Los controles de ISO 27001 plantean la auditoría externa de un proveedor como herramienta para verificar y asegurar la conformidad con los requisitos del estándar en toda la cadena de suministro. Las organizaciones tienen dos opciones para realizar esta auditoría del proveedor: llevarla a cabo por su propia cuenta o contratar a un consultor externo que ambas partes reconozcan.
Externalizar la tarea presenta algunos beneficios, como la posibilidad de obtener una transferencia directa de conocimiento si no se cuenta con él, pero también algunos riesgos, como la pérdida de control sobre la realización de procesos. Por ello, si es posible, lo ideal es contar con alguien capacitado en ISO 27001 que pertenezca a la empresa y que se pueda encargar de esta labor. ¿Cómo hacerlo con éxito?
¿Se puede hacer la auditoría externa de un proveedor?
Se puede hacer esta auditoría, ya sea con el propio personal de la organización o por medio de un auditor externo, con el fin de verificar que los requisitos exigidos por contrato se están cumpliendo. Eso sí, la auditoría externa de un proveedor obedece a un acuerdo entre las partes, cliente y proveedor, y en ningún momento es una decisión unilateral.
Así, conviene que esto se acuerde y se defina en un contrato de suministro al iniciar la relación comercial. Allí se especifica la autoridad que tiene el cliente para auditar los procesos del proveedor y el alcance de estas auditorías. Para establecer el alcance en este caso, es bueno remitirse a los controles de ISO 27001, que son los que nos indican cuándo realizar la auditoría a proveedores y hasta dónde puede llegar esta revisión.
¿Cómo se desarrolla la auditoría externa de un proveedor en ISO 27001?
En cuanto al procedimiento que seguir para desarrollar la auditoría externa a un proveedor en ISO 27001, es preciso, como en el caso de la auditoría interna, dar 5 pasos:
- Definir el programa de auditoría: se ha de establecer un cronograma y unas tareas que deben ser acordadas con el proveedor para que este coordine su personal y disponga de las herramientas y los espacios necesarios.
- Planificar la auditoría: se establecen los procesos que serán auditados y se preparan listas de verificación, basadas en auditorías anteriores para facilitar el trabajo de auditores y auditados.
- Realizar la auditoría: puede hacerse de forma tradicional, aunque hoy, con las condiciones que impone la nueva normalidad, es probable que se lleve a cabo una auditoría remota. De una u otra forma, el objetivo es recopilar información y evidencia que prueben la conformidad con los requisitos de ISO 27001.
- Producir los informes de auditoría: a diferencia de una auditoría tradicional, los informes ahora tienen como destino la alta dirección de dos organizaciones. Cliente y proveedor reciben los informes de auditoría, y, por supuesto, el auditado es el encargado de implementar las acciones correctivas a las que dé lugar.
- Revisar, monitorear y hacer seguimiento: finalmente, como en toda auditoría, el paso final es verificar la implementación y eficacia de las acciones correctivas. Es una responsabilidad compartida entre el proveedor, los auditores y la propia organización.
Específicamente, la auditoría a un proveedor en ISO 27001 se enfoca en buscar evidencia puntual sobre:
- La aplicación de los controles en su propia cadena de suministro. ¿El proveedor audita o verifica los procesos de sus proveedores?
- La existencia de programas de capacitación y sensibilización para los empleados sobre seguridad de la información, su importancia, y el papel que cada uno de ellos desempeña en el cumplimiento de este propósito.
- Información acerca de la aplicación de los controles de ISO 27001 y su desempeño, así como sobre los resultados de auditorías y de las recomendaciones hechas con anterioridad.
- Informes de incidentes de seguridad de la información, en los que se incluya una narración de lo ocurrido, el impacto que tuvo el incidente y las acciones que se tomaron para evitar la repetición.
- Registros sobre modificaciones realizadas, o de las que se piensan implementar.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
La seguridad es un activo de gran valor que se puede destruir si un eslabón de la cadena presenta debilidades. Por ello es tan importante para una organización contar con profesionales expertos en la norma ISO 27001, y también en las diferentes técnicas de auditoría, para poder auditar adecuadamente a proveedores.
Para que esto sea así, la Escuela Europea de Excelencia propone el Curso Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión, con el que un profesional aborda los requisitos de la norma y descubre las técnicas de auditoría, entre ellas, por supuesto, la de auditoría remota, que hoy se ha convertido en una necesidad.
Por supuesto, para cualquier profesional esto representa una oportunidad de crecimiento. Aprovéchala hoy: inicia tu formación ahora.