Las auditorías internas ISO 27001 ofrecen una gran utilidad a las organizaciones que trabajan en la implementación del estándar de seguridad de la información y enfilan esfuerzos para llegar a la certificación. Pero las que ya han certificado sus Sistemas de Gestión de Seguridad de la Información, basados en la norma ISO 27001, también necesitan encontrar formas de mejorar sus auditorías internas.
Las auditorías internas ISO 27001 son el vehículo que permite la mejora continua. Los informes de los auditores son el origen del diseño de acciones correctivas o los planes para ajustar procesos, crear otros o modificar procedimientos, con el fin de solucionar problemas actuales o los que se pueden presentar en el futuro.
¿Qué son auditorías internas ISO 27001?
Las auditorías internas ISO 27001 son revisiones evaluativas para recopilar evidencia del cumplimiento del Sistema de Gestión de Seguridad de la Información con los requisitos del estándar internacional.
La auditoría busca problemas o lo que se conoce como No Conformidades con el fin de identificarlos, anotarlos en un informe y proponer acciones correctivas para solucionarlos.
La auditoría interna ISO 27001 busca mejorar de forma continua el Sistema y sus resultados. Pero también es un instrumento eficaz para generar cultura de Seguridad de la Información y hacer que el tema siempre sea actual.
¿Quiénes pueden realizar auditorías internas ISO 27001?
Las auditorías las realizan auditores internos formados para desarrollar esta actividad, de acuerdo con los principios y directrices contenidos en ISO 19011. Los auditores internos, no son necesariamente empleados de la organización.
Cuando la organización busca un consultor externo para que efectúe la auditoría interna ISO 27001, este auditor se considera interno, porque la auditoría es realizada por la organización, para la organización y sus informes solo serán conocidos por la organización.
Así, existen tres tipos de auditores que pueden realizar auditorías internas ISO 27001:
1. Auditor interno empleado de la organización
Este tipo de auditor recibe un salario y ocupa el puesto de auditor interno. Puede ser específico para el Sistema de Gestión de Seguridad de la Información o puede prestar sus servicios a otros Sistemas ISO, incluso integrados.
2. Auditor interno como función accesoria
En empresas de tamaño medio o en las pequeñas, es común que un profesional de un área como Recursos Humanos, Contabilidad o Marketing tenga como función accesoria la práctica de auditorías internas ISO 27001. Es una buena opción que, sin embargo, presenta un problema: los auditores internos no pueden auditar el área en la que trabajan.
3. Auditores internos contratados
Este tipo de auditores, aunque no pertenecen a la organización y son consultores externos, son considerados auditores internos. Tienen una gran ventaja: no están comprometidos con nadie dentro de la organización. Sin embargo, los problemas de disponibilidad y los costes pueden ser un inconveniente para evaluar.
¿Cómo preparar auditorías internas ISO 27001?
La primera acción instintiva de quienes van a realizar auditorías internas ISO 27001 es obtener o producir una lista de verificación. Sin duda, es una gran idea. Pero antes, sería bueno:
- Realizar auditorías de práctica, a escala menor, por áreas o departamentos, para adquirir experiencia y fluidez en la ejecución de la tarea, identificar los posibles problemas y ajustar un plan de trabajo real.
- Observar el trabajo de otros auditores, dentro de la organización o en otras similares. Estas auditorías pueden ser a Sistemas de Gestión en otras áreas, como calidad o medio ambiente.
- Elaborar un plan de auditoría, que inicie con una reunión de apertura, considere el tiempo de las personas que serán entrevistadas y la metodología de recopilación de evidencia a utilizar.
- Elaborar una lista de verificación con los documentos que se solicitarán, quién los debe suministrar y qué características mínimas deben tener esos documentos.
- Crear una lista de verificación con los requisitos del estándar, cuya conformidad será verificada durante la auditoría.
- Emprender la auditoría sobre el terreno, siempre ajustándose al cronograma y a los tiempos propuestos en el plan.
¿Cómo mejorar las auditorías internas ISO 27001?
Seguir las recomendaciones anteriores asegura una auditoría productiva y ajustada a las mejores prácticas para esta actividad. Sin embargo, los resultados pueden ser mucho mejores si se tienen en cuenta estos consejos:
1. Tomar el tiempo necesario
Tan contraproducente es pisar el acelerador hasta el fondo, como tomar más tiempo del necesario. Lo primero dificultará revisar temas tan críticos como los controles y su aplicabilidad. Lo segundo quitará tiempo, de forma innecesaria, a muchas personas y creará la sensación de que esta es una actividad tediosa y sin objetivos claros.
2. Delegar responsabilidades
En organizaciones de gran tamaño y complejidad es usual que exista un equipo de auditores, con un auditor líder al frente. Este auditor líder, no obstante, suele tratar de estar en todas partes y realizar todas las tareas.
El auditor líder necesita compartir responsabilidades con su equipo. En organizaciones pequeñas o medianas, el auditor puede apoyarse en personas como el director de TI, el Oficial de Cumplimiento o personal de Recursos Humanos, por ejemplo.
3. Dedicar tiempo a la planificación y preparación
Recopilando lo ya anotado en apartados anteriores, es importante que el auditor haga un cronograma minucioso para toda la auditoría, en el que señale las personas de las que requerirá algún tipo de colaboración, el momento en el que lo solicitará, el tiempo que tardará y los documentos o evidencias que esa persona necesita aportar.
La preparación de las diferentes listas de verificación, con la debida anticipación, también aumenta las posibilidades de éxito de la tarea.
4. Anunciar la tarea y los objetivos
Las auditorías internas ISO 27001 siempre involucran un grado de dificultad. Esto se puede minimizar comunicando de forma oportuna a todas las áreas y departamentos interesados.
Las personas que serán entrevistadas, los que tienen que suministrar documentos, los que deben ejecutar un proceso en presencia del auditor, necesitan saber cuándo lo deben hacer y cuánto tiempo les tomará.
Por otra parte, es importante que todos conozcan y comprendan los objetivos de la auditoría. De otra forma, considerarán que no es más que una intrusión burocrática que solo busca entorpecer el trabajo diario.
5. Irradiar empatía y comprensión
El auditor, interno o externo, suele ser visto como un inspector o una persona delegada para encontrar fallos y castigarlos. Es importante que los auditados entiendan y sientan que esto no es así.
Ante un error o un posible riesgo, es importante buscar la causa raíz y la consecuente solución, antes que el culpable y el castigo. El respeto hacia los auditados, la amabilidad y la empatía, son garantía de aceptación y de compromiso con los objetivos de la auditoría.
6. Producir informes finales constructivos
Los informes fatalistas, dramáticos y altisonantes, llenos de anuncios alarmantes, pueden ayudar a construir la imagen de un auditor avezado, incisivo, invulnerable. Pero poco favor hacen a los objetivos de las auditorías internas ISO 27001.
Los hallazgos y las No Conformidades deben encontrar en los informes finales, soluciones proactivas y constructivas. Algunos problemas, por otra parte, son tan pequeños que se pueden solucionar con una instrucción verbal, amigable, dentro de la auditoría. Llevarlos a los informes finales implica diseñar una acción y poner en marcha un proceso de monitoreo, revisión y nueva aplicación, que se puede convertir en un ciclo interminable.
7. Hacer seguimiento a los hallazgos y No Conformidades
En las auditorías internas ISO 27001 es común que el auditor entregue el informe final, lo sustente ante la Alta Dirección, y se olvide del asunto. Al final, otro auditor realizará la siguiente auditoría.
Este es un grave error. El auditor necesita tomar posesión de su auditoría hasta el final: proponer acciones correctivas, vigilar la implementación de estas y de otras que sugieran otros profesionales, monitorear el rendimiento de las nuevas acciones, sugerir otras, y, de ser necesario, realizar un encaje con el auditor que realizará la siguiente auditoría.
Las auditorías internas ISO 27001 consumen una gran cantidad de datos e información. Igualmente, suministran registros e informes que deben ser procesados. Por esa razón, las organizaciones que han digitalizado sus Sistemas de Gestión de Seguridad de la Información obtienen mejores resultados de sus auditorías internas.
Contar con profesionales expertos en la tarea es otro factor determinante para el logro de objetivos.
Diplomado de Seguridad de la Información – ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 ha sido actualizado de acuerdo con la edición 2022 de la norma. Es, además, un programa que entrega Certificación como experto en Seguridad de la Información, Certificación como Auditor Interno especializado en Sistemas de Gestión SI, y la posibilidad de obtener el Certificado ERCA – Registro Europeo de Auditores Certificados -, que permite a estos profesionales trabajar en cualquier país de Europa o de América Latina.
Hoy tienes una nueva oportunidad para acceder a un área de crecimiento constante para tu carrera profesional. Inicia aquí.
