 2024.

Oscar Jaramillo

student•

Excelente!

Terminología de Auditoría según ISO 27001

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

Controles de Seguridad Física y del Entorno en ISO 27001

Seguridad de las Operaciones según ISO 27001

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

Seguridad en el Desarrollo de Software según OWASP Top 10

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

Auditoría de Sistemas de Seguridad según ISO 27001