Realizar auditorías internas en ISO 27001 es un requisito obligatorio para las organizaciones que han adoptado este estándar internacional para la seguridad de la información. Aún después de haber conseguido la certificación, el mantenimiento y la mejora son elementos esenciales del cumplimiento de la norma. Y las auditorías son la herramienta idónea para lograrlo.
Por ello, y especialmente cuando se planean auditorías internas en ISO 27001 por primera vez, contar con algunos consejos para mejorarlas puede resultar muy útil.
Formas para mejorar las auditorías internas en ISO 27001
Las auditorías internas en ISO 27001 implican un examen exhaustivo del SGSI de la organización. Es una tarea compleja donde debe premiar la objetividad. Algunos aspectos a tener en cuenta para llevar a cabo auditorías en ISO 27001 con mayor solvencia son los siguientes:
1. La auditoría es una tarea de largo aliento
En el Anexo A figuran 114 controles. Si bien, no todas las organizaciones están obligadas a implementarlos todos, si es preciso reservar tiempo suficiente para establecer cuáles son obligatorios en el caso concreto de nuestra organización y verificarlos.
Además, en la auditoría es necesario comprobar la conformidad con los requisitos prescritos en el cuerpo de la norma. No existe una regla determinante que señale el tiempo mínimo o máximo para realizar una auditoría interna, ya que ello depende de diferentes factores. Pero lo cierto es que, por básica y elemental que sea la organización, cuando se trata de seguridad de la información, es preciso destinar el tiempo suficiente.
2. Diseñar un proceso claro para documentar los hallazgos
Las no conformidades recogidas por el equipo de auditoría interna deben documentarse de forma correcta. Esto implica registrar el problema, desarrollar un plan de acción y acordar una fecha límite para abordar el problema.
Un proceso de documentación claro, hace que la verificación y el monitoreo de los problemas sea rápida y fácil. También ayuda a identificar tendencias o patrones que apuntan a amenazas u oportunidades. Finalmente, esta documentación es crucial para demostrar la efectividad del proceso de auditoría.
3. Compartir la responsabilidad entre varios auditores
ISO 27001 es probablemente el estándar más complejo para auditar. Es así, en gran medida, porque algunos controles y algunos requisitos requieren conocimiento específico sobre procesos TI. En organizaciones complejas y de gran tamaño, es conveniente dividir las responsabilidades de la auditoría de acuerdo con las competencias, las habilidades y los conocimientos de los auditores.
Algunos procesos a auditar, están orientados a TI, mientras que otros apuntan a requisitos generales. Es importante identificarlos y, de acuerdo con ello, distribuir la auditoría entre los auditores.
Realizar #AuditoríasInternas en #ISO 27001 es requisito para las organizaciones que han adoptado el estándar. Hay 7 formas de mejorarlas. Share on X4. Involucrar al departamento de RR. HH.
Para garantizar que la auditoría alcance todas las áreas y los departamentos con responsabilidades en la gestión, el mejor punto de partida es el departamento de RR. HH. Con ese apoyo, algunas cuestiones se vuelven más sencillas y se agrega el ímpetu que los responsables necesitan para comprometerse con la tarea.
5. Preparar la auditoría
Es conveniente que las organizaciones comiencen a planificar sus auditorías internas en ISO 27001 con aproximadamente 12 meses de anticipación. Esto significa que las organizaciones que han obtenido la certificación recientemente, deberían desde ya, empezar la tarea de planificación de la primera auditoría interna post-certificación.
Un largo periodo de preparación de la auditoría asegura que se tenga cobertura para las ausencias de personal clave durante periodos de vacaciones, y que todas las personas necesarias estén presentes y dispuestas.
6. Realizar seguimiento
En la mayoría de los casos, el auditor interno es el que verifica si todas las acciones correctivas planteadas durante la auditoría interna se cierran. La lista de verificación y las notas tomadas durante la auditoría resultarán muy útiles para recordar las razones por las que se planteó una no conformidad en su momento. Solo después de que se cierren las no conformidades termina la tarea del auditor interno.
7. Desarrollar competencias internas
La organización puede adquirir las habilidades prácticas necesarias para llevar a cabo las auditorías internas a través de un programa de formación ISO 27001 reconocido. Esto equipa a los posibles auditores con el conocimiento práctico y la capacidad para realizar auditorías internas que mantengan la conformidad e impulsen la mejora continua.
Sin la experiencia de un profesional de auditoría experimentado, las auditorías internas en ISO 27001 pueden ser un desafío, especialmente cuando la organización es nueva en la implementación del estándar.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
La Escuela Europea de Excelencia ha diseñado el Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013. Se trata de un programa de formación de alto nivel, completo y certificado. Cuenta con el objetivo de aportar las competencias necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información conforme a ISO 27001.
Obtenga su plaza en este diplomado y asegure la mejora continua del SGSI de su organización.