Terminología de Auditoría según ISO 27001

Clase 32 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Resumen

¿Cuáles son los términos esenciales de la auditoría según la ISO 27001?

Comprender la normativa ISO 27001 es crucial si deseas convertirte en un auditor interno competente. Esta norma ofrece un conjunto estandarizado de términos y definiciones que todo auditor debe dominar para realizar auditorías eficaces y cumplir con los estándares internacionales. A continuación, se presentan los elementos clave que definen la práctica de auditoría bajo la ISO 27001.

¿Qué es la evidencia de auditoría?

La evidencia en una auditoría se compone de registros, declaraciones o hechos sobre cualquier situación que se presenta y que son verificables. Esto significa que cualquier información proporcionada sobre políticas o controles debe ser corroborable con pruebas explícitas. Por ejemplo, si te indican cómo se ejecuta una política de backup, es esencial verificar esto mediante registros de la ejecución y pruebas de restauración.

¿Quién es el cliente en la auditoría?

En el contexto de auditoría, el cliente generalmente se refiere a la organización que está siendo auditada. En auditorías internas, el cliente podría ser el dueño del proceso o el área específica que estás evaluando. En auditorías externas o de tercera parte, la organización completa es considerada el cliente.

¿Quién es el auditor?

El auditor es la persona encargada de realizar la auditoría. Dependiendo del tamaño y alcance de la auditoría, puede ser una sola persona o un equipo. Este individuo debe tener un profundo conocimiento de la norma ISO 27001, además de competencia técnica en los sistemas y tecnologías relacionadas con el ámbito de la auditoría.

¿Cómo se estructura un programa de auditoría?

El programa de auditoría es un conjunto de auditorías planificadas para realizarse a lo largo de un año, según recomienda la norma ISO. Este programa debe considerar el contexto de la organización y ajustarse a sus necesidades, evitando auditar en periodos de alta actividad para no interrumpir el negocio. Un programa bien estructurado permite una planificación adecuada y entrega de resultados organizados y comprensibles.

¿Por qué es importante definir el alcance de la auditoría?

El alcance de una auditoría establece los límites y hasta dónde se va a llevar el proceso de auditoría. Definir esto claramente antes de iniciar garantiza que se cubran todos los aspectos necesarios dentro de los recursos y tiempo disponibles. Es crucial para asegurar que el sistema de gestión de seguridad de la información cumpla con los requisitos de la ISO 27001.

¿Qué son las conclusiones y los hallazgos?

Las conclusiones de una auditoría son el resultado final del análisis, donde se emite una evaluación objetiva sobre si las políticas auditadas, como las de backup, cumplen con lo requerido. Los hallazgos son las observaciones que detallan no conformidades o incumplimientos detectados durante el proceso, como por ejemplo, un backup que no se ejecuta conforme a la política estipulada.

¿Cómo se abordan los hallazgos después de la auditoría?

Una vez identificados los hallazgos, la organización debe desarrollar planes de acción o acciones correctivas para abordar las no conformidades. Este podría incluir ajustes en los sistemas o herramientas utilizados, asegurando así que se cumpla con las políticas y normas establecidas. Es esencial realizar un seguimiento efectivo para implementar mejoras continuas en los procesos auditados.

La comprensión de estos términos y su aplicación práctica no solo facilita una auditoría exitosa, sino que también asegura que las organizaciones permanezcan alineadas con las normas ISO 27001, potenciando así su sistema de gestión de seguridad de la información. Continuar aprendiendo y mejorando es fundamental para convertirse en un experto en este campo. ¡Sigue adelante en tu camino hacia la certificación!

Noldia Chavez Cavero

student•

Términos de Auditoría Evidencia: Registro de información verificable. Cliente: Dueño del proceso, auditado. Auditor: Quien lleva a cabo el proceso de auditar. **Auditado: **Organización que esta siendo auditada Programa d Auditoría: Programa de auditorias con alcance de un año. Alcance: Definir al inicio del proceso, hasta donde va a llegar la auditoria, teniendo claros los recursos disponibles. Conclusiones: Resultado de la auditoria considerando los objetivos y hallazgos. Hallazgos: Evidencia, señalización de algunas inconformidades a mejor y levantar.

Arturo Moran

student•

Buen resumen. gracias.

Brandon Nicolas Morales

student•

Gracias

DANIEL TENOCH SANCHEZ GARCIA

student•

Beder Danilo Casa Condori

student•

genial

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Kyb3r Cipher

student•

Ya casi se termina el curso :(

Patricia Estefania Saravia Enciso

student•

El alcance de la auditoria

*Debe definirse previamente al haber iniciado todo el trabajo de auditoria. *Define hasta dónde llegará la auditoria(limites de la auditoria), estará limitado al tiempo, el espacio y dependiendo de los recursos disponibles.

Piero Blanco

student•

algun ejemplo de hallazgo?

Lewis Rafael Susa Peñate

student•

Un hallazgo es una situación encontrada (sea en alguna entrevista, verificación in situ o documental), que al ser comparada contra la norma (ISO 27000), muestra alguna falta. Ejemplo: Contraseñas de los equipos : 1234 Cuando la norma establece parámetros o recomendaciones de seguridad en la cual, se establece: mínimo 8 caracteres, alfanuméricos, mayúsculas, minúsculas, caracteres especiales. Otro ejemplo sería: la zona de los servidores, no tienen acceso restringido. A esa área puede ingresar cualquier persona, sin autorización.

Wilmer Paguay

student•

Hay que recordar que para tener una auditoría exitosa, se debe crear un proceso de documentación claro que facilite la verificación y supervisión de los problemas.

Gerardo Portocarrero

student•

Términos de auditoria:

Evidencia: Registro o cualquier situaciones, que entrega el encargado del proceso, que se pueda presentar y que sean verificables.

Cliente: Al que le ejerce el proceso de auditoria, si es interna entonces se audita al oficial de seguridad o dueño del proceso, si es externa entonces toda la empresa en general

Auditor: Puede ser uno o mas dependiendo del alcance, ejecuta el proceso de verificación, debe conocer la ISO 27001 como también la competencia técnica de saber lo que audita.

Auditado: Con el encargado o funcionario del proceso.

Programa de auditoria: Conjunto de una o mas auditorias, con el alcance a un año, para que se pueda cubrir la mayoría de procesos.

Alcance: Debe estar documentado al comienzo y fin del trabajo, extensión y limite de una auditoria, física y de tiempo.

Conclusiones: Resultado de la auditoria de acuerdo al alcance definido.

Hallazgo: Situaciones que se dan como no conformidades, se identifico ese incidente la cual se debe corregir con planes de acción o acciones correctivas para mitigarlos.

Jeison Sneider Ruiz Zemanate

student•

TÉRMINOS DE AUDITORÍA

Evidencia: Registro, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

Cliente: Organización o persona que solicita una auditoría (Dueño del proceso, auditado).

Auditor: Persona que lleva a cabo una auditoría (Quien lleva a cabo el proceso de auditar).

Auditado: Organización que está siendo auditada.

Programa de Auditoría: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico (Programa de auditorías con alcance de un año).

Alcance: Extensión y límites de una auditoría, el alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos, así como el periodo de tiempo cubierto (Definir al inicio del proceso, hasta donde va a llegar la auditoría, teniendo claros los recursos disponibles).

Conclusiones: Resultado de la auditoría considerando los objetivos y hallazgos.

Hallazgos: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría (Evidencia, señalización de algunas inconformidades a mejorar y levantar).

Enrique Montes Trejo

student•

Buena clase, muy complementaria a todo lo que estamos viendo en el curso.

francisco escalante

student•

que norma o metodologia puedo profundizar para la auditoria alex?

Kevin Acosta

student•

Que diferencia hay entre el cliente y el auditado si es una auditoria interna?

Wilmer Paguay

student•

¿Cuál es tiempo de solución según la norma iso 27001 ante un hallazgo?

Rodrigo Andrés Gonzalez Aróstegui

student•

¿Que se hace en la situación en la que, durante la ejecución de una auditoria, el auditor encargado de llevar a cabo el proceso de revisión recibe una denuncia por parte de un funcionario de la compañía auditada, que de ser cierta, podría impactar de manera significativa la imagen reputacional de la organización? (Ejemplo: el alcance de una auditoría considera la revisión de aspectos de seguridad física de la organización. Un funcionario le denuncia al auditor que cierto empleados de la compañía están haciendo un mal uso de la infraestructura tecnológica de la compañía toda vez que, se encuentran minando criptomonedas en los servidores)

Alex Tovar

teacher•

Hola @rognark. De acuerdo al ejemplo que estás planteando, el auditor está revisando el proceso de Seguridad Física y la denuncia esta más enfocada a Seguridad de las Operaciones, sin embargo, esto no quiere decir que se deba hacer caso omiso a la denuncia, lo que debe hacer el auditor es comunicar la información que recibió al líder del equipo de auditoria para que este asigne un recurso para investigar el tema denunciado.

Rodrigo Andrés Gonzalez Aróstegui

student•

¿El alcance tiene que siempre ir enfocado a un proceso en particular? (He tenido la experiencia de ver auditorías cuyos alcances consisten en revisar dos a tres dominios del Anexo A de la ISO sin más)

Alex Tovar

teacher•

Hola @rognark. El alcance dependerá del tipo de auditoría que se esté realizando. Es decir, si es una auditoría interna para mejora continua, seguramente su alcance será como el que mencionas, auditando procesos en particular buscando darle cobertura a la mayoría posible en un periodo de tiempo. Ahora bien, si es una auditoría de Certificación, está revisará todo el SGSI y se realiza no antes de un periodo de al menos 3 meses durante el cual el sistema debe estar funcionando.

Andres Maximiliano Moreira

student•

Hola a todos! ¿quien me explica bien: dónde y cómo puedo certificarme en la iso 27001? Gracias!!

Jorge Marroquin

student•

Saludos Andres. Aquí puedes realizar la certificación internacional. El programa empieza este 6 de Julio 100% ONLINE. 🙌

Jorge Marroquin

student•

Saludos Andres. Aquí puedes realizar la certificación internacional. El programa empieza este 6 de Julio 100% ONLINE. 🙌

Mario Nel Villamizar Ochoa

student•

cuando se tienen contratistas ¿la norma evidencia la obligacion de que la organizacion entregue computador? o concede que el contratista lleve su portatil.

Luis Fernando Ramírez Contreras

student•

Sería excelente que se abordará en algún capítulo de acá las actualizaciones respecto a la versión 2022 y el adenda 2024.

Oscar Jaramillo

student•

Excelente!

Terminología de Auditoría según ISO 27001

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

Controles de Seguridad Física y del Entorno en ISO 27001

Seguridad de las Operaciones según ISO 27001

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

Seguridad en el Desarrollo de Software según OWASP Top 10

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

Auditoría de Sistemas de Seguridad según ISO 27001