En este artículo te contaremos qué es una auditoría interna, cómo puedes prepararte para una, qué requisitos debes cumplir para que los resultados sean los mejores, las recomendaciones generales más importantes y otras cosas más 🚀.
T U T O R I A L
Si lo deseas, puedes ver nuestros vídeos con velocidad de 1.2x 🤓
L E C T U R A
¿Qué es una auditoría interna?
Podemos definir una auditoría interna de varias formas:
Como un elemento básico para el control y mantenimiento del cumplimiento normativo.
Recordemos que la ISO 27001 solicita aplicar auditorías internas periódicamente para asegurar que el SGSI de la organización está generando los resultados esperados.
Como una de las herramientas más importantes para identificar insuficiencias y situaciones de riesgo en el programa de seguridad.
Esto es esencial si te encuentras en un proceso de certificación, ya que la auditoría interna te permitirá encontrar esas insuficiencias a tiempo y corregirlas antes de ir a una auditoría externa.
Como un proceso independiente y objetivo que evalúa la eficacia y eficiencia de los procesos de una organización.
Las auditorías internas son una buena práctica en general, por lo que aunque no estés buscando una certificación o cumplimiento normativo, pueden aportar información valiosa para la mejora continua de los procesos de tu empresa.
Objetivos de una auditoría interna en ISO 27001
La aplicación de una auditoría interna para la ISO 27001 tiene los siguientes objetivos generales:
Asegurar que tu SGSI cumple con todos los requisitos normativos aplicables a tu organización.
Comprobar que los requisitos normativos y los procesos de la organización se han integrado correctamente.
Garantizar que lo documentado en las políticas y procedimientos que generaste, efectivamente está siendo aplicado en las operaciones de la empresa.
Beneficios de una auditoría interna
Entre los beneficios más relevantes podemos destacar los siguientes:
La detección temprana de problemas en tu SGSI o programa de seguridad.
La definición y aplicación de acciones correctivas antes de llegar a una auditoría externa, cuando tu objetivo es una certificación.
La identificación de oportunidades de mejora en los procesos de la organización.
Brinda seguridad y confianza ante una entidad certificadora externa de que el sistema de seguridad está siendo revisado y mejorado de forma periódica.
La creación de una cultura de seguridad de la información dentro de la empresa que alcance a todos los colaboradores.
¿Qué diferencia hay entre una auditoría interna y una auditoría externa (de certificación)?
Aunque la ejecución es muy similar, una auditoría interna funciona como una revisión de preparación para la auditoría de certificación. Su objetivo es validar el desempeño de tu SGSI o programa de seguridad para hacer los ajustes y/o correcciones necesarias a tiempo.
Mientras que la auditoría externa o de certificación tiene como objetivo evaluar la implementación de tu SGSI o programa de seguridad para determinar si eres acreedor a la certificación del estándar o no.
💡 Recordemos que para una certificación ISO 27001 no se considera certificada la empresa como un todo, sino que se certifican los procesos que definiste dentro de tu alcance.
La auditoría interna además, es un requisito normativo importante que también forma parte del cumplimiento, por lo que durante una auditoría externa se te solicitará evidencia de su aplicación, como por ejemplo un informe de resultados y/o tu plan de acciones correctivas para mostrar cómo tratarás los hallazgos encontrados.
Si quieres conocer más sobre las auditorías externas, te recomendamos leer el siguiente artículo.
¿Cómo solicitar una auditoría interna con Hackmetrix?
Antes que nada, recuerda que para poder pasar por cualquier tipo de auditoría, primero se deben cumplir una serie de criterios importantes que te permitirán estar muy bien preparado.
Por ello, para comenzar una auditoría interna con Hackmetrix debes tener terminadas las actividades hasta la fase 9 de nuestro plan de acción para ISO 27001, considerando todas aquellas actividades que sean aplicables a tu organización.
Con esto ya tendrás todos los elementos necesarios para afrontar sin problema el proceso de nuestra auditoría 😎.
Ahora bien, ¿cómo puedes solicitarla? ¡Súper fácil!, si ya cuentas con las 54 actividades terminadas, solo acércate con tu Customer Success Manager para comenzar a coordinar y planificar tu auditoría.
Requisitos para realizar una buena auditoría interna
Además de ya tener terminadas las 54 actividades que te mencionamos previamente, existen otros requisitos importantes para que tu auditoría interna sea un éxito ✨, ¡sigue leyendo que a continuación te lo contamos todo!
Estudia las cláusulas y los requisitos de la norma aplicables a tu organización. No es necesario que te los aprendas de memoria ni nada por el estilo, pero sí es muy importante que conozcas sobre ellos y sepas qué evidencias tienes para cumplirlos.
Para esto puedes apoyarte de nuestra plataforma, y si quieres saber cómo usarla para tus auditorías, te recomendamos leer el siguiente artículo.
Lee tu documentación y tenla siempre disponible. Al momento de generar la documentación que sustenta tu SGSI puedes pensar que con eso es suficiente, ¡pero no es así! Un solo documento puede contar con evidencia para múltiples controles, por lo que es súper importante que los leas y conozcas el contenido completo para poder mostrar al auditor la evidencia adecuada fácil y rápidamente.
Esto aplica a todos los colaboradores que participen en la auditoría, lo que nos lleva al siguiente requisito.
Involucra a todas las personas necesarias y asigna las responsabilidades adecuadamente. Recuerda que todas las áreas alcanzadas por tu SGSI deben tener una participación en la auditoría, por lo que el encargado del proyecto debe asegurarse de notificar a todos los involucrados de que su presencia es requerida, y de comunicar adecuadamente las responsabilidades que tendrán durante la auditoría, las cuáles incluyen asistir a la reunión puntualmente, conocer la documentación de su área, cómo se cumplen los requisitos aplicables a su área, mostrar la evidencia pertinente, etcétera.
Planifica la auditoría con anticipación con todos los involucrados. Coordina internamente con todo tu equipo los horarios y días en los que serán requeridos para la auditoría, y de ser el caso, incluso las ubicaciones en las que estarán tomando las reuniones para evitar algún imprevisto.
Esto es súper importante y nos lleva al siguiente requisito.
Reserva el tiempo necesario. Ningún tipo de auditoría es rápida si deseas tener éxito, por lo que es esencial reservar el tiempo suficiente para auditar completamente cada área y proceso involucrado. Como tal, no existe una regla para definir el tiempo que debe asignarse a cada tarea, ya que depende de varios factores, como por ejemplo la madurez de tu SGSI o programa de seguridad, el tamaño de tu organización e incluso la cantidad de hallazgos identificados en la auditoría anterior, si es que ya realizaste una.
Nuestra auditoría interna está diseñada para ser lo más rápida y eficiente posible, y para que funcione aún mejor, la buena disposición de los participantes siempre tiene un gran valor en este proceso ⭐.
No le restes importancia a esta auditoría. Aunque esta auditoría no es la que determina si te certificas o no, recuerda que forma parte de tu cumplimiento normativo, por lo que es necesario aplicarla y atenderla con formalidad. Además, los hallazgos encontrados aquí son de suma importancia para tu preparación a la auditoría externa, y pueden definir si realmente te encuentras listo para afrontarla.
¿Quiénes deben participar?
La auditoría interna que ofrece Hackmetrix consta de 2 fases:
Fase 1: Se revisan las cláusulas y requisitos normativos de ISO 27001. Aquí se revisan principalmente las actividades de Política de SGSI, Metodología de Gestión de Riesgos, Matriz de Riesgos, Metodología de Indicadores de Seguridad, Listado de Métricas e Indicadores.
💡 Las personas que recomendamos involucrar en esta primera fase son el comité de seguridad y/o encargado del proyecto de certificación. También recomendamos invitar a todas aquellas personas que tengan conocimiento sobre la documentación antes mencionada o que puedan complementar con información de valor.
Fase 2: Se revisa la implementación de los controles normativos (sugeridos en la ISO 27002) aplicables a la empresa. Aquí se revisan la Política de Seguridad de la Información, todas las políticas particulares de seguridad, los procedimientos operativos y las evidencias derivadas de su implementación.
💡 Podemos agrupar a las personas que recomendamos involucrar en esta segunda fase de la siguiente manera (considerando la ISO 27001 en su versión 2022):
Para la revisión de los controles A.5 se debe invitar principalmente al comité de seguridad y/o encargado del proyecto de certificación. Así como también a las áreas o personas que realizaron el inventario de activos y los documentos asociados a la gestión de accesos, gestión con proveedores, gestión de incidentes, gestión de contratos o área legal.
Para la revisión de los controles A.6 se debe invitar principalmente al área de Recursos Humanos.
Para la revisión de los controles A.7 se debe invitar principalmente al comité de seguridad y/o encargado del proyecto de certificación. Estos controles abordan la seguridad física, por lo que si dentro de su empresa tienen asignado a un responsable en específico, sería la persona ideal a sumar para esta revisión.
Para la revisión de los controles A.8 se debe invitar principalmente al área de Tecnología y/o las áreas que son alcanzadas por su SGSI y que fueron las responsables de realizar configuraciones a los sistemas y/o infraestructura tecnológica de la empresa, de implementar seguridad en las redes, en los dispositivos, etcétera.
Estos controles abordan aspectos más técnicos por lo que es muy importante sumar a las personas que sepan cómo mostrar las evidencias de lo que implementaron a nivel tecnológico dentro de su SGSI, y que cuenten con los permisos pertinentes para ello.
¡Para esto, pueden prepararse con la información y evidencia recolectada en la actividad 54 del plan de acción de Hackmetrix!
¿Qué sigue después de terminar la auditoría interna?
Una vez terminada la auditoría interna y que ya cuentes con tu informe de resultados disponible, debes analizar bien la información para tomar las mejores decisiones.
Estas decisiones deben estar orientadas a tratar los hallazgos encontrados por medio de acciones correctivas, las cuales:
Deben ser acordadas con los responsables de los departamentos involucrados.
Deben quedar registradas y documentadas.
Para esto puedes apoyarte de nuestra plantilla de Plan de Tratamiento de Acciones Correctivas y de Mejora.
Deben ser planificadas correctamente para su implementación.
Deben ser monitoreadas para verificar su efectividad.
💡 Te recomendamos reunirte con la alta dirección y tu comité de seguridad de la información para presentar apropiadamente los resultados de la auditoría, las acciones correctivas que se tengan hasta el momento, y definir en conjunto los pasos a seguir para continuar el camino hacia la certificación.
Ahora que ya sabes todo sobre una auditoría interna, ¡sigue trabajando y pronto estarás listo para tomarla! 💪🏼
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.