Introducción 📚
La auditoría externa es el elemento básico para la evaluación del cumplimiento y la consistencia de la implementación de los requisitos establecidos por la norma ISO 27001, o cualquier otro estándar o normativa de seguridad, dentro de tu organización.
Para entender un poco más sobre la auditoría externa y cómo es el lenguaje utilizado, a continuación te explicamos algunos de los conceptos más importantes:
Criterios en una auditoría:
Es el conjunto de políticas, procedimientos y/o requerimientos que determinan las actividades para la revisión y evaluación del SGSI.
Evidencias de auditoría:
Son registros, constancia e información de los hechos que son relevantes para el criterio de auditoría, los cuales son verificables.
Hallazgos en auditoría:
Son los resultados de la evaluación de las evidencias seleccionadas, contra el criterio del auditor en la revisión.
Conclusión de auditoría:
Es el resultado de una auditoría proporcionada por un equipo auditor capacitado después de la ejecución de la misma, con base en los objetivos y los hallazgos identificados.
Auditado:
Es una organización o conjunto de personas que están bajo la evaluación de una auditoría.
Conforme:
Es el cumplimiento de un requisito conforme a las normas de referencia, por ejemplo la ISO 27001, los procedimientos propios de la organización o la regulación aplicable.
Observación:
Es una inconsistencia en el cumplimiento de un requisito que, basado en la experiencia y juicio del auditor, tiene un riesgo mínimo de incumplimiento con la norma de referencia o de impacto a los objetivos del sistema de gestión.
Una observación no tiene la categoría de no conformidad, sin embargo es un hallazgo, el cual debe ser informado a la organización o personas involucradas para su revisión, con la finalidad de evitar posibles no conformidades en futuras ocasiones.
No conformidad menor:
Es un incumplimiento parcial de un requisito conforme a las normas de referencia, los procedimientos propios de la organización o la regulación aplicable.
Cabe mencionar que cuando se tiene una no conformidad menor en tu auditoría externa, es certificable en el momento.
No conformidad mayor:
Es una ausencia o falla en la implementación o mantenimiento de uno o más requisitos de la norma de referencia, procedimientos propios de la organización o la regulación aplicable. O incluso una situación que pudiera, basándose en evidencias o evaluaciones objetivas, crear una duda razonable sobre el cumplimiento.
Cabe mencionar que cuando se tiene una no conformidad mayor en tu auditoría externa, el auditor te dará un periodo de tiempo para solucionarlas y poder revisarlas nuevamente, por lo que no se otorga la certificación inmediatamente.
¿Cuáles son las fases de una auditoría externa? 📅
Ya conociendo los conceptos básicos podemos ver las fases en las que se divide una auditoría externa para certificación en ISO 27001.
Fase 1
En esta primera fase, el auditor revisará todas las cláusulas de ISO 27001 pero donde se enfocará principalmente es en los siguientes puntos:
Definición de tu alcance SGSI.
Política general de seguridad de la información.
Evaluación de riesgos.
Los objetivos de tu SGSI.
Métricas y mejora continua del SGSI
Tu informe de auditoría interna.
Documentación que da cumplimiento a las cláusulas ISO 27001
Esta revisión se lleva a cabo en máximo 1 o 2 días, y al final de ésta el auditor te entrega el primer informe de auditoría, donde podrás ver cuáles son las no conformidades u observaciones identificadas que deberás corregir para llegar a la Fase 2.
¡Pero tranquilo, no hay por qué alarmarse! 🙌 Aquí vas a poder comprender cómo estás implementando el SGSI hasta ahora y las oportunidades de mejora a aplicar.
Fase 2
Esta fase se lleva a cabo en 3 o 4 semanas aproximadamente, dependiendo del auditor.
Aquí el auditor va a revisar todos los controles técnicos del anexo A de la ISO 27001, es decir los controles definidos en la ISO 27002. Además, solicitará que el responsable de cada área que esté involucrada en el alcance de tu SGSI sea entrevistado.
Algunos de los puntos más importantes que el auditor revisa en esta fase son los siguientes:
La clasificación de la información y sus etiquetas.
El conocimiento del personal entrevistado sobre el alcance del SGSI implementado.
El conocimiento del personal entrevistado sobre las políticas y procedimientos que realizó la organización.
La implementación correcta de los procedimientos documentados.
La forma de aplicar las legislaciones en la organización.
En esta fase lo más importante es que las personas entrevistadas conozcan y sepan explicar por qué se está buscando la certificación ISO 27001 y sus principios.
Consejos para realizar una buena auditoría externa ✅
Conocer qué es lo que se revisará en una auditoría externa puede ayudarte a estar lo más preparado posible por lo que es importante que sepas que, particularmente una auditoría para ISO 27001 se enfoca en buscar evidencia puntual sobre los siguientes aspectos:
La aplicación correcta de los controles.
La existencia de programas de capacitación y concientización para los empleados sobre seguridad de la información, su importancia y el papel que cada uno de ellos desempeña en el cumplimiento de este propósito.
El contar con la información acerca de la aplicación de los requisitos de ISO 27001 y su desempeño, así como también de los resultados de auditorías y de las recomendaciones hechas con anterioridad.
el contar con los informes de incidentes de seguridad de la información en los que se incluya una descripción de lo ocurrido, el impacto que tuvo el incidente y las acciones que se tomaron para evitar que volviera a ocurrir.
Si es la primera certificación es súper normal ponerse nervioso ¡pero tranquilo! Recuerda que este será un gran paso para tu empresa y te traerá muchos beneficios. No olvides apoyarte de la plataforma de Hackmetrix para guiarte en la documentación 🚀.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.