Saltear al contenido principal
ISO 27001

Conseguir la certificación en ISO 27001

ISO 27001

ISO 27001

Si su organización debe pasar por el proceso de auditoría de certificación basado en la norma ISO 27001 puede que se esté realizando la siguiente pregunta: ¿Qué preguntará el auditor?

Muchos auditores no suelen llevar preparada una lista de preguntas, ya que cada empresa es distinta, por lo que en muchas ocasiones improvisan y no se limitan a un guión. El trabajo que realiza un auditor para entregar la certificación basada en ISO 27001 será el de revisar toda la documentación, hacer preguntas y buscar todas la pruebas que certifiquen que se cumplen todos los requisitos que establece la norma ISO 27001.

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

La norma ISO 27001 establece una serie de requisitos, que la empresa tiene que cumplir. Para comprobar que se cumple con lo que dice la norma, el auditor debe examinar todos los procedimientos, los registros, las políticas de seguridad y las personas. Las personas serán estudiadas por la realización de entrevistas personales en las que las preguntan que se lleven a cabo irán encaminadas a conocer que el Sistema de Gestión de Seguridad de la Información se encuentra implantado en la organización según la norma ISO 27001.

Para los trabajadores de la empresa es muy interesante conocer cómo piensan los auditores que participan en la auditoría de certificación.

Documentación obligatoria

El auditor que certifique el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 debe realizar una revisión de toda la documentación que existe, se pueden pedir todos los documentos que establece la norma ISO 27001. En el caso de los controles de seguridad, se utiliza la Declaración de Aplicabilidad cómo guía. Existe una serie de documentos que son obligatorios y que se establecen gracias a la norma ISO 27001.

Además de los documentos obligatorios, existen otros documentos que pueden ayudar a implementar el Sistema de Gestión de Seguridad de la Información y el auditor debe revisar todos estos documentos.

Evidencias

Una vez que se ha comprobado la existencia de los documentos del Sistema de Gestión de Seguridad de la Información tiene que continuar y el siguiente paso será verificar que todo lo que se encuentra escrito en los documentos se corresponden a la realidad.

Podemos poner el siguiente ejemplo: la empresa define que la política de seguridad de la información se debe revisar cada año. El auditor puede preguntar si se ha revisado la política de seguridad pero no puede fiarse sólo de la palabra sino que tiene que ser comprobado, por lo que necesitan pruebas. La evidencia puede estar incluida en los requisitos, en las actas de reunión, etc. La siguiente pregunta puede ser que le muestre los registros en los que aparece la fecha en la que se realizó la revisión de la política de seguridad de la información.

Los controles de seguridad, que también necesitan evidencias, se suele utilizar registros, archivos de sistemas, diagrama de red, configuración de plataforma, etc.

Entrevistas

En el momento de realizar las entrevistas el auditor de certificación ISO 27001 sabe que la empresa utiliza la documentación necesaria, pero necesita conocer si todas las personas que se encuentran implicadas en el Sistema de Gestión de Seguridad de la Información se encuentran familiarizadas con dichos documentos y los utilizan para realizar todas las actividades.

Uno de los aspectos más importantes de la norma ISO 27001, no es la norma en sí, sino que los trabajadores de la empresa se encuentren concienciados. El auditor tiene que llevar a cabo entrevistas con todas las personas de la empresa para conocer el grado de conocimiento de los documentos más importantes del Sistema de Gestión de Seguridad de la Información. Estos pueden ser:

  • La política de seguridad de la información
  • Las cláusulas de confidencialidad
  • Utilizar los activos
  • La política de control de acceso

Las preguntas que se pueden realizar durante la entrevista son:

  • ¿Tiene acceso a las normas internas de la organización que tengan relación con la seguridad de la información?
  • ¿Me puede enseñar algunas de las políticas que se encuentran relacionadas?
  • ¿Puede decir cuáles son los puntos más importantes de la política de seguridad?

El auditor se debe entrevistar con los responsables de los procesos, de los que podrá obtener la percepción de cómo se aplica la norma ISO 27001 en la empresa. Durante la realización de la entrevista las preguntan se dirigen para familiarizarse con las funciones y los roles que las personas tienen en el Sistema de Gestión de Seguridad de la Información y conocer si cumplen con todos los controles que sean implantado en la organización.

Cómo debe preparase

Como resumen se puede decir que un auditor que se encargue de la certificación bajo la norma ISO 27001 puede solicitar la siguiente información:

  • Los documentos requeridos para la norma ISO 27001 y cualquier documento que exista en un Sistema de Gestión de Seguridad de la Información.
  • Comprobar el cumplimiento de los documentos.
  • Realizar las entrevistas personales.

Si quiere estar preparado para las preguntas que el auditor que certifica un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 pueda realizar, lo primero que debe hacer es comprobar que se disponen de todos los documentos que pueden ser requeridos y después comprobar que la empresa hace todo lo que dice en los documentos y puede ser probado. Es importante que los trabajadores conozcan todos los documentos que son aplicables. Se tiene que asegurar que su empresa implementó de forma eficaz la norma ISO 27001 y acepta las operaciones que tiene que realizar cada día, ya que si no realiza esto se puede pensar que la documentación ha sido generada para satisfacer el auditor de certificación según la norma ISO 27001.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba