ISO 27001 versión 2013 ¿Qué hay después de la auditoría de certificación?

ISO 27001 versión 2013

Para las empresas que ya tienen un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 versión 2013, el evento de auditoría de certificación ya se sabe: el auditor llega, realizar la apertura de la auditoría, realiza una evaluación de los procesos y los registros, elabora un informe y cierra la fase del proceso de auditoría.

Según el contenido del informe, puede haber una gran cantidad de trabajo para una empresa, para que así obtenga el máximo valor de dicho informe, y no se olvide de ciertas cuestiones cruciales.

Informe de auditoría

En general, un informe de auditoría se compone de:

• Identificación de los datos: ID de informe y la fecha, período de la auditoría, el equipo de auditoría, etc.
• Alcance: la unidad organizativa, proceso o producto que fue auditado.
• Criterios de evaluación: la referencia utilizada para realizar la auditoría.
• Pruebas de rutas: una breve descripción de lo que fue auditado (nombres de procesos, ubicaciones, evidencias, etc.)
• Resultados: conclusiones del equipo de auditoría, que incluyen: estado de recomendación, las No Conformidades y oportunidades para mejorar.

Estado de la recomendación

El resultado más importante del informe de auditoría de certificación es que se establece si el SGSI de la organización cumple con los requisitos de la ISO 27001 versión 2013, y otorga la certificación. Existen diferentes estados que pueden ser: «recomienda», «recomienda al desarrollo del plan de acción», y «no es recomendable.»

El estado «recomendado» significa que no se identificaron no conformidades durante la auditoría. Para los otros dos tipos, la diferencia se refiere al tipo de No Conformidades identificadas, así como lo que usted debe hacer para lograr su certificación de SGSI.

Las No Conformidades

Las No Conformidades se producen cuando la organización no cumple con lo requerido por la norma ISO 27001 versión 2013, por su propia documentación, o por un tercero. Algunos ejemplos de las No Conformidades son:

• La falta de un registro específico requerido por la organización.
• Una práctica habitual adoptada y mantenida por la organización que no está documentada.
• Un proceso que es requerido por la norma ISO 27001 versión 2013 y no se está realizando correctamente.

Ante una No Conformidad, según la norma ISO 27001 versión 2013, la organización debe:

1. Reaccionar de una forma adecuada para controlarlos y corregirlos.
2. Tratar las consecuencias.
3. Evaluar la necesidad de eliminar las causas de la No Conformidad.
4. Implementar acciones correctivas para hacer frente a las causas.
5. Revisar la eficacia de las acciones correctivas.
6. Cambiar el SGSI de la organización siempre que sea necesario.

Para la auditoría de certificación, las No Conformidades se clasifican como mayores o menores, definiendo las acciones exigidas.

Una No Conformidad menor es una desviación que no comprometa la gestión del SGSI, y conduce a la condición de «recomendado en el desarrollo del plan de acción». Para este tipo de No Conformidad, un simple plan de acción  se definirá y se envía al auditor. Tras la recepción y aprobación del plan, el auditor procede a la recomendación para la certificación bajo la norma ISO 27001 versión 2013. Se debe tener en cuenta que tiene una fecha límite para enviar este plan (de 5 a 10 días), y en la próxima auditoría los resultados del plan serán evaluados por el auditor.

Por otro lado, las principales No Conformidades son problemas que ponen en peligro las operaciones del SGSI en su conjunto, lo que encontramos con el estado de «no recomendado». Una vez identificados, la empresa debe corregir las principales No Conformidades antes de la auditoría de certificación. Y, ya que estos problemas normalmente necesitan tiempo para ser corregidos, se requiere una nueva visita por el auditor para finalizar el proceso. Los buenos procesos de supervisión son una excelente manera de evitar este tipo de problemas.

Oportunidades para mejorar

Estas son situaciones en las que, según el punto de vista del auditor, la organización puede aumentar la idoneidad, adecuación o eficacia de su SGSI. Algunos ejemplos sobre las oportunidades de mejora son:

• Incorporación de tecnologías nuevas o actualizadas.
• Adopción / exclusión de las actividades en los procesos de negocio.

La auditoría se basa en muestras para evaluar la conformidad, representa sólo una fracción de la realidad de la organización, no hay ningún requisito estándar exigido a una organización para tratar las oportunidades de mejora, pero siempre debe ser revisada para determinar su valor para la organización y la implementación de la norma ISO 27001 versión 2013.

El informe de auditoría en el examen de la gestión

Los resultados de auditoría se requieren insumos para una revisión por la dirección, se preparará la organización para presentar a la gestión de las No Conformidades identificadas, planes de acción definidos, y las evaluaciones de las oportunidades de mejora.

En esta situación, no sólo el informe es útil para el auditor, sino también la información proporcionada por los que acompañaron el proceso de auditoría. Ellos pueden proporcionar ideas sobre aspectos no identificados por el auditor, pero que pueden ser fuentes de vulnerabilidades y oportunidades de mejora.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.