Uno de los requisitos de un sistema de gestión de seguridad de la información es la práctica regular de una auditoría interna ISO 27001. Esta auditoría, de acuerdo con la sección 9 de la norma, tiene como objetivo la evaluación del desempeño del sistema. En otras palabras, la auditoría interna ISO 27001 proporciona la evidencia de que el sistema es fiable y sus resultados están alineados con los objetivos propuestos, y además es el centro del que parte la mejora continua.
Lo más probable es que la auditoría interna ISO 27001, sobre todo en etapas tempranas de un sistema de gestión de seguridad de la información, suponga una inversión de la que no se ven beneficios inmediatos. Porque para que la auditoría interna ISO 27001 cumpla con los objetivos altamente beneficiosos que le ha asignado el estándar, debe ceñirse a un procedimiento para su conducción.
¿Cómo conducir la auditoría interna ISO 27001?
La auditoría interna ISO 27001, en la práctica, se parece mucho a la de sistemas de gestión basados en otras normas ISO que comparten la misma estructura del estándar de seguridad de la información. Asimismo, la auditoría al SGSI, también debe seguir las directrices propuestas por ISO 19011, la norma para auditorías por antonomasia.
Básicamente, el proceso se desarrolla en 5 etapas:
1. Revisión de la documentación
El auditor revisa la documentación que se creó durante la etapa de implementación del sistema. Estos documentos, que seguramente han sido actualizados, incluyen políticas, manuales de procedimientos, permisos, especificaciones, registros, documentos sobre los controles…
La revisión y evaluación de estos documentos permite establecer un marco específico para lo que se revisará en adelante al avanzar con la auditoría interna ISO 27001.
2. Reunión con la alta dirección
Aquí es donde en verdad empieza el trabajo. El auditor se reúne con la alta dirección antes de desarrollar el plan de auditoría para decidir sobre la programación y los recursos que demandará la tarea.
Este profesional también expone los objetivos que pretende alcanzar con la auditoría e indaga sobre las necesidades específicas que puedan venir de la alta dirección. Este es el momento oportuno para que auditor y directores planteen cualquier inquietud o expectativa con respecto a la práctica de la auditoría.
3. Evaluación de campo
Ahora comienza la auditoría en su nivel práctico. El auditor, de acuerdo con el plan de trabajo y el cronograma ya elaborados, observa el sistema funcionando. El trabajo de campo incluye practicar entrevistas, solicitar documentos, observar procesos, registrar resultados de cada verificación, tomar notas para los informes, e indagar sobre todo lo que se relacione con el SGSI.
Con la certificación no termina la obligación de practicar la auditoría interna #ISO27001. Es algo que debe hacerse con regularidad. Aprende a hacerlo hoy. Clic para tuitear4. Evaluación práctica y revisión
El auditor investiga cómo funciona el SGSI. Para ello, puede entrevistar empleados clave y directores de área. A diferencia de las entrevistas descritas en la etapa anterior, el auditor aquí realiza pruebas y revisa de forma exhaustiva los datos y los registros.
Finalmente, compila los resultados y los compara con los requisitos de ISO 27001. En este punto, se puede revelar alguna brecha de cumplimiento o áreas del sistema que pueden requerir evaluaciones adicionales.
5. Informes de auditoría
Por último, concluido el trabajo de campo, el auditor prepara los informes de auditoría interna. En este informe, el auditor habla del alcance, la duración y la naturaleza exacta del trabajo que realizó. El informe no puede dejar de incluir:
- Un resumen ejecutivo del trabajo realizado, los resultados y el panorama general sobre el estado del sistema encontrado.
- Las directrices que tomó como guía para desarrollar la auditoría.
- Descripción detallada de los hallazgos de auditoría o no conformidades encontradas.
- Acciones correctivas sugeridas, en caso de que así resulte procedente, en un plan de acción.
El trabajo del auditor no termina con la presentación del informe. Es su deber realizar seguimiento a la implementación de las acciones correctivas propuestas. Recordemos que este será el punto de partida de la siguiente auditoría interna ISO 27001.
Finalmente, debido a las condiciones de emergencia sanitaria actuales, la auditoría al sistema de gestión de seguridad de la información probablemente tenga que realizarse de forma remota. Y aunque los pasos son en esencia los mismos, es necesario aplicar métodos diferentes en la práctica de la auditoría, como entrevistas por videollamada o solicitud de documentos a través de una plataforma.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
La práctica de auditorías internas al sistema de gestión de seguridad de la información es un requisito de ISO 27001. Pero, en las condiciones impuestas por la nueva normalidad, muchas organizaciones optan por la realización de auditorías remotas.
Por ello, la Escuela Europea de Excelencia ha diseñado el pack de cursos Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión, programa que reúne conocimientos profundos sobre la norma ISO 27001 con las directrices para la práctica exitosa de auditorías remotas.
En la nueva normalidad, puede ser la oportunidad para destacarte en tu organización y crecer hacia el futuro. Comienza tu formación ahora.
