¿Cómo puedo preparar a mi empresa para una auditoría ISO 27001?

Realizar auditorías internas y externas es esencial para garantizar el funcionamiento adecuado de los sistemas de protección de las empresas. Por ello, las distintas normas ISO (ISO 27001, ISO 27011, ISO 9001, ISO 19011, etc.) tienen sus respectivos procesos de auditoría. Una preparación profesional para auditoría ISO 27001 evita hallazgos críticos y reduce el riesgo de no conformidad.

A continuación te explicamos cómo puedes preparar tu empresa para una auditoría ISO 27001 que te lleve a obtener la certificación de esta norma.

¿Qué es una auditoría ISO 27001?

Una auditoría ISO 27001 es un proceso sistemático y documentado que permite verificar si el sistema de gestión de seguridad de la información (SGSI) funciona de manera eficiente para cumplir los objetivos de seguridad de la organización, y si cumple con los requisitos de la norma ISO 27001.

La realización de las auditorías ISO 27001 es uno de los requisitos esenciales que establece esta norma internacional para garantizar que las empresas han establecido políticas de seguridad adecuadas y que están continuamente buscando oportunidades de mejora en esta área.

¿Cuál es el objetivo de llevar a cabo una auditoría?

Al llevar a cabo un proceso de auditoría ISO, se pretende comprobar que las funciones y procesos relacionados con la seguridad de la información de una empresa cumplen con los requisitos mínimos establecidos. Esto implica la verificación de los siguientes puntos:

• El SGSI implementado está adecuado a los requisitos de la norma ISO 27001.
• Los objetivos y procesos de la empresa se han adaptado para cumplir con los requisitos de seguridad exigidos por el SGSI.
• Los miembros de la empresa comprenden la importancia de cumplir con las normas establecidas por el SGSI, y las implicaciones de no hacerlo.

Dicho de otra forma, las auditorías de sistemas de gestión de seguridad de la información permiten a las empresas identificar vulnerabilidades que podrían llevar a situaciones de riesgo, con el fin de corregirlas antes de que tengan consecuencias en la continuidad del negocio.

Tipos de auditorías ISO

Tomando en cuenta la procedencia del equipo auditor, existen tres tipos de auditorías ISO:

Auditoría interna

También llamadas auditorías de primera parte, las auditorías internas son aquellas que son llevadas a cabo por un equipo de auditores que pertenecen a la propia organización. Su objetivo es comprobar la eficacia del SGSI, identificando posibles no conformidades con respecto a los requisitos de la norma.

El hecho de auditar internamente es el primer paso para obtener la certificación ISO 27001, y permite encontrar puntos de mejoría en la empresa para contribuir a optimizar el sistema de gestión de la calidad.

Auditoría de segunda parte

Las auditorías de segunda parte son realizadas por instituciones o empresas de terceros que tienen un interés en la organización que se audita. Por ejemplo, un proveedor o un cliente pueden realizar este tipo de auditoría para corroborar qué tan apegada está la organización al cumplimiento de los requisitos ISO.

Auditoría externa o de tercera parte

Las auditorías externas o de tercera parte son el último paso que debe seguir una empresa para obtener la certificación ISO 27001, por lo que también se denominan auditorías de certificación. 

Son llevadas a cabo por una entidad de certificación que actúa como auditor imparcial para corroborar que la organización cumple con la norma ISO 27001. Al finalizar el proceso, esta entidad auditora emite un certificado de conformidad que ayuda a mantener la imagen de la empresa y aumenta la confianza de proveedores, clientes y otras partes interesadas.

Ventajas de realizar auditorías ISO

El proceso de auditoría es esencial para garantizar que las políticas de seguridad de la información que se han implementado en la empresa funcionan y se cumplen adecuadamente, pero también permiten demostrar a terceros interesados y a miembros de la propia organización que su información está resguardada de forma segura.

Las principales ventajas de realizar auditorías ISO son las siguientes:

• Promueve la mejora continua de la empresa: las auditorías permiten identificar qué áreas o procesos podrían ser mejorados para alcanzar los objetivos de la empresa de forma más eficiente, perfeccionando así las prácticas de seguridad de la información.
• Evalúa la eficiencia de realizar ajustes operacionales y acciones correctivas: ya que las auditorías son procesos que deben repetirse de forma periódica, permiten evaluar qué tan eficaces han sido las mejoras implementadas durante auditorías previas.
• Facilitan el alcance de nuevos objetivos: ya que las auditorías permiten la mejora continua de los procesos de la empresa, indirectamente facilitan el camino hacia una meta de eficiencia o productividad.
• Comprueba que se está cumpliendo con los estándares de calidad y los requisitos de la norma ISO: dependiendo del sector en que se desenvuelve una organización, es posible que esté obligada por la ley a cumplir con normativas particulares, y realizar auditorías le permite a las empresas garantizar su cumplimiento.
• Fomenta la mejora constante del lugar de trabajo: las auditorías implican la educación y evaluación de los miembros de las organizaciones, las cuales ayudan a mantener a todos los miembros trabajando para alcanzar los objetivos de la empresa de la forma más eficiente posible, evitando así malentendidos. 
• Fortalece la confianza de los clientes nuevos: poseer un certificado ISO le da a la empresa una ventaja competitiva dentro de su propio mercado, pues significa que ha implementado controles de seguridad robustos para proteger los datos de las partes interesadas.

¿Cómo hacer una planificación de auditoría interna ISO 27001?

Llevar a cabo una auditoría interna puede ser un proceso abrumador, que consume tiempo y recursos para que sea realizado correctamente. Sin embargo, la norma ISO 27001 tiene cláusulas que pueden guiarte en el proceso de auditar tu empresa de forma correcta:

• Cláusula 9.2 C: explica cómo crear un programa de auditoría que incluya la frecuencia con que se realiza, los métodos utilizados y la información necesaria.
  
  Toma en cuenta que los controles de la norma ISO 27001 que apliquen para tu empresa pueden ser utilizados como guía para establecer el programa de auditoría.

• Cláusula 9.2 D: define los criterios de auditoría y su alcance para ayudarte a verificar el cumplimiento de los objetivos.
• Cláusula 9.2 E: explica cómo elegir un buen auditor interno, que sea competente y permita que la auditoría se lleve a cabo de forma transparente.
• Cláusula 9.2 F: explica cómo comunicar los resultados de las auditorías a la alta dirección.
• Cláusula 9.2 G: define la forma en que debe almacenarse la información, siguiendo las políticas establecidas en el SGSI.

Recuerda que siempre puedes apoyarte en el consejo de expertos en materia de ciberseguridad para planificar y llevar a cabo una auditoría en las mejores condiciones posibles.

5 pasos clave de una auditoría interna

Para llevar a cabo una auditoría interna de la mejor manera posible, es necesario realizar estos 5 pasos clave:

1. Revisar la documentación

Lo primero que se debe hacer es revisar la documentación que establece la creación y mantenimiento del SGSI, con la finalidad de garantizar que es clara y precisa.

2. Planificar la auditoría y elegir al equipo auditor

La alta directiva de la empresa debe elegir un equipo auditor y elegir los criterios de auditoría, las áreas de enfoque, el alcance, los métodos de recopilación de datos, el cronograma de trabajo y los recursos que serán utilizados.

3. Ejecución de la auditoría

Consiste en una revisión de campo que lleva a cabo el equipo auditor para evaluar si el SGSI está funcionando adecuadamente. Toda la información obtenida debe ser apropiadamente recopilada y registrada.

4. Análisis de la información documentada

Se toma toda la información documentada durante la auditoría y se analiza para determinar si la empresa está cumpliendo con los requisitos del SGSI y la norma ISO 27001.

5. Creación del informe de auditoría

Los resultados del análisis deben reportarse en un informe que se entrega a la alta dirección de la organización. Este debe incluir:

1. Introducción: explica el alcance de la auditoría, sus objetivos, las evaluaciones que se realizarán y un cronograma de todo el proceso.
2. Resumen ejecutivo: resume los hallazgos más relevantes de la auditoría.
3. Orientaciones: indica si el informe contiene información confidencial y quiénes deben tener acceso a su revisión.
4. Análisis: explica de forma detallada y extensa los hallazgos de la auditoría, así como las acciones correctivas que deben tomarse para corregir las vulnerabilidades.
5. Declaración de limitaciones: indica si hubo alguna limitación durante la realización de la auditoría.

Etapas de una auditoría externa ISO 27001

Las auditorías externas son realizadas por etapas, garantizando en cada paso que la empresa cumple con los requisitos de la norma ISO 27001. Estas etapas son:

Etapa 1

Las auditorías de etapa 1 se concentran en la revisión de los documentos pertinentes, con el objetivo de garantizar que los mismos están actualizados y pueden utilizarse para garantizar la operatividad del SGSI. Dicho de otra forma, en esta etapa se evalúa la madurez de la empresa para determinar si está apta para obtener la certificación ISO 27001.

Etapa 2

Las auditorías de etapa 2 evalúan la eficacia de las políticas de seguridad de la información, así como su implementación en la empresa y su conformidad con los requisitos ISO 27001. Al concluir esta etapa, la empresa puede recibir la certificación ISO 27001.

Etapa de vigilancia

Luego de obtener la certificación y antes de comenzar el proceso de renovación, se llevan a cabo auditorías de vigilancia de forma anual con la finalidad de evaluar la mejora continua del SGSI.

Etapa de rectificación

Las auditorías de rectificación son esencialmente una repetición de la auditoría de etapa 2 que se realiza cada 3 años para otorgar una nueva certificación por 3 años adicionales.

Ciclo de auditorías ISO 27001: ¿cómo se obtiene la certificación?

Cuando una empresa quiere obtener la certificación ISO 27001, debe comenzar un ciclo de auditorías sucesivas para lograrlo. Este ciclo consiste en:

• Una auditoría interna, que le permita a la empresa identificar sus vulnerabilidades y riesgos de ciberseguridad, para corregirlos y, de esta forma, estar preparados para el siguiente paso.
• Una serie de auditorías externas, que permiten que un ente certificador determine el cumplimiento o no de esta norma y decida si otorga la certificación en consecuencia.

Una vez obtenida la certificación, esta debe ser rectificada cada 3 años, llevando a que este ciclo se repita en el tiempo mientras la empresa quiera mantener la certificación.

Con esto podemos ver que las auditorías internas no solo permiten tener una gestión de calidad ISO, sino que además sirven como preparación para las auditorías externas. Dicho de otra forma, puedes aprovechar las correcciones que surgen de una auditoría interna para optimizar el SGSI de tu empresa y, con ello, obtener la certificación ISO 27001.

Si estás buscando obtener certificaciones para tu empresa, en Delta Protect trabajamos con organismos certificadores y brindamos asesoría a nuestros clientes para lograr la certificación.