¿Cómo llevar a cabo una auditoria ISO 27001?

La norma ISO 27001, es un estándar aprobado por ISO y la IEC que especifica los requisitos necesarios para establecer, implementar, monitorear y mejorar un Sistema de Gestión de Seguridad de Información (SGSI).
Dentro de los requisitos obligatorios, especifica la necesidad de llevar a cabo auditorías internas para evaluar el desempeño del sistema de gestión y verificar que se siguen las políticas corporativas. Algunas organizaciones perciben las auditorías internas como procesos forzosos, rutinarios y poco útiles, llegando a creer que su cumplimiento se limita a diligenciar listas de verificación.

Sin embargo, las auditorías internas son esenciales para conseguir la certificación de la norma ISO 27001, la cual debe efectuarse en intervalos planificados. En ocasiones, las auditorías pueden resultar complejas, especialmente si no se sabe cómo poner en marcha el proceso y cómo documentarlo, o qué aspectos se deben tener en cuenta en un Sistema de Gestión de Seguridad de la Información. Es por eso que te damos algunos consejos prácticos para llevar a cabo auditorías internas:

1. Revisar la ejecución de mejoras y procesos cotidianos para mejorar continuamente las tareas. Un auditor experto detectará posibles puntos de mejora o nuevas tareas que se deben realizar, a fin de mejorar el Sistema de Gestión de Seguridad de la Información.
2. Involucrar al personal necesario. La norma ISO 27001 es muy específicas y su lenguaje en ocasiones resulta demasiado genérico, por lo que se debe involucrar al personal encargado de estas funciones.
3. Formación de los auditores. La persona que realiza la auditoría interna debe de poseer las suficientes competencias y visión como para entender los datos y objetivos que se detallan en los registros. De lo contrario, puede que no se detecten vulnerabilidades de privacidad y seguridad de la información.
4. Realiza auditorías independientes. Muchas organizaciones eligen un auditor certificado de forma independiente para asegurar el éxito de la certificación ISO 27001. El motivo radica en que una auditoría independiente identifica mejor las brechas de seguridad y la correcta implantación de las demandas de esta norma internacional sobre seguridad de la información.
5. Resuelve tus dudas. Los requisitos de ISO 27001 son muy específicos, por lo que suelen surgir dudas en el procedimiento. Resolver las cuestiones es positivo, ya que obliga a la empresa a adoptar exigencia en el estándar y estar preparado para la certificación final.
6. Capacítate adecuadamente. Las empresas contratan un auditor con experiencia según la norma ISO 27001, para tener todas las garantías de certificación de la norma.

Es recomendable adquirir competencias de forma interna. Estar al tanto de lo que pasa en la auditoría que ofrece un conocimiento sobre cómo gestionar la información y otorgará a su vez un aprendizaje sobre vulnerabilidades de seguridad.
En SGM Consultores contamos con auditores con la experiencia necesaria para auditar tu Sistema de Gestión de Seguridad de la Información. ¡Contáctanos!