¿Cómo afrontar una auditoría de certificación para la norma ISO 27001:2013?

Norma ISO 27001:2013

Si su organización va a pasar por un proceso de auditoría de certificación según la norma ISO 27001:2013, seguramente se realizará algunas preguntas como pueden ser:

¿Cuáles serán las preguntas que realizará el auditor?

Pero el auditor también realiza algunas preguntas como puede ser: ¿Qué tipo de respuesta recibiré?

Gran parte de los auditores no suelen llevar un listado de preguntas, ya que cada organización es un mundo diferente, por lo que deben improvisar dentro de unos criterios establecidos. El trabajo que realiza el auditor será revisar la documentación, realizar preguntas y buscar pruebas. La norma ISO 27001:2013 establece una serie de requisitos, que la organización debe cumplir. Para comprobar el cumplimiento de la norma ISO 27001:2013 . El auditor tiene que revisar los procedimientos, los registros, la política de seguridad y personas. En cuanto a las personas de la organización, se deberán realizar entrevistas para asegurarse de que el Sistema de Gestión de Seguridad de la Información se encuentra perfectamente implementado en la empresa.

Es importante que las empresas sepan cómo piensan los auditores, y eso se obtiene con la experiencia.

Documentación obligatoria

Lo primero que debe hacer el auditor será revisar toda la documentación que existe en el Sistema de Gestión de Seguridad de la Información y pedir evidencias de los documentos que son requeridos por la norma ISO 27001:2013. En el caso de los controles de seguridad, se utilizará la Declaración de Aplicabilidad cómo guía.

Además de los documentos obligatorios, el auditor también revisará todos los documentos que la organización haya desarrollado para apoyar la implementación del Sistema de Gestión de Seguridad de la Información o la implantación de diferentes controles. Como ejemplo podemos decir, el diagrama de red, el listado de la documentación, el plan del proyecto, etc.

Evidencia

Una vez se comprueban todos los documentos que forman parte del Sistema de Gestión de Seguridad de la Información, el siguiente paso será verificar que todo se encuentre escrito y que corresponda con la realidad.

Podemos poner el siguiente ejemplo, la empresa define una política de seguridad de la información que se revisa cada año. El auditor preguntará si se ha revisado este año, pero necesita también una evidencia ya que no puede confiar lo que no ve. La evidencia debe encontrase en los registros, actas de reuniones, etc. por lo que el auditor pedirá esta información al auditado, si no cuenta con ella se le levantará una no conformidad que debe ser corregida.

En cuanto a los controles de seguridad, buscando también alguna evidencia de su aplicación, aunque este caso los registros puede ser registros, archivos del sistema, diagramas, configuración de plataformas, acuerdos con proveedores, etc.

Entrevistas

El auditor conoce que la organización documenta todo lo que utiliza, por lo que será necesario comprobar si las personas que trabajan en dicha organización se encuentran familiarizadas con ellos y se utilizan para desempeñar las actividades diarias, es decir, debe comprobar si se está trabajando bien con el Sistema de Gestión de Seguridad de la Información en la organización.

Uno de los aspectos más importantes de una organización que cuenta con el certificado según la norma ISO 27001:2013 es la concienciación de los trabajadores. Por lo que, el auditor tiene que llevar a cabo entrevistas a los diferentes miembros del personal para conocer su grado de conocimiento, al menos los documentos más importantes que se aplican a ellos:

• Política de seguridad de la información.
• Cláusulas de confidencialidad.
• Utilización aceptable de los activos.
• La política de control de acceso.

Las preguntas que puede realizar el auditor durante las entrevistas a los trabajadores son:

• ¿Tiene usted acceso a las normas internas de la empresa que se relacionan con el Sistema de Gestión de Seguridad de la Información?
• ¿Me puede enseñar algunas de las políticas relacionadas?
• ¿Puede decirme cuáles son los puntos que, según usted, son más importantes de la política de seguridad de la información?

El auditor también se puede entrevistar con los responsables de los diferentes sistemas, áreas físicas y departamentos, para obtener sus percepciones de la aplicación de la norma ISO 27001:2013 en la organización. Durante estas entrevistas, las preguntas van dirigidas a la familiarización de las personas con las funciones y los roles que tienen, además de conocer si cumplen con todos los controles que se encuentran implementados.

En resumen podemos decir que el auditor suele solicitar:

• Los documentos que se requieren por parte de la norma ISO 27001:2013 y cualquier documento que existe en el Sistema de Gestión de Seguridad de la Información.
• Comprobar que se cumple con los documentos establecidos, como puede ser la política de seguridad de la información, los procedimientos, etc.
• Realizar entrevistar con los trabajadores de la organización.

Por lo que si desean estar bien preparadas antes las preguntas que realiza el auditor puede considerar, primero que compruebe que dispone de todos los documentos requeridos, y luego comprobar que la organización hace todo lo que dice, además debe estar seguro de que puede probar todo lo que tiene escrito mediante registros. Es muy importante que los trabajadores conozcan ‘los documentos que se les puedan aplicar. Se debe asegurar de que la organización implementó la norma ISO 27001:2013 y que acepta todas las operaciones diarias, esto no será posible si su documentación se creó sólo para satisfacer la auditoría de certificación.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.