Si está leyendo este texto, es porque probablemente su organización ha de afrontar la auditoría de certificación en ISO 27001. Los profesionales en seguridad de la información, pueden formularse muchas preguntas y presentar ciertas dudas.
Esto es normal. El trabajo de planificación e implementación ha sido arduo y la auditoría de certificación en ISO 27001 representa el colofón para este proyecto de especial importancia para la organización.
¿Qué preguntará el auditor, durante la auditoría de certificación en ISO 27001?, ¿cómo se desarrolla en la práctica esta auditoría?, ¿qué debemos tener preparado? Estas son las preguntas que responderemos en nuestro artículo de hoy.
¿Cómo prepararse para la auditoría de certificación en ISO 27001?
Algunos profesionales de la seguridad de la información han destinado muchas horas de trabajo en la redacción de documentos. Estos, aunque tendrán un valor significativo para los auditores, no bastan para aprobar la auditoría de certificación en ISO 27001.
El proceso de certificación en esta norma, presenta una diferencia sustancial con respecto a los que se efectúan para certificar organizaciones en otros estándares de ISO.
En el caso de ISO 27001, la auditoría de certificación se divide en dos etapas. La primera se destina a la revisión y evaluación de la documentación. Mientras, en la segunda (auditoría principal) se verifica que los procesos, procedimientos y actividades documentados se cumplen en la práctica y están conformes con los requisitos de ISO 27001.
Gran parte de la responsabilidad corresponde a los auditores internos. Por ello, la organización debe destinar recursos que garanticen la formación y la capacitación adecuada de sus auditores internos en la norma ISO 27001.
¿Cuáles serán las preguntas durante la auditoría de certificación en ISO 27001?
Los auditores no suelen realizar su trabajo con un listado de preguntas predefinidas. Ellos entienden que cada organización es única y que en cada una de ellas se enfrentarán a condiciones específicas. Será de ellas de las que surgirán gran parte de las preguntas que formularán a sus auditados.
Si la organización ha pasado por una o varias auditorías internas y los auditores internos están capacitados y poseen una formación adecuada en la norma, es poco probable que los empleados entrevistados tengan problemas al responder las preguntas y lograr la certificación en ISO 27001.
Las preguntas, en síntesis, versarán sobre los procedimientos, la política de seguridad de la información, los registros y las personas que tienen responsabilidades asignadas dentro del sistema.
Es importante que la organización y sus profesionales en seguridad de la información entiendan cómo piensan los auditores. Este conocimiento se obtiene gracias a la experiencia. De ahí la importancia de contar con auditores internos especializados en la norma y experimentados.
No obstante, algunos ejemplos de preguntas recurrentes en la auditoría de certificación en ISO 27001, pueden ser:
- ¿Conoce usted las normas internas de esta organización, relacionadas con el sistema de gestión de seguridad de la información?
- ¿Podría usted enseñarme ejemplos de la aplicación en la práctica de las políticas sobre seguridad de la información de la organización?
- ¿Cuáles son los aspectos que usted considera más relevantes en la política de seguridad de la información?
¿Qué debemos tener preparado para la auditoría de certificación en ISO 27001?
El auditor tiene la facultad para entrevistar a todos los empleados que él considere tienen alguna injerencia sobre la seguridad de la información. Esto incluye todos los departamentos, todas las áreas y todas las ubicaciones de la organización auditada.
Así, todos los empleados, en todos los puntos señalados, deben contar con:
- Los documentos requeridos por la norma o cualquier documento relacionado con la seguridad de la información.
- Evidencias que comprueben la conformidad con la norma ISO 27001.
- Los documentos esenciales: políticas, manuales, procedimientos…
¿Cómo probar la implementación de la norma ISO 27001?
Antes de realizar los pasos que hemos reseñado, vale la pena verificar que todo está en su lugar. ISO 27001 no exige este paso, pero hacerlo, aumenta significativamente las posibilidades de aprobar la auditoría de certificación en ISO 27001.
Esto significa que todas las personas que tienen una función dentro del sistema deben revisar si todo lo que les corresponde funciona, como lo exige la norma y como ha sido documentado.
La verificación no reemplaza la auditoría interna, ya que durante esta es el auditor quien evalúa, de forma independiente. En aquella, sin embargo, se da una autoevaluación, útil, pero no válida para efectos procedimentales.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Contar con auditores internos cualificados es factor decisivo en el éxito de un proyecto de implementación de un SGSI basado en la norma ISO 27001.
Por ello, recomendamos el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Se trata de un programa de formación de alto nivel dictado por la Escuela Europea de Excelencia.
Este diplomado dota, a quienes participan en él, de las herramientas, los conocimientos y las competencias necesarias para implementar, mantener y auditar un SGSI basado en la norma ISO 27001.
Prepararse para la auditoría de certificación en ISO 27001 es muy fácil, una vez se inscriba en este diplomado aquí.