Proceso de auditoría de certificación: el objetivo de estos procesos es verificar la correcta implantación de las normativas relativas a la gestión de la seguridad de la información. Los sistemas de gestión de la seguridad de la información de cada organización no tienen porque ser iguales, solo dependerán de las características propias de cada una.
2. Proceso de auditoría: El proceso de auditoría que aplica cada organización de certificación puede variar en ciertas fases y en la duración o importancia que se dé a cada una. El objetivo es analizar la eficacia y la efectividad de este SGSI en base a los riesgos ante los que se encuentra expuesta la organización.
2. Auditoría in-situ: la segunda fase de la auditoria se desarrolla en las instalaciones de la organización auditada y en ella el auditor realizará entrevistas para verificar que lo que se indica en la documentación revisada refleja la situación real de la organización. Entre la revisión documental y esta segunda fase deben pasar obligatoriamente entre tres y seis semanas, el objetivo es:
1. Confirmar que la organización cumple con sus políticas y procedimientos.
2. Comprobar que el SGSI desarrollado es conforme con las especificaciones de la norma.
3. Verificar que el SGSI está logrando los objetivos que la organización se ha marcado.
2. Realización de la auditoría: una vez aprobado por el solicitante el plan de auditoría, se concretarán las fechas exactas para la visita del equipo auditor a las instalaciones del solicitante.
En estas revisiones, el equipo auditor se deberá centrar en los siguientes aspectos:
1. El análisis de riesgos.
2. La declaración de aplicabilidad.
3. Los objetivos que persigue la organización.
4. Cómo se monitoriza/mide, y se informa y mejora.
5. Las revisiones del SGSI y de la seguridad.
6. El grado de implicación de la dirección.
7. La coherencia entre políticas, análisis de riesgos, objetivos, responsabilidades, normas, procedimientos, datos de rendimiento y revisiones de seguridad.
4. Cierre de la auditoría: al final de la auditoría, el equipo auditor debe mantener una reunión con el solicitante para:
a. Agradecer su colaboración.
b. Recordar nuevamente el objetivo y alcance de la auditoría.
c. Informar de las recomendaciones que va a dar el equipo de auditoría.
d. Preguntar si el solicitante tiene alguna cuestión que quiera aclarar.
e. Recoger la conformidad del solicitante
f. Cerrar la auditoría.
Al igual que al final de la primera fase de la auditoría se pueden producir tres decisiones:
1. El auditor detecta grandes no conformidades: el auditor rechaza la certificación.
2. El auditor detecta no conformidades menores: el auditor solicita a la organización auditada que proponga una serie de soluciones para estas no conformidades.
3. El auditor no detecta no conformidades: el auditor propone la concesión de la certificación a la organización.
En caso de que se emita el certificado, la entidad remitirá al solicitante una carta o diploma indicando como mínimo:
a. Nombre y dirección de la organización.
b. Alcance de la certificación.
c. Fecha de emisión del certificado y su periodo de validez.
d. Versión de la declaración de aplicabilidad.
Las conclusiones y el informe de auditoría deberán basarse en:
1. Las dos etapas de la auditoría conjuntamente.
2. Las no conformidades encontradas.
3. La documentación, implantación y efectividad del SGSL.
4. Las fortalezas y debilidades de los departamentos respecto de las secciones de la norma ISO/IEC 17799:2005.
5. El compromiso de la dirección con la mejora continua.
En función de lo anterior el equipo auditor debe emitir la recomendación:
a. Se recomienda el registro si se considera que el SGSI es conforme con la norma.
b. Se recomienda revisión a la espera de recibir un plan aceptable de acciones correctoras en el caso de que se hayan encontrado no conformidades.
c. Se recomienda volver a auditar parcialmente el SGSI si se han encontrado no conformidades mayores en un área concreta.
d. Se recomienda volver a auditar si se han encontrado no conformidades mayores en más de un área.
3. Entrevistas: el auditor busca evidencias objetivas sobre la implantación y el funcionamiento de los controles que conforman el sistema de gestión de la seguridad de la información. El auditor está capacitado para solicitar al personal de la organización que le muestre cómo se han generado las evidencias.
1. Estudio de las evidencias: para comprobar cómo se han generado las evidencias, el equipo auditor puede utilizar las siguientes técnicas:
a. Preguntas a los empleados.
b. Observación.
c. Revisión de documentos o registros.
d. Muestreo.
e. Resumen, análisis o evaluación.
2. Otros tipos de preguntas: Las siguientes son otros tipos de preguntas que se pueden hacer:
a. Preguntas de opinión.
b. Preguntas de investigación.
c. Preguntas no-verbales(Lenguaje corporal)
d. Preguntas repetidas.
e. Preguntas sobre situaciones hipotéticas.
1. Planificación de la auditoría: El proceso de auditoría de los controles puede no ser exhaustivo y, antes de iniciar la auditoría presencial, el equipo auditor podrá realizar una selección de los controles que van a ser auditados.
Una vez realizado la muestra de controles, el equipo auditor elaborará un plan de auditoría que deberá incluir:
a. Alcance y objetivo de la auditoría.
b. Equipo por parte de la entidad y del solicitante.
c. Personal del solicitante con responsabilidad dentro del área afectada.
d. Documentos de referencia.
e. Áreas o departamentos que se auditarán.
f. Muestras de controles que se auditarán.
g. Agenda para las reuniones.
h. Contenido y estructura de los informes.
En este sentido, la muestra deberá:
a. Incluir todos los controles críticos.
b. Seleccionar controles que afecten a las actividades más importantes de la organización.
c. Seleccionar controles de todas las secciones.
d. Seleccionar los controles de forma que se auditen todos los departamentos involucrados en el SGSI.
e. Dar prioridad a las áreas de mayor riesgo.
f. Si no se encuentran problemas serios, se auditarán un 20% de los controles aplicables.
1. Auditoría documental: Esta primera fase consiste en la revisión por parte del equipo auditor de toda la documentación que forma parte del sistema de gestión de la seguridad de la información. El objetivo es verificar que la organización ha implantado los controles en base a los riesgos que ésta posee y que ademas estos controles están de acuerdo con lo que se indica en las normas, La mínima documentación que se va revisar es la siguiente:
a. Política de seguridad de la organización.
b. Alcance de la certificación.
c. Análisis de riesgos de la organización.
d. La selección de controles de acuerdo con la declaración de aplicabilidad.
e. Revisión de la documentación de los controles seleccionados.
d. La selección de controles de acuerdo con la declaración de aplicabilidad: El auditor, en base a los riesgos analizados, determinará si se han seleccionado los controles adecuados para reducirlos. En este sentido, se tendrá que defender, ante el auditor, la no implementación de un control; los motivos pueden ser:
1. No existe un riesgo que lo justifique.
2. Falta de presupuesto.
3. No hay viabilidad tecnológica.
4. No se puede implantar por falta de tiempo.
5. No es aplicable.
Las razones para excluir controles deben ser solidas y coherentes.
e. Revisión de la documentación de los controles seleccionados: deben documentarse todos los controles seleccionados por parte de la organización, retirar la documentación obsoleta y comprobar que la documentación cumple las siguientes condiciones:
1. Está fechada y disponible.
2. Dispone de control de versiones.
3. Aparecen reflejados los diferentes puntos de la normativa ISO/IEC 17799. En base a esta revisión de la documentación, podrían llegar a proponerse tres situaciones:
2. El auditor detecta no conformidades: el auditor propone a la organización auditada que exponga una serie de soluciones para estas no conformidades.
3. El auditor no detecta no conformidades: el auditor propone a la organización que pase a la segunda fase de la auditoria.
1.El auditor detecta grandes no conformidades: en este caso, el auditor rechaza le certificación y propone a la empresa auditada que rehaga la documentación del SGSI y que, pasado un tiempo, vuelva a requerir el proceso de auditoría.
c. Análisis de riesgos de la organización: el auditor prestará especial atención al análisis de riesgos. Para empezar tendrá que estar formalmente aceptado por la dirección de la organización y es obligatorio que esté documentada tanto la metodología utilizada, como los resultados de dicho análisis de riesgos. El auditor ha de determinar si el análisis de riesgos cubre todo el alcance definido por la organización y si es aceptable en función de los activos y la naturaleza de la organización.
b. Alcance de la certificación: este alcance condiciona la certificación y el desarrollo de las auditorías, el auditor únicamente revisará lo referente a este alcance y todo lo que pueda estar fuera de él no sera revisado. En el caso de que se realice un cambio en el alcance de la certificación, se tendría que rehacer totalmente la auditoría.
a. Política de seguridad de la organización: Esta política de seguridad podrá no estar desarrollada en un único documento e incluso el auditor verificará que la política de seguridad pueda estar resumida en un único folio. En pocas palabras, se revisara:
1. La definición de la seguridad.
2. El soporte de la dirección a la implantación del SGSI.
3. Las explicaciones breves sobre políticas, principios, prácticas y cumplimientos de seguridad.
4. La definición de responsabilidades.
5. Las referencias a otros documentos.
1. Ventajas de la certificación: La implantación de un sistema de gestión e seguridad de la información según alguna de las normas da a las organizaciones, independientemente de su tamaño las siguientes ventajas:
a. Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
b. Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparándose ante posibles emergencias y garantizando la continuidad del negocio.
c. Asegurar su compromiso con el cumplimiento de la legislación vigente sobre protección de datos de carácter personal, servicios de la sociedad de la información.
d. Planificar, organizar y estructurar los recursos asignados a seguridad de la información.
e. Definir objetivos y metas que permitan aumentar el grado de confianza en la seguridad.
f. Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información.
g. Integrar la gestión de la seguridad de la información con el resto de sistemas de gestión implantados en la empresa.
h. Aportar un valor añadido de confianza en la protección de la información, mejorando su imagen de cara a otras empresas y convirtiéndose en un factor de distinción frente a la competencia.
La necesidad de certificar la seguridad surge de la dificultad de responder a la pregunta de en que manera las organizaciones pueden aportar a los clientes, proveedores y a la sociedad en general. La única forma que la organización tiene de contestar esta pregunta es superando una revisión independiente de las medidas de seguridad que tienen implantadas y que certifica que lo esta haciendo bien, con estas certificaciones se obtienen las siguientes ventajas:
Durante el proceso de auditoría lo que pretende el auditor no es encontrar incumplimientos en las medidas de seguridad implantadas, sino:
-Tratar de evaluar la efectividad de la organización con respecto al uso de los recursos.
-Evaluar los sistemas y procesos que se desarrollan en la organización.
-Detectar y prevenir posibles errores y fraudes.
-Evaluar el riesgo y los sistemas de seguridad de las organizaciones.
-Evaluar los planes de contingencia y recuperación en caso de desastres
1. Externas:
-Aumentar la credibilidad y confianza de clientes y administración.
-Facilitar el intercambio y acceso a mercados externos.
-Evitar o disminuir evaluaciones sobre nuestros productos o servicios.
-Ser un elemento diferenciador con la competencia.
-Fidelizar a los clientes.
-Facilitar la compra al consumidor.
2. Internas:
-Proporcionar confianza a las personas de la organización.
-Reducir costes.
-Aumentar la motivación del personal.
-Mejorar la satisfacción del cliente interno.
-Mejorar la satisfacción del personal.
-Mejorar los procesos.
-Mejorar el producto o servicio.
