AI 27001 Talleres

33  43  Descargar (0)

Texto completo

(1)

Taller 1.

ISO 27001 – ALCANCE

OBJETIVO

Comprender los conceptos relacionados con la etapa de planificación del SGSI.

METODOLOGIA

El taller se desarrollará en pequeños grupos de acuerdo con las orientaciones del tutor.

Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su respectiva retroalimentación.

Definir el alcance y límites del SGSI a implementar en su organización.

TIEMPO

Tiene un tiempo máximo de 20 minutos para el desarrollo del taller. 15 minutos de retroalimentación.

(2)

Taller 2.

ISO 27001 – POLÍTICA

OBJETIVO

Comprender los conceptos relacionados con las políticas del SGSI

METODOLOGIA

El taller se desarrollará en pequeños grupos de acuerdo con las orientaciones del tutor.

Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su respectiva retroalimentación.

Definir dos políticas de recursos del SGSI.

Definir dos políticas de uso del SGSI a implementar en su organización. Definir dos políticas técnicas (TI) del SGSI

TIEMPO

Tiene un tiempo máximo de 20 minutos para el desarrollo del taller. 15 minutos de retroalimentación.

(3)

Taller 3.

ISO 27001 – RIESGOS

OBJETIVO

Fortalecer los conceptos relacionados con el establecimiento SGSI. METODOLOGIA

El taller se desarrollará en pequeños grupos de acuerdo con las orientaciones del tutor.

Cada uno de los grupos presentara el desarrollo del taller con el fin de recibir su respectiva retroalimentación.

Generar y complementar el cuadro anexo de riesgos. TIEMPO

Tiene un tiempo máximo de 30 minutos para el desarrollo del taller. 10 minutos de retroalimentación.

(4)
(5)
(6)
(7)

TALLER 4

ISO 27001 –INTRODUCCIÓN AUDITORIA INTERNA OBJETIVO

Brindar una introducción al estudiante de la metodología de casos, utilizada durante el curso de formación de auditores internos de un Sistema de Gestión de Seguridad de la información ISMS ISO 27001.

METODOLOGIA

Para realizar este taller, el participante en el Curso de Auditoria Interna deberá realizar el trabajo individual.

Deben sustentar sus respuestas al Tutor del curso con sus respuestas.

En cada una de las siguientes situaciones, el participante de Auditoria Interna debe determinar si hay cumplimiento o no, con respecto a sus conocimientos de auditoria y de ISO 27001 (No utilizar la norma).

TIEMPO

Tiempo máximo de 25 minutos para el desarrollo del taller y tiempo de revisión Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS!

Caso Cumple o no Cumple

1 2 3 4 5 6

Todos los casos de este taller tienen relación en la organización XUAN INC. CASO No 1:

La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información.

(8)

CASO No 2:

La organización incluyó en el programa de auditorias la realización de auditorias de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorias anteriores en un período de seis meses. La organización esta decidiendo a quien designa como responsable de esta actividad.

CASO No 3:

La organización ha incluido en el SGSI; el proceso de Gestión del Talento Humano. En este proceso se han establecido los controles para brindar conformidad de las funciones y responsabilidades del SGSI; un proceso para evidenciar cumplimiento de requisitos legales y reglamentarios y contractuales con los empleados. En el proceso de Control interno, tiene establecido en su manual de funciones específicamente auditores Internos al SGSI, los siguientes requisitos: Educación: Ingeniería, Formación: Auditor interno certificado de aprobación, Experiencia: haber realizado dos auditorias internas o participar como observador, Habilidades: Mente abierta, criterio, aptitudes analíticas, excelente comunicación verbal y escrita, observador, persistente y manejo de situaciones difíciles. En la revisión de registros de la última auditoria, se evidencia que fue realizado por tres (3) auditores internos (Xu Ramírez, Xian Vargas y Gian Wu). Usted verifica los registros de habilidades y experiencia y están correctos. Con el cumplimiento de los requisitos de educación y formación Xu Ramírez Ingeniero de Sistemas con su diploma como evidencia, certificado auditor interno aprobado y verificación de confirmación de la universidad, Xian Vargas tiene la correspondiente tarjeta profesional de Ingeniero Electrónico con especialización en auditorias internas al SGSI el cual evidenció con registro de aprobación. Por último Gian Wu certificado de Ingeniero Aeronáutico con especialización en diseño aeroespacial, al revisar no encuentra certificado de auditor interno. Se indago con el dueño del proceso y respondió que Gian Wu es Auditor del SGSI pues con la experiencia de trabajar durante 10 años en la organización y por su educación, ha sido más que suficiente.

CASO No 4:

La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de Firewall, gestión de ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorias a intervalos regulares.

CASO No 5:

En su revisión de las auditorias internas realizadas en el último año, usted evidencia la inclusión de 2 auditorias internas en el programa de la organización XUAN Inc., registra en su lista de verificación la realización de auditorias internas a todos los procesos del SGSI en el primer semestre. En el último semestre evidencia que no se incluyó el proceso de gestión de cambios ni gestión de capacidades, el responsable explica que estos procesos no se incluyeron en el segundo ciclo porque en las últimas dos auditorias no se detectó ninguna no conformidad.

(9)

CASO No 6:

La organización Zing productions S.A., tiene una red que es gestionada por el centro de datos del SGSI, pero no ha incluido este ítem en la gestión de riesgos, porque esta labor es ejecutada por personal calificado con evidencia de certificado en cableado estructurado Cat6 y no ha sucedido ningún incidente con respecto a la red.

TALLER 5

ISO 27001 - CUMPLIMIENTO DE LA NORMA OBJETIVO

Mejorar el entendimiento de la norma, con relación de los requisitos establecidos y su relación con situaciones reales en las organizaciones.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de formación de auditores internos debe determinar las cláusulas de ISO/IEC 27001 que puede aplicar. (No cumplimiento).

Realizar este taller en grupos determinados por el tutor y sustentar sus conclusiones.

TIEMPO

Tiempo máximo de 25 minutos para el desarrollo del taller. Se destina tiempo para revisión.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS!

(10)

HOJA DE TRABAJO INTEGRANTES:

ELEMENTOS QUE APLICAN CASO No 1 CASO No 2 CASO No 3 CASO No 4 CASO No 5 CASO No 6 CASO No 7 CASO No 8 CASO No 9

1. La organización Online And Transaction S.A., utiliza las transacciones bancarias en línea (e-banking) como medio de pago a sus proveedores y a través de internet también para el envió de documentación importante a sus clientes. Se han implementado controles rigurosos para garantizar la integridad de información transmitida. No se han identificado riesgos al respecto.

2. En la organización XUAN INC., en el proceso de Ingeniería, usted como Auditor líder solicita al encargado del mismo, los registros de mantenimiento de equipos, los cuales son gestionados en la base Informática “ATENEA”, donde según la explicación recibida se almacena toda la información de los computadores de la empresa, aproximadamente 500 equipos. Usted observa en las diferentes carpetas de “ATENEA” el registro del número de servicio realizado, el nombre del responsable del equipo, la descripción del servicio, las fechas de mantenimiento, los repuestos utilizados y el nombre del técnico; después de cotejar los servicios No 11022340, 1105890, 1106850, 1245970, 1325981 y 1325999; usted observa que para los servicios No. 11022340, 1106850 y 1325981, el técnico responsable no ingresó el detalle de los mantenimientos realizados.

(11)

3. En el Banco Panamericano se realizó una auditoria al SGSI verificando que el análisis de riesgos estuviese de acuerdo a los requisitos de la norma, se encontró evidencia de la metodología, criterios para aceptación del riesgo, la identificación de los riesgos, el análisis y evaluación de los riesgos, el tratamiento de los riesgos y la selección de los objetivos de control y los controles para el tratamiento de los mismos, sin embargo para el riesgo residual propuesto no se encontró la aprobación por parte de la alta dirección.

4. En la auditoria de certificación de la organización Sistema Gestión SG, frente a la norma ISO 27001, el auditor evidenció que no hay una descripción de la metodología para valoración de riesgos, es decir, no hay un enfoque hacia la valoración del riesgo.

5. Durante la realización de auditoria en la organización “SSC Graphics”, el Gerente de la empresa explica que cuando usted vaya al proceso de producción, no va encontrar al Director de Producción ni a dos Operadores considerados fundamentales para el mismo, debido a que fueron retirados por problemas de bajo desempeño. Usted pregunta ¿cuanto hace que fueron retirados? Le responden que desde hace tres meses, pues el personal es contratado a término fijo y no han sido reemplazados porque el jefe financiero aún no ha designado los recursos necesarios. Usted escribe su comentario en su lista de chequeo. Así mismo usted pregunta ¿Cómo ha definido las competencias para el Director de producción, Operador del servidor de correo y Operador del servidor de aplicaciones?, el Gerente le entrega unos documentos y explica que ha sido un trabajo muy bueno, realizado para definir las características de cada cargo. Después de revisarlos, sólo observa definidas las responsabilidades. Usted verifica los registros de terminación de la contratación laboral y no se encuentran. 6. En Diciembre, usted es designado como auditor líder para realizar una auditoria

interna a Financiera Suprema S.A., ofrece servicios de financiación de créditos al sector solidario, al llegar al proceso de mejora continua, usted solicita los registros de las auditorias realizadas, usted evidencia ejecución en julio 15 y octubre 30. Usted pregunta ¿cuantas no conformidades fueron encontradas?, el responsable indica que en Julio se encontraron once (11) y en Octubre trece (13), todas cerradas eficazmente, porque la alta Dirección está muy comprometida. Usted revisa y observa que los problemas detectados durante el mes de octubre son los mismos del mes de Julio, revisa en sus apuntes y confirma que son los mismos que aparecen en sus registros de lista de verificación.

7. Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de verificación de los sistemas de información?, entrega un programa que define una frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable menciona que se cambio intervalo a un año y además por el cambio de la infraestructura tecnológica.

(12)

8. En la auditoría realizada en la organización del sector estatal Ministerio Fomento Empresarial, el auditor entrevistó al encargado del centro de cómputo ¿Cuales controles se han establecido para el centro de cómputo? El único procedimiento es el sistema de control de entrada por llave. ¿Qué personas tienen llave del centro de cómputo? El Gerente del centro de cómputo, el encargado del centro de cómputo y el personal de limpieza, en particular la señora que realiza la limpieza, la cual pertenece a la nomina de la agencia de limpieza ZZZ. El auditor entrevista a la señora de limpieza que se encuentra en el centro de computo ¿Cuál es el procedimiento utilizado para realizar la limpieza? Ella responde que al realizar la limpieza, deja la puerta abierta mientras utiliza la aspiradora. El auditor al revisar la planilla de ingreso al centro de cómputo, no evidencia registro de la persona entrevistada, además detalla que la última revisión de los derechos de acceso fue hace dos años. Se revisó el listado de personal autorizado para disponer de llaves y no se encontró al personal de la limpieza y no hay evidencia de la comunicación de la política de seguridad de la información a la agencia de limpieza ZZZ.

9. La organización Josh Bank ha recibido un requerimiento de la entidad que regula el sector bancario el cual indica “todas las transacciones por internet deben usar llave electrónica”. La alta dirección decide esperar los resultados de la gestión de riesgos planeada hasta dentro de cuatro (4) meses para tomar una decisión al respecto de su implementación.

(13)

TALLER 6.

REVISIÓN DE LA DOCUMENTACIÓN-POLÍTICA

OBJETIVO

Aclarar las dudas de los requisitos relacionados con la política de seguridad de la información según ISO 27001.

METODOLOGIA

Revisar la política y determinar si hay cumplimiento con respecto a los requisitos de ISO 27001.

¿Que preguntar incluiría en su lista de verificación para aclarar el cumplimiento, cuando este en la auditoria en sitio?

Realizar este taller en grupo de trabajo designado por el tutor. Deben presentar sus conclusiones al tutor del curso.

TIEMPO

Tiene un tiempo máximo de cincuenta (50) minutos para el desarrollo del Taller. Se destina tiempo para revisión.

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS!

(14)

Organización Xuam Services Inc.

POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN - Doc: SGSI-POL-00 V00 XUAM SERVICES INC. es un Proveedor de servicios de tecnologías de la información y consultoría en soluciones de gestión de conocimiento, comercio electrónico y gestión de hosting. Conscientes de la importancia que la seguridad de la información tiene para el desarrollo de su negocio ha decido implantar un sistema de gestión y suscribe la presente política.

XUAM SERVICES INC. establece, define y revisa unos objetivos dentro de su Sistema de Gestión de Seguridad de la Información (SGSI) encaminados a mejorar su seguridad, entendiéndola como la conservación de la confidencialidad, disponibilidad e integridad de su información así como de los sistemas que la soportan, aumentando la confianza de sus clientes y otras partes interesadas; junto con el cumplimiento de todos los requisitos legales, reglamentarios y contractuales que le sean de aplicación.

El diseño, implantación y mantenimiento del SGSI se apoyará en los resultados de un proceso continuo de análisis y gestión de riesgos del que se derivan las actuaciones a desarrollar en materia de seguridad dentro del alcance de su sistema que es la “Los sistemas de información que soportan los procesos de diseño, desarrollo, comercialización y mantenimiento de sistemas informáticos de gestión empresarial, Venta e instalación de hardware, Gestión de Conocimiento, Hosting y Comercio electrónico; En relación a la declaración de aplicabilidad vigente. En las oficinas localizadas en Miami y Atlanta.

La Dirección de XUAM SERVICES INC. establecerá los criterios de evaluación del riesgo de manera que todos aquellos escenarios que impliquen un nivel de riesgo inaceptable sean tratados adecuadamente. Como parte del SGSI, la Dirección desarrollará, implantará y mantendrá actualizado un Plan de Continuidad de Negocio acorde a las necesidades de la empresa y dimensionado a los riesgos que le afectan.

La Dirección de XUAM SERVICES INC. se compromete a la implantación, mantenimiento y mejora del SGSI dotándolo de aquellos medios y recursos que sean necesarios e instando a todo el personal para que asuma este compromiso. Para ello XUAM SERVICES INC. implantará las medidas requeridas para la formación y concienciación del personal con la seguridad de la información. A su vez, cuando los trabajadores incumplan las políticas de seguridad la Dirección se reserva el derecho de aplicar las medidas disciplinarias acordes al convenio de los trabajadores y dentro del marco legal aplicable, y dimensionadas al impacto que tengan sobre la organización.

La responsabilidad general de la seguridad de la información recaerá sobre el Responsable del SGSI, siendo la responsabilidad última de la Dirección como máximo responsable del SGSI. Todo usuario tendrá la obligación de reportar los incidentes en materia de seguridad utilizando las directrices establecidas por XUAM SERVICES INC.

(15)

Todo lo definido en esta política se concretará y desarrollará en normativas y procedimientos del SGSI, las cuales se integrarán en la medida de lo posible con otros sistemas de gestión de la organización compartiendo aquellos recursos en pro de la optimización y buscando la mejora continua de la eficiencia y eficacia de la gestión de los procesos.

La presente política será de aplicación a todo el personal y recursos que se encuentran dentro del alcance del SGSI, se pone en su conocimiento y es comunicada a todas las partes interesadas.

El Gerente

POLÍTICAS ESPECÍFICA GESTIÓN DE RIESGO

POLÍTICAS ESPECÍFICAS RECURSOS Y DEL USUARIO POLÍTICAS ESPECÍFICAS TÉCNICAS

APROBACIÓN POLÍTICA SEGURIDAD

Ver Procedimiento de revisión de la dirección, sección aprobaciones. CONTROL DE CAMBIOS

HOJA DE TRABAJO INTEGRANTES:

(16)

TALLER 7.

ISO 27001 – PROGRAMA - PLAN DE AUDITORIA

OBJETIVO

Clarificar los conceptos referentes a programa y plan de auditoria.

METODOLOGIA

Determinar las clausulas a incluir en el programa de auditoria y generar el plan de auditoria de acuerdo al caso. Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en los visto en clase y en la Norma ISO 27001. Trabajo en grupo. Recuerde que los formatos suministrados son solamente guías

para el desarrollo del curso. El equipo de trabajo debe sustentar al Tutor los resultados del taller.

TIEMPO

Tiene un tiempo máximo de 30 minutos para el desarrollo del Taller. Se destina tiempo para revisión.

DESARROLLO

Parte A. Programa de auditoria:

Establezca un programa de auditoría para un SGSI de una compañía de transporte de valores, medios magnéticos y documentos que definió su SGSI respecto a los aspectos de Seguridad Física, Procesos de Logística y Tecnología de Información.

(17)

Parte B. Plan de auditoria:

Generar el plan detallado de auditoría, de alguna de los que fueron definidos en el paso anterior puede considerar auditar otras áreas/funciones o procesos que usted considere necesarios en el plan de auditoría correspondiente, para evidenciar conformidad. Para cada subproceso se encuentran seleccionados e implementados todos los controles que le aplican.

Seguridad Física: Se verifican las bitácoras de acceso a la bóveda donde se guardan los documentos de los clientes y las bóvedas del dinero que se transporta a clientes particulares. Toda la seguridad de los sitios considerados muy sensibles para el acceso no autorizado son definidos y establecidos por la alta dirección de la compañía.

Logística: Administra todos los vehículos y las rutas a seguir, las cuales son programadas desde el sistemas de información. Administrado para todo el país desde Bogotá.

Sistemas de Información: Instala y mantiene todos los sistemas de información que soportan el negocio, administra los equipos de comunicaciones tales como routers, switches, VPN, MODEM, firewall y monitoreo del servicio de canales, correo e Internet.

(18)

PLAN DE AUDITORIA

(19)

Continuación PLAN DE AUDITORIA

(20)

TALLER 8.

ISO 27001 – LISTA DE VERIFICACIÓN OBJETIVO

Practicar la generación de preguntas de acuerdo con las clausulas de la norma ISO/IEC 27001.

METODOLOGIA

Para realizar este taller el participante en el curso de auditoria interna deberá soportarse en Norma ISO 27001.

Se divide el curso en grupos y se asigna clausulas a cada grupo.

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. El equipo de trabajo debe sustentar los resultados del taller.

Realizar una lista de chequeo para un proceso seleccionado en el grupo. TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisión.

(21)

DESARROLLO LISTA DE VERIFICACIÓN

Organización: Auditores: Proceso:

No. CLAUSULA PREGUNTA Observaciones Cumple(s/n

Comentarios:

Nombre y Firma Auditor: Nombre y Firma

(22)

TALLER 9

REDACCION DE HALLAZGOS DE INCUMPLIMIENTO OBJETIVO

Generar habilidad en el auditor para detectar no conformidades, mejorar su redacción, clasificación y sustentación.

METODOLOGIA

En cada una de las siguientes situaciones, el participante en el curso de técnicas de auditoria interna debe determinar si hay hallazgo de incumplimiento, clasificar de acuerdo a la cláusula Norma ISO 27001 y realizar la redacción respectiva. Realizar este taller en grupo determinado por el tutor y debe sustentar sus conclusiones en las hojas respectivas.

TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisión.

DESARROLLO

Nota: No Asuma, No Suponga y No Imagine absolutamente NADA. Recuerde ¡LOS HECHOS, SOLO LOS HECHOS

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR

Proceso revisado: Estándar y Número de Elemento: Hallazgos:

(23)

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

(24)

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

Auditor CASOS

La organización “YING SEG INC, construye Sistemas de Control Electrónico según las especificaciones de los diseños de los clientes. Usted forma parte de un equipo de auditoria que revisa el Proceso de Gestión del SGSI (Control de documentos y registros) en este proceso se tiene establecido que los originales de la documentación del sistema operativo, matriz de riesgos, procedimientos operativos y contratos de mantenimiento de los equipos de la empresa deben estar en la sala de control de documentos. También se audita al proceso de Gestión del Talento Humano. Cuando se acerca a la sala de control de documentos, usted observa la puerta abierta, observa a los empleados de producción en la sala de control de documentos buscando unos planos de los diseños del control electrónico del proyecto “Gate Close II” en el archivo de documentos obsoletos. Usted solicita los registros de ingreso y evidencia que los empleados no están en la planilla de ingreso, además revisa los derechos asignados y ninguno tiene registro de asignación de ingreso a la sala de control de documentos, usted pregunta a Roberta sobre el caso y ella indica que son personal de confianza y por lo tanto no deben cumplir con estos requisitos establecidos. Roberta se disculpa por el hecho de que el área parece desordenada, sin embargo explica que estuvo de vacaciones por Navidad y Año Nuevo.

Luego usted pregunta ¿Cómo se controla la documentación del sistema operativo? Roberta lo lleva al archivo que contiene dicha documentación; usted selecciona cinco (5) documentos para revisar, solicita el listado de documentos maestros y observa que los niveles de revisión de los documentos elegidos del archivo contra la lista maestra, todos salvo el Manual Uno tienen la versión correcta, este documento debe ser versión 2. Solicita la aprobación de la nueva versión y no se encuentra disponible, Roberta dice que cree que la versión del documento nuevo está entre los documentos pendientes. Usted solicita a Roberta el procedimiento de control de documentos establecido por la organización, ella confiesa que presto su copia a otra área de la organización, pero hay una copia del procedimiento enmarcada y fijada en la pared, junto a la puerta, para que todos la lean, usted observa que las fotocopias no están controladas. Adicional usted pregunta a Roberta ¿cómo se controla el listado maestro de documentos?; ella responde que este es un registro codificado F-LD-GSGSI-001 versión 2 e invoca una hoja electrónica en su computadora y muestra cómo registra los nuevos documentos que se reciben.

(25)

Al indagar ¿Cómo se controla la entrada al sitio donde se encuentra este computador? Roberta responde que la puerta de la sala siempre está cerrada con llave, cuando ella no está.

Luego solicita explicación de cómo se controlan y distribuyen los cambios de ingeniería, Roberta muestra el archivo maestro de informes de cambios de ingeniería, selecciona seis (6) y observa que dos (2) de ellos no tienen una hoja de firmas que indica que ella distribuyó los cambios y no hay acuse de recibo de quienes resultaron afectados, Roberta explica que falta personal y ha tenido que depender de la secretaria de ingeniería para pasar las copias a los trabajadores de producción y que la secretaria no le devuelve las hojas de acuses de recibo.

Por otra parte usted observa un estante con catálogos de varios distribuidores de electrónica, usted pregunta a Roberta si estos catálogos se encuentran controlados, ella responde que sólo se usan como referencia y nunca los sacan de la sala, dice además que los Ingenieros usan el catálogo de partes computarizado cuando necesitan publicar las especificaciones de las partes y como son tantos (los físicos) y muy poco se utilizan no se han incluido en el SGSI.

Roberta lo lleva al proceso de gestión de talento humano, donde encuentran al Director, Aníbal Ramírez usted se presenta y solicita donde están establecidas las competencias del personal, las funciones y responsabilidades en seguridad en la información, Anibal entrega un archivo. En el archivo evidencia cumplimiento de selección de personal, términos y condiciones de la relación laboral, conformidad con educación y formación en la seguridad en la información. Al solicitar cinco (5) hojas de vida al azar, también verifica el proceso disciplinario de algunos empleados y contratista, es conforme con los requisitos. Por último revisa la devolución de activos y comunicación de la eliminación de derechos del personal que salió de la organización en los últimos ocho (8) meses y encuentra los registros pertinentes, Aníbal explica que a través de una interacción estrecha entre gerentes y empleados han evitado una descripción específica de perfiles de cargos, usted busca en el listado maestro de documentos y no hay existencia de la definición indicada por él. Al indagar con Aníbal sobre los contratos de trabajo de cuatro (4) cargos distintos. Aníbal explica que en estos se encuentran los controles adecuados, usted verifica la información y esta de acuerdo, usted registra esta información en su lista de verificación. Agradece a Roberta y Aníbal; por último regresa a la sala de reuniones privada para redactar el informe de auditoria.

(26)

TALLER 10.

REDACCION DE OBSERVACIONES OBJETIVO

Mejorar las habilidades para utilizar adecuadamente las observaciones u oportunidades de mejora y su redacción respectiva.

METODOLOGIA

En cada una de las situaciones de este taller, el participante debe determinar si hay una oportunidad de mejora u observación con respecto a la Norma ISO 27001 y realizar la redacción respectiva.

Trabajo en grupo. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. Sustentar sus redacciones.

TIEMPO

Tiene un tiempo máximo de 40 minutos para el desarrollo del Taller. Se destina tiempo para revisión.

DESARROLLO

Con los casos del taller anterior, determinar si hay observaciones u oportunidades de mejora.

Casos Adicionales:

Usted como auditor pasa al proceso de gestión de tarjetas donde observa que el encargado Sr. Rafael Núñez, guarda las tarjetas en una caja fuerte y las claves en otra. El software que controla la expedición de tarjetas está temporalmente suspendido debido a que le están incluyendo otras rutinas de validación y control.

Luego, al pasar por el cuarto de servidores observa que la puerta tiene una cantonera que restringe el acceso. Al preguntar al Sr. Carlos Álvarez, Director del área ¿Ha definido controles para el control de acceso físico y lógico?, él responde que si y enseña la reglamentación sobre registros tanto de acceso físico como lógico. Al revisar los registros, observa que sólo encuentran los registros hasta el mes pasado, a lo cual el gerente comenta que mensualmente los registros se están enviando al departamento de archivo para su almacenamiento, dado que la organización estableció un tiempo de retención de 1 año.

(27)

Al preguntar al gerente de servicios de tecnología si existe un procedimiento de continuidad del negocio en caso de desastres o causas mayores, él comenta que se ha establecido un procedimiento y se ha validado el plan de continuidad del negocio. Se cuenta con un servidor idéntico al de producción donde se carga diariamente la información actualizada y se encuentra ubicado en otro sitio diferente al centro de cómputo, con todas las acometidas independientes. Igualmente se encuentra protegido por ups y planta eléctrica.

Se realizó la valoración de los riesgos para los activos críticos y se tiene un plan de pruebas y actualización de cambios. Así mismo existen funciones y responsabilidades definidas en caso de ser necesario utilizarlo. Se solicitó estos documentos y se encontró conformidad en los mismos.

En la revisión del sistema de Backup se encuentra que algunas cintas están almacenas en la oficina de sistemas, ubicadas sobre un mueble.

Estándar

/Elemento Observaciones u Oportunidades de Mejora

ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________

(28)

TALLER 11

ISO 27001 – ANALISIS DE LOS PROCESOS OBJETIVO

Fortalecer el conocimiento de la determinación de no conformidad, observaciones, su clasificación, redacción y sustentación.

METODOLOGIA

La auditoria simulada debe seguir los siguientes pasos: 1. Reunión del equipo auditor (Análisis de Hallazgos).

2. Clasificación de los hallazgos con respecto a una cláusula de la norma. 3. Determinación de observaciones u oportunidades de mejora

4. Solicitud de acciones correctivas.

El siguiente caso se planeo para establecer si el hallazgo es una no conformidad o una observación (oportunidad de mejora) con respecto a la Norma ISO 27001.

Determinar la cláusula de ISO 27001, relacionada con el hallazgo de la posible no conformidad u observación. Si se declara que el hallazgo es una No Conformidad debe ser redactada en el formato “Solicitud de Acción Correctiva (SAC)”. Si se declara que el hallazgo es una Observación debe ser redactada en el formato “Observaciones/Oportunidades de Mejora”.

Taller en grupo y sustentación de resultados en la reunión de cierre formal. Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso.

TIEMPO

Tiene un tiempo máximo de 45 minutos para el desarrollo del Taller. Se destina tiempo para revisión.

(29)

DESARROLLO

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

Auditor

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

(30)

AUDITORIAS DE SGSI SOLICITUD DE ACCIONES CORRECTIVAS MAYOR MENOR Proceso revisado: Estándar y Número de Elemento:

Hallazgos:

Auditor

Estándar

/Elemento Observaciones u Oportunidades de Mejora

ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________ ISO 27001 ELEMENTO ________

(31)

Do Brasil Electronic S.A.

Se dedica al diseño, ensamble y venta de componentes electrónicos de seguridad.

La organización está ubicada a las afueras de la ciudad de Sao Paulo y tiene una sucursal en la ciudad de Río de Janeiro en donde ensamblan alarmas de seguridad para edificios. La Auditoría en sitio es realizada por dos auditores. Para el caso se entrevista al oficial de seguridad y al responsable del SGSI el Ing. Rodiño Paez.

LA AUDITORIA

Se realizó la reunión de apertura en la organización Do Brasil Electronic S.A., en la ciudad de Sao Paulo.

Auditoria Ciudad de Sao Paulo:

Se visita el Proceso de almacenamiento, en el están los componentes electrónicos para ensamble, los productos terminados y lo más importante para la organización los diseños exclusivos y propios de los productos y en algunos casos únicos en Brasil. El auditor esta acompañado por el responsable del SGSI. Se comprueba ubicación de los elementos almacenados, ubicación de extintores, demarcación de zonas, identificación de piezas, registro de ingreso de componentes, registros de salida de equipos terminados, inventario y sistema de información, el auditor registra todo esta de acuerdo con el procedimiento definido SGSI-PR-ALM-001 del proceso de Almacén. Usted observa a 3 personas trabajando en una de las esquinas del almacén, usted se presenta y pregunta a uno de los contratistas: ¿Qué trabajo están realizando? Y le responde “Estamos instalando un nuevo sensor de humedad y temperatura en esta zona”. Usted pregunta a la responsable del Almacén Sra. Roberta Díaz, ¿Tienen las autorizaciones correspondientes para estar en la zona? Roberta informa que por supuesto. Ellos son contratistas de Mantenimientos JKF que están desde hace cuatro (4) meses trabajando todos los días en la organización. Usted solicita la identificación respectiva No. 123789 Alberto Rin, 123790 Jhonatan Ribño y 011156 Luis Ribereido. ¿Cuantas entradas hay en el almacén? Roberta muy atenta responde dos. Una entrada, Puerta No. 1, para el personal que labora en el almacén y contratistas; otra, Puerta No. 2, que sólo se utiliza para ingreso de componentes y entrega de productos terminados. Usted observa la puerta No. 2 y detalla un Camión “Mantenimientos JKF” que está parqueado en el área de cargue de productos y descargue de componentes electrónicos. Usted continúa revisando la zona de almacén y observa en una esquina papel de desperdicio y basura desordenada. Luego se dirige a un cuarto pequeño, pregunta ¿Qué se almacena en ese lugar?, Roberta informa que lógicamente las cintas de backup y algunos equipos de computo dados de baja, es una zona reservada para IT. Usted registra la cinta con la etiqueta 001, 002 y XXX-003. Los siguientes computadores son equipos dados de baja: PC-234, INV-AF-PC-132, INV-AF-PC-133, INV-AF-PC-134, INV-AF-PC-145, INV-AF-IMP-14, INV-AF-UPS-113, INV-AF-UPS-15 y INV-AF-SCAN-56. Usted solicita verificar la información de los discos de los equipos INV-AF-PC-234, INV-AF-PC-132 y INV-AF-PC-145. En el proceso de gestión de seguridad de la información, usted solicita al Ingeniero Rodiño Paez, el procedimiento de auditorias internas. Rodino entrega los registros de auditorias internas.

(32)

Usted revisa los registros entregados y encuentra el programa anual de auditorias, la designación de responsables, los planes de las auditorias programadas, las listas de verificación, verifica que los auditores no auditaran su propio proceso, evidencia que se realizó auditorias a todos los procesos y detalla los reportes de auditorias internas, detalla otros aspectos y escribe en su lista de verificación los hallazgos. En el Proceso IT, se verifica el equipos INV-AF-PC-234 en el inventario y no aparece como activo. También analiza en los equipos registrados dados de baja a INV-AF-PC-132 y no se encuentra. Adicionalmente solicita al Sr. Robert Robles encender el equipo con etiqueta INV-AF-PC-145, Robert informa que este equipo se dio de baja y que no debe tener información; se verifica en los equipos registrados dados de baja se encuentra registrado. Robert enciende el equipo etiquetado INV-AF-PC-145 y con sorpresa aparece el sistema operativo.

Usted verifica el Proceso de administración de servicios tecnológicos tales como el ingreso de personal a la organización, le informan que el personal puede ingresar únicamente por la entrada principal, todos tienen tarjetas de control de acceso personalizado. En el listado de personal autorizado para ingresar en la sección de Almacén se encuentra al Ingeniero Rodiño Paez, Roberta Díaz, los 3 almacenistas, Identifica las credenciales No. 123789, 123790, 011156; las cuales corresponde claramente al permiso del día para el contratista Security JKF.

Se solicita los registros de Backup, usted busca en sus apuntes las anotaciones de las etiqueta encontradas en almacén XXX-001, XXX-002 y XXX-003, busca en la realización de backup y encuentra evidencia de los registros 002 y 003, pero no se encuentra la etiqueta XXX-001. Le informan que esta cinta no se registró porque se utilizó de prueba al momento de instalar el servidor de backup, pero se guarda para estos fines.

Nuevamente el Ingeniero Rodiño Paez, los lleva al proceso de gestión de seguridad de la información, usted solicita las acciones correctivas y preventivas realizadas en el presente año, el gerente del proceso entrega un archivo con esta información, allí encuentra 6 acciones correctivas y 1 acción preventiva, todas cerradas a la fecha. Previamente se había observado en las actas del comité de seguridad una queja repetitiva de varios clientes acerca de que no tenían acceso a su cuenta porque la claves no habían sido desbloqueadas oportunamente, y no estaba registrada como acción correctiva. Al preguntar al responsable acerca de este inconveniente, dijo que la persona encargada de desbloquear las claves era nueva en el puesto y no se encontraba capacitada, y como el comité de seguridad decidió capacitarla no se registró como acción correctiva. En el Proceso Financiero usted valida las aprobaciones dados de baja los equipos por parte del Gerente de IT, todos los equipos tienen las firmas respectivas por parte del Gerente Financiero, persona responsable de la aprobación y asignación de dar de baja de activos de la organización.

Al observar el área de tesorería encuentra que no hay ninguna persona laborando en dicha oficina, usted se acerca a la ventanilla y alcanza a visualizar varias chequeras, dos contratos No. 13456-RIO y 34346-SAO PAULO Confidenciales, además de otros papeles sobre el escritorio. Pregunta al Gerente Financiero sobre este aspecto e informa que la persona solicitó permiso para salir temprano el día de hoy. Usted comenta al Gerente financiero sobre los documentos importantes, él índica que ella es muy buena trabajadora y que siempre paga a tiempo a los contratistas y empleados.

Finalmente termina el proceso de auditoría, muchas gracias al Ingeniero Rodiño Páez, realiza la reunión de auditores internos para definir el respectivo informe.

(33)

TALLER 12

ISO 27001 – Seguimiento y Acción correctiva OBJETIVO

Determinar en el auditor interno la concientización requerida para garantizar la verificación de las no conformidades y cierre eficaz del proceso auditoria interna.

METODOLOGIA

Con el taller de análisis de procesos (registro de no conformidades), seleccionar una (1) no conformidades y determinar las clausulas que usted revisaría para garantizar que el análisis de causa y actividades son eficaces para realizar el cierre de la no conformidad.

Recuerde que los formatos suministrados son solamente guías para el desarrollo del curso. El equipo de trabajo presentara los resultados del Taller al tutor.

TIEMPO

Tiene un tiempo máximo de (25) minutos para el desarrollo del Taller.

DESARROLLO Verificación Clausula Evidencias Eficaz Si No Fecha de cierre: Firma auditor

Figure

Actualización...

Referencias

Actualización...

Related subjects :