¿Cómo obtener la certificación ISO 27001?

Certificación ISO 27001

Si su empresa va a pasar por el proceso de auditoría de certificación ISO 27001 puede ser que se esté realizando la siguiente pregunta: ¿Qué me preguntará el auditor?

La gran mayoría de auditores no suelen llevar prepara una lista de preguntas, ya que cada organización es diferente, por lo que deben improvisar. El trabajo que realizar un auditor para otorgar la certificación ISO 27001 será el de revisar la documentación, hacer preguntar y buscar pruebas que certifiquen que se cumplen los requisitos que establece la norma ISO 27001.

La norma ISO 27001 establece una serie de requisitos, que la organización tiene que cumplir. Para comprobar que se cumple con lo dice la norma, el auditor debe examinar los procedimientos, registros, políticas y personas. Las personas serán estudiadas mediante entrevistas personales en la que las preguntas que se realicen irán encaminadas a conocer que el Sistema de Gestión de Seguridad de la Información se encuentra bien implementado en la empresa.

Para las personas de la organización sería muy interesante conocer cómo piensan los auditores que participarán en la auditoria de certificación ISO 27001.

Documentación obligatoria

El auditor de certificación ISO 27001 deberá realizar una revisión de toda la documentación que existe en el Sistema de Gestión de Seguridad de la Información, se suelen pedir todos los documentos que establece la norma ISO 27001. En el caso de los controles de seguridad, se utiliza la Declaración de Aplicabilidad cómo guía. Existe una serie de documentos que son obligatorios y éstos son establecidos por la norma ISO 27001.

Además de los documentos obligatorios, el auditor debe revisar todos los documentos que la empresa desarrolle para apoyar la implementación del Sistema de Gestión de Seguridad de la Información o para la implantación de los controles de seguridad.

Evidencias

Una vez comprobada la existencia de los documentos del Sistema de Gestión de Seguridad de la Información se debe continuar y el siguiente paso será el de verificar que todo lo que se encuentra escrito en los documentos corresponde con la realidad.

Podemos poner el siguiente ejemplo: la organización define que la política de seguridad de la información se debe revisar cada año. El auditor puede preguntar si se ha revisado la política de seguridad pero no puede fiarse sólo de la palabra sino que debe comprobarlo, por lo que necesita pruebas. La evidencia puede estar incluida en los registros, en las actas de reunión, etc. La siguiente pregunta puede ser que le muestre los registros en los que aparece la fecha en la que se revisó la política de seguridad de la información.

En cuanto a los controles de seguridad, que también necesitan evidencias, se suele utilizar registros, archivos de sistema, diagrama de la red, configuración de plataforma, etc.

Entrevistas

En el momento de realizar las entrevistas el auditor de certificación ISO 27001 sabe que la organización utiliza la documentación necesaria, pero necesita conocer si las personas implicadas en el Sistema de Gestión de Seguridad de la Información se encuentran familiarizadas con dichos documentos y los utilizan para llevar a cabo las actividades.

Uno de los aspectos más importantes de la norma ISO 27001, no es la norma en sí sino que los trabajadores de la organización se encuentren concienciados. El auditor tiene que realizar entrevistar con las personas de la organización para conocer el grado del conocimiento de los documentos importantes del SGSI. Éstos suelen ser:

• La política de Seguridad de la Información
• Las cláusulas de confidencialidad
• Utilización de los activos
• Política de control de acceso

Las preguntas que se pueden realizar durante la revista son:

• ¿Tiene acceso a las normas internas de la empresa que tengan relación con la seguridad de la información?
• ¿Me puede enseñar algunas de las políticas que se encuentran relacionadas?
• ¿Puede decirme cuáles son los puntos más importantes de la política de seguridad?

El auditor también se puede entrevistar con los responsables de los procesos, de áreas físicas y departamentos, de los que obtendrá la percepción de cómo aplican la norma ISO 27001 en la organización. Durante la entrevista las preguntas se dirigirán para familiarizarse con las funciones y los roles que las personas tienen en el Sistema de Gestión de Seguridad de la Información y conocer si cumplen con los controles implantados en la empresa.

Cómo debe preparase

Como resumen podemos decir que un auditor de certificación ISO 27001 puede solicitar la siguiente información:

• Los documentos requeridos por la norma ISO 27001 y cualquier documento que existe en el Sistema de Gestión de Seguridad de la Información.
• Comprobar el cumplimiento de los documentos.
• Realizar entrevistas personales.

Si quiere estar preparado para las preguntas que el auditor de certificación ISO 27001 puede realizar lo primero que debe hacer es comprobar que dispone de todos los documentos que pueden ser requeridos y después comprobar que la organización hace todo lo que dice en los documentos y puede ser probado. Es muy importante que la gente conozca los documentos que son aplicables. Se debe asegurar que su organización implantó eficazmente la norma ISO 27001 y acepta las operaciones que debe realizar cada día, ya que si no realiza esto se podrá pensar que la documentación ha sido creada para satisfacer al auditor de certificación ISO 27001.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.