Auditoría de certificación

Proceso de auditoría de certificación

El objetivo de los procesos de certificación es verificar la correcta implantación de las normativas relativas a la gestión de la seguridad de la información, concretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502.

La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas de gestión de la seguridad de la información.

El Modelo PDCA

Planificar: Decidir qué medidas de seguridad han de implementarse.

Hacer: Implantar las medidas en la organización

Verificar: Trabajar analizando que no sucedan incidentes de seguridad.

Actuar: Realizar cambios en el SGSI en base a las evidencias generadas.

Ventajas de la certificación

Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.

Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.

Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información, comercio electrónico, propiedad intelectual y en general, con aquélla relacionada con la seguridad de la información.

Planificar, organizar y estructurar los recursos asignados a seguridad de la información.

Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.

Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información.

Integrar la gestión de la seguridad de la información con el resto de sistemas de gestión implantados en la empresa.

Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia.

También estas certificaciones se obtienen las siguientes ventajas:

Externas

Aumentar la credibilidad y confianza de los clientes y administración.

Facilitar el intercambio y acceso a mercados externos.

Evitar o disminuir evaluaciones sobre nuestro productos o servicios.

Ser un elemento diferenciador con la competencia.

Fidelizar a los clientes.

Facilitar la compra al consumidor.

Internas

Proporcionar confianza a las personas de la organización.

Reducir costes.

Aumentar la motivación del personal.

Mejorar la satisfacción del cliente interno.

Mejorar la satisfacción del personal.

Mejorar los procesos.

Mejorar el producto o servicio.

Proceso de auditoría

El proceso de auditoría que aplica cada organización de certificación puede variar en ciertas fases y en la duración o importancia que se dé a cada una.

El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante que se encuentran expuesta la organización.

Auditoría documental

Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información.

Política de seguridad de la organización

Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único follo. Sí que se verificará que esté a disposición de todos los trabajadores de la organización.

Se revisará:

La definición de la seguridad.

El soporte de la dirección a la implantación del SGSI.

Las explicaciones breves sobre políticas, principios, prácticas y cumplimientos de seguridad.

La definición de responsabilidades.

Las referencias a otros documentos.

Alcance de la certificación

Este alcance condiciona la certificación y el desarrollo de las auditorías; el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no será revisado.

Análisis de riesgo de la organización

El auditor prestará especial atención al análisis de riesgos.

La selección de controles de acuerdo con la declaración de aplicabilidad

El auditor, en base a los riesgos analizados, determinará si se han seleccionado los controles adecuados para reducirlos.

Revisión de la documentación de los controles seleccionados

Deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumplen las siguientes condiciones:

Está fechada y disponible.

Dispone de control de versiones.

Aparecen reflejados los diferentes puntos de la normativa ISO/IEC 17799.

Situaciones:

El auditor detecta grandes no conformidades

En este caso, el auditor rechaza la certificación y propone a la empresa auditada que rehaga la documentación del SGSI y que, pasado un tiempo, vuelva a requerir el proceso de auditoría.

El auditor detecta no conformidades menores

En estos casos, el auditor propone a la organización auditada que exponga una serie de soluciones para estas no conformidades.

El auditor no detecta no conformidades

En estos casos, el auditor propone a la organización que pase a la segunda fase de la auditoría.

El objetivo es verificar que la organización ha implantado los controles en base a los riesgos que ésta posee y que además estos controles están de acuerdo con lo que indica en las normas: ISO/IEC/ 17799:2005 y la ISO/IEC 27001.

La mínima documentación que se va revisar es la siguiente:

Política de seguridad de la organización.

Alcance de la certificación.

Análisis de riesgos de la organización.

La selección de controles de acuerdo con la declaración de aplicabilidad.

Revisión de la documentación de los controles seleccionados.

Auditoría in-situ

La segunda fase de la auditoría se desarrolla en las instalaciones de la organización auditada y en ella el auditor realizará entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación real de la organización.

Planificación de la auditoría

El proceso de auditoría de los controles puede no ser exhaustivo y antes de iniciar la auditoría presencial, el equipo auditor podrá realizar una selección de los controles que van a ser auditados. Por ejemplo:

Incluir todos los controles críticos.

Seleccionar controles que afecten a las actividades más importantes de la organización.

Seleccionar controles de todas las secciones.

Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI.

Dar prioridad a las áreas de mayor riesgo.

Si no se encuentran problemas serios, se auditarán un 20% de los controles aplicables.

El plan de auditoría deberá incluir:

Alcance y objetivo de la auditoría.

Equipo por parte de la entidad y del solicitante.

Personal del solicitante con responsabilidad dentro del área afectada.

Documentos de referencia.

Áreas o departamentos que se auditarán.

Muestras de controles que se auditarán.

Agenda para las reuniones.

Contenido y estructura de los informes.

Realización de la auditoría

Una vez aprobado por el solicitante el plan de auditoría, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante. Por ejemplo, las revisiones se centran en:

El análisis de riesgos.

La declaración de aplicabilidad.

Los objetivos que persigue la organización.

Cómo se monitoriza/mide, se informa y mejora.

Las revisiones del SGSI y de la seguridad.

El grado de implicación de la dirección.

La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.

El objetivo es tratar de determinar si el sistema de gestión de la seguridad de la información cumple con lo establecido en la norma.

Entrevistas

En esta segunda fase, el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información.

El objetivo de las entrevistas es extraer todas las evidencias necesarias para verificar que la documentación entregada al auditor en la primera fase refleja cómo está actuando la organización.

Estudio de las evidencias

Para comprobar cómo se han generado las evidencias, el grupo auditor puede utilizar las siguientes técnicas:

Preguntas a los empleados.

Observación.

Revisión de documentos o registros.

Muestreo

Resumen, análisis o evaluación.

Otros tipos de preguntas

Preguntas de opinión.

Preguntas de investigación.

Preguntas no-verbales (Lenguaje corporal).

Preguntas repetidas.

Preguntas sobre situaciones hipotéticas.

Cierre de la auditoría

Al final de la auditoría, el equipo auditor debe mantener una reunión con el solicitante para:

Agradecer su colaboración.

Recordar nuevamente el objetivo y alcance de la auditoría.

Dar un resumen del resultado de la auditoría.

Informar de las recomendaciones que va a dar el equipo de auditoría.

Preguntar si el solicitante tiene alguna cuestión que quiera aclarar.

Recoger la conformidad del solicitante.

Cerrar la auditoría.

Las conclusiones y el informe de auditoría deberán basarse en:

Las dos etapas de la auditoría conjuntamente.

Las no conformidades encontradas.

La documentación, implantación y efectividad del SGSI.

Las fortalezas y debilidades de los departamentos respecto de las secciones de la norma ISO/IEC 17799:2005.

El compromiso de la dirección con la mejora continua.

Decisiones:

El auditor detecta grandes no conformidades: En este caso, el auditor rechaza la certificación e informa de las no conformidades graves que justifica el rechazo.

El auditor detecta no conformidades menores: En este caso, el auditor solicita a la organización auditada que proponga una serie de soluciones para estas no conformidades.

El auditor no detecta no conformidades: En este caso, el auditor propone la concesión de la certificación a la organización.

Recomendaciones:

Se recomienda el registro si se considera que el SGSI es conforme con la norma.

Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en el caso de que se hayan encontrado no conformidades.

Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta.

Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.

En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo:

Nombre y dirección de la organización.

Alcance de la certificación.

Fecha de emisión del certificado y su periodo de validez.

Versión de la declaración de aplicabilidad.