Auditoría ISO 27001

Según define la ISO 27000 de términos y definiciones una auditoría es “proceso sistemático, independiente y documentado para obtener las evidencias de auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría”.  Dicho de otra manera, una auditoría interna de seguridad de la información es un método de verificación para proporcionar información acerca de si el sistema de gestión es conforme con los requisitos propios de la organización para su Sistema de Gestión de Seguridad de la información y con los requisitos de la propia norma ISO 27001, y en qué grado se implementa y mantiene de una forma eficaz.

Las auditorías internas deben planificarse, y tener en consideración la importancia de los procesos involucrados, los cambios que afecten a la organización y los resultados de auditorías previas. Deben definirse los criterios y el alcance para cada auditoría.

Las auditorías internas deben realizarlas personas con la cualificación y experiencia adecuadas, y debe asegurarse la objetividad y la imparcialidad durante el proceso. Por este motivo, lo más habitual es que las auditorías internas las realicen personas ajenas a la organización, subcontratadas al efecto.

Debe informarse a la dirección pertinente de los resultados de las auditorías internas y, ante los hallazgos de una auditoría interna, la organización debe realizar las correcciones y/o tomar las acciones correctivas adecuadas sin demora injustificada.

Auditoría ISO 27001 Seguridad de la Información

Tipos de auditorías internas ISO 27001

Según la entidad que realice las auditorías podemos encontrar:

Auditorías ISO 27001 de primera parte (Auditorías internas).

En el caso de que sea realizada la propia organización con su personal o una parte externa en su nombre, es decir, una empresa subcontratada.

Auditorías ISO 27001 de segunda parte.

Son aquellas realizadas por partes que tienen interés en la organización o por personas en su nombre. Generalmente se realiza a un proveedor con el objetivo de homologarle para un suministro o para comprobar el grado de cumplimiento con unos requisitos previamente establecidos.

Auditorías ISO 27001 de tercera parte (Auditoría externa).

Se trata de una auditoría externa de certificación en la que una entidad de certificación acreditada comprueba el cumplimiento de los requisitos de la norma de referencia ISO 27001, así como su implementación y mejora.

Objetivos de una auditoría interna ISO 27001

La realización de una auditoría interna acorde a la ISO 27001 busca alcanzar los siguientes objetivos:

  • Comprobar que el Sistema de Gestión de Seguridad de la Información de la organización es conforme con los requisitos de la norma ISO 27001 y con los requisitos de la propia organización.
  • Detectar situaciones no deseadas con la finalidad de poner subsanarlas y prevenir su reaparición.
  • Detectar riesgos para la seguridad, tratamientos erróneos de información y otros riesgos para el sistema de gestión.
  • Detectar oportunidades que permitan mejorar seguridad de la información y otras oportunidades para el sistema de gestión.
  • Mejorar de forma continua el Sistema de Gestión de Seguridad de la Información.
  • Comprobar el cumplimiento de los requisitos legales y otros requisitos aplicables.
  • Mejorar la sensibilización e implicación de los trabajadores.

Ventajas de las auditorías internas ISO 27001

La realización de auditorías internas al Sistema basado en la ISO 27001 pueden aportar grandes beneficios a la organización, los principales son las siguientes:

  • Aportan información sobre el grado de cumplimiento de los requisitos de la norma, y de los establecidos por la propia organización.
  • Evalúan el cumplimiento de requisitos legales y/o reglamentarios aplicables.
  • Detectan riesgos de seguridad.
  • Detectan elementos susceptibles de mejora en el desempeño de los procesos y del Sistema de Gestión en su conjunto.
¿Necesitas realizar una Auditoría ISO 27001?

Fases de una auditoría de Certificación ISO 27001

Solicitud

Lo primero será que la organización decida con qué entidad acreditada quiere certificar su Sistema de Gestión. Posteriormente habrá que solicitar un presupuesto a dicha entidad. Generalmente habrá que proporcionar información necesaria (alcance del sistema, características de la organización, procesos, procesos subcontratados, normas a certificar, número de trabajadores, etc.). Con estos datos, la entidad elaborar un contrato, el cual implica el conocimiento y la aceptación de los criterios. Posteriormente, ya se puede empezar a planificar la auditoría de certificación según las disponibilidades de ambas partes.

Auditoría inicial

La auditoría inicial de certificación se realiza en dos fases: auditoría de fase 1 y auditoría de fase 2. Con antelación suficiente a cada auditoría se enviará un plan de Auditoría para poder programar las actividades y garantizar la disponibilidad de los auditados.

  • Auditoria Fase 1. Generalmente incluye una visita a las instalaciones y una revisión documental. Busca los siguientes objetivos:
    • Auditar la documentación del Sistema de gestión
    • Evaluar la ubicación y las condiciones de las instalaciones e intercambiar información con el personal con el fin de determinar el estado de preparación para la auditoría fase 2.
    • Revisar el estado y grado de comprensión de los requisitos de la norma
    • Recopilar la información necesaria correspondiente al alcance del sistema de gestión, a los procesos y emplazamientos, así como a los aspectos legales y reglamentarios relacionados y su cumplimiento.
    • Revisar la asignación de recursos para la fase 2 y acordar con el cliente los detalles de la auditoría fase 2
    • Proporcionar un enfoque para la planificación de la auditoría fase 2, obteniendo una comprensión suficiente del sistema de gestión del cliente y de las operaciones del sitio en el contexto de los posibles aspectos significativos.
    • Evaluar si las auditorías internas y la revisión por la dirección se planifican y realizan, y si el nivel de implementación del sistema de gestión confirma que la organización cliente está preparada para la auditoría fase 2.

Una vez completada la fase 1 se emitirá un informe con los hallazgos que pudieran dar lugar en la auditoria de fase 2, a no conformidades. El intervalo entre Fase 1 y Fase 2 debe ser el suficiente que permita al cliente resolver los problemas identificados durante la fase 1. Normalmente dicho intervalo debería ser superior a 2 semanas e inferior a 6 meses.

  • Auditoria Fase 2. Consiste en evaluar la implantación eficaz del Sistema de Gestión. Se realiza en las instalaciones del cliente. Se comprobará:
    • El cumplimiento de todos los requisitos de la norma de referencia u otra normativa aplicable
    • El control operacional de los procesos del cliente

A la finalización de la auditoría de fase 2 se emitirá un segundo informe de auditoría en el que se incluirán, según corresponda, los hallazgos o desviaciones encontradas y las recomendaciones del equipo auditor respecto a la certificación.

Tratamiento de desviaciones

Para que la entidad emita el certificado correspondiente es necesario tratar los comentarios en los plazos acordados, en caso contrario se podría llegar a cancelar el proceso de certificación.

Los comentarios que pueden aparecer en un informe de auditoría son:

  • No conformidades menores u observaciones. El cliente debe notificar las acciones correctoras a la entidad certificadora para su evaluación.
  • No conformidades mayores o no conformidades. El cliente deberá notificar las acciones correctoras y las evidencias que permitan el cierre mediante una evaluación.

El cierre de los comentarios y su aceptación por el auditor jefe son necesarios para emitir el certificado.

Emisión y mantenimiento de certificados

La entidad certificadora revisará los informes de auditoría, acciones correctoras y cualquier otra información relevante y tomará la decisión en cuanto a la emisión/mantenimiento/renovación del certificado, según corresponda.

El certificado será válido, normalmente, por un período de tres años desde la fecha en la que entidad certificadora decide su emisión. El mantenimiento de la validez de un certificado queda sometido al cumplimento de los requisitos de certificación y, generalmente, se realiza una vez al año.

Características de la auditoría (interna) ISO 27001

La Norma UNE-EN ISO 19011 describe varios principios que deberían ayudar a hacer de la auditoría interna una herramienta eficaz y fiable proporcionando información sobre como una determinada organización puede mejorar su desempeño en materia de seguridad de la información. El cumplimiento de estos principios es un requisito previo para proporcionar conclusiones que sean pertinentes y para permitir a los auditores que, trabajando de forma independiente entre sí, alcancen conclusiones similares en circunstancias similares.

auditores iso 27001
  • Integridad

    El fundamento de la profesionalidad. El equipo auditor debe desempeñar su trabajo con honestidad, diligencia y responsabilidad; demostrar su competencia e imparcialidad al desempeñar su trabajo.

  • Presentación imparcial

    La obligación de informar con veracidad y exactitud. Los hallazgos, las conclusiones y los informes de la auditoría deben reflejar con exactitud y veracidad las actividades de la auditoría.

  • Debido cuidado profesional

    La aplicación de diligencia y juicio al auditar. Un factor importante es tener la capacidad de hacer juicios razonados en todas las actuaciones de la auditoria.

  • Confidencialidad

    Seguridad de la información. La información de la auditoria no debería usarse inapropiadamente para beneficio personal y se debe proceder con discreción en el uso y la protección de la información adquirida. La información sensible o confidencial debe tener un tratamiento adecuado

  • Independencia

    La base para la imparcialidad de la auditoría y la objetividad de las conclusiones. Siempre que sea posible los auditores deben ser independientes a la actividad que se audita para actuar libre de sesgo y conflicto de intereses. Esta objetividad debe mantenerse a lo largo de toda la auditoria para asegurarse de que los hallazgos y conclusiones están basados solo en la evidencia de la auditoria.

  • Enfoque basado en la evidencia

    Las evidencias deben ser verificables. Se debe aplicar el uso apropiado del muestro, ya que la auditoria se lleva a cabo durante un periodo de tiempo limitado.

¿Para que sirve una auditoría (interna) ISO 27001?

Las auditorías internas constituyen una potente herramienta de control y seguimiento de la eficacia del sistema de gestión de seguridad de la información. Dichas auditorías sirven para:

  • Detectar riesgos en materia de seguridad,
  • Detectar desviaciones en el cumplimento de los requisitos y
  • Detectar mejoras para el sistema.
Auditoría Interna ISO 27001

Cómo realizar una auditoría interna del SGSI

Programa y planificación de auditoría interna del SGSI

La UNE-EN ISO 19011 de “directrices para la auditoría e los sistemas de gestión” define el programa de auditoría se define en como “los detalles acordados para un conjunto de una o más auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito especifico”. En este programa de auditoría se debe indicar:

  • El periodo de tiempo comprendido. Los programas suelen realizarse para un año o tres años, dependiendo de la complejidad de la organización.
  • La programación de auditorías. Para programarlas se debe tener en cuenta la importancia de los procesos, los cambios que afectan a la organización y los resultados de las auditorias previas. La programación debe cubrir todas las actividades y los centros.

Cuando se acerca la fecha de nuestra auditoría interna se suele preparar un Plan de Auditoría, con la finalidad de planificar la jornada y comunicarlo a los auditados con antelación. El Plan de Auditoría tiene que establecer:

  • El alcance de la auditoría. Qué se va a auditar: todo el Sistema de Gestión de la Calidad, unos procesos determinados o un producto/servicio concreto.
  • Fechas y horarios de realización de la auditoría. La duración de la auditoría se determinará en función del alcance de la auditoría y de la complejidad de los procesos auditados.
  • Lugares de las actividades de la auditoría.
  • Los participantes. Deben determinarse las personas o puestos de la organización que serán entrevistados en cada parte de la auditoría.
  • El equipo auditor. Quien/quienes se va/n a ocupar de auditar los procesos. El equipo auditor debe contar con la cualificación y experiencia adecuadas, y debe asegurarse la objetividad y la imparcialidad del proceso auditado. Es por este motivo por lo que, habitualmente, las auditorías internas las realizan personas ajenas a la organización, subcontratadas al efecto.

Es fundamental que la auditoría interna se planifique con la antelación suficiente. Debe informarse del contenido del Plan de la Auditoría a todo el personal involucrado para garantizar su disponibilidad.

Realización de auditoría interna

La realización de la auditoría debe hacerse siguiendo el plan establecido, aunque pueden realizarse cambios de última hora si surgieran necesidades imprevistas a los departamentos o participantes auditados.

La auditoría se realiza mediante entrevistas con los responsables de los procesos y el personal involucrado, la consulta de documentos y registros relacionados con la operación de los procesos, y la observación in situ, verificando que se aplican y cumplen los requisitos establecidos.

La norma 27001 es muy especifica y emplea vocabulario técnico, por lo que el equipo auditor debe contar con la suficiente competencia y experiencia para comprender la complejidad de la información a revisar y analizar.

Emisión de informe de auditoría y conclusiones

Una vez que se ha finalizado la etapa de búsqueda de evidencias, se procede a elabora un Informe de Auditoría Interna. El informe debe proporcionar un registro de la auditoria completo, preciso, conciso y claro. Los auditores deben asegurar la veracidad de la información contenida en el informe. Como mínimo, el informe debe incluir la identificación del equipo auditor, las fechas y las ubicaciones auditadas, el alcance y criterios de la auditoría (que deben coincidir con los especificados en el plan) y los hallazgos. También podría incluir notas trazables relativas a los elementos auditados, personas entrevistadas, y documentos/registros consultados.

Los resultados de la auditoría deben comunicarse a la dirección pertinente, y las desviaciones detectadas tendrán que ser abordadas sin demora injustificada. Además, los resultados y conclusiones más relevantes de las auditorías internas constituyen uno de los elementos de entrada más relevantes de la revisión del sistema por la dirección.

Te garantizamos un servicio a medida para tu empresa
Estudiamos a conciencia las necesidades de tu negocio y te ofrecemos soluciones totalmente personalizadas

Solicita asesoría