AUDITORÍA INFORMÁTICA

TUTOR: Msc. Jorge Revelo Rosero

ESTUDIANTE: Evelyn López Burbano

PRIMER BIMESTRE

Noviembre – 2015
 UNIDAD 1: SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

1.1. Conteste las siguientes preguntas:

1. ¿Qué es un SGSI? Elabore un organizador gráfico

Conjunto de cosas que relacionadas entre sí

Real Academia
ordenadamente contribuyen a gestionar y
Española
administrar una Organización

SISTEMA DE GESTIÓN DE
Sistema para establecer la política y los objetivos
SGSI SEGURIDAD DE LA ISO 9000
y para lograr dichos objetivos
INFORMACIÓN

Esquema general de procesos y procedimientos

Fundación Europea
que se emplea para garantizar que la
para la Gestión de
Organización realiza las tareas para alcanzar los
Calidad
objetivos

Misión
Visión
Valores
Objetivos
Marco de De
Organización Integra
Es funcionamiento una

Políticas
De Procedimientos
SGSI Registros
Indicadores
Incrementar
Para Disponer de un Que
Eficacia
sistema de gestipión Permita
Eficiencia

2. ¿Qué es un PDCA?
 PDCA es un conjunto de fases que permite la mejora continua del Sistema de Gestión del
Sistema de Información, que se pueden aplicar a cualquier proyecto de mejora de
procesos que lo requiera.
 Las siglas y fases de PDCA son: Plan (planificar), Do (hacer), Check (hacer/comprobar),
Act (actuar).
 Planificar se refiere a la creación, hacer a la implementación, comprobar a la
supervisión y revisión y actuar al aseguramiento de mejoría continua.
3. ¿Cuáles son los beneficios de un SGSI? Elabore un organizador gráfico

Reducción de
riesgos

Generación de Aumetno del

valor y factor retorno sobre
diferenciador la inversión
Beneficios
SGSI

Aumenta la
Cumplimiento
madurez de la
legal
seguridad

Ventajas Competitivas

Mejor gestión
Aumento de Cumplimiento
de
seguridad Legal
presupuesto

Nuevas
Imagen de Eficiencia y
oportunidades
excelencia productividad
de negocio
 4. Elabore organizadores gráficos considerando los objetivos de la auditoría,
limitaciones y tipos de auditoría.

AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN

OBJETIVOS LIMITACIONES TIPOS

Proteger la gestión
o cumplimiento.
Requisitos,
Si la realiza la
restricciones, al
Organización o
inicio del proyecto
personal externo

No disponibilidad de
CONCEPTOS GENERALES

información
Verificar el grado de
Auditoría Auditoría
seguridad de un
Interna Externa
sistema
Dificultad de
conservación de
evidencias Auditor Interno Auditor Externo
Determinar el nivel
de eficacia y Debe conocer y
eficiencia de los Todas las No tiene relación
limitaciones deben cumplir las
procesos de TI laboral con la
constar en el normas de
organización
informe de conducta
Verificar el auditoría
cumplimiento por
parte de la Independencia,
Forma parte del
Organización experiencia,
control interno.
visión globlal.
 5. ¿Cuáles son los principios de la auditoría? Elabore un organizador gráfico

Profesionalismo
* Honestidad, diligencia y responsabilidad
INTEGRIDAD * Cumplir los requisitos legales
* Competencia al desempeñar su trabajo
* Desempeñar su trabajo de manera imparcial

Obligación de informar con veracidad

PRESENTACIÓN * Exactitud en las actividades de auditoría
IMPARCIAL * Informar sobre obstáculos encontrados
* Comunicación veraz, exacta, objetiva,
oportuna, clara y completa

Diligencia y juicio al auditar

CUIDADO * Cuidado en la tarea a desempeñar
PROFESIONAL * Capacidad de hacer juicios razonados

PRINCIPIOS
DE Seguridad de la información
AUDITORÍA * Discresión en el uso y protección de la
información
CONFIDENCIALIDAD * La información no debe usarse inapropiada-
mente
* Tratamiento apropiado de la información
de forma sensible o confidencial

Imparcialidad y objetividad
* Actuar de forma que sus acciones no supongan
INDEPENDENCIA ningún conflixto de interses
* Los auditores deben ser independientes
* Los resultados de la auditoría estarán basados
sólo en la evidencia.

Método utilizado
ENFOQUE * Permita alcanzar conclusiones de auditoría
BASADO EN * Obtención de evidencias sobre la información
EVIDENCIA disponible
 6. ¿Para qué sirve el modelo PCDA?

El PCDA permite establecer un programa de auditoría que ayude a la determinación de la eficacia

del sistema de gestión auditado. El alcance debe basarse en el tamaño y la naturaleza o sector de
la Organización.

Para conseguir que las auditorías se realicen de una forma eficaz y eficiente, el programa de
auditoría debe incluir la información y los recursos necesarios para llevarlos a cabo. Un programa
de auditoría debe estar enmarcado dentro de un modelo PDCA, que nos permita gestionarlo
dentro de un proceso de mejora continua.

PLAN (PLANIFICAR) - ESTABLECIMIENTO

 Definición de funciones, responsabilidades, alcance, número de personas, ubicaciones

físicas
 Evaluación de riesgos
 Procedimientos del programa de auditoría
 Identificación de recursos

DO (HACER) - IMPLEMENTACIÓN

 Definición de objetivos generales e individuales

 Selección de métodos de auditoría, equipo auditor
 Asignación de responsabilidades
 Gestión de resultados y mantenimiento de los registros

CHECK (COMPROBAR) - SEGUIMIENTO

 Seguimiento del programa de auditoría

ACT (ACTUAR) - MEJORA

 Revisión y mejora del programa de auditoría.

 7. Elabore un organizador gráfico sobre las actividades que deben desarrollarse en una
auditoría de sistemas de gestión.

Contacto inicial Revisión de Tareas planificadas

Valoración de la documentos durante la
viabilidad Planificación preparación

INICIO DE LA REALIZACIÓN DE
PREPARACIÓN
AUDITORÍA LAS ACTIVIDADES

ACTIVIDADES
DE LA
AUDITORÍA

PREPARACIÓN,
ACTIVIDADES DE FINALIZACIÓN DE
APROBACIÓN Y
SEGUIMIENTO LA AUDITORÍA
DISTRIBUCIÓN

Acciones
Elaboración de
correctivas, Informe aprobado y
informe de
preventivas o de distribuido
auditoría
mejora

8. ¿Cómo deberían aplicarse la auditoría de los sistemas de gestión integrados en una

empresa de servicios?
 Considero que en una empresa de servicios deberían implementar los tres sistemas de
gestión que son:
ISO 9001 Sistema de Gestión de la Calidad
ISO 14001 Sistema de Gestión Medioambiental
ISO 22000 Sistema de Gestión de Seguridad Alimentaria
ISO 27001 Sistema de Gestión de la Seguridad de la Información
ISO 28000 Sistema de Gestión de Seguridad de la Cadena de Suministro
OHSAS 18001 Sistema de Gestión de Seguridad y Salud Laboral
 La implementación debería hacerla de forma gradual, de modo que no afecte al
presupuesto de la compañía, y que el personal que labora conozca los nuevos
procedimientos de mejora a implementarse, para que no tengan una resistencia al cambio.
  Es importante considerar que al tener una implementación total de los sistemas de gestión
la organización contará con visión global de la dirección, eficiente utilización de recursos,
eficacia en los sistemas de control, motivación de los trabajadores, entre otros.
 Con esto la organización realizaría el siguiente procedimiento:

Excelencia de
los sistemas de
Mejora gestión
continua del integrados
Sistematización sistema de
de la gestión gestión
Inicio del
cambio

1.2. Elabore organizadores gráficos que resuman los contenidos de:

1. Ciclo básico de implementación de un SGSI

CICLO DE
IMPLEMENTACIÓN

PLANIFICAR HACER COMPROBAR ACTUAR

Identificar proceso a Ejecutar procesos Obtener y analizar Aplicar nuevas

mejorar definidos datos mejoras
Obtención de datos Documentar Documentar Documentar el
y análisis acciones conclusiones proceso

CONOCER Y
GESTIONAR RIESGOS

Para

Actuar de manera
metódica y
sistemática

Revisar y mejorar la
información
 2. Tipos de Auditoría

Si la realiza la
Organización o
personal externo

Auditoría Auditoría
Interna Externa

Auditor Interno Auditor Externo

Debe conocer y
No tiene relación
cumplir las
laboral con la
normas de
organización
conducta

Independencia,
Forma parte del
experiencia,
control interno.
visión globlal.

3. Actividades de la auditoría

INICIO DE LA REALIZACIÓN DE
PREPARACIÓN
AUDITORÍA LAS ACTIVIDADES

ACTIVIDADES
DE LA
AUDITORÍA

PREPARACIÓN,
ACTIVIDADES DE FINALIZACIÓN DE
APROBACIÓN Y
SEGUIMIENTO LA AUDITORÍA
DISTRIBUCIÓN
4. Funciones de un auditor

FUNCIONES DEL
AUDITOR

Estudiar Analizar Diagnosticar

Estructura y De Organización
procedimiento una
 UNIDAD 2: PROYECTO DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN (PRIMERA PARTE)

2.1.Conteste las siguientes preguntas:

1. Defina que es un proyecto de auditoría
 El proyecto de auditoria es un conjunto de procesos y sus correspondientes funciones de
control, que se consolidarán y combinarán en un todo funcional y unificado.
 El proyecto de auditoría debe estar encuadrado dentro del programa de auditoría, este
programa se debe elaborar de forma que contribuya a determinar la eficacia y eficiencia
del SGSI. El alcance de este programa debe estar desarrollado de acuerdo a la naturaleza
y tamaño de la misma, al nivel de riesgo al que se encuentra expuesta la información de la
organización.
 El programa se debe elaborar teniendo en cuenta los mismos condicionantes, naturaleza,
tamaño, nivel de riesgo, complejidad y nivel de madurez, y debe incluir:

Objetivos Planificación

Procedimientos Alcance

Criterios Métodos

Recursos Requisitos
 Un proyecto de auditoría de un SGSI, se divide en tres fases: Planificación, Ejecución y
Cierre.
2. ¿Quién es el responsable de la planificación de un SGSI?
 El auditor jefe es el responsable de preparar la planificación de proyecto de auditoría,
de acuerdo a la información contenida en el programa de auditoría y en la
documentación. Está planificación se plasmará en el plan de auditoría.
 El plan de auditoría debe contemplar y facilitar la programación temporal de las
actividades de auditoría, así como la coordinación que permitan cumplir los objetivos
fijados.
 El plan de auditoría de un SGSI debe contemplar:
 Objetivos
 Alcance
 Criterio
 Localización
 Métodos
 Funciones y responsabilidades
 Asignación de recursos
3. ¿Cuáles son los beneficios de un SGSI? Elabore un organizador gráfico

Incremento de
Mejora Garantía de
nivel de
continua continuidad
confianza

Cumplimiento Aumento del

de legislación
BENEFICIOS valor comercial

Análisis de Identificación Vulnerabilidad

riesgos de amenazas e impactos
2.2.En base a la lectura comprensiva de las páginas 59 hasta la 127, elabore las matrices que
permitan la ejecución de la auditoría, Fase I de un caso práctico, relacionado con la
empresa donde labora.

A1. Revisión del contexto de la Organízación para el SGSI

A2. Revisión del compromiso y liderazgo de la Alta Dirección

A3. Revisión y planificación del SGSI

A4. Revisión de la identificación y tratamiento del riesgo

A5. Revisión de los objetivos de control y riesgo residual

A6. Revisión de la implementación y operación del SGSI

A7. Revisión de la supervisión y revisión del SGSI

A8. Revisión del mantenimiento y mejora del SGSI

A9. Revisión de la documentación del SGSI

A10. Revisión de las responsabilidades de la Dirección

A11. Revisión de las auditorías internas y gestión del SGSI

 PLANIFICACIÓN FASE I

ORGANIZACIÓN AUDITADA: PROTECOMPU C.A.

N° TIPO DE ACTIVIDAD NORMA DE APLICACIÓN FECHA

EXPEDIENTE O REGLAMENTO
2015-001 AUDITORÍA FASE I UNE-EN 01-04-2015
ISO 27001:2013
Fecha: 01-04-2015 Revisión: 1.0

DATOS DE LA EMPRESA
PROTECOMPU C.A.
IMPLEMENTACIÓN DE CENTROS DE DATOS

ORGANIZACIÓN / EMPRESA: ORGANIZACIÓN AUDITADA

REPRESENTANTE DE LA DIRECCIÓN: MARITZA HEREDIA

DATOS DEL EQUIPO AUDITOR

AUDITOR JEFE: RICARDO SARANGO – AUDITOR
AUDITOR: EVELYN LÓPEZ
AUDITOR: DAVID MENA
AUDITOR: JOSÉ SANTANDER
AUDITOR EN PRÁCTICAS: EDISON ACHIG
OBSERVADOR: FERNANDO TORRES
EXPERTO: VERÓNICA ALMINATE

DIRECCIONES DE LOS CENTROS A AUDITAR

CENTRO 1
AV. ELOY ALFARO N72-294 Y CALLE 40
QUITO

CENTRO 2
AV. FELIPE PEZO CAMPUZANO, BODEGA 4, LA CARLOTA
GUAYAQUIL

CENTRO 3
AV. 24 DE MAYO N° 1087 Y AV. SOLANO, CONJUNTO COMERCIAL PORTALES DEL RÍO
BLOQUE C L2C
CUENCA

OBJETIVO Y ALCANCE DE LA AUDITORÍA

El objetivo de la auditoría es evaluar el sistema de gestión de la organización para las actividades de:
“Alcance del SGSI definido por la organización auditada” con el fin de determinar el nivel de
implantación y cumplimiento de los requisitos, de las normas y reglamentos de referencia.

FECHA DE INICIO DE AUDITORÍA: 06-04-2015

FECHA DE FIN DE AUDITORÍA: 30-04-2015

 ASPECTOS ESPECÍFICOS PARA LA PLANIFICACIÓN DE LA FASE I

REUNIÓN INICIAL

Se trataran los siguientes temas:

 Presentación del equipo auditor a la Organización auditada.

 Presentación de la Organización y actividades de la empresa al equipo auditor.
 Explicación del proceso de certificación y el punto del mismo en el que se encuentra la
Organización auditada.
 Explicación de los objetivos a cubrir por la fase I y II de la auditoría inicial.
 Alcance de la Solicitud de Certificación de la empresa.
 Cumplimentación de la Hoja de Datos de la empresa.
 Confirmación de la planificación aclarando la secuencia de realización de las actividades.

OBJETIVO Y ALCANCE DE LA AUDITORÍA

Comprobación y auditoría, de que la documentación del sistema de gestión es adecuada y

suficiente, conforme a los requisitos de la norma ISO 27001:2013.

 Auditoría de los requisitos relacionados con aspectos horizontales del sistema de gestión:
Control de documentación y registros, no conformidades, acciones correctivas y
preventivas. Asimismo, se pondrá especial atención en evaluar las auditorías internas y la
revisión por la dirección que planifican y realizan. Se indica en la matriz adjunta, los
elementos de la Norma ISO 27001 para los que está previsto realizar la auditoría
completa.
 Evaluación general de los restantes requisitos aplicables al sistema de gestión, mediante
visita a las distintas instalaciones, áreas y departamentos de la Organización con el fin de:
o Recopilar la información necesaria correspondiente al alcance del sistema de
gestión, a los procesos y a las ubicaciones de la Organización, así como a los
aspectos legales y reglamentarios relacionada a su cumplimiento.
o Determinar el grado de implantación del sistema y confirmar si la Organización
está preparada para acometer la fase II, obteniendo la información suficiente para
planificar la fase II.
REUNIÓN FINAL

 Lectura del informe de conclusiones de la fase I, comentarios y aclaración de dudas.

 Confirmación del alcance de actividades de la fase II de la auditoría y acuerdo de fechas.
 Revisión de la asignación de recursos destinados a la fase II.
 MATRIZ ACTIVIDADES DE AUDITORÍA

9.1 Seguimiento, medición, análisis y evaluación

10.1 No conformidades y acciones correctivas

6.2 Objetivos de Seguridad de la información
5.2 Política de seguridad de la información
4.2 Necesidades de las partes interesadas
UNE-ISO/IEC 27001:2013

(GESTIÓN DE SEGURIDAD DE LA

4.1 Contexto de Organización

INFORMACIÓN)

5.3 Roles y responsabilidades

5.1 Liderazgo y compromiso

9 Evaluación del desempeño

8.3 Tratamiento de riesgos
8.1 Planificación y control

8.2 Evaluación de riesgos

9.3 Revisión de la gestión

10.2 Mejora continua

9.2 Auditoría interna
4.3 Alcance del SGSI

6.1 Análisis de riesgo

4 Contexto del SGSI

7.5 Documentación
7.3 Concienciación

7.4 Comunicación
7.2 Competencias
6 Planificación
PROCESO

7.1 Recursos
CENTRO

8 Operación
5 Liderazgo

10 Mejora
DÍA

DPTO

7 Soporte
HORA AUDITOR
DOCUMENTO
ACTIVIDAD

1 ´1-2-3 8:00 ELB - DM REUNIÓN INCIAL

1 1 9:00 -12:00 ELB - DM Resp. Seguridad
1 2 9:00 -12:00 JS-EA Resp. Seguridad X X X X X X X X
1 3 9:00 -12:00 RM-MC Resp. Seguridad
1 1 14:00-17:00 ELB - DM Resp. Seguridad
1 2 14:00-17:00 JS-EA Resp. Seguridad X X X X X X X X X
1 3 14:00-17:00 RM-MC Resp. Seguridad
2 1 9:00 -12:00 ELB - DM Resp. Seguridad
2 2 9:00 -12:00 JS-EA Resp. Seguridad X X X X X X X X
2 3 9:00 -12:00 RM-MC Resp. Seguridad
2 1 14:00-17:00 ELB - DM Resp. Seguridad
2 2 14:00-17:00 JS-EA Resp. Seguridad X X X
2 3 14:00-17:00 RM-MC Resp. Seguridad
3 1 8:00-15:00 SL-RS ELABORACIÓN DEL INFORME DE AUDITORÍA POR EL EQUIPO
3 1 17:00 SL-RS REUNIÓN FINAL
 MATRIZ ACTIVIDADES DE AUDITORÍA

A.16 Gestión de incidentes de seguridad de la información

A.14 Adquisición, desarrollo y mantenimiento de sistemas
A.6 Organización de la seguridad de la información
UNE-ISO/IEC 27001:2013

(GESTIÓN DE SEGURIDAD DE LA

A.7 Seguridad de los recursos humanos

A.13 Seguridad de las comunicaciones

INFORMACIÓN)

A.15 Relaciones con los proveedores

A.11 Seguridad física y ambiental
(Continuación)

A.12 Operaciones de seguridad

A.17 Continuidad de negocio

A.5 Política de Seguridad

A.8 Gestión de activos

A.9 Control de acceso

A.18 Cumplimiento
A.10 Criptografía
PROCESO
CENTRO
DÍA

DPTO
HORA AUDITOR
DOCUMENTO
ACTIVIDAD

1 ´1-2-3 8:00 ELB - DM REUNIÓN INCIAL

1 1 9:00 -12:00 ELB - DM Resp. Seguridad
1 2 9:00 -12:00 JS-EA Resp. Seguridad X X
1 3 9:00 -12:00 RM-MC Resp. Seguridad
1 1 14:00-17:00 ELB - DM Resp. Seguridad
1 2 14:00-17:00 JS-EA Resp. Seguridad X X X
1 3 14:00-17:00 RM-MC Resp. Seguridad
2 1 9:00 -12:00 ELB - DM Resp. Seguridad
2 2 9:00 -12:00 JS-EA Resp. Seguridad X X X X X
2 3 9:00 -12:00 RM-MC Resp. Seguridad
2 1 14:00-17:00 ELB - DM Resp. Seguridad
2 2 14:00-17:00 JS-EA Resp. Seguridad X X X X
2 3 14:00-17:00 RM-MC Resp. Seguridad
3 1 8:00-15:00 SL-RS ELABORACIÓN DEL INFORME DE AUDITORÍA POR EL EQUIPO
3 1 17:00 SL-RS REUNIÓN FINAL
2.3.Elabore organizadores gráficos que resuman las actividades 2, 4, 8, 9, 10 y 11 de la Fase
I del proyecto de auditoría de un SGSI.

A2. Revisión del compromiso y liderazgo de la Alta Dirección

PROYECTO DE AUDITORÍA DE UN SGSI

FASE I – A2. REVISIÓN DEL COMPROMISO Y LIDERAZGO DE LA ALTA DIRECCIÓN

Comprobar que la alta dirección demuestra liderazgo y compromiso
T1. Revisión de la

seguridad de la
información
política de

Dispone de una
política de Estar aprobado
Debe Tener Apoyo y patrocinio
seguridad de la formalmente
información
responsabilidades
T2. Revisión de
las funciones y

Estar al
Ha asignado y Garantizar que
corriente
comunicado el sistema se
sobre el
las funciones ajusta al ISO
desempeño
de seguridad 27001
del SGSI
A4. Revisión de la identificación y tratamiento del riesgo

T1. Revisión del Dispone de un

inventario de inventario de
activos activos

T2.Revisión de Se han identificado

las amenazas y amenazas a las que se
vulnerabilidades encuentran expuestos
los activos
A2. REVISIÓN DE LA identificadas
IDENTIFICACIÓN
EL AUDITOR
ANÁLISIS, DEBE
EVALUACIÓN Y COMPROBAR
SI:
TRATAMIENTO DEL
RIESGO T3.Revisión del
El análisis ha tenido
análisis y
en cuenta los
evaluación de activos relevantes
riesgos

T4.Revisión de Si las opciones

las opciones de elegidas son
tratamiento de apropiadas para el
riesgo residual
riesgos
A8. Revisión del mantenimiento y mejora del SGSI

PROYECTO DE AUDITORÍA DE UN SGSI

FASE I – A8. REVISIÓN DEL MANTENIMIENTO Y LA MEJORA DEL
SGSI

T1. Revisión del

T2. Revisión de la T3. Revisión de las T4. Revisión de las
mantenimiento y la
mejora continua acciones correctivas Acciones preventivas
mejora del SGSI

El auditor deberá comprobar:

Implementado Proceso de mejora Las acciones

mejoras continua correctivas forman Propone, realiza y
parte de la mejora gestiona acciones
continua
Por medio Comprobar

Documento donde
Seguimiento y la Objetivos de la Identificar nuevos
se registran las
revisión organización riesgos
acciones

Localizar Medir Para

Para
Evidencias tangibles
Rendimiento del Identificar las
de la mejora Disminuir la
SGSI mejoras
continua probabilidad de
materialización de
la amenaza
 A9. Revisión de la documentación del SGSI

A9. REVISIÓN DE LA
DOCUMENTACIÓN
DEL SGSI

T1. Revisión de la T2. Revisión del control

T3. Revisión de los
documentación del de la documentación
registros del SGSI
SGSI del SGSI

Analizar Verificar Evaluar

Registros se
Cuerpo documental Procedimiento protegen de
Verificar
del SGSI documentado acuerdo a la
clasificación

Controles

Almacenamiento,
Si cumple con los
Que ha pasado por Publicaciones de protección,
mínimos que exige
alto cambio recuperación del
ISO 27001
tiempo

Documentos Para

Se crean, Control de cambios,

documentan, quién, cómo y
implementan y cuándo
mantienen
A10. Revisión de las responsabilidades de la Dirección

T1. Revisión de compromiso de la dirección

Grado de compromiso, respecto a la seguridad de la información.

Planificación, opración y mantenimiento del SGSI

T2. Revisión de la asignación de recursos SGSI

Comprobar que se han asignado los recursos necesarios para

implementar, mantenener y mejorar el SGSI

T3. Revisión de la definición y evaluación de la sensibilización y

formación en SGSI

Formación, conciencia y sensibilización del personal implicado en el

alcance del SGSI
 A11. Revisión de las auditorías internas y gestión del SGSI

T2. Auditoria de la
T1. Revisión de revisión por la
auditorías internas dirección de SGSI

Comprobar que ha
planificado y
realizado las Revisiones una vez al
auditorías año

A11. Revisión del

mantenimiento y la
mejora del SGSI

T3. Revisión de las T4. Revisión de las

entradas para la salidas para la
revisiones revisión

Reflexiones y
Comprobar el sentido resultados
de las reuniones

2.4.Actividad complementaria: evaluación en línea 1