ISO 27001 2013: Las cualidades que debe tener un buen auditor
ISO 27001 2013
Si en nuestra organización tenemos que realizar una auditoría interna sobre nuestro Sistema de Gestión de Seguridad de la Información ISO 27001 2013 debemos saber que es una herramienta que se utiliza para mantener y mejorar el sistema de gestión, por lo que debemos darle la importancia que merece. No nos podemos olvidar de que una de las figuras que participan de forma activa en la auditoría son los auditores.
Por este motivo, para que la auditoría cumpla con los objetivos por lo que se lleva a cabo, la persona encargada debe disponer de todos los conocimientos necesarios, debe contar con la experiencia necesaria y disponer de unas cualidades personales específicas.
Aunque se suele hacer hincapié en la formación y la experiencia del auditor, durante este post vamos a resaltar las cualidades personales que debe tener y cultivar para conseguir estar de acuerdo y promover los principios de la auditoría.
El perfil del auditor
La norma ISO 19011 “Directrices para la auditoría de los sistemas de gestión”, nos dice todos los aspectos, las competencias y los criterios que debe tener el auditor interno, marcando la relevancia que ocupa la correcta ejecución de una auditoría.
La auditoría interna en ISO 27001 2013 es una herramienta de mejora y análisis del estado del Sistema de Gestión de Seguridad de la Información que nos permite comprobar el seguimiento y la verificación de la implantación eficiente y señala todas las pautas que se deben seguir para conseguir los objetivos en el caso de que se evidencien las desviaciones del camino marcado de forma inicial, el papel del auditor, como ya hemos visto en otras ocasiones, se nos muestra con cierta relevancia.
Por este motivo, el auditor debe disponer de una competencia que se demuestre con su aptitud a la hora de aplicar los conocimientos y las habilidades adquiridas mediante la formación, conseguir un nivel óptimo de experiencia en auditorías, además de una serie de cualidades que debe promover y potenciar.
Cualidades del auditor
Las cualidades que definen a un auditor son:
- Ser imparcial, sincero y honesto.
- Ser discreto y comprender el concepto de confidencialidad.
- Mantener la mente abierta para considerar ideas y puntos de vista alternativos.
- Ser diplomático y tener tacto en el trato con las diferentes personas.
- Ser firme. Este es un punto a destacar importante, ya que durante la auditoría no debe negociar con el auditado sobre la inclusión o eliminación de una determinada no conformidad en el informe final ya que, de esta manera, se desvirtúa la eficacia que puede tener la auditoría. Es decir, aunque se actúe de forma responsable y ética, algunas decisiones tomadas por el auditor pueden no ser populares, pudiendo llegar a generar desacuerdos y confrontaciones que no deben llevar a la negociación para la aceptación del informe.
- Tener una alta capacidad de observación.
- Tener el instinto de ser consciente y comprender todas las situaciones.
- Adaptarse de forma fácil a los diferentes contextos, en otras palabras, ser versátil.
- Estar perfectamente orientado a conseguir el objetivo de la organización.
- Obtener conclusiones basadas en razonamientos lógicos y analizar las diferentes evidencias.
- Estar seguro de sí mismo.
- No tener prejuicios que limiten o eliminen su objetividad.
El auditor debe estar en constante actualización en los aspectos que se relacionan con el Sistema de Gestión de Seguridad de la Información ISO 27001 2013, siendo necesario en el campo del auditor.
Se dispone de diferentes medios que permitirán, entre diferentes conceptos, estar al día de las distintas revisiones del Sistema de Gestión de Seguridad de la Información, potenciar su desarrollo personal que permita que las cualidades adquiridas se remarquen y se conviertan en un buen hábito, como puede ser:
- Formación especializada
- Asistencia a seminarios, reuniones y conferencias del sector
- Experiencia en auditorías de forma periódica
Para terminar y en relación con todo lo que hemos comentado, no nos podemos olvidar de que la auditoría es una herramienta eficiente, depende de la ejecución que se realiza por todas las personas que participan en ella, es decir, el auditor, la organización auditada y todas las personas que forman parte de la auditoria y tienen relación con el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 2013.
De esta manera, si el auditor no dispone de los conocimientos, competencias y cualidades adecuadas disminuye la eficiencia de la auditoría, por lo que se obtienen las conclusiones. De igual forma, si la organización auditada no comprende la importancia de la auditoría no se obtendrán conclusiones, por lo que se convertirá en una actividad muy improductiva.
En conclusión, la auditoría de ISO 27001 2013 es una herramienta muy buena pero si la persona que se encarga de realizarla no sabe aprovecharla se convertirá en tiempo y esfuerzo perdido.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 en Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.