av Allan Gabriel Ordoñez Muñoz 7 år siden
297
Mer som dette
La segunda fase de la auditoría se desarrolla en las instalaciones de la organización auditada y en ella el auditor realizará entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación real de la organización.
Cierre de la auditoría
En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo:
Versión de la declaración de aplicabilidad.
Fecha de emisión del certificado y su periodo de validez.
Nombre y dirección de la organización.
Recomendaciones:
Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.
Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta.
Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en el caso de que se hayan encontrado no conformidades.
Se recomienda el registro si se considera que el SGSI es conforme con la norma.
Decisiones:
El auditor no detecta no conformidades: En este caso, el auditor propone la concesión de la certificación a la organización.
El auditor detecta no conformidades menores: En este caso, el auditor solicita a la organización auditada que proponga una serie de soluciones para estas no conformidades.
El auditor detecta grandes no conformidades: En este caso, el auditor rechaza la certificación e informa de las no conformidades graves que justifica el rechazo.
Las conclusiones y el informe de auditoría deberán basarse en:
El compromiso de la dirección con la mejora continua.
Las fortalezas y debilidades de los departamentos respecto de las secciones de la norma ISO/IEC 17799:2005.
La documentación, implantación y efectividad del SGSI.
Las no conformidades encontradas.
Las dos etapas de la auditoría conjuntamente.
Al final de la auditoría, el equipo auditor debe mantener una reunión con el solicitante para:
Cerrar la auditoría.
Recoger la conformidad del solicitante.
Preguntar si el solicitante tiene alguna cuestión que quiera aclarar.
Informar de las recomendaciones que va a dar el equipo de auditoría.
Dar un resumen del resultado de la auditoría.
Recordar nuevamente el objetivo y alcance de la auditoría.
Agradecer su colaboración.
Entrevistas
Otros tipos de preguntas
Preguntas sobre situaciones hipotéticas.
Preguntas repetidas.
Preguntas no-verbales (Lenguaje corporal).
Preguntas de investigación.
Preguntas de opinión.
Estudio de las evidencias
Para comprobar cómo se han generado las evidencias, el grupo auditor puede utilizar las siguientes técnicas:
Resumen, análisis o evaluación.
Muestreo
Revisión de documentos o registros.
Observación.
Preguntas a los empleados.
El objetivo de las entrevistas es extraer todas las evidencias necesarias para verificar que la documentación entregada al auditor en la primera fase refleja cómo está actuando la organización.
En esta segunda fase, el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información.
Realización de la auditoría
El objetivo es tratar de determinar si el sistema de gestión de la seguridad de la información cumple con lo establecido en la norma.
Una vez aprobado por el solicitante el plan de auditoría, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante. Por ejemplo, las revisiones se centran en:
La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.
El grado de implicación de la dirección.
Las revisiones del SGSI y de la seguridad.
Cómo se monitoriza/mide, se informa y mejora.
Los objetivos que persigue la organización.
La declaración de aplicabilidad.
El análisis de riesgos.
Planificación de la auditoría
El plan de auditoría deberá incluir:
Contenido y estructura de los informes.
Agenda para las reuniones.
Muestras de controles que se auditarán.
Áreas o departamentos que se auditarán.
Documentos de referencia.
Personal del solicitante con responsabilidad dentro del área afectada.
Equipo por parte de la entidad y del solicitante.
Alcance y objetivo de la auditoría.
El proceso de auditoría de los controles puede no ser exhaustivo y antes de iniciar la auditoría presencial, el equipo auditor podrá realizar una selección de los controles que van a ser auditados. Por ejemplo:
Si no se encuentran problemas serios, se auditarán un 20% de los controles aplicables.
Dar prioridad a las áreas de mayor riesgo.
Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI.
Seleccionar controles de todas las secciones.
Seleccionar controles que afecten a las actividades más importantes de la organización.
Incluir todos los controles críticos.
La mínima documentación que se va revisar es la siguiente:
Revisión de la documentación de los controles seleccionados.
La selección de controles de acuerdo con la declaración de aplicabilidad.
Análisis de riesgos de la organización.
Alcance de la certificación.
Política de seguridad de la organización.
El objetivo es verificar que la organización ha implantado los controles en base a los riesgos que ésta posee y que además estos controles están de acuerdo con lo que indica en las normas: ISO/IEC/ 17799:2005 y la ISO/IEC 27001.
Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información.
Revisión de la documentación de los controles seleccionados
Situaciones:
El auditor no detecta no conformidades
En estos casos, el auditor propone a la organización que pase a la segunda fase de la auditoría.
El auditor detecta no conformidades menores
En estos casos, el auditor propone a la organización auditada que exponga una serie de soluciones para estas no conformidades.
El auditor detecta grandes no conformidades
En este caso, el auditor rechaza la certificación y propone a la empresa auditada que rehaga la documentación del SGSI y que, pasado un tiempo, vuelva a requerir el proceso de auditoría.
Deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumplen las siguientes condiciones:
Aparecen reflejados los diferentes puntos de la normativa ISO/IEC 17799.
Dispone de control de versiones.
Está fechada y disponible.
La selección de controles de acuerdo con la declaración de aplicabilidad
El auditor, en base a los riesgos analizados, determinará si se han seleccionado los controles adecuados para reducirlos.
Análisis de riesgo de la organización
El auditor prestará especial atención al análisis de riesgos.
Alcance de la certificación
Este alcance condiciona la certificación y el desarrollo de las auditorías; el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado.
Política de seguridad de la organización
Se revisará:
Las referencias a otros documentos.
La definición de responsabilidades.
Las explicaciones breves sobre políticas, principios, prácticas y cumplimientos de seguridad.
El soporte de la dirección a la implantación del SGSI.
La definición de la seguridad.
Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único follo. Sí que se verificará que esté a disposición de todos los trabajadores de la organización.
Internas
Mejorar el producto o servicio.
Mejorar los procesos.
Mejorar la satisfacción del personal.
Mejorar la satisfacción del cliente interno.
Aumentar la motivación del personal.
Reducir costes.
Proporcionar confianza a las personas de la organización.
Externas
Facilitar la compra al consumidor.
Fidelizar a los clientes.
Ser un elemento diferenciador con la competencia.
Evitar o disminuir evaluaciones sobre nuestro productos o servicios.
Facilitar el intercambio y acceso a mercados externos.
Aumentar la credibilidad y confianza de los clientes y administración.