Cómo evitar errores comunes de auditoría interna ISO 27001

Las auditorías internas del sistema de gestión son un requisito obligatorio de la norma ISO 27001 y de todas las demás normas ISO convencionales. Los requisitos son mínimos, sin embargo, cuando se examinan objetivamente y el detalle de ellos es muy poco prescriptivo. Esto significa que existe un margen considerable para optimizar los procesos de auditoría y obtener beneficios comerciales reales de sus auditorías internas. Lamentablemente, a veces históricamente, el auditorías son vistos como un dolor que no agrega valor; sin embargo, explicaremos por qué esto puede suceder y cómo evitarlo con la ayuda de nuestra lista de verificación de auditoría interna.

Error común: no abrazar el auditorías internas como herramienta de mejora empresarial

En ocasiones, tener una visión objetiva de sus procesos y sistemas puede generar mucho valor sin explotar.

¿Qué es una auditoría interna ISO 27001?

“Auditoría” es una palabra que a nadie le gusta escuchar: histórica y generalmente tiene connotaciones negativas y onerosas. Estos están principalmente desactualizados; sin embargo – las organizaciones ilustradas ven Las auditorías como herramienta de mejora de sus sistemas de gestión. y proceso. En el caso de un Sistema de Gestión de Seguridad de la Información (SGSI) ISO 27001, estas auditorías se centran en acuerdos relacionados con la seguridad de la información.

Error común: realizar una auditoría de certificación de manera oficiosa y demasiado formal

El 'tono' de la informe de auditoría interna El auditor puede (y creemos que debe) impulsarlo para que sea amigable y colaborativo. Siempre que los hallazgos relevantes surjan al final del proceso de auditoría, entonces será un resultado exitoso.

El ISMS consta de los procesos, procedimientos, protocolos y personas necesarios para proteger su información y sistemas de información contra el marco de la norma ISO 27001. Una auditoría interna ISO 27001 es el proceso de determinar si su SGSI está funcionando según lo diseñado y busca mejoras (según la cláusula 10.2, titulada llamativamente “mejora continua”). Prácticamente, un interno ISO 27001 La auditoría ayuda a las organizaciones a garantizar que cumplen con los requisitos autoprescritos (también definidos en el SGSI) y los requisitos estándar.

Error común: definir en su SGSI que algo sucede, cuando en realidad no sucede

Es imperdonable cuando defines tu Sistema de gestión que se adapta a tu negocio.. Por lo tanto, ha diseñado una trampa de auditoría en su sistema de gestión. Dentro de la cláusula 9.2, los requisitos de gestión de la norma ISO 27001 establecen que la organización debe realizar auditorías internas a "intervalos planificados", independientemente de cómo usted elija definir estos intervalos.

Error común: no definir “intervalos planificados” apropiados en el programa de auditoría

Esta definición está diseñada para brindar flexibilidad a la hora de determinar su programa, pero a menudo ocurre que no se encuentra el "punto óptimo" apropiado, lo que lleva a una auditoría excesiva o insuficiente.

¿Por qué son importantes las auditorías internas?

Las auditorías aseguran el desempeño de un SGSI frente a los objetivos establecidos para el mismo. Sin esta garantía, no existe una garantía genuina de qué tan bien funcionará en la protección de la información de su empresa. Las auditorías internas son esenciales porque ayudan a las organizaciones a identificar y corregir debilidades en sus sistema de gestión de seguridad de la información. Los criterios/resultados de la auditoría se utilizan entonces de varias maneras:

• Evaluar el liderazgo/gestión del desempeño del SGSI
• A mejorar el SGSI
• Buscar sinergias en términos de posibles problemas y correcciones.
• Reparar partes de los sistemas y procesos que no estén operando según el diseño.

Error común: no alertar a la gerencia con la suficiente rapidez cuando es necesario actuar

La alta dirección no puede implementar cambios directamente en su SGSI antes de realizar una revisión. Aun así, es necesario que participen, conscientes de problemas, impulsar soluciones y mejoras.

¿Qué dice la norma ISO que tenemos que hacer?

La cláusula 9.2 de la norma ISO 27001 exige solo algunas cosas de sus auditorías internas

• Que estén “planificados”, es decir, que se defina y documente un programa de auditorías.
• El programa de auditorías es dinámico y adecuado a su organización.
• Los resultados de la auditoría están documentados.
• La dirección está adecuadamente evaluada de los resultados de la auditoría.

El proceso, por tanto, no debería ser demasiado exigente y el planteamiento general requiere la aplicación del sentido común. Por ejemplo, las partes de su negocio que han tenido malos resultados de auditoría en el pasado probablemente serán auditadas más profundamente, tal vez con mayor frecuencia y posiblemente por su auditor de mayor rango en el futuro. Por el contrario, aquellas áreas que han pasado por auditorías anteriores podrían tener la profundidad y la frecuencia de la auditoría, o ambas, reducidas apropiadamente en el programa futuro.

La mayoría de las organizaciones elaboran un programa de auditoría para la empresa para el próximo año, a veces más largo, digamos para el ciclo de vida de tres años de su certificación.

Error común: no cumplir con el programa de auditoría

Retrasarse en sus auditorías internas es una de las formas más fáciles de poner a su Certificación SGSI en riesgo. Si esto sucede, solucionarlo lo más rápido posible es siempre el mejor consejo.

Error común: auditar insuficiente o excesivamente partes de su sistema de gestión

Es necesario reflexionar un poco sobre la frecuencia y lograr un equilibrio. La norma ISO requiere que se considere “la importancia de los procesos”, lo que significa que algunas partes de su SGSI serán auditadas más que otras, según corresponda.

Error común: alterar las operaciones comerciales normales con un programa de auditoría inadecuado

Si su empresa tiene períodos de mucha actividad, sería una tontería programar demasiadas auditorías en este momento. De manera similar, muchas organizaciones cierran sus operaciones, digamos, en Pascua o Navidad, y este puede ser, o no, un buen momento para realizar algunas auditorías internas. Tú decides.

¿Qué NO dice la norma ISO que tenemos que hacer?

Es fascinante observar lo que Cláusula ISO 9.2 NO dice que sea obligatorio. Se muy claro, si no es un absoluto requisito en la norma ISO (busque la palabra “deberá”), entonces podrá, con la consideración adecuada, definir sus disposiciones en su SGSI para adaptarlas a su organización. Por ejemplo, en la norma ISO no existe ningún requisito para auditorías internas no planificadas o aleatorias. Si lo desea, podría hacer algunos de estos.

Otro ejemplo es la profundidad y duración de su auditoría interna. En teoría, se podría realizar una auditoría de un proceso en cuestión de minutos, o podría prolongarse durante horas. De cualquier manera, como no es un requisito de la norma, tiene opciones. Recomendamos dividir las auditorías largas en partes más pequeñas (por ejemplo, de una hora) para que tanto el auditor como el auditado tengan tiempo para pensar y la oportunidad de refrescarse.

No lo olvide: la mayoría de los auditores internos se alimentan con té, café, agua y, muy a menudo, galletas y pasteles...

Error común: intentar 'comprar' o influir demasiado en su auditor interno

Los auditores deben ser imparciales y objetivos: ninguna cantidad de pasteles y amabilidad afectará la objetividad del resultado de la auditoría.

Error común: no invertir suficiente (o apropiado) tiempo y recursos

Intentar realizar la cantidad mínima de auditorías o realizar auditorías superficiales no liberará ningún valor ni demostrará ningún compromiso con el SGSI (que es un requisito de la norma ISO 27001).

Error común: el auditor se queda más tiempo de lo esperado

Si se planifica una auditoría interna para, digamos, una hora, no debería llevar más de esa hora. Un exceso puede perturbar gravemente otras actividades comerciales planificadas con todos los aspectos negativos que traerá este escenario. El a medida es documentar las piezas inacabadas que se abordarán en el futuro en el informe de auditoría.

¿Quién realiza una auditoría interna ISO 27001?

Las auditorías ISO 27001 requieren competencia (según la cláusula 7.2) y auditores objetivos, que hayan demostrado conocimiento de la norma y experiencia en la realización de una auditoría ISO 27001. A menudo, los auditores internos ya trabajarán en su organización y, por lo tanto, sabrán cómo funciona su negocio.

Mirando esto objetivamente, esto podría ser una fortaleza o una debilidad, dependiendo de la situación. Un auditor interno puede demostrar competencia asistiendo a un curso de auditor líder ISO 27001 o experiencia práctica que demuestre su conocimiento de la norma y realizando auditorías con éxito.

Error común: realizar auditorías internas utilizando auditores incompetentes

No puedes utilizar a cualquiera. No usarías a la recepcionista para controlar tu reactor nuclear. El mismo principio se aplica a sus auditorías internas.

Con los altos costos de cursos de formación En mente, puede ser preferible que un auditor demuestre su nivel de competencia a través de experiencia práctica en la implementación de un SGSI. ISMS.online puede ayudarle a aumentar su confianza y competencia a la hora de auditar su SGSI según ISO 27001 a través de varias funciones valiosas, como nuestro Virtual Coach. Esta característica es un conjunto de videos, listas de verificación y guías “siempre disponibles”, que se centran en las perspectivas del auditor para muchas cláusulas y controles.

Puede ser más práctico para organizaciones más pequeñas con capacidad limitada o empresas que buscan una mayor objetividad utilizar un proveedor externo (de terceros). auditor para realizar auditorías internas. Tenga en cuenta que esto es perfectamente aceptable en términos de requisitos ISO. El auditor podría ser un consultor, o ISMS.online puede ayudar; este enfoque proporciona independencia y puede proporcionar más objetividad y los beneficios de una experiencia de mayor alcance en otras organizaciones similares.

Error común: auditar tu propio trabajo

Nunca hagas esto, ya que la imparcialidad y la independencia se ven gravemente perjudicadas.

¿Qué buscan los auditores?

El objetivo de un auditor ISO es comprender el objetivo de su sistema de gestión de seguridad de la información y obtener evidencia para respaldar su cumplimiento con la norma ISO 27001. Contrariamente a la creencia popular, los auditores buscan (y deben informar) resultados positivos y negativos.

Los auditores ISO 27001 también buscan brechas o deficiencias en su sistema de seguridad de la información. Básicamente, su auditor buscará pruebas de los requisitos de la norma ISO 27001 en toda su empresa. Puede demostrarlo mediante la promulgación proactiva de políticas y controles que mitiguen los riesgos que enfrenta la información de su empresa. Por último, cualquier mejora potencial del SGSI acordada en colaboración entre el auditor y el auditado formará parte del informe de auditoría.

Error común: mantener la auditoría en marcha hasta que se encuentren no conformidades

Una auditoría equilibrada informará lo que se encuentre. Si no hay no conformidades evidentes, esto NO es indicación de una auditoría deficiente. Los auditores objetivos (es decir, la mayoría de) no tienen una sensación cálida y confusa cuando pueden señalar una no conformidad con su SGSI...

Error común: no informar el cumplimiento

Es igualmente importante que las organizaciones sean conscientes de los incumplimientos y de las posibles mejoras. ¿Por qué tomarse el tiempo y la molestia de planificar y realizar la auditoría pero no informar de un resultado positivo?

Las auditorías internas no son subjetivas

Como auditor, es posible que desee sugerir demasiado implementaciones en el SGSI de su organización o áreas generales de mejora conocidas como oportunidades de mejora (OFI). Sin embargo, es esencial recordar que si bien hay margen de interpretación dentro de la norma, las acciones fuera del requisito estándar no son obligatorias. Esto significa que la situación única de su organización puede considerar que ciertas sugerencias son redundantes desde la perspectiva de un auditor, especialmente si están fuera de los requisitos de la norma ISO 27001.

Error común: no “aprueba” o “reprueba” una auditoría

Los informes de auditoría son declaraciones de hechos y deben verse de manera impasible y no emocional. Cualquier cambio resultante requerido en su SGSI debe determinarse e implementarse (y, si es necesario, volverse a auditar). La evidencia juega un papel esencial para lograr la certificación ISO 27001; La cláusula 10.1 requiere explícitamente que las organizaciones conservar evidencia sobre no conformidades y las acciones tomadas como resultado. Como auditor, esto significa que sus hallazgos sobre no conformidades deben basarse en evidencia que describa claramente las áreas que necesitan mejora o corrección sistemática.

Error común: no utilizar hechos para determinar los resultados de la auditoría

Las opiniones y creencias de los auditores pueden sesgar negativamente el resultado de la auditoría. Los resultados de una auditoría objetiva e imparcial sólo están determinados por la experiencia y la evidencia fáctica.

¿Por qué elegir ISMS.online para ayudarle?

Para cumplir o certificarse por primera vez con la norma ISO 27001, nuestro SGSI.online Método de resultados asegurados (ARM) ofrece una aplicación sencilla, práctica y que ahorra tiempo. ARM lo ayudará a determinar qué activos, sistemas, personas, ubicaciones, etc. se alinean dentro del alcance de su sistema de seguridad de gestión de la información. Como resultado, ARM le permitirá pensar en los riesgos que enfrentan.

El Adoptar Adaptar Añadir (AAA) para la cláusula 9.2 proporciona un proceso probado a seguir para las auditorías internas. Utilizando nuestro SGSI preconfigurado, podrá evidenciar rápida y fácilmente los requisitos de la cláusula 9.2. También recibirá un programa de auditoría para realizar auditorías internas. Puede utilizar nuestro proyecto de auditoría para establecer los objetivos y el alcance de cada auditoría, luego registrar los hallazgos y abordar cualquier no conformidad encontrada durante la auditoría en el Camino de mejora de la plataforma.

La cláusula 10.1 cubre los requisitos de no conformidad y acción correctiva para ISO IEC 27001. Deberá proporcionar evidencia al auditor sobre cómo su organización identifica, reacciona, evalúa, revisa y documenta las no conformidades. Al utilizar nuestra plataforma ISMS.online, puede utilizar la filosofía Adopt Adapt Add con nuestra política sugerida previamente para la cláusula 10.1. La plataforma ISMS.online proporciona un seguimiento práctico de acciones correctivas y mejoras para demostrar cómo su organización gestiona fácilmente las acciones correctivas y las mejoras. También puede vincular acciones correctivas y mejoras a otras áreas dentro de la plataforma, como políticas, mientras asigna tareas pendientes a colegas y agrega fechas de entrega.

Nuestra plataforma ISMS.online también proporciona un marco que permite a las organizaciones que deseen seguir un programa de auditoría de tres años para todos los controles durante su período de certificación.
La presentación de pruebas se simplifica con nuestra plataforma ISMS.online; puede registrar datos, políticas, controles, procedimientos, evaluaciones de riesgos, riesgos identificados, acciones, proyectos, documentación relacionada e informes dentro de la plataforma, creando una evaluación sencilla para los auditores.

Ayuda adicional disponible del equipo de desarrollo y entrega de servicios (SDD)

Los empleados responsables de implementar su sistema de seguridad de la información pueden tener dificultades y consultas en torno al estándar; aquí es donde nuestros equipos de soporte pueden guiarlo a través del proceso. Dentro de nuestra organización, el equipo de desarrollo y prestación de servicios tiene una amplia experiencia y conocimientos en seguridad de la información. Pueden respaldar la implementación inicial de su sistema de gestión de seguridad de la información y brindarle orientación sobre cualquier dificultad estándar importante.