Maestría en Ciberseguridad y

Ciberdefensa

Escuela Militar de Ingenieros

Secretaría de la Defensa Nacional

1
 Auditoría de Sistemas
Informáticos

D.C.P.P.C. M.S.I. Ing. Darío Medina

Ramírez

[email protected]

2
 Temario

I. Introducción a la auditoría.
II. Marcos de referencia relacionados con la auditoría en Ciberseguridad y seguridad de la
información.
1er. Parcial
III. Controles de seguridad de la información.
IV. Planeación de la auditoría.
2 do. Parcial.
V. Implementación de la auditoría.
VI. Conclusión de la auditoría.
Evaluación final.

3
 Temario

I. Introducción a la auditoría.
II. Marcos de referencia relacionados con la auditoría en Ciberseguridad y seguridad de la
información.
1er. Parcial
III. Controles de seguridad de la información.
IV. Planeación de la auditoría.
2 do. Parcial.

V. Implementación de la auditoría.
VI. Conclusión de la auditoría.
Evaluación final.

4
 Auditoría de Sistemas
Informáticos

DCPPC MSI Darío Medina Ramírez

[email protected]

5
 Tema V

V. Implementación de la auditoría.

A. Inicio de la auditoría.
B. Revisión de documentos.
C. Preparación de las actividades en sitio.
D. Conducción de las actividades en sitio.
E. Elaboración de informes parciales.
F. Estudio de caso de la implementación de una auditoría.

6
Implementación de la Auditoría

¿Qué hace la implementación de la Auditoría?

Analiza las actividades que comprende el

proceso de implementación de una auditoría
para estar en condiciones de llevar a cabo su
aplicación.

7
 Misión EMI
La Escuela Militar de Ingenieros es un
Plantel de Educación Militar de nivel
superior, con la misión de formar a
hombres y mujeres con sólidos
conocimientos y valores en las diversas
ramas de la ingeniería, para ejercer el
mando con liderazgo en los
organismos correspondientes del
Ejército y Fuerza Aérea Mexicanos, con
la finalidad de satisfacer sus
necesidades y en beneficio del país.
8
 Visión EMI
Consolidarse como una institución
Educativa de vanguardia con liderazgo
y proyección internacional en el
ámbito de la ingeniería militar, así
como con capacidad de adaptación a
las exigencias y evolución constante de
la ciencia y tecnología, con una
arraigada vocación de servicio y
excelencia con apego a su lema “Crisol
de la Ciencia y del Honor”.

9
 Valores EMI

Ética, Profesionalismo, Modestia,

Lealtad, Dedicación y Espíritu De
Superación.

10
Alcance y objetivo

11
 10 pasos para una Auditoría
exitosa

SE DICE DE AQUEL QUE TIENE LA VIRTUD DE OÍR…

12
 10 pasos para una
Auditoría exitosa

PASO 1. DETERMINAR UN PLAN DE AUDITORÍA ANUAL

• PROGRAMADAS
• ALEATORIAS
• INTERNAS
• EXTERNAS

13
 10 pasos para una
Auditoría exitosa

PASO 2. AUDITAR, ¿POR DONDE EMPIEZO?

• MISIÓN Y VISIÓN DEL NEGOCIO

• PROCESOS CRÍTICOS DE NEGOCIO
• TENDENCIAS
• MODA
• INCIDENTES

14
 10 pasos para una
Auditoría exitosa

PASO 3. DETERMINAR CLARAMENTE EL ALCANCE

Y OBJETIVO DE LA AUDITORÍA AL AUDITADO.

• NO JUGAR CON LOS SENTIMIENTOS

• NO PERDER EL HILO CONDUCTOR
• NO HAY ESTATUS DE “BIEN” O “MAL”
• DE AQUÍ SURJE UN NUEVO PLAN DE AUDITORÍA
PASO (1)
15
 10 pasos para una
Auditoría exitosa

PASO 4. DETERMINAR Y FOCALIZAR EL COMPLIANCE

• MARCO REGULATORIO DE CUMPLIMIENTO:

• LEYES
• NORMAS, (ASSURANCE GUIDE)
• MEJORES PRÁCTICAS
• DOCUMENTOS DE REFERENCIA

16
 10 pasos para una
Auditoría exitosa

PASO 5. CONOCIMIENTO Y RECURSOS

• DETERMINAR EL EQUIPO AUDITOR ADECUADO:

• BUEN LÍDER AUDITOR
• EQUIPO PROFESIONAL DE AUDITORES
• INTERNOS Y EXTERNOS
• AUDITORES EN ENTRENAMIENTO
• VERIFICAR CAPACIDADES DEL EQUIPO AUDITOR

17
 10 pasos para una
Auditoría exitosa

PASO 6. AUDITORÍA INTEGRAL

NUNCA PERDER DE VISTA:

• INFRAESTRUCTURA TECNOLÓGICA
• PROCESOS
• GENTE
18
 10 pasos para una
Auditoría exitosa

PASO 7. AUDITANDO AL AUDITOR

• DERIVADO DE LA EJECUCIÓN DE LA AUDITORÍA:

• ACTUALIZACIÓN CONSTANTE
• CAPACITACIÓN
• ESCUCHAR
• OBSERVAR
• ACTUAR
• TRABAJO EN EQUIPO (COMUNICACIÓN ACTIVA)
19
 10 pasos para una
Auditoría exitosa

PASO 8. ¿PORQUÉ AUDITAR?

• EFICIENTES
• EFICACES
• PROACTIVIDAD
• JUSTIFICAR EL GASTO
• POR MOLESTAR

20
 10 pasos para una
Auditoría exitosa

PASO 9. AUDITAR Y SEGUIMIENTO

• STATE OF APPLICABILITY (SOA)

• IMPULSAR EL CRECIMIENTO ORGANIZACIONAL
• OBTENER NIVEL DE MADUREZ
• SER EN REALIDAD EL ÚLTIMO ESLABÓN DE LA MEJORA CONTINUA

21
10 pasos para una
Auditoría exitosa

PASO 10. PIENSA MAL Y ACERTARÁS…

22
 10 pasos para una
Auditoría exitosa
• Mejorar la relación costo-beneficio

• Incrementar la satisfacción de los usuarios (internos y

externos de los sistemas

CONCLUSIÓN: QUE OBTENEMOS

• Conocer la situación actual (SOA)

• Seguridad en Infraestructura Tecnológica, procesos y gente

• Focalizar los esfuerzos para lograr la EFICIENCIA y EFICACIA de

los sistemas de información

• Apoyar la visión y misión de la Organización 23

 Control de Auditoría de SI
El elemento principal que
determinan el resultado de la
auditoría

CONTROLES

24
A.1 Matriz de controles y valores de atributos

25
A.1 Matriz de controles y valores de atributos

26
A.1 Matriz de controles y valores de atributos

27
A.1 Matriz de controles y valores de atributos

28
A.1 Matriz de controles y valores de atributos

29
A.1 Matriz de controles y valores de atributos

30
A.1 Matriz de controles y valores de atributos

31
A.1 Matriz de controles y valores de atributos

32
A.1 Matriz de controles y valores de atributos

33
A.1 Matriz de controles y valores de atributos

34
A.1 Matriz de controles y valores de atributos

35
A.1 Matriz de controles y valores de atributos

36
A.1 Matriz de controles y valores de atributos

37
A.1 Matriz de controles y valores de atributos

38
A.1 Matriz de controles y valores de atributos

39
A.1 Matriz de controles y valores de atributos

40
AUDITORÍA DE SISTEMAS DE
GESTIÓN

41
 GENERALIDADES

• Los sistemas de gestión son componentes importantes a auditar para

la consecución de la misión y visión de negocio

• La norma que identifica la Auditoría a sistemas de Gestión ISO 19011

• La norma para auditar SGSI es la norma ISO 27007

• Ambas normas se complementan

• ISO 19011 establece los principios generales
• ISO 27007 hace foco en el proceso de Auditoría de un SGSI

42
 Principios de Auditoría

• Los principios se determinan en la ISO 19011

• La comprensión y seguimiento de estos principios aseguran

que las conclusiones de la auditoría sean relevantes y
suficientes

• Permite que los auditores que, trabajando

independientemente, alcances conclusiones parecidas en
circunstancias similares

43
 Principios de Auditoría

INTEGRIDAD. Se refiere a la profesionalidad, los auditores deben:

• Desempeñar su trabajo con honestidad, diligencia y responsabilidad

• Observar y cumplir todos los requisitos legales aplicables
• Demostrar su competencia al desempeñar el trabajo
• Ser imparcial, permanecer ecuánime y sin sesgo a todas sus acciones
• Ser sensible a cualquier influencia que se pueda ejercer sobre su
juicio mientras lleva a cabo la auditoría

44
 Principios de Auditoría

PRESENTACIÓN IMPARCIAL. Se refiere a la obligación de informar con

veracidad y exactitud

• Los hallazgos y conclusiones e informes de auditoría

• Se debe informar de los obstáculos significativos encontrados y de las

opiniones divergentes sin resolver entre auditor y auditado

• Información veraz, exacta, objetiva, oportuna, clara y completa

45
 Principios de Auditoría

CUIDADO PROFESIONAL. Se refiere a la aplicación de diligencia y juicio

al auditar

• Cuidado de acuerdo con la importancia de la tarea que desempeñan

y la confianza puesta en ellos por el cliente de auditoría y por otras
partes interesadas

• Tener la capacidad de hacer juicios razonados en todas las

situaciones de la auditoría

46
 Principios de Auditoría

CONFIDENCIALIDAD. Se refiere a la Seguridad de la Información

• Discreción en el uso y la protección de la información adquirida en el

trascender de la Auditoría

• No usan por intereses propios o ajenos la información adquirida

durante la auditoría

• Tratamiento especial de la información sensible o confidencial de la

Organización auditada

47
 Principios de Auditoría

INDEPENDENCIA. Se refiere a la imparcialidad de la auditoría y la

objetividad de las conclusiones de la auditoría

• La auditoría es independiente de la actividad que se audita siempre

que sea posible, y en todos los casos deben actuar de forma que
todas sus acciones estén libres de sesgo y no supongan ningún
conflicto de intereses
• Para las auditorías internas, los auditores deben ser independientes
de los responsables operativos del proceso que se audita
• Los auditores deben mantener la objetividad a lo largo del proceso
de auditoría para asegurar que los hallazgos y conclusiones de la
auditoría estarán basados sólo en la evidencia de la auditoría

48
 Principios de Auditoría

ENFOQUE BASADO EN LA EVIDENCIA. Se refiere al método racional

utilizado en un proceso de auditoría sistemático que permita alcanzar
conclusiones de auditoría fiables y reproducibles

• Al llevarse a cabo la auditoría durante un periodo delimitado y con

recursos finitos, la obtención de evidencia se suele realizar
habitualmente sobre la muestra de la información disponible

• El uso de las técnicas de muestreo debe ser apropiado, ya que su

selección y aplicación está estrechamente relacionado con la
confianza que puede depositarse en las conclusiones de la auditoría

49
 Evidencia de Auditoría
•Tipos de Información (Cualitativa y Cuantitativa).
•Impresa o escrita en cualquier lugar.
•Fuente: impresoras, basura, hojas recicladas, servilletas, mano,
pizarrones, piernas, tatuajes.
•Almacenada electrónicamente.
•Fuente: BD, correo interno-externo, DD, USB, Código fuente.
•Transmitida por correo y medios electrónicos.
•Fuente: en tránsito.
•Verbal. En conversaciones formales-informales.
•Fuente: personal de la organización.

Máxima. Cualquiera de sus formas que se tenga, o medio que se

comparta o almacene, siempre deben estar adecuadamente
protegidos.

50
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

51
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

52
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)

2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.

3. (Stage 1)

•Recopilación de información.
•Análisis de información.

4. (Stage 2)

•Validación de la información Vs la Evidencia.

•Revisiones de escritorio 6 semanas máximo a considerar (BSI).

5. Evaluación inicial.

6. Confronta de no conformidades y aclaraciones.

•Análisis de información
•Validación de la información Vs la Evidencia.

7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2. 53
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

54
 1. Alcance de la evaluación
(Auditoría)
•Es la precisión con que se define el entorno y
los límites en que se va a desarrollar la misma
y se complementa con los objetivos
establecidos para la revisión.

•Se define en forma clara en el informe final,

detallando no solo los temas examinados, si
no indicando también los que se omitieron.

55
 Auditoría en SI

•Alcance de una Auditoría.

•Localidades,
•Los productos,
•Los servicios,
•Los procesos,
•Los contratos (si es aplicable),
•El personal involucrado,
•Los requisitos legales y regulatorios,
•Exclusiones.
56
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

57
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

58
 Programa de Auditoría
•Reunión de inicio de la Auditoría.

•Grupo 1. Equipo Auditor

•Auditor Líder.
•Equipo de Auditoría, (1 persona).
•Grupo 2. Alta Gerencia.
•Grupo 3. Dueño del proceso. Suficientemente autocrítico ya que ellos vieron el
problema y solicitaron a la alta gerencia dicha Auditoría interna.
•Grupo 4. Equipo de Ciberseguridad y/o Seguridad de la Información (SGSI)
•Grupo 5. Área de finanzas.
•Grupo 6. Legal.

• Como punto importante, las áreas críticas deberán estar

en la junta de inicio de la Auditoría.

59
 2. Programa de auditoría
Check list – Listas de verificación.

Propósitos:

• Proporcionar una lista planificada de los puntos que se van a

evaluar,
• Proporcionar un medio para registrar y recopilar la evidencia
objetiva de la Auditoría,
• Permitir cotejar notas durante la Auditoría,
• Ayudar a guiar el desarrollo de la Auditoría,
• Ayudar a controlar el ritmo de la Auditoría,
• Ayudar a elaborar las NC, preparar el informe de la Auditoría.

60
 Auditoría en SI
Check list – Listas de verificación.

Beneficios:

• Mantiene claros los objetivos de la Auditoría,

• Ayuda a obtener la evidencia de la Auditoría,
• Mantiene el hilo conductor de la Auditoría,
• Elimina las tendencias del auditor,
• Reduce las cargas de trabajo durante la
Auditoría,

61
 Auditoría en SI
Check list – Listas de verificación.

Inconvenientes:

• Tienden a perder valor si…

• Son motonas,
• Son tendenciosas,
• Si usas la misma para todas las Auditorías (eso
solo tú lo sabes).

62
 Auditoría de SI
Check list – Listas de verificación.

¿Con qué? ¿Con qué?

Recursos Personal

Entradas Salidas ¿Cuáles son los

Desde
Proceso Para resultados?
Que Añadir actividades de Que Rendimiento
Donde valor específico Donde Indicadores

¿Con qué
estándares, leyes,
¿Cómo hacer? normas?
Métodos/Documentación 63
 Auditoría de SI
Check list – Listas de verificación.

Preparación:

• Su enfoque consiste en …
• Identificar el alcance de la Auditoría y los procesos
relacionados,
• Utilizar el proceso tortuga,
• Identificar los factores que aplican (entradas, salidas,
etc.)
• Usar estos puntos y otros requerimientos (legales,
contractuales, etc.) para,
• Plan de lo que debe buscar en…
• Plan de lo que debe buscar para (evidencia

64
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

65
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

66
 3. Stage 1 obtención de la evidencia

Elaboración de Check list – Listas de verificación.

Transformar el texto con requisito en pregunta:

• A.10.1.1 Procedimientos de operación documentados.

Se deben documentar y mantener los procedimientos
de operación, y se deben poner a disposición de todos
los usuarios que los necesiten.
• Pregunta: ¿De qué manera documenta y mantiene los
procedimientos de operación y de qué manera los pone
a disposición de los usuarios?

67
 Auditoría de SI

Elaboración de Check list – Listas de

verificación.
Estructura:
PROCESO AUDITADO:

Requerimientos Fuente Evidencia Notas

ISO 27001 Lo que debe buscar en Lo que debe buscar para Notas
Clausula # u otro
requerimiento

68
 Obtención de información
Para obtener información

• Presentarse en el área,
• Presentar credenciales,
• Explicar que es lo que vamos a observar,
• Investigar previamente sobre lo que
pretendemos observar,
• No encontramos problemas, seguimos;
• El no tener problemas no significa parar la
auditoría.
69
 Obtención de información
Para conducir la auditoría… cont.

• El check list es un apoyo, no una regla a seguir;

• Si existen rastros de una no conformidad
potencial, decidir:
• Mostrar indiferencia,
• Tomar nota para verificarlo después,
• Seguir adelante inmediatamente.

70
 Obtención de información
Tipos de Preguntas

•ABIERTAS:
•¿Como se asegura la organización de identificar los
requisitos necesarios para su SGSI?.
•CERRADAS:
•¿Cuenta con un procedimiento documentado de Auditoría
interna?.
•INDUCTIVAS:
•Verdad que tiene una política de seguridad
documentada y a la vista de cualquier miembro de la
organización.

71
 Obtención de información
Las 7 amigas del Auditor

•¿Cómo?(H)
•¿Cuándo? (W)
•¿Qué? (W)
•¿Dónde? (W)
•¿Quién? (W)
•¿Porqué? (W)
•¿Me podría mostrar?
72
 Obtención de información

Después de una respuesta… analizar,

resumir y cuestionar para confirmar…
importante NO OBVIAR¡¡¡

•“Esto quiere decir que ustedes…”

•Entonces, ¿Me podría explicar qué pasaría
si…?
73
 Obtención de información
Entrevista de la auditoría

• Asegurarse que la persona indicada esté disponible,

• Usar el lenguaje apropiado para las personas,
• Explicar el método para la toma de notas,
• Usar técnicas de entrevista,
• Escuchar y tratar de no interrumpir al auditado,
• Darle retroalimentación al auditado y respetar los
tiempos,
• Ser diplomático todo el tiempo,
• Una vez terminada la entrevista dar el resumen.

74
 Obtención de información
Tomar notas

Tomar evidencia objetiva

•Declaraciones admisibles,
•Número de documentos de la revisión de los issues
encontrados,
•Identificadores
•Departamentos
•Títulos y roles de los auditados (nombre solo si es
necesario o solicitado).

75
 Obtención de información
Tomar notas… cont.

•Las notas deberán ser usadas como referencia para:

•Investigación inmediata,
•Investigación posterior,
•Uso de un colega,
•auditorías subsecuentes.
•Las notas deben de ser:
•Legibles,
•Recuperables.

76
 Obtención de información

Estableciendo los hechos

•Establecer las no-conformidades,

•Obtener el acuerdo o aceptación del auditado,
•Verificar los hallazgos,
•Establecer los acuerdos de hechos,
•Obtener el acuerdo.

77
 Obtención de información

Mantener informado al auditado

Para la auditoría se debe ser constructivo, útil

y profesional;
•Revisar el progreso de la auditoría y los
resultados regularmente,
•Evitar rumores y comentarios de pasillos,

78
 Obtención de información
Reacciones del auditado

•Ayuda a la extracción de información,

•Cambios continuos,
•Información voluntaria,
•Información no-voluntaria,
•Tácticas de distracción o pérdida de tiempo,
•Detalla conflictos internos,
•Autoritario,
•Antagónico,

Máxima. El auditado siempre da beneficio de la duda, el auditor

deberá dar certeza de lo auditado.
79
 Obtención de información
Junta de revisión

Las juntas de revisión pueden ser diarias,

normalmente son de 15 a 20 min de duración, se
lleva a cabo al final de cada día de la auditoría con
el representante de seguridad o guía para:
•Revisar las no-conformidades,
•Resolver cualquier problema,
•Reportar el avance de la auditoría,
•Aclarar cualquier malentendido.
80
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

81
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

82
 La evidencia escrita presenta la
ventaja de poder ser revisada,
debido a que el soporte se
mantiene estable a lo largo del
tiempo, circunstancia ausente en
la visual y oral,

La evidencia visual requiere una

EVIDENCIA toma de contacto directa por
parte del Auditor,

Mientras que en la escrita el

auditor no toma contacto directo
con la partida o la transacción a
auditar, sino que conoce la
realidad a través de la versión
escrita de un tercero

83
 Obtener evidencia preguntando al personal
de la empresa o a otro ajeno a la misma
que tenga los conocimientos necesarios
para resolver determinadas circunstancias,

Las respuestas por escrito son más fiables

que las verbales, ya que exigen una mayor
reflexión al interlocutor,

EVIDENCIA
Las preguntas dirigidas al personal sobre
aspectos que no afectan a sus
competencias, pero que conocen por su
función, pueden suministrar datos
relevantes al detectar circunstancias que
requieren investigación más intensiva
para obtener evidencia.

84
 Las preguntas en la Auditoría (usando las amigas)
difícilmente ofrecen evidencia suficiente.
Normalmente, son útiles para detectar posibles
áreas con un riesgo inherente más pronunciado y
requieren el despliegue de un esfuerzo de auditoría
más intenso,

Las preguntas se suelen emplear

EVIDENCIA para complementar otras pruebas,

Las preguntas se efectúan a lo largo de

todo el trabajo de auditoría, aunque
son especialmente útiles al valorar el
riesgo inherente y de control y de
tomar evidencia y, por lo tanto, para
ejecutar efectivamente el trabajo de
auditoría.

85
 Evidencia suficiente y adecuada en
relación al objetivo de la auditoría

EVIDENCIA

Aquel nivel de evidencia que el

auditor debe obtener a través de sus
pruebas de auditoría para llegar a
conclusiones razonables y objetivas

86
 • Cantidad suficiente de evidencia se ve afectado por
diferentes factores:
• Los errores que existan en el procedimiento
desde su origen sin que el Auditor lo detecte,
• La importancia relativa de la muestra analizada
EVIDENCIA en relación al conjunto de información general,
• La experiencia adquirida en Auditorías
precedentes en la misma organización,
• Los resultados obtenidos de los procedimientos
de Auditoría,
• Calidad de la información otorgada por la
organización,
• Confianza que le merezca la dirección a la
organización y sus empleados
• El compromiso de la organización ante la
Auditoría

87
EVIDENCIA
• Conclusiones:

• Evaluar correctamente el coste que supone la obtención de un mayor nivel de

evidencia que el que está obteniendo o espera obtener, y la utilidad final
probable de los resultados que obtendría,

• Ello, no obstante, independientemente de las circunstancias específicas de cada

Auditoría, el auditor debe obtener siempre el nivel de evidencia necesario que
le permita formar su juicio profesional y objetivo sobre una NO CONFORMIDAD,

• La falta del suficiente nivel de evidencia sobre un hecho de relevante

importancia en el contexto de los datos que se auditan, obliga al auditor a
expresar las salvedades que correspondan o, en su caso, a denegar su opinión.

88
 • Componente trascendental en la auditoría, donde
el auditor objetivamente y con base a la solicitud de
evidencia, determina el cumplimiento o no
cumplimiento, de la efectividad y eficacia del control
NO de seguridad, en el ciclo de vida de la información,
CONFORMIDADES en cuanto a su generación, procesamiento,
resguardo y destrucción de información

89
 No-Conformidad MENOR
NO
CONFORMIDADES • Incumplimiento de un requerimiento.

• Lapso único identificado, que no plantea

en sí mismo una duda importante en
cuanto a la capacidad del SGSI, la política
de seguridad y los objetivos de la
organización.

90
 No-Conformidad menor

• Una condición adversa de los

requerimientos de la ISO 27001:2022, un
No incumplimiento de un requerimiento
Conformidades específico.

• Relación directa con la política de

Seguridad de la Información,
• En contra de la norma de gestión de
seguridad de la información,
• En contra de los procedimientos del
sistema o instrucciones de trabajo,
• En contra de los requerimientos legales.

91
No Conformidades

• Ejemplo de No-Conformidad menor

• Observar el no cumplimiento de la política de escritorio limpio,

• Los visitantes no firmaron el registro de ingreso a la
organización,
• Falta de la aprobación formal de acceso a internet,
• Respaldos y registros incompletos en un día,
• Información sin clasificación y propietario identificado.

92
No Conformidades
No-Conformidad MAYOR

• La usencia de, o repetidas o consistentes fallas en la

implementación o mantenimiento de uno o más requerimientos
de los elementos de la administración del sistema.
• Ó
• Una situación que sobre la base de pruebas objetivas, plantea
serias dudas sobre la capacidad del SGSI la política de seguridad
y los objetivos de la organización.

93
No Conformidades

No-Conformidad mayor

• Colapso total del sistema, del control o del procedimiento,

• Ausencia de un requerimiento importante del estándar de seguridad,
• Procedimientos no documentados en un elemento mayor del
sistema,
• Un gran numero de issues relacionados con elementos del estándar o
del área,
• Cambios que se suelen hacer en el SGSI, sin autorización.

94
No Conformidades

• Ejemplo de No-Conformidad mayor

• No existe una política de seguridad,

• No existe una administración de incidentes de seguridad,
• Ausencia del BCP,
• No hay un sistema de administración de licencias de software,
• No existe un control de versionamiento de documentos y
registros para generar estampas de tiempo.

95
ESCRIBIR REPORTES DE
NO CONFORMIDAD

• Escribir Issues/No conformidades

• Escribir de acuerdo a la terminología del auditado,

• Que sea recuperable,
• Que sea útil.

96
 Escribir reportes de no
conformidad
Ejemplo de cómo escribir un buen
reporte de No-conformidad

El procedimiento de registro de usuario

UR1-19/07/08 establece que los registros Requerimiento
de usuarios son revisados ​por estatus y su
validez es de 3 meses.
No hay pruebas disponibles para
demostrar que el registro de Anne
Evidencia
Brown, ha sido revisado durante el
período de 18 meses desde la
configuración inicial.
Referencia
ISO 27001:2022 Control A.5.2
97
 • Ejemplo de No-conformidad,
Escribir buena/mala?
reportes de
no • No todos los activos de información se
conformidad han incluido en el registro de activos, por
ejemplo el registro manual de llaves
criptográficas, registros de cuentas de la
aplicación (que tuvo lugar fuera de
procedimiento).
No está claro que se ha asignado la
responsabilidad de la gestión de estos
activos.
• ISO 27001:2022

98
 • Ejemplo de No-conformidad,
buena/mala?
Escribir
reportes de • Access to the data center was not
no controlled. Unauthorized personnel were
conformidad able to access the machine and network
operations room. The intruder alarm
system for the data center was found to be
ineffective. Documented procedures
detailing actions to be taken by the data
center staff upon discovering an intruder
were not available.

• ISO 27001:2022

99
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

100
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

101
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría (evaluación inicial)
Seguimiento de las
observaciones
Cierre de Auditoría

102
 5. Evaluación inicial
•Preparar el informe inicial para presentar a las partes interesadas…

•Grupo 1. Equipo Auditor:

•Auditor Líder.
•Equipo de Auditoría, (1 persona).
•Grupo 2. Alta Gerencia.
•Grupo 3. Dueño del proceso. Suficientemente autocrítico ya
que ellos vieron el problema y solicitaron a la alta gerencia
dicha Auditoría interna.
•Grupo 4. Equipo de Ciberseguridad y/o Seguridad de la
Información (SGSI)
•Grupo 5. Área de finanzas.
•Grupo 6. Legal.

103
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones
Cierre de Auditoría

104
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

105
 6. Confronta de no conformidades
•Se realiza una junta de presentación de resultado preliminar de
auditoría,
•Se determinan los documentos faltantes para preparar el informe
final de auditoría,
•Se determina los plazos de la entrega de documentos faltantes,
•De determina el plazo de la entrega del informe final,
•Se determina el plazo de la reunión de cierre,
•Se plasman en un documento los acuerdos derivados de la junta de
presentación preliminar,
•Al interior del equipo auditor:
•Análisis de información
•Validación de la información Vs la Evidencia.

106
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría (evaluación final)
Seguimiento de las
observaciones
Cierre de Auditoría

107
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

108
 7. Evaluación final

•Al interior del equipo auditor:

•Se realiza el informe final de auditoría,
•Se consensa las no conformidades conforme a la
evidencia,
•Se ven las desviaciones encontradas
•Se emiten observaciones en el informe final
•Se determina el estado de aplicabilidad o cumplimiento
de la norma,
•Con el ente auditado:
•Se realiza la reunión de cierre,
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

109
 7. Evaluación final

Cierre de no conformidades:
•Existen muchos métodos y herramientas para determinar la causa
de una no conformidad:
•Lluvia de ideas,
•Herramientas sistemáticas:
•Análisis de la causa raíz, diagramas de pescado, los cinco
porque, etc. El auditor debe conocer el uso de estás.
•La extensión y eficacia de la acción correctiva depende de la
identificación de la verdadera causa raíz,
•Esto permite identificar y minimizar no conformidades similares
en otras áreas de la organización,
•Al revisar la respuesta de una no conformidad el auditor debe
confirmar la documentación por parte de la organización y que
sea objetiva:
•Corrección, causa y acción correctiva.
110
 7. Evaluación final

•Cierre de no conformidades:

•Máxima 1. La acción correctiva eficaz debe prevenir que

la no conformidad vuelva a ocurrir eliminando la causa.
Sin embargo, la acción correctiva no debe confundirse con
la acción preventiva.

•Máxima 2. Asegurando que una organización ha cubierto

satisfactoriamente la corrección, causa y acción correctiva,
un auditor agregará valor a la organización al incrementar
la posibilidad de que la organización logre la satisfacción
de los clientes.

111
 7. Evaluación final

Formato del informe:

•Debe ser dirigido al cliente de la misma o dependiendo de la
estructura de la organización, NO EXISTE UN FORMATO UNIVERSAL,
•Pero… se recomienda que sea conciso y contenga los siguientes
elementos:
•Introducción,
•Resumen,
•Listado de no conformidades,
•Dictamen,
•Solicitudes de acción correctiva.
•El organismo auditor no prepara un documento extenso de
referencias, pero debe tener el suficiente detalle para que las
conclusiones puedan ser validas contra los hechos observados.
112
 7. Evaluación final

Formato del informe:

•Deberá contener lo siguiente:
•Organización o departamento auditado,
•Objetivo y alcance,
•Fechas y duración de la Auditoría,
•Relación de personal entrevistado,
•Norma de referencia,
•Número total de no conformidades,
•Descripción de las no conformidades y donde fueron halladas,
•Áreas y funciones dónde no fueron encontradas desviaciones,
•Dictamen de eficacia o calificación del sistema,
•Recomendaciones (si son solicitadas por el cliente),
•Nombre y firma del auditor líder,
•Instrucciones de clasificación y distribución.

113
 Junta de Cierre/Clausura
•Junta del equipo de Auditoría
•Para preparar la junta de cierre,
•Solo el equipo de Auditoría debe estar presente,
•Bajo las órdenes del auditor líder,
•Se confirma que se cumplió por completo el plan de Auditoría,
•Verifican el reporte de todas las no conformidades de todas las
áreas,
•Informa de cualquier issues o inquietud y cuestiones de
aprendizaje o cuestiones positivas,
•Confirma las recomendaciones,
•Preparan el reporte final.

114
 Junta de Cierre/Clausura
•Conclusiones de la Auditoría
Extraer conclusiones (positivas o negativas) y preparar el reporte de la Auditoría basado en:
•Auditoría en general,
•Observaciones,
•No conformidades,
•Documentación del sistema,
•Implantación del sistema,
•Efectividad del sistema,
•Las entrevistas,
•Lo que escuchamos,
•Fortalezas y debilidades de los departamentos,
•Fortalezas y debilidades de los elementos del sistema,
•Infraestructura tecnológica
•Recursos humanos
•Fortalezas y debilidades de los procesos relacionados al proceso principal.

115
 Junta de Cierre/Clausura

•Recomendaciones de la Auditoría
•No Registrar recomendaciones:
•Cuando no se observaron áreas de no conformidad
•Sujetas a la recepción de un plan de acción correctiva Alto criterio
aceptable
•Registrar recomendaciones.
•Re-Auditoría parcial, donde encontramos no
conformidades en un área en particular con un plan de Certificable
acción aceptable para solventar las no conformidades.
•Re-Auditoría completa, no conformidades mayores
encontradas en más de un área del SGSI, el equipo de NO Certificable
Auditoría regresará a completar la re-Auditoría

116
 Junta de Cierre/Clausura
•Reporte de la Auditoría
•Referencia de la Auditoría,
•Detalles de la Auditoría,
•Objetivo, alcance, criterios;
•Nombres de los auditores,
•Nombres de los principales auditados,
•Programa de Auditoría,
•Reporte de no conformidades,
•Recomendaciones,
•Mejoras,
•A quién va dirigido el reporte,
•Aseguramiento de la confidencialidad del reporte (clasificando el
documento),

117
 Junta de Cierre/Clausura
•Junta de cierre
El líder del equipo prepara y controla la agenda de trabajo de la junta de cierre,
•Asistentes,
•Agradecimientos,
•Objetivo y alcance,
•Sistema auditado,
•No conformidades
•Mayores
•Menores
•Oportunidades de mejora
•Limitantes,
•Confidencialidad entre el auditor y la organización,
•Resumen del reporte de Auditoría,
•Si están de acuerdo las partes,
•Recomendaciones,
•Resolver dudas,
•Salir.

118
 Proceso de Auditoría
1. Definición del alcance.
•Investigar el objeto de auditoría. (antes de pisar la organización)
•Visita preliminar (opcional). (En campo)
2. Programa de auditoría.
•Generar cuestionario a aplicar (Tropicalización).
•Junta de apertura
•Determinar detalles importantes de la auditoría.
3. (Stage 1)
•Recopilación de información.
•Análisis de información.

4. (Stage 2)
•Validación de la información Vs la Evidencia.
•Revisiones de escritorio 6 semanas máximo a considerar (BSI).
5. Evaluación inicial.
6. Confronta de no conformidades y aclaraciones.
•Análisis de información
•Validación de la información Vs la Evidencia.
7. Evaluación final.
•Se emiten las No conformidades,
•Observaciones si se ha requerido las recomendaciones.
•(reporte y cierre)

•Continuación de evaluaciones (6 meses). (Seguimiento de observaciones)

•De 1-3 años se realiza stage 1 y el total Stage 2 se realiza cuando se va a certificar.
•Stage 1 independiente del Stage 2.

119
 Etapas de un proceso de
Auditoría
Definición
Programa de Auditoría
del alcance

Recopilación de
Información
Stage 1

Análisis de la Información

Confronta de no
Validación de la
conformidades y Stage 2
información Vs Evidencia
aclaraciones
Informe de resultados de la
Auditoría
Seguimiento de las
observaciones

120
 Tema VI

VI. Conclusión de la auditoría.

A. Preparación del informe final.

B. Finalización y entrega del informe final.
C. Cierre de la auditoría.
D. Lecciones aprendidas.

121
Implementación de la Auditoría

¿Qué se hace en la conclusión de la Auditoría?

Analiza las diferentes actividades

que se realizan durante la
conclusión y cierre de una auditoría
para llevar a cabo su aplicación.

122
 Misión EMI
La Escuela Militar de Ingenieros es un
Plantel de Educación Militar de nivel
superior, con la misión de formar a
hombres y mujeres con sólidos
conocimientos y valores en las diversas
ramas de la ingeniería, para ejercer el
mando con liderazgo en los
organismos correspondientes del
Ejército y Fuerza Aérea Mexicanos, con
la finalidad de satisfacer sus
necesidades y en beneficio del país.
123
 Visión EMI
Consolidarse como una institución
Educativa de vanguardia con liderazgo
y proyección internacional en el
ámbito de la ingeniería militar, así
como con capacidad de adaptación a
las exigencias y evolución constante de
la ciencia y tecnología, con una
arraigada vocación de servicio y
excelencia con apego a su lema “Crisol
de la Ciencia y del Honor”.

124
 Valores EMI

Ética, Profesionalismo, Modestia,

Lealtad, Dedicación y Espíritu De
Superación.

125
 Junta de Cierre/Clausura
•Antes de realizar la junta de cierre hay que
verificar que hallamos cubierto las generalidades
de la Auditoría:
•Ámbito. También definido como el alcance, los límites de la
auditoría que van a auditarse:
•Elementos técnicos, mecánicos.
•Procesos
•Servicios y/o productos
•Actividades sustantivas
La definición del ámbito de auditoría permite además hacer uso
más eficiente de los recursos que van a utilizarse durante la
auditoría, incluyendo el tiempo que debe estar disponible las
personas indicadas para la auditoría
126
 Junta de Cierre/Clausura
•Antes de realizar la junta de cierre hay que
verificar que hallamos cubierto las generalidades
de la Auditoría:
•Proceso revisión. Proceso mediante el cual el equipo auditor
obtiene evidencias del cumplimiento o incumplimiento de la norma
auditada
•Proyecto. Es un proceso único consistente en un conjunto de
actividades coordinadas y controladas con fechas de inicio y
finalización, llevadas a cabo para conseguir un objetivo conforme a
requisitos determinados
•Cumplimiento. Se refiere a la conformidad de los requisitos de la
norma auditada

127
 Junta de Cierre/Clausura

•Antes de realizar la junta de cierre hay que

verificar que hallamos cubierto las
generalidades de la Auditoría:
•Objetivos del negocio (misión y visión). Objetivos
estratégicos
•Opinión. Juicio del auditor basado en las evidencias
obtenidas y analizadas
•Informe de Auditoría. Producto final del proyecto de
auditoría, es la herramienta utilizada por el auditor para
informar de sus hallazgos, conclusiones y si fuera el caso
recomendaciones
128
 Cierre de clase

•Preparados y listos para lo que sigue,

•Permanecer autocríticos,
•Buscar la mejora continua,
•Generar un plan de auditoría,
•Establecer las bases de auditorías de
Ciberseguridad en la SEDENA.

129
 Maestría en Ciberseguridad y
Ciberdefensa

Escuela Militar de Ingenieros

Secretaría de la Defensa Nacional

130