Cómo llevar a cabo una auditoría interna exitosa de ISO 27001 en cinco sencillos pasos

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

La norma ISO 27001, dentro de sus requisitos obligatorios, especifica la necesidad de llevar a cabo las auditorías internas para evaluar el desempeño del sistema de gestión y verificar que se siguen las políticas corporativas.

 

Algunas organizaciones perciben las auditorías internas como procesos forzosos, rutinarios y poco útiles, llegando a creer que su cumplimiento se limita a diligenciar listas de verificación.

 

Sin embargo, desde otro punto de vista más acertado, las auditorías internas son parte esencial para evaluar la conformidad del sistema y los requisitos normativos. A partir de los resultados de este proceso evaluativo se ejerce un mayor control sobre los cambios y se identifican de forma temprana las amenazas a la seguridad de la información.

 

En esta oportunidad conocerás cómo preparar una auditoría interna ISO 27001 y lograr una experiencia constructiva para tu sistema de gestión.

 

Empecemos!

 

 

¿Cómo desarrollar auditorías internas en seguridad de la información?

 

Antes de empezar a planificar una auditoría interna, debes elegir el auditor que encabezará el proceso. Puedes asignar este rol al personal propio de la organización, o bien puedes contratar el servicio, de cualquier forma lo importante es que hagas una excelente elección en términos de calidad, experiencia y formación.

 

Con el auditor definido, entonces lo que sigue es:

 

Paso uno. Definir el alcance de la auditoría

 

Para definir el alcance debes revisar la información relacionada a los resultados de la evaluación de riesgos, que puede estar disponible en encuestas, informes, procedimientos, políticas, etc. Con esto, será posible que identifiques las áreas específicas a evaluar.

 

El alcance de la auditoria debe ser coherente con el alcance del SGSI, e involucrar a las partes interesadas clave de las áreas críticas identificadas.

 

Paso dos. Planificar la auditoria interna

 

La etapa de planificación de la auditoria interna ISO 27001 incluye el diseño del plan de auditoría, el cual debe especificar las actividades, los responsables, el cronograma y el presupuesto destinado al proceso.

 

La organización establece límites y puntos de control para que los auditores puedan comunicar y actualizar ante la alta dirección los avances y resultados de la auditoría.

 

Paso tres. Desarrollar la auditoría

 

Durante el desarrollo de la auditoría interna lo principal es la revisión de los documentos, especialmente los creados durante la implementación del SGSI. También las entrevistas con los gerentes, el personal y otras partes interesadas permiten recopilar evidencia de primera mano.

 

Entre las actividades que pueden hacer parte del trabajo de campo están:

 

 

  • Validar la evidencia a medida que se recopila en la auditoria.

 

  • Redactar los informes sobre los avances de la auditoría.

 

 

Paso cuatro. Analizar la información

 

La organización debe revisar las evidencias obtenidas durante la auditoria de acuerdo a los riesgos y objetivos  de control. Tras este análisis, en caso de encontrar brechas o la necesidad de más pruebas, se inicia un nuevo trabajo de campo, de lo contrario se clasifica y archiva la información.

 

Paso cinco. Presentar el informe de auditoría

 

El informe de auditoría presenta los resultados, hallazgos y recomendaciones sobre el desempeño del sistema. Entre las partes clave de este documento están:

 

  • La introducción con el alcance, los objetivos, responsables y el tiempo de trabajo.

 

  • El resumen ejecutivo con los principales hallazgos, un breve análisis y la conclusión.

 

  • La presentación detallada de los resultados de auditoría.

 

  • Las conclusiones y recomendaciones.

 

 

Consejos para una auditoría interna exitosa

 

 

  • Busca el compromiso del personal con la auditoría interna, de esta forma la participación y el apoyo será favorable para el proceso.

 

  • Incluye en tu equipo de auditoría una o dos personas de cada área, así la visión de la seguridad de la información será más amplia y se desarrollarán habilidades que permitan un mejor desarrollo profesional.

 

  • Capacita a tu equipo de auditoría y busca fortalecer sus capacidades para que realicen un trabajo de calidad y presenten resultados válidos.

 

  • Crea un proceso de documentación claro que facilite la verificación y supervisión de los problemas, además prevengan patrones de amenazas mayores.

Errores durante la auditoría interna

 

Te presento algunos errores que pueden cometerse durante la auditoría interna ISO 27001:

 

  • No llevar a cabo una planificación adecuada. Cuando esto ocurre, el plan de auditoría es incompleto y no se definen claramente las actividades, etapas, cronograma de trabajo, responsables ni mucho menos el presupuesto requerido para el proceso.

 

Esta situación genera desorden y confusión en el equipo al mando, lo cual es desfavorable para el éxito de la auditoría y la calidad de los resultados.

 

  • Contar con información desactualizada. La revisión de los documentos es una de las actividades principales en la auditoría interna. Si los procedimientos, registros, informes y demás documentos están desactualizados, entonces los resultados que se obtendrán serán igual de obsoletos e inútiles para el SGSI.

 

Es deber de la organización implementar de forma eficaz la gestión documental garantizando que toda la información esté debidamente revisada, actualizada y aprobada. 

 

 

  • Enfocar la auditoría a la búsqueda de fallas. Dedicar todo el tiempo y esfuerzo a encontrar fallas, puede ser una tarea agotadora que altera el verdadero sentido de la auditoría interna.

 

Más allá de las fallas, es importante la búsqueda de los hechos que impidan el normal funcionamiento del sistema, además no hay que cerrar la posibilidad de identificar oportunidades y fortalezas, que más adelante puedan ser los medios para mitigar los errores.

 

  • Formular el alcance y los objetivos de auditoría de forma irreal y sin tener en cuenta los riesgos del SGSI. Plantear un alcance que no corresponda a los intereses y capacidades del sistema, es un gran error que entorpece el proceso.

 

Los objetivos y el alcance deben estar alineados a la realidad de la organización, de esta manera se logra enfocar los esfuerzos en las áreas que durante la evaluación de riesgos se han identificado como críticas, obteniendo mejores resultados e impactos para la seguridad de la información.

 

  • No contar con una lista de chequeo. Un elemento esencial para las auditorías internas es la lista de chequeo, la cual facilita la formulación de las preguntas, la determinación de los documentos a revisar y la verificación del cumplimiento de los requisitos.

 

El equipo de auditoría que no dispone de esta herramienta corre el riesgo de cometer errores, pasar por alto documentos importantes y generar confusión  durante la etapa de análisis.

 

  • Ignorar algunas acciones correctivas necesarias. Un error común es creer que las auditorías internas terminan con la identificación de las no conformidades e incumplimiento de los requisitos del SGSI.

 

Aunque este es uno de los propósitos más importantes, también lo es definir las acciones correctivas que permitirán controlar, prevenir o eliminar la causa raíz de dichas no conformidades.

 

Procura no subestimar el poder de las acciones correctivas por más simples que parezcan, tal vez entre ellas esté la que realmente aporte a la seguridad de la información.

 

  • No hacer el debido seguimiento a las acciones correctivas implementadas. Además de definir las acciones correctivas sin pasar ninguna por alto, es indispensable mantener el seguimiento de las mismas. Cuando esto no se hace, el riesgo de que fracasen en términos de eficiencia y buen desempeño es altísimo, representando un gran riesgo a la seguridad de la información.

 

  • No trabajar en equipo. Cuando en la auditoría no existe una visión de conjunto, se crea un ambiente de trabajo desagradable y frustrante, lo que afecta directamente la toma de decisiones asertivas, la comunicación y el desempeño del personal auditor.

 

La mejor forma de mitigar este problema es a través de estrategias de cooperación que eliminen la falta de compañerismo, el individualismo y la rivalidad entre el personal de la organización.

 

Lista de verificación para una auditoría interna de ISO 27001

 

Aunque existen diferentes métodos para realizar auditorías internas de seguridad de la información, pensar en una lista de verificación resulta lo más conveniente y práctico.

 

Para que esta herramienta sea efectiva y permita identificar a profundidad los elementos que deben mejorar o corregir en el SGSI se debe tener en cuenta:

 

  • Cada organización es única, por lo que la lista de verificación debe adaptarse a sus características.

 

  • Las listas de verificación permiten ir más allá del cumplimiento mínimo de los requisitos, así que profundiza en los resultados.

 

  • La relación entre los procesos permite que haya trazabilidad en la auditoría.

 

  • Las listas de verificación son una guía de orientación durante las auditorías, de ninguna manera deben confundirse con un simple guion a completar.

 

  • A cada SI o No de las listas de verificación se debe adjuntar las pruebas que permitan evidenciar los resultados.

 

Para elaborar una lista de verificación es importante tener en cuenta cada uno de los requisitos estándar de la ISO 27001, y concretar al máximo cómo la organización cumple con ellos. Es importante que los puntos de la lista de verificación puedan ser fácilmente verificables.

 

En la construcción de esta herramienta la organización debe asegurarse de que las listas permitan el logro del objetivo de auditoría en términos prácticos, precisos  y útiles.

 

Conclusión

 

Las auditorías internas desde un enfoque sistemático permiten que la organización fortalezca sus capacidades y oportunidades para evaluar y mejorar la eficacia del SGSI. Representan una excelente estrategia de control y cumplimiento tanto de los objetivos del negocio como de los requisitos normativos aplicables.

 

Ahora ya cuentas con información clave para llevar a cabo auditorías internas en seguridad de la información de forma sencilla y con la garantía de que serán una experiencia enriquecedora para la organización.

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *