Las organizaciones que se preparan para afrontar la auditoría de certificación pueden caer en el error de pasar por alto la auditoría interna ISO 27001. Este tipo de evaluación aporta dos valores importantes: preparación para la auditoría de certificación y cumplimiento de los requisitos de la norma ISO 27001.
De hecho, lo que se espera es que el equipo que trabaja en la implementación y certificación programe y efectúe más de una auditoría interna ISO 27001. Cuantas más se realicen, mejores oportunidades tendrán los Sistemas de Gestión de Seguridad de la Información para obtener el certificado.
Es probable que la organización que transita el camino hacia la certificación aún no tenga los conocimientos y la experiencia necesarios para realizar tantas auditorías como requiera para llegar con un Sistema a punto a la auditoría de certificación. Esta guía de 10 pasos allanará el camino hacia la certificación del Sistema y de la mejora continua una vez obtenida la acreditación en seguridad de la información.
¿Cómo realizar una auditoría interna ISO 27001 en 10 pasos?
La auditoría interna ISO 27001 sigue los requisitos contenidos en el estándar ISO 19011, norma que aporta directrices para la evaluación de Sistemas de Gestión basados en estándares ISO.
Así es que los pasos son comunes a los que se siguen para auditar otros Sistemas de Gestión que utilizan la estructura de Alto Nivel. Una particularidad, en el caso de ISO 27001, es la revisión de los controles del Anexo A. Con esta salvedad hecha, los pasos a seguir son:
1. Seleccionar el auditor y su equipo
Las organizaciones tienen dos opciones para contar con un auditor interno cualificado o con un equipo de auditores, dependiendo del tamaño y la complejidad de la tarea. La primera opción es formar auditores expertos en el estándar, en Seguridad de la Información y en técnicas de auditoría.
La segunda, es contratar consultores externos que realicen la auditoría interna ISO 27001. La primera opción facilita la disponibilidad de los auditores y la transmisión del conocimiento. Las organizaciones que optan por este camino necesitan elegir los programas de formación adecuados, que aporten las competencias, los conocimientos y las habilidades que requiere un auditor profesional.
Es importante verificar la calidad de los programas de formación y la capacidad tecnológica y pedagógica de la institución que los imparte, así como la validez y el reconocimiento de los certificados que entregan a los alumnos.
2. Programar las auditorías
El número de auditorías mejora las oportunidades de superar la auditoría de certificación. Sin embargo, estas auditorías deben responder a un programa planificado que considere el tiempo disponible antes de la auditoría de terceros, el alcance del sistema y el contexto de la organización.
Es importante programar auditorías con intervalos de tiempo suficiente para analizar los problemas encontrados y diseñar acciones correctivas e implementarlas, antes de la siguiente evaluación.
El alcance del Sistema incide en la elaboración del plan de auditorías. Si el Sistema no tiene alcance sobre las sucursales, por ejemplo, es apenas natural que no se programen auditorías en esos lugares. El contexto, o el nivel de regulación al que está sometida la organización, también se considera al momento de elaborar el programa de auditorías. Toda la tarea requiere documentación.
3. Cronograma y plan de auditoría
Cada auditoría interna ISO 27001 requiere un cronograma de ejecución y un plan para acometer la tarea. Los empleados que se entrevistarán o que serán observados mientras ejecutan un proceso, necesitan conocer con exactitud la fecha y la hora en que su participación será requerida.
Es importante que todos los empleados conozcan el cronograma y el plan. Algunos datos imprescindibles son:
- Fecha, hora y duración de cada actividad.
- Nombres y cargos de los empleados requeridos.
- Nombre del auditor y de los miembros de su equipo.
- Alcance de la auditoría.
- Documentos que deben estar disponibles para la auditoría.
- Recursos humanos y tecnológicos necesarios.
4. Realizar una reunión de apertura
La reunión de apertura es algo más que un acto protocolario. Es el momento en que el auditor comunica los objetivos de la auditoría interna ISO 27001. Es un buen momento para comprometer a todos los empleados y concientizarlos sobre la importancia que tiene para la organización contar con un Sistema de Gestión de Seguridad de la Información Certificado.
En la reunión de apertura el auditor expone el plan de auditoría, el cronograma y la mecánica que se adoptará. Si es una, de varias auditorías internas, también se confirma la fecha de la siguiente evaluación.
5. Efectuar la auditoría interna ISO 27001 sobre el terreno
Aquí es donde realmente inicia la auditoría interna ISO 27001. Algunas actividades usuales en esta etapa son:
- Observación de procesos.
- Entrevistas.
- Recopilación de documentos y de evidencia.
- Solicitud de registros.
- Pruebas a los controles.
6. Identificar y registrar las no conformidades
El objetivo más relevante en una auditoría interna ISO 27001, previa a la auditoría de certificación, es identificar, registrar e informar sobre no conformidades con los requisitos del estándar.
Auditorias posteriores a la certificación pueden enfocarse en mejorar la eficacia del Sistema, identificar amenazas nuevas o verificar la efectividad de los controles. Pero, en el camino hacia la certificación, lo más importante es identificar no conformidades.
El tratamiento de las no conformidades también es diferente. En una auditoría interna rutinaria, con un Sistema certificado, una no conformidad menor es eso: un problema menor, de fácil solución. En la auditoría interna ISO 27001, con una evaluación de certificación inminente, todos los problemas son importantes.
7. Informar sobre oportunidades de mejora
Aunque no represente una no conformidad, el auditor puede identificar una oportunidad de mejora. Mediante una sugerencia o una nota, el auditor debe informar sobre la posibilidad de mejora, lo cual, además, contribuye al cumplimiento del requisito que aparece en el capítulo X del estándar.
8. Reunión de cierre
La reunión de cierre es el momento indicado para hacer sugerencias verbales, que no necesariamente se incluirán en los informes de auditoría. Felicitar al equipo y a los empleados, hacer sugerencias para obtener una mejor experiencia en la siguiente auditoría y, en general, establecer lazos de confianza y colaboración que entregarán réditos en el futuro.
9. Crear los informes de auditoría
Los informes de auditoría se escriben con base en las notas que ha tomado el auditor, los documentos que ha recopilado y la experiencia que tuvo durante la auditoría interna ISO 27001. En los informes, además de reportar problemas y no conformidades, el auditor propone acciones correctivas y planes para eliminar riesgos, prevenir amenazas y poner a punto el Sistema con el objetivo de afrontar la auditoría de certificación.
El informe, cuanto más conciso y puntual, mejor.
10. Hacer seguimiento
Con la entrega del informe no termina la tarea del auditor interno. El trabajo continúa con el seguimiento de las acciones recomendadas y su efectividad. Si el auditor hace un buen trabajo de monitoreo y seguimiento, estará allanando el trabajo en la siguiente auditoría.
En Sistemas de Gestión automatizados, la auditoría Interna ISO 27001 fluye con mayor facilidad y ofrece mejores resultados. La digitalización y los procesos de Transformación Digital contribuyen a la Seguridad de la Información y a la eficacia de todas las tareas.
Formación actualizada en Seguridad de la Información
La Escuela Europea de Excelencia cuenta con una interesante oferta formativa, en el área de Seguridad de la Información, en la cual se destacan dos programas enfocados en la formación de profesionales especializados en Auditoría Interna ISO 27001:
Curso Auditor Interno ISO/IEC 27001:2013 – Sistemas de Gestión Seguridad de la Información
Además de proporcionar el conocimiento suficiente sobre el estándar, sus requisitos y las técnicas de auditoria aceptadas a nivel internacional, el Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información, facilita a los alumnos que lo requieran, la obtención del certificado ERCA – Registro Europeo de Auditores Certificados -, que, entre otras oportunidades, permite ejercer la profesión en cualquier país de Europa o América Latina. Hay una convocatoria abierta. Solo necesitas inscribirte aquí.
Diplomado de Seguridad de la Información – ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa más completo en el área disponible en el mercado, actualizado a la más reciente edición de la norma, publicada en 2022.
El campus virtual de la Escuela Europea de Excelencia brinda a los alumnos la oportunidad de interactuar con docentes y alumnos de diferentes países en varios continentes. Es una gran oportunidad para potenciar tu carrera. Tómala ahora.