ISO 27001
Para las organizaciones que ya gozan de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, la cita para la auditoría de certificación ya se conoce. El auditor llega, lleva a cabo la apertura de la auditoría, desarrolla una evaluación de los procesos y los registros, elabora un informe y cierra la fase del proceso de auditoría.
Según el contenido del informe puede haber una gran cantidad de trabajo para una organización, para que así logre obtener el máximo valor de dicho informe y no se olvide de ciertas cuestiones cruciales.
Informe de auditoría
En general, un informe de auditoría está formado por:
- Identificación de los datos. Donde encontramos el ID de informe y la fecha, el período de la auditoría, el equipo de auditoría, etc.
- Alcance. Donde aparece la unidad organizativa, proceso o producto que ha sido auditada.
- Criterios de evaluación. Aquí encontramos la referencia utilizada para llevar a cabo la auditoría.
- Pruebas de rutas. Donde encontramos una breve descripción de lo que fue auditado como nombres de procesos, ubicaciones, evidencias, etc.
- Resultados. Por último aparecen las conclusiones del equipo de auditoría, que incluyen a su vez el estado de recomendación, las No Conformidades y las oportunidades para mejorar.
Estado de la recomendación
El resultado más relevante del informe de auditoría de certificación es que se establece si el Sistema de Gestión de Seguridad de la Información de la empresa cumple con los requisitos de la ISO 27001 y otorga la certificación. Existen diferentes estados como resolución del informe: “recomienda”, “recomienda al desarrollo del plan de acción”, y “no es recomendable.”
El estado “recomendado” supone que no se han llegado a identificar no conformidades durante la auditoría. Para los otros dos tipos, la diferencia entre ellos se refiere al tipo de No Conformidades identificadas, así como lo que se debe hacer para conseguir la certificación del Sistema de Gestión de Seguridad de la Información.
Las No Conformidades
Las No Conformidades se producen cuando una empresa no cumple con lo requerido por la ISO 27001, bien por la propia documentación o por un tercero. Algunos ejemplos de las No Conformidades son:
- La falta de un registro específico requerido por la empresa.
- Una práctica habitual adoptada y mantenida no documentada por parte de la empresa.
- Un proceso requerido por la norma ISO 27001 que no se lleva a cabo correctamente.
Ante una No Conformidad, en base a la ISO 27001, la compañía debe:
- Reaccionar de manera correcta para controlarlos y corregirlos.
- Tratar las consecuencias.
- Evaluar la necesidad de eliminar las causas de la No Conformidad.
- Implementar acciones correctivas para paliar las causas.
- Revisar la eficacia de las acciones correctivas.
- Cambiar el Sistema de Gestión de Seguridad de la Información de la empresa cada vez que sea necesario.
Para la auditoría de certificación, las No Conformidades se clasifican como mayores o menores, definiendo las acciones exigidas.
Oportunidades para mejorar
Estas son situaciones en las que basándonos en el punto de vista del auditor, la empresa puede incrementar la idoneidad, adecuación o eficacia de su Sistema de Gestión de Seguridad de la Información. Algunos ejemplos acerca de las oportunidades de mejora pueden ser:
- Incorporación de tecnologías nuevas o actualización de las mismas.
- Adopción/exclusión de las actividades en los procesos de negocio.
La auditoría se basa en muestras con la finalidad de evaluar la conformidad. Representa sólo una fracción de la realidad de la empresa, pues no hay ningún requisito estándar exigido a una compañía para tratar las oportunidades de mejora. Pero siempre debe de ser revisada para determinar su valor para la empresa y para la implementación de la norma ISO 27001.
El informe de auditoría en el examen de la gestión
Los resultados de auditoría se requieren insumos para una revisión por la dirección. Se preparará la empresa para presentar a la gestión de las No Conformidades identificadas, planes de acción definidos, así como las evaluaciones de las oportunidades de mejora.
En este momento, no sólo el informe es útil para el auditor, sino también aquella información proporcionada por los que acompañaron durante el proceso de auditoría. Ellos pueden proporcionar ideas sobre cuestiones no identificadas por el auditor, pero que pueden llegar a ser fuentes de vulnerabilidades y oportunidades de mejora.
Software ISO 27001
Con la intención de asegurar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de forma eficaz y sencilla, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.
¿Desea saber más?
Entradas relacionadas
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…