ISO 27001 EN 10 PASOS

 

Las organizaciones que se preparan para afrontar la auditoría de certificación pueden caer en el error de pasar por alto la auditoría interna ISO 27001. Este tipo de evaluación aporta dos valores importantes: preparación para la auditoría de certificación y cumplimiento de los requisitos de la norma ISO 27001.

¿Cómo realizar una auditoría interna ISO 27001 en 10 pasos?

La auditoría interna ISO 27001 sigue los requisitos contenidos en el estándar ISO 19011, norma que aporta directrices para la evaluación de Sistemas de Gestión basados en estándares ISO.

Así es que los pasos son comunes a los que se siguen para auditar otros Sistemas de Gestión que utilizan la estructura de Alto Nivel. Una particularidad, en el caso de ISO 27001, es la revisión de los controles del Anexo A. Con esta salvedad hecha, los pasos a seguir son:

1. Seleccionar el auditor y su equipo

Las organizaciones tienen dos opciones para contar con un auditor interno cualificado o con un equipo de auditores, dependiendo del tamaño y la complejidad de la tarea. La primera opción es formar auditores expertos en el estándar, en Seguridad de la Información y en técnicas de auditoría.

La segunda, es contratar consultores externos que realicen la auditoría interna ISO 27001. La primera opción facilita la disponibilidad de los auditores y la transmisión del conocimiento. Las organizaciones que optan por este camino necesitan elegir los programas de formación adecuados, que aporten las competencias, los conocimientos y las habilidades que requiere un auditor profesional.

Es importante verificar la calidad de los programas de formación y la capacidad tecnológica y pedagógica de la institución que los imparte, así como la validez y el reconocimiento de los certificados que entregan a los alumnos.

2. Programar las auditorías

El número de auditorías mejora las oportunidades de superar la auditoría de certificación. Sin embargo, estas auditorías deben responder a un programa planificado que considere el tiempo disponible antes de la auditoría de terceros, el alcance del sistema y el contexto de la organización.

Es importante programar auditorías con intervalos de tiempo suficiente para analizar los problemas encontrados y diseñar acciones correctivas e implementarlas, antes de la siguiente evaluación.

El alcance del Sistema incide en la elaboración del plan de auditorías. Si el Sistema no tiene alcance sobre las sucursales, por ejemplo, es apenas natural que no se programen auditorías en esos lugares. El contexto, o el nivel de regulación al que está sometida la organización, también se considera al momento de elaborar el programa de auditorías. Toda la tarea requiere documentación.

3. Cronograma y plan de auditoría

Cada auditoría interna ISO 27001 requiere un cronograma de ejecución y un plan para acometer la tarea. Los empleados que se entrevistarán o que serán observados mientras ejecutan un proceso, necesitan conocer con exactitud la fecha y la hora en que su participación será requerida.

Es importante que todos los empleados conozcan el cronograma y el plan. Algunos datos imprescindibles son:

Fecha, hora y duración de cada actividad.

Nombres y cargos de los empleados requeridos.

Nombre del auditor y de los miembros de su equipo.

Alcance de la auditoría.

Documentos que deben estar disponibles para la auditoría.

Recursos humanos y tecnológicos necesarios.

4. Realizar una reunión de apertura

La reunión de apertura es algo más que un acto protocolario. Es el momento en que el auditor comunica los objetivos de la auditoría interna ISO 27001. Es un buen momento para comprometer a todos los empleados y concientizarlos sobre la importancia que tiene para la organización contar con un Sistema de Gestión de Seguridad de la Información.

En la reunión de apertura el auditor expone el plan de auditoría, el cronograma y la mecánica que se adoptará. Si es una, de varias auditorías internas, también se confirma la fecha de la siguiente evaluación.

5. Efectuar la auditoría interna ISO 27001 sobre el terreno

Aquí es donde realmente inicia la auditoría interna ISO 27001. Algunas actividades usuales en esta etapa son:

Observación de procesos.

Entrevistas.

Recopilación de documentos y de evidencia.

Solicitud de registros.

Pruebas a los controles.

6. Identificar y registrar las no conformidades

El objetivo más relevante en una auditoría interna ISO 27001, previa a la auditoría de certificación, es identificar, registrar e informar sobre no conformidades con los requisitos del estándar.

Auditorias posteriores a la certificación pueden enfocarse en mejorar la eficacia del Sistema, identificar amenazas nuevas o verificar la efectividad de los controles. Pero, en el camino hacia la certificación, lo más importante es identificar no conformidades.

El tratamiento de las no conformidades también es diferente. En una auditoría interna rutinaria, con un Sistema certificado, una no conformidad menor es eso: un problema menor, de fácil solución. En la auditoría interna ISO 27001, con una evaluación de certificación inminente, todos los problemas son importantes.

7. Informar sobre oportunidades de mejora

Aunque no represente una no conformidad, el auditor puede identificar una oportunidad de mejora. Mediante una sugerencia o una nota, el auditor debe informar sobre la posibilidad de mejora, lo cual, además, contribuye al cumplimiento del requisito que aparece en el capítulo X del estándar.

8. Reunión de cierre

La reunión de cierre es el momento indicado para hacer sugerencias verbales, que no necesariamente se incluirán en los informes de auditoría. Felicitar al equipo y a los empleados, hacer sugerencias para obtener una mejor experiencia en la siguiente auditoría y, en general, establecer lazos de confianza y colaboración que entregarán réditos en el futuro.

9. Crear los informes de auditoría

Los informes de auditoría se escriben con base en las notas que ha tomado el auditor, los documentos que ha recopilado y la experiencia que tuvo durante la auditoría interna ISO 27001. En los informes, además de reportar problemas y no conformidades, el auditor propone acciones correctivas y planes para eliminar riesgos, prevenir amenazas y poner a punto el Sistema con el objetivo de afrontar la auditoría de certificación.

El informe, cuanto más conciso y puntual, mejor.

10. Hacer seguimiento

Con la entrega del informe no termina la tarea del auditor interno. El trabajo continúa con el seguimiento de las acciones recomendadas y su efectividad. Si el auditor hace un buen trabajo de monitoreo y seguimiento, estará allanando el trabajo en la siguiente auditoría.

En Sistemas de Gestión automatizados, la auditoría Interna ISO 27001 fluye con mayor facilidad y ofrece mejores resultados. La digitalización y los procesos de Transformación Digital contribuyen a la Seguridad de la Información y a la eficacia de todas las tareas.

 

Fuente: © 2023 ESCUELA EUROPEA DE EXCELENCIA.