Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.
Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.
Checklist de auditoría interna para ISO 27001
No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.
Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:
- Revisar la documentación: en este paso el auditor revisa todos y cada uno de los documentos obligatorios, exigidos por ISO 27001. Para ello, es preciso que el auditor se familiarice con los requisitos y los procesos del sistema.
- Crear la checklist: de modo paralelo a la tarea de revisión de los documentos y aprovechando la inmersión en su contenido, el auditor elabora la lista de verificación.
- Planificar la auditoría: la tarea puede llevar al auditor a diferentes áreas y ubicaciones. El plan de auditoría debe establecer cuándo visitar cada una de ellas y cuánto tiempo destinar, dependiendo del número de actividades previstas para cada departamento.
- Realizar la auditoría: la labor de auditoría en sí es eminentemente práctica. Se trata de recorrer las instalaciones, verificando la lista, hablando con los empleados, revisando los ordenadores y otro tipo de dispositivos, determinar las condiciones de seguridad física, la implementación adecuada de los controles…Es en este punto en el que el auditor aprovecha al máximo los beneficios de una checklist de auditoría interna para ISO 27001.
- Redactar los informes: cuanto más sucinto y puntual mejor. En los informes deben aparecer las no conformidades halladas, pero también los puntos positivos relevantes. La lista de verificación es un buen apoyo en este momento para evitar que algo importante se quede fuera.
- Hacer seguimiento: la tarea de auditoría no culmina con la presentación de los informes. El auditor debe verificar que las acciones correctivas propuestas se implementan y que resultan efectivas. Nuevamente, la checklist de auditorìa interna para ISO 27001 resulta muy útil para recordar por qué razón se planteó una no conformidad o se recomendó una determinada acción correctiva.
Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:
- Requisitos del estándar: el listado debe permitir comprobar que se está cumpliendo cada requisito de ISO 27001. Lo ideal es concretar al máximo en relación a la manera en que la empresa, a su modo, ha decido enfocar la conformidad en cada punto con el estándar. Es decir, cada punto de la checklist debe ser fácilmente verificable.
- Contenido en políticas y procedimientos y planes: si la política sobre seguridad de la información indica que se debe realizar una copia de seguridad cada seis horas, este debe ser un ítem que forme parte del checklist para ser verificado en su momento.
Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:
- Precisión: es necesario que no quede nada fuera de control.
- Manejable: a través de la organización en bloques, el orden y la capacidad sintética, la checklist puede quedar recogida en un documento práctico y fácilmente utilizable.
Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información
La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.
El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información es un programa esencial para cualquier profesional que quiera ejercer esta importante labor de auditoría en el área de seguridad de la información.