Cómo hacer la auditoría interna de un SGSI basado en la ISO 27001

Como parte del ciclo del Sistema de Gestión de Seguridad de la Información (en adelante SGSI) de esta norma internacional las organizaciones deben llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de seguridad de la información cumple con los requisitos propios establecidos por la organización y los requisitos de la norma internacional ISO 27001, así como para constatar que el sistema está implementado y mantenido de manera eficaz.

La organización debe seguir los siguientes pasos para la realización de la auditoría interna:

Se debe definir un plan de auditoría que contemple la frecuencia y las fechas de ejecución, el alcance, la metodología de la propia auditoría y la asignación de interlocutores para la planificación, realización y presentación de informes de resultados. Dicho plan debe comprender una descripción de las ubicaciones físicas, unidades organizativas, actividades y procesos, así como las fechas de inicio y finalización.

Es importante incidir que las auditorías internas deben ser realizadas por personal que no haya participado en la implantación del SGSI, para asegurar la objetividad e imparcialidad de la auditoría y la independencia de los auditores.

Las auditorías se realizarán al menos de forma anual, y siempre antes de la auditoría de certificación o de seguimiento.

El alcance de la auditoría comprenderá la revisión del sistema de gestión completo, basado en la norma ISO/IEC 27001, así como la revisión de una selección de controles implantados en la entidad. Esta selección de controles se realizará de común acuerdo entre el Auditor Jefe y el Responsable del SGSI, con la información de la Declaración de Aplicabilidad (SoA – Statement of Applicability). Además, se deberá asegurar que se han auditado todos los controles del Anexo A (objetivos de control y controles de referencia) de la norma ISO 27001 en un ciclo de 3 años

Para asegurar una correcta ejecución de la auditoría, el auditor informará previamente a los responsables de las áreas auditadas que van a ser sometidas a un proceso de auditoría interna y les pedirá con la antelación que considere oportuna, la documentación necesaria para analizarla y hacer el posterior desarrollo de la auditoría.

La Auditoría Interna del SGSI consta de la revisión de dos partes diferenciadas:

• Sistema de Gestión: revisión de documentación, revisión del marco de gestión del SGSI, contexto, alcance, análisis y gestión del riesgo, declaración de aplicabilidad (SOA), política de seguridad, roles de Seguridad, gestión de no conformidades, cuadro de mando, etcétera.
• Pruebas de cumplimiento: en esta fase se comprueba el grado y eficacia de la implantación de controles de seguridad en la entidad. Se harán entrevistas a propietarios de activos, responsables de procesos de negocio, usuarios directos o indirectos del SGSI, se revisan áreas de riesgo, se comprueban objetivos y metas establecidos, documentación in situ del sistema, etcétera.

Una vez recogidas las evidencias necesarias para comprobar el cumplimiento de los distintos apartados y controles de la norma, se genera el informe de auditoría interna cuyos resultados deben ser puestos en conocimiento de la Dirección de la organización, las áreas auditadas y del Comité de Seguridad para su evaluación y tratamiento a nivel corporativo.

El responsable del SGSI será el encargado de informar de los resultados obtenidos, así como del mantenimiento de los registros derivados de la realización de auditorías internas.

El informe contendrá al menos los siguientes puntos:

• Áreas y alcance auditado, así como la fecha de auditoría.
• No conformidades y observaciones encontradas, acordadas con los auditados.
• Valoración de los puntos fuertes y las áreas susceptibles de mejora del SGSI.
• Acciones correctivas propuestas para las salvedades o no conformidades identificadas, destinadas a garantizar el cumplimiento de una determinada desviación existente actualmente.
• Recomendaciones, que no se traten de acciones correctivas de una determinada salvedad, si no de oportunidades de mejora o acciones que podrían suponer una evolución o mayor madurez del proceso auditado en cuestión, pero que en la actualidad no constituye una salvedad o no conformidad.
• Documentación auditada.
• Firma del Auditor/Auditores.

Tras haber finalizado el informe de auditoría interna, el responsable del SGSI deberá establecer las acciones de seguimiento para comprobar la eficacia de las acciones correctivas derivadas de la auditoría interna. Estos planes de acción deberán ser aprobados al máximo nivel posible en la organización, de forma que se garantice la corrección de aquellas cuestiones o procesos con los que no se esté cumpliendo en su totalidad.

La contratación de un servicio de auditoría externo con conocimientos específicos en la materia a auditar es clave para que su compañía disponga de un informe de auditoría objetivo. Desde el equipo de consultoría de GlobalSuite Solutions se garantiza el éxito del trabajo de auditoría interna, así como de la implementación de los planes de acción propuestos para la corrección de desviaciones.