Cómo realizar un plan de auditoría ISO 27001

Las auditorías de la norma ISO 27001 no deben considerarse como un mero trámite burocrático del que uno desea olvidarse rápidamente. Al contrario, constituyen una herramienta muy importante para garantizar que tu organización se encuentra protegida.

Dichas auditorías evalúan objetivamente el Sistema de Gestión de la Seguridad de la Información o Information Security Management System (ISMS), ayudan a identificar posibles vulnerabilidades, mejoran las medidas de seguridad y respaldan el cumplimiento de las normas internacionales. 

El objetivo de este artículo es proporcionar la información necesaria para realizar un plan de auditoría ISO 27001, incluyendo las evaluaciones internas y externas, con el fin de reducir las incoherencias o errores que puedan surgir durante el proceso. También analizaremos los principales beneficios, y las mejores prácticas a la hora de asumir este gran desafío. 

¿Estás listo para aprender sobre las auditorías ISO 27001? Comencemos. 

¿Qué es una auditoría ISO 27001?

Una auditoría sirve como parámetro para garantizar que una función cumple un conjunto predeterminado de normas de calidad. En el caso de la ISO 27001, se utiliza para verificar que la gestión de dicha práctica acata los requisitos especificados. Es decir, confirma que se satisfacen las necesidades de la organización y que el proceso funciona de forma segura y eficaz. 

Una buena manera de garantizar de que está aplicando la norma correctamente es crear y seguir una checklist del plan de auditoría ISO 27001, con el fin de desglosarlo para que todo sea abordado.

Un auditor acreditado es el responsable de llevar adelante una auditoría ISO 27001 y quien revisará las siguientes cuestiones:

• La ISMS o sus elementos, verificando que cumple los requisitos de la norma.
• Los requisitos y objetivos de la empresa para la ISMS.
• Las políticas, los procesos, las instrucciones de trabajo y otros controles para comprobar si son eficaces y eficientes.

Así, además del cumplimiento y la eficacia de la ISMS, la norma ISO 27001 está diseñada para que una organización pueda gestionar sus riesgos de seguridad de la información a un nivel aceptable. Debe comprobar que los controles implementados reducen el riesgo hasta un punto en el que el propietario o propietarios se sientan cómodos para tolerar el riesgo residual.

Tipos de auditorías ISO 27001

Existen dos tipos de auditorías ISO 27001:

• Las auditorías ISO 27001 internas representan el primer paso en el proceso de acreditación de una empresa. Realizadas por un equipo interno de auditores, ponen a prueba la eficacia de la ISMS, identificando cualquier no conformidad o áreas de mejora y garantizando que se cumplen los requisitos de la norma.
  
  
• Las auditorías ISO 27001 externas se encuentran en la fase final y las lleva a cabo un auditor externo imparcial. Una vez concluidas, el organismo auditor emite un certificado de conformidad si la ISMS cumple los requisitos de la norma. Es decir, garantiza a los clientes, las partes interesadas y al equipo directivo que las prácticas de seguridad de la información fueron comprobadas y verificadas de forma independiente con respecto a la ISO 27001.

5 beneficios de organizar un plan de auditoría ISO 27001

Las auditorías resultan esenciales no sólo porque garantizan que tus controles funcionan, sino también porque muestran este cumplimiento y generan confianza con varios actores: con tus colegas, enseñándoles que trabajas para acatar con todo el proceso; con el resto de tu empresa, al exhibir de que todo se ejecuta en forma correcta; con los clientes y las partes interesadas, al darles a conocer que sus datos se encuentran seguros. 

Con frecuencia, se piensa en las auditorías como un ejercicio para marcar casilleros. Sin embargo, no es un trabajo extra que simplemente aterrizó en tu escritorio y del que quieres deshacerte lo antes posible. De hecho, las auditorías ayudarán en tu organización.

Aquí te damos cinco ventajas que te traerá realizar un plan de auditoría ISO 27001:

1. Gestión de Riesgos más eficaz: una auditoría ISO 27001 ayuda a identificar, manejar y controlar las brechas de seguridad de la información, reduciendo la probabilidad y el impacto de los incidentes de este tipo.
   
   
2. Cumplimiento normativo: dependiendo del sector, algunas organizaciones deben acatar reglas y controles específicos para sus obligaciones de gobernanza. Una auditoría ISO 27001 contribuye a garantizar el cumplimiento de dichas normativas.
   
   
3. Ventaja competitiva y aumento de la confianza de los clientes: la acreditación es un factor diferenciador importante en un mercado saturado y frente a la competencia. Superar el detallado e intensivo proceso de auditoría significa que dispones de controles sólidos para proteger tu información y la de tus clientes, lo que aumenta la confianza de éstos en tu organización.
   
   
4. Mejora continua: parte del plan de auditoría ISO 27001 consiste en identificar áreas de optimización, para que también impacten positivamente en tus procesos internos, procedimientos y prácticas de trabajo. La norma (y el ciclo de auditoría) fomenta una cultura de mejora continua de las prácticas de seguridad de la información, lo que conduce a perfeccionamientos constantes. 
   
   
5. Verificación externa: el plan de auditoría ISO 27001 externa verifica las prácticas de seguridad de la información y lo lleva a cabo un profesional acreditado. Por lo tanto, no sólo tu organización lo muestra, sino alguien por fuera que se encuentra cualificado. 

¿Cómo hacer un plan de auditoría ISO 27001 interna?

Un plan de auditoría ISO 27001 interna puede resultar un proceso desalentador y abrumador. Sin embargo, la norma posee algunas cláusulas que te ayudarán en la tarea:

• Cláusula 9.2 C- Programa de la auditoría: instruye a las organizaciones a planificar, implementar y mantener un plan de auditoría ISO 27001. Esto incluye documentar frecuencia, métodos, responsabilidades y requisitos de información para tu programa. 
• Cláusula 9.2 D - Criterios y alcance: para asegurar que se cumplen los objetivos.
• Cláusula 9.2 E - Selección e independencia: cómo elegir auditores competentes que garanticen la imparcialidad del proceso, que la auditoría sea transparente y que cuente con los controles adecuados. 
• Cláusula 9.2 F - Comunicación de los resultados: a la dirección, así como de asegurar que cualquier excepción se muestre en forma adecuada.
• Cláusula 9.2 G - Programa de auditoría y retención de registros: captura de evidencias y su almacenamiento de acuerdo con las políticas documentadas en la ISMS.

Otro elemento importante que debes incluir en tu conjunto de herramientas es el uso de tu Solución de Gestión de Activos de IT que te ayudará a comprobar los niveles de cumplimiento, que todo funciona correctamente y que nada pasó desapercibido. 

Invgate Insight, por caso, permite crear un inventario de activos conforme a la norma ISO 27001 para realizar un seguimiento de los mismos y de la información contenida. 

Con el inventario centralizado de activos podrás monitorear el ciclo de vida de tus activos, generar reportes periódicos para evaluar su rendimiento y realizar auditorías internas para determinar el cumplimiento.

En concreto, Insight te proporcionará información sobre aspectos como: 

• El cumplimiento de la seguridad de tus activos de IT.
• Los dispositivos no autorizados o software obsoleto existentes en tu red.
• Los vencimientos de las garantías, licencias y contratos.

Checklist del plan de auditoría ISO 27001 interna

A la hora de llevar a cabo una auditoría interna, estos son los pasos clave para seguir:

• Revisión de la documentación: creada cuando se implementó tu ISMS, para asegurarse de que sigue siendo precisa y está actualizada.
• Revisión por parte de la dirección: hay que ponerse de acuerdo con quienes encabezan la organización para planificar el resto de las actividades de auditoría, así como los plazos y recursos.
• Revisión en el campo: aquí se llevan a cabo la mayoría de las actividades de auditoría. Tendrás que evaluar cómo funciona la ISMS con entrevistas a empleados de primera línea, llevar a cabo comprobaciones para validar las pruebas a medida que se recopilan, completar informes para registrar los resultados y revisar la documentación relevante. 
• Análisis: se revisan las pruebas creadas durante la auditoría y se garantizan que se cumplen todos los requisitos.
• Reportes de gestión y evaluación: se informan los resultados de la auditoría al equipo directivo. El informe deberá incluir lo siguiente:

• Una introducción que defina el ámbito, los objetivos, el calendario y el alcance de la auditoría.
• Un resumen ejecutivo que ofrezca una visión general de alto nivel de los resultados, el análisis y la conclusión.
• Los datos sobre los destinatarios del informe y directrices para su distribución y clasificación.
• Un análisis detallado de los resultados, las conclusiones y las medidas correctivas recomendadas. Debe cubrir cualquier falta en la documentación; si todos los empleados recibieron la formación adecuada en gestión de la seguridad de la información; si saben cómo responder adecuadamente en una situación de auditoría; y si es fácil encontrar la documentación pertinente.
• Una declaración que describa las acciones recomendadas, las oportunidades de mejora o cualquier limitación en el alcance.

¿Cómo prepararse para un plan de auditoría ISO 27001 externa?

Las auditorías externas son la fase final de la acreditación ISO 27001. Las lleva a cabo un profesional cualificado por fuera de la organización para garantizar que se cumplen los requisitos de la norma y se basan en el trabajo realizado en la fase de auditoría interna de forma exhaustiva y transparente.

Etapas del plan de auditoría ISO 27001 externa

Estas son las etapas de un plan de auditoría ISO 27001 externa:

• Revisión de la documentación: el auditor externo estudiará toda la documentación relativa a tu ISMS. 
• Auditoría de campo: luego, recopilará pruebas y auditará la ISMS, revisando las prácticas de trabajo y entrevistando a los empleados.
• Análisis: posteriormente, revisará y cotejará las pruebas con el alcance y las conclusiones de la auditoría.
• Reporte: el auditor informará sobre los resultados de la auditoría a la organización cliente, así como sobre cualquier hallazgo, fallo y oportunidad de mejora.

El ciclo de auditoría ISO 27001

El ciclo de auditoría de la norma ISO 27001 incluye los dos tipos de auditoría detallados anteriormente. Cada uno de ellos tiene diferentes actores implicados, así como un alcance y un objetivo distintos. Veámoslas en detalle:

• Auditoría interna: la llevan a cabo empleados de la organización, ya sea un equipo dedicado al cumplimiento y la auditoría o un área diferente, para garantizar que no haya posibles conflictos de intereses.

• Auditoría externa:

• Revisión del diseño de la ISMS: garantiza que la organización dispone de la documentación necesaria para constituir una ISMS operativa.
• Auditoría de certificación: basada en pruebas para verificar que la organización está ejecutando la ISMS según la norma.
• Auditorías de vigilancia: también conocidas como intermedias o miniauditorías, se llevan a cabo de forma programada entre las auditorías de certificación y recertificación para garantizar que el rendimiento sigue siendo el adecuado. Son más pequeñas y se centran en una o más áreas de la ISMS.
• Auditorías de recertificación: se ejecutan antes de que expire la certificación y son más complejas que las intermedias. Una auditoría de recertificación abarcará todas las áreas de la norma.

Resumen

Las auditorías ISO 27001 muestran el cumplimiento de la norma por parte de una organización, así como un compromiso con las buenas prácticas en materia de seguridad de la información. Representan una parte obligatoria del proceso de certificación. 

Cabe destacar que las auditorías periódicas no son sólo una carga administrativa, sino que sirven para garantizar que la información de tu organización se encuentra completamente protegida.

El plan de auditoría ISO 27001 se puede dividir en tareas prácticas que ayudarán a abordar los requerimientos especificados en la norma. Incluso existen las auditorías internas -precursoras de las externas- que colaboran para que los empleados se familiaricen con el proceso y que están en la dirección correcta. 

Por su parte, las auditorías externas las realiza una entidad por fuera de la organización y sellan todo el proceso de certificación con una aprobación oficial externa.

Además de preparar las auditorías y asegurarse de que se organizaron las tareas correctamente sin saltearse ningún paso, es importante contar con el apoyo de una herramienta de ITAM para garantizar que todos los datos sobre los activos de información son precisos y están actualizados, así como para recibir notificaciones sobre cualquier amenaza potencial.

Para ayudarte en la preparación de las auditorías y para mantener segura a tu organización, InvGate Insight es una herramienta ideal. Puedes solicitar la prueba gratuita de 30 días para conocerla en profundidad.

Preguntas frecuentes

¿Con qué frecuencia se realizan las auditorías externas? 

Después de la auditoría externa inicial, se organizan las de mantenimiento cada seis meses a un año. Posteriormente, hay una auditoría de recertificación cada tres años.

¿Quién lleva adelante el plan de auditoría ISO 27001? 

Depende. En el caso de las internas, los auditores pertenecen a un equipo independiente de las partes interesadas responsables del mantenimiento de la ISMS, lo cual garantiza la imparcialidad. Si se trata de una auditoría externa, un auditor o equipo por fuera de la organización llevará a cabo la evaluación.

¿Cuáles son las etapas de un plan de auditoría ISO 27001? 

A un alto nivel, las etapas clave son la revisión de la documentación y de las formas de trabajar en vivo con respecto a la ISMS, incluyendo observaciones y entrevistas con empleados. 

¿Cuál es el periodo de auditoría de la norma? 

El periodo de auditoría establece la frecuencia con la que una organización debe ser evaluada con respecto a la norma ISO 27001 e incluirá revisiones internas, externas y de recertificación.

¿Cómo me preparo para una auditoría ISO 27001? 

Preparación, preparación, preparación. En resumen, mucho trabajo duro: comprueba tu documentación para asegurarte de que es adecuada para su propósito y está alineada con el alcance de la auditoría; que la formación está actualizada -organiza capacitaciones si es necesario-; que tus métodos laborales son acordes y que los empleados saben cómo responder adecuadamente en caso de auditoría. Por último, lleva a cabo auditorías internas frecuentes que sirvan para avalar la honestidad general. 

¿Se puede suspender una auditoría ISO 27001? 

Sí, se puede suspender una auditoría ISO 27001 si no se cumplen los requisitos de la norma o no se dispone de la documentación, los controles o las pruebas adecuados.

¿La norma requiere una auditoría interna? 

Sí. La evaluación interna es una parte obligatoria del proceso y prepara a la organización para la fase de auditoría externa.

¿Cuánto cuesta una auditoría ISO 27001? 

Depende del alcance de la auditoría y de cuántos recursos externos se necesiten.

¿Puedo auditar mi propia empresa para la ISO 27001? 

Sí y no. Un equipo de la empresa puede llevar a cabo una auditoría interna si se trata de un área distinta de la que implementa y gestiona la ISMS. Mientras que la auditoría externa se debe realizar por fuera para garantizar que no haya conflictos de intereses.

¿Cómo evitar los errores comunes de la auditoría interna? 

Una vez más, la respuesta es trabajo duro y diligencia: comprueba tu documentación en relación con tus objetivos, la ISMS, que tu personal se sienta cómodo con la norma y que los métodos de trabajo sean los adecuados. Además, incorpora auditorías internas periódicas a tu proceso y la mejora continua como parte de las tareas cotidianas.