¿Estás preparado para pasar la auditoría interna en ISO 27001?
ISO 27001
Las personas se suelen precipitar a la hora de realizar la lista de verificación y realizar la auditoría interna ISO 27001. No es necesario tener prisa a la hora de realizar la auditoría interna, ya que esto solo le generará ciertos problemas. Durante este artículo le vamos a mostrar cómo debe prepararse para realizar este trabajo de forma más eficaz.
¿Qué tipo de auditor interno debe emplear?
Existen ciertas maneras de realizar una auditoría interna:
Utilizar un auditor interno a tiempo completo
Es se establece como adecuado sólo para las grandes empresas. Ya que éstas generan una enorme cantidad de trabajo que puede ser realizado por una persona a tiempo completo.
Utilizar a los auditores internos a tiempo parcial
Esta situación es mucho más común, las empresas utilizan a sus trabajadores para realizar las auditorías internas, además de su trabajo habitual. Para evitar tener conflicto de interés sería bueno contar con dos auditores internos para que uno pueda auditar el trabajo de la otra persona.
Utilizar a un auditor interno que provenga de fuera de la empresa
Aunque no sea una persona empleada en la organización, se considera auditoría interna porque es realizada por la propia empresa. Esto se hace porque dicha persona tenga experiencia en la norma ISO 27001.
Las opciones a considerar
Dependiendo de si ya se ha implementado la norma ISO 9001 y el perfil que tiene el auditor interno, deberá barajar las siguientes opciones. Además deberá estudiar la legislación, debido a que muchas industrias presentan reglas especiales con respecto a las auditorías internas:
- Llevar a cabo una auditoría o diferentes auditorias durante todo el año. Si tienes una pequeña organización, una única auditoría durante el año puede ser suficiente. Si tienen una empresa grande, es posible que sea necesario realizar auditorías por departamentos.
- Utilizar las mismas reglas y normas. Si se aplica la norma ISO 9001, se puede utilizar el mismo procedimiento para realizar la auditoría interna de la norma ISO 27001. El mismo auditor puede llevar a cabo autorías internas para todos los sistemas al mismo tiempo, si dicha persona tiene conocimiento de las normas será capaz de hacer una auditoría interna integrada. Gracias a este tipo de auditoría se puede ahorrar mucho tiempo.
- Establecer un procedimiento. Se deberá escribir un procedimiento en el que se defina como se debe realizar la auditoría interna. Aunque no sea obligatorio, se recomienda. Los trabajadores no se encuentran muy familiarizados con las auditorías internas, por lo que es una buena cosa a tener en cuenta. Es lo mismo que la lista de control de auditoría interna, no es obligatorio pero si muy útil.
Documentos requeridos
Debe tener los siguientes documentos relativos a la auditoría interna:
- Procedimiento de auditoría interna: este procedimiento se define en las reglas básicas para la realización de la auditoría. Se deberán seleccionar a los auditores, planificar las auditorías, conocer los elementos que se utilizan en la auditoría, conocer las actividades de seguimiento e informar desde las auditorías.
- Programa de auditoría interna. Se deberán planificar las auditorías a nivel anual, incluyendo los criterios y el alcance.
- Lista de comprobación de auditoría interna. Se genera una lista de comprobación que ayuda al auditor interno a no olvidar algo durante la realización de la auditoría interna.
- Informe de auditoría interna. El auditor interno informará sobre las no conformidades y de otros hallazgos.
El papel de la alta dirección
La alta dirección se debe involucrar en las auditoría internas, de las que se aprueba el procedimiento y la dignación del auditor interno, con la aceptación del programa de auditoría y la lectura del informe de auditoría interna. Las actividades no deben delegarse a niveles más bajos en la jerarquía, porque esto puede llevar al auditor interno a que genere un conflicto de intereses, y además ofrezca alguna información importante.
La alta dirección debería tomar una decisión consciente de que van a aceptar y apoyar a la auditoría interna como algo muy útil para el negocio.
El propósito de la auditoría interna
La auditoría interna se puede ver como un gasto económico extra. Sin embargo, las auditorías internas le permiten descubrir problemas que de otra forma permanecerían ocultos, y pueden perjudicar al negocio. Si somos realistas es humano cometer errores, por lo que es imposible contar con un Sistema de Gestión de Seguridad de la Información sin errores. Pero sí que es posible mejorar dicho sistema de gestión y aprender de los errores.
Las auditorías internas son una parte muy importante del Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, ya que será la que te diga si el sistema funciona correctamente o no.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.