Certificación ISO 27001
Si su organización va a pasar por el proceso de auditoría de certificación ISO 27001 puede ser que se esté planteando la siguiente cuestión: ¿Qué me preguntará el auditor?
La gran mayoría de auditores no suelen llevar elaborada una lista de preguntas, ya que cada empresa es distinta, por lo que deben improvisar. El trabajo que desempeña un auditor para otorgar la certificación ISO 27001 es el de revisar la documentación, hacer preguntas acerca de diferentes cuestiones y buscar pruebas que certifiquen que se cumplen los requisitos que establece la norma ISO 27001.
La norma ISO 27001 establece una serie de requisitos que la empresa tiene que cumplir. Para verificar que se cumple con lo que dice la norma, el auditor debe comprobar los procedimientos, registros, políticas y personas. Las personas serán estudiadas a través de entrevistas personales en la que las preguntas que se realicen irán encaminadas a comprender que el Sistema de Gestión de Seguridad de la Información se encuentra correctamente implementado en la organización.
Para las personas de la empresa sería muy interesante conocer cómo piensan los auditores que participarán en la auditoria de certificación ISO 27001.
Documentación necesaria
El auditor de certificación ISO 27001 deberá llevar a cabo una revisión de toda la documentación que existe en el Sistema de Gestión de Seguridad de la Información, donde se suelen solicitar todos los documentos que incluye la norma ISO 27001. En el supuesto de los controles de seguridad, se utiliza como guía la Declaración de Aplicabilidad. Existe una serie de documentos que son obligatorios y éstos son establecidos por la norma ISO 27001.
Además de los documentos obligatorios, el auditor debe inspeccionar todos y cada uno de los documentos que la organización desarrolle para apoyar la implementación del Sistema de Gestión de Seguridad de la Información o para la implantación de los controles de seguridad.
Evidencias
Una vez verificada la existencia de los documentos del Sistema de Gestión de Seguridad de la Información se continúa el proceso, comprobando que todo lo que se encuentra plasmado en los documentos corresponde con la realidad.
En relación con los controles de seguridad, que también necesitan evidencias, se suelen utilizar registros, archivos de sistema, diagrama de la red, configuración de plataforma, etc.
Entrevistas
En el momento de realizar las entrevistas, el auditor de certificación ISO 27001 sabe que la empresa utiliza la documentación necesaria, pero precisa comprobar si las personas implicadas en el Sistema de Gestión de Seguridad de la Información se encuentran familiarizadas con dichos documentos y los utilizan para llevar a cabo las actividades.
Uno de los aspectos más importantes de la norma ISO 27001, no es la norma en sí sino que los empleados de la empresa se encuentren concienciados. El auditor tiene que llevar a cabo distintas entrevistas con las personas de la empresa para conocer el grado de conocimiento de los documentos importantes del SGSI. Estos documentos suelen ser:
- La política de Seguridad de la Información
- Las cláusulas de confidencialidad
- Utilización de los activos
- Política de control de acceso
Las distintas cuestiones que se pueden realizar durante la revista son:
- ¿Tiene acceso a las normas internas de la organización que tengan relación con la seguridad de la información?
- ¿Me puede enseñar algunas de las políticas que se encuentran relacionadas?
- ¿Puede decirme cuáles son los puntos más importantes de la política de seguridad?
El auditor también puede entrevistarse con los responsables de los procesos, de áreas físicas y departamentos, de los que se observará como se lleva a cabo la aplicación de la norma ISO 27001 en la empresa. Durante la entrevista las cuestiones estarán enfocadas a comprender las funciones y los roles que las personas tienen en el Sistema de Gestión de Seguridad de la Información y conocer si cumplen con los controles implantados en la organización.
Preparación
Como resumen podemos decir que un auditor de certificación ISO 27001 puede solicitar la siguiente información:
- Los documentos exigidos por la norma ISO 27001 y cualquier documento que exista en el Sistema de Gestión de Seguridad de la Información.
- Comprobar el cumplimiento de los documentos.
- Realizar entrevistas personales.
Si se quiere estar preparado para las cuestiones que el auditor de certificación ISO 27001 puede llevar a cabo, lo primero que debe hacer es verificar que dispone de todos los documentos que pueden ser exigidos y después comprobar que la empresa hace todo lo que dice en los documentos y puede ser probado. Es muy importante que la gente conozca los documentos que son aplicables. Debe de garantizarse que su empresa implantó eficazmente la norma ISO 27001 y aceptar las operaciones que debe llevar a cabo cada día, ya que si no realiza esto se podrá pensar que la documentación ha sido creada para satisfacer al auditor de certificación ISO 27001.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 ofrece solución a todas estas preguntas que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una organización. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede conllevar una violación de los datos de la misma.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…