fbpx
Whatsapp Linkedin
Cómo prepararse para la auditoría de certificación en ISO 27001

Si estás aquí, probablemente estás a punto de terminar el arduo trabajo de implementación y se viene el momento de la verdad: la auditoría para la certificación ISO 27001.

¿Quién realiza la auditoría de certificación?

La auditoría debe realizarla una entidad independiente y acreditada por el organismo ISO. En cada país suele haber varias empresas que cumplen esta función, por lo tanto, podrás seleccionar la que tenga el precio más adecuado para tu presupuesto. Que en la mayoría de las startups, no suele ser mucho.

El precio de auditoría varía según el tamaño de la empresa, del precio local y cantidad de sitios que tengas.

 

El proceso de la auditoría ISO 27001

Se compone de dos fases: la primera es de revisión de la documentación, la segunda es la revisión de las prácticas de seguridad.

Primera fase 

Duración: 5 a 10 días aprox.

El auditor verifica que la documentación del SGSI existe, está completa y cumple con los requisitos de la normativa. El foco en esta fase es garantizar que se hayan diseñado las políticas y que exista la documentación básica como el alcance, objetivos, plan de continuidad del negocio (BCP), inventario de activos, matriz de accesos, plan de recuperación ante desastres (DRP), etc.

También se encarga de señalar si existe algún incumplimiento y/o posible mejora para que la empresa lo solucione de cara a la segunda etapa. Al finalizar, el auditor hará entrega de un informe (notificando incumplimientos, mejoras, lista de controles implementados, etc.). Si se considera que tu SGSI está listo, avanzarás a la siguiente etapa.

Segunda fase 

Duración: 5 a 10 días aprox.

Ahora el auditor debe garantizar que las políticas no solo sean documentos redactados, sino que todo el personal los conoce y los cumple. Es decir, revisa exhaustivamente que las prácticas y actividades:

  • Se cumplen realmente en la empresa
  • Están alineadas a lo que pide la normativa
  • Están alineadas a lo que dicen tus políticas

Una vez que finalice, el auditor tardará dos semanas en entregar el informe final de decisión. Si este informe dice que cumples con los requisitos, el Comité Certificador dará su última revisión (dos técnicas y una administrativa) para, finalmente, confeccionar tu certificación ISO 27001.

¿Qué sucede si hay incumplimientos?

Si detectaran varios incumplimientos y aspectos para mejorar, recibirás un Plan de Acciones Correctivas (PAC).

Este plan es básicamente una lista de cosas que debes corregir en cierto período de tiempo. Por lo general, ese tiempo lo definirá el auditor dependiendo de la cantidad o tipo de aspectos que debas mejorar, aunque como máximo puede dar hasta 28 días.

Pasado este tiempo, el auditor verificará las mejoras realizadas y emitirá el informe final de evaluación y decisión. Si pasas exitosamente esta etapa, podrán otorgarte el certificado.

Auditorías de seguimiento

El certificado tiene una validez de tres años, pero debes mantenerte en cumplimiento para superar las auditorías anuales de seguimiento.

Estas pruebas de vigilancia las realiza la misma empresa certificadora para garantizar que el SGSI esté vigente y que las mejoras se implementan en el tiempo adecuado.

Al tercer año directamente se realiza la auditoría de renovación y se repiten las fases mencionadas en la sección anterior.

Tips para superar la auditoría con éxito

  • Recopila las evidencias: documenta y recopila evidencia de al menos 3 meses previos a la auditoría. Los auditores la pedirán para evaluar cómo estás cumpliendo con los requisitos de ISO 27001. Por ejemplo, si tienes una política de pruebas de intrusión cada seis meses, deberías presentar al menos el último reporte de vulnerabilidades con sus  remediaciones.
  • Reúne la documentación del SGSI: te solicitarán toda aquella documentación que forme parte de tu SGSI, sea obligatoria o no. Por ello, ten a mano las políticas, procedimientos, controles, evidencias, instructivos o planes que hayas implementado para cumplir.
  • Revisión final del SGSI: haz una última revisión para identificar si hace falta realizar ajustes, firmar o aprobar documentos, buscar más evidencias, etc.
  • Preparar a los interlocutores: Es recomendable designar una o dos personas que tengan trato directo con el auditor. Preferentemente, deben ser personas que hayan participado del proyecto, conozcan el SGSI implementado y cuenten con las habilidades de comunicación necesarias para defender o demostrar lo que han realizado.
  • Preparar al equipo: En caso de que el auditor quiera realizar preguntas al resto del equipo es conveniente prepararlos. Puede suceder que les realice entrevistas para verificar, por ejemplo, cuál es el grado de conocimiento que tienen de los documentos más importantes del SGSI o de que los utilizan al llevar a cabo sus actividades del día. Por ello, es conveniente que estén preparados para posibles preguntas al respecto.
  • Prepararse para las preguntas: Puedes prever escenarios de preguntas como las siguientes: ¿Tienes las políticas de seguridad de la información?¿ El personal ha sido comunicado de su existencia? ¿Cómo se comunicaron?¿Se realizaron pruebas para verificar qué se leyeron y comprendieron las políticas?
  • Verificar las métricas: Asegúrate de tener y de revisar las métricas del SGSI. Los auditores verificarán que todo se mida y analice de forma constante y eficiente. Por otro lado, si identificas oportunidades de mejora, te recomendamos plasmarlas en un plan con fechas de corrección (ese plan puede llamarse Plan de Acciones Correctivas y Oportunidades de Mejoras, para ganarte el amor del auditor).

Artículo de Hackmetrix

Artículos
Adicionales

Socios Comerciales

Somos un equipo de profesionales apasionados por la tecnología y la ciberseguridad empresarial.

Whatsapp Instagram Facebook-f Linkedin

Menú

Contacto

Horario: Lun-Vie 8:00AM – 5:00PM

Teléfonos: +506 8707 1293 / +52 1 777 563 6967

Email: info@bluesharkt.com

Dirección

México, Cuernavaca.
San José, Costa Rica.