Todo lo que necesitas saber sobre las auditorías ISO 27001 [+ Lista de verificación]
Un componente clave del cumplimiento de ISO 27001 son las auditorías regulares.
Las auditorías aseguran que su Sistema de Gestión de Seguridad de la Información (SGSI) no solo cumpla con el estándar ISO/IEC 27001, sino que también sea efectivo en mantener la seguridad de la información para su organización.
Para asegurarse de que esté listo, cubriremos todo lo que necesita saber sobre las auditorías ISO 27001, incluidos los diferentes tipos y por qué son importantes.
¿Qué es una auditoría ISO 27001?
Una auditoría ISO 27001 es un proceso de revisión para examinar si el SGSI de una organización cumple con los requisitos del estándar, así como con las mejores prácticas de seguridad de la información de la organización.
La guía definitiva sobre ISO 27001
Si busca construir un SGSI compatible y obtener la certificación, esta guía tiene todos los detalles que necesita para comenzar.
¿Cuáles son los tipos de auditorías ISO 27001?
A continuación se presenta una descripción general de los diferentes tipos de auditorías ISO 27001. Descubra cuáles son, quién las lleva a cabo y con qué frecuencia ocurren.
Auditorías internas
ISO 27001 requiere que las organizaciones planifiquen y realicen auditorías internas para demostrar el cumplimiento. Estas auditorías están destinadas a revisar y evaluar la efectividad del SGSI de la empresa.
Deben realizarse de manera regular y documentar el proceso de auditoría.
Estas auditorías pueden ser realizadas por el propio equipo de auditoría interna de una organización. Si una empresa no tiene un auditor interno, puede utilizar una parte externa. Estas auditorías se denominan "auditoría de segunda parte."
Auditorías externas
Las auditorías externas son llevadas a cabo por un organismo certificador para determinar si su organización cumple continuamente con los requisitos de ISO 27001.
El término "auditoría externa" se refiere más comúnmente a la auditoría de certificación, en la cual un auditor externo evaluará su SGSI para verificar que cumpla con los requisitos de ISO 27001 y emitir su certificación. Sin embargo, el término también se refiere a otros tipos de auditorías realizadas por organismos de certificación. Veamos los tres tipos de auditorías ISO 27001 externas a continuación.
Auditoría de certificación
La auditoría de certificación es realizada por un organismo de certificación, y si demuestras cumplimiento, recibirás un certificado de conformidad válido por tres años. Durante esos tres años, estás obligado a mantener tu SGSI y los procesos, así como los controles ISO 27001 y requisitos que te ayudaron a lograr el cumplimiento.
Este es el único tipo de auditoría ISO 27001 que se realiza solo una vez, cuando se te otorga por primera vez tu certificado de conformidad.
Auditorías de vigilancia
Después de obtener la certificación, debes programar auditorías de vigilancia con un organismo de certificación.
Estas auditorías incluyen:
- Todas las cláusulas en el marco de trabajo ISO 27001
- Requisitos del Anexo A, que se dividen entre los años uno y dos después de tu auditoría de certificación (tu auditor determinará cómo se dividen los requisitos)
- Revisión de no conformidades encontradas en la auditoría de certificación inicial para determinar si fueron corregidas adecuadamente
Auditorías de recertificación
Después de que hayan pasado esos tres años, tu organización necesitará someterse a una auditoría de recertificación, donde proporcionarás evidencia que demuestre el cumplimiento continuo y prueba de la mejora continua del SGSI.
¿Quién puede realizar auditorías ISO 27001?
Las auditorías externas deben ser realizadas por un organismo de certificación.
Una auditoría interna es el único tipo de auditoría ISO 27001 que no es realizada por un organismo de certificación. En su lugar, puede ser realizada por una parte independiente con suficiente experiencia. Esta parte puede ser un recurso interno o externo siempre que sea imparcial y no audite funciones o procesos que gestiona o ayudó a crear.
Si tu organización no tiene a nadie que cumpla con estos criterios, puedes contratar a un auditor externo para que te ayude a completar una auditoría interna.
Frecuencia de auditorías ISO 27001
ISO 27001 es un estándar riguroso que necesita ser renovado frecuentemente. Esta frecuencia varía según el tipo de auditoría.
El cumplimiento con ISO 27001 requiere una auditoría interna cada 12 meses para ayudar a garantizar que los controles sean monitoreados de cerca a largo plazo y que tu SGSI esté en continua mejora. Esto facilita mucho que los clientes confíen en ti con sus datos y su negocio.
Una auditoría de certificación solo es requerida una vez. Después de que se te otorga tu certificación, tu organización deberá someterse a auditorías de vigilancia en los años uno y dos después de tu auditoría de certificación. En el tercer año, necesitarás someterte a una auditoría de recertificación.
The Four Types of ISO 27001 Audits
| Internal audits | Certification audit | Recertification audits | Surveillance audits | |
|---|---|---|---|---|
| Performed by | Independent party (internal or external resource) with sufficient expertise | Certification body | Certification body | Certification body |
| Audit frequency | Once every year | Once, when you are first awarded your certificate | Once every three years | Annually in years one and two between certification and recertification audits |
Auditoría de certificación vs. auditoría interna: ¿En qué se diferencian?
La principal diferencia entre las auditorías de certificación y las auditorías internas radica en los objetivos incluidos dentro del estándar ISO 27001.
ISO 27001 establece que las auditorías internas están destinadas a:
- Confirmar que el SGSI se ajusta a los requisitos de la organización para la gestión de la seguridad de la información.
- Confirmar que el estándar ISO 27001 está implementado y mantenido de manera efectiva.
ISO 27001 establece que las auditorías de certificación están destinadas a:
- Confirmar que la organización cumple con sus propias políticas, objetivos y procedimientos.
- Confirmar que el SGSI cumple con todos los requisitos del estándar ISO 27001 y está alcanzando los objetivos de la política de la organización.
La auditoría interna se centra en la efectividad del SGSI, como sea que eso se vea en su empresa. La auditoría de certificación se utiliza para evaluar la conformidad de un SGSI con los requisitos de ISO 27001.
Lectura recomendada
Lista de verificación ISO 27001: Su hoja de ruta de 14 pasos para obtener la certificación ISO
¿Por qué son importantes las auditorías ISO 27001?
Tanto las auditorías internas como externas de ISO 27001 son importantes.
Las auditorías externas proporcionan validación de terceros para su postura de seguridad. Un auditor puede ofrecer una opinión experta y objetiva sobre sus controles y políticas de seguridad, así como recomendaciones útiles sobre lo que podría hacer para mejorar aún más su postura general de seguridad. Las auditorías de certificación, en particular, son importantes porque demuestran su compromiso con la seguridad. Una certificación de terceros altamente respetada como la ISO 27001 puede ser una poderosa ventaja competitiva. También puede acelerar el ciclo de ventas y permitirle moverse hacia el mercado más rápido.
Las auditorías internas son importantes porque el estándar ISO 27001 las requiere. La cláusula 9.2 del estándar establece que se debe tener un programa de auditoría interna para demostrar que un SGSI cumple con los requisitos y funciona de manera efectiva. Más allá de ser un requisito, también brindan a las empresas una variedad de beneficios, incluidos el descubrimiento de no conformidades y la oportunidad de remediarlas antes de que lo haga un organismo de certificación.
Otros beneficios de las auditorías internas y externas de ISO 27001 incluyen:
- Tranquilidad de que su SGSI está implementado adecuadamente y cumple con los requisitos del estándar
- Garantía de que su SGSI es efectivo para reducir los riesgos de seguridad de la información
- Conocimiento de que las no conformidades se abordan de manera oportuna
- Documentación detallada de las debilidades, eventos e incidentes de seguridad de la información que pueden ayudar a informar mejoras y cambios para fortalecer el SGSI
- Compromiso con la mejora continua
Cronograma de auditoría ISO 27001
Antes de su auditoría de certificación, deberá completar varios pasos para prepararse, incluyendo la gestión de riesgos y la implementación de controles de seguridad. Primero, deberá definir el alcance de su SGSI y decidir qué activos de información desea que se representen en su certificado ISO 27001.
A continuación, deberá realizar una evaluación de riesgos para identificar amenazas y crear un plan de tratamiento de riesgos para decidir cómo reducir cada riesgo a un nivel aceptable. También puede optar por contratar a un consultor externo para realizar un análisis de brechas y proporcionar orientación sobre cómo puede cumplir con los requisitos de ISO 27001.
En este momento, también deberá preparar documentación, incluyendo la redacción de políticas de seguridad y privacidad, completar la Declaración de Aplicabilidad (SOA), recopilar evidencia de los controles y realizar capacitación en concienciación sobre ciberseguridad para su personal.
Una vez que haya completado esta fase de pre-auditoría, pasará a las auditorías de certificación de la Etapa 1 y la Etapa 2, auditorías de vigilancia y auditorías de recertificación.
Año 1: Auditoría de Certificación ISO 27001
Una vez que esté listo para demostrar a un auditor que ha establecido políticas y controles efectivos y que están funcionando según lo requerido por el estándar ISO 27001, puede programar una auditoría de certificación.
Una auditoría de certificación se lleva a cabo en dos etapas. Primero, el auditor completará una auditoría de la Etapa 1, donde revisará la documentación de su SGSI para asegurarse de que tiene las políticas y procedimientos adecuados en su lugar.
Luego, una auditoría de la Etapa 2 revisará sus procesos comerciales y controles de seguridad. Una vez que se completen las auditorías de la Etapa 1 y la Etapa 2, se le emitirá una certificación ISO 27001 que es válida por tres años.
Año 2 y 3: Auditorías de Vigilancia e Internas ISO 27001
Dentro del período de certificación de tres años, deberá realizar auditorías continuas. Estas auditorías aseguran que su programa de cumplimiento ISO 27001 sigue siendo efectivo y se mantiene.
Las auditorías de vigilancia revisan que las organizaciones mantengan adecuadamente su SGSI y los controles del Anexo A. Los auditores de vigilancia también verificarán que se hayan abordado las no conformidades o excepciones observadas durante la auditoría de certificación.
Las auditorías internas también forman parte de este monitoreo continuo. Los auditores internos examinan los procesos y políticas para buscar posibles debilidades y áreas de mejora antes de una auditoría externa. Esto le permite completar cualquier acción correctiva necesaria antes de su auditoría de recertificación.
Año 4: Auditoría de Recertificación ISO 27001
Durante el último año del término de certificación de tres años ISO, su organización puede someterse a una auditoría de recertificación.
Similar a la Etapa 2, el auditor completará una evaluación detallada para determinar si su organización cumple con los requisitos de ISO 27001 para el diseño y la efectividad operativa de procesos/controles.
Después de completar la auditoría de recertificación, la certificación ISO 27001 de su organización es válida por otros tres años.
Las auditorías de vigilancia, internas y de recertificación deben continuar en el año 5 y más allá para que una organización mantenga el cumplimiento con ISO 27001.
Cómo conducir una auditoría ISO interna en 5 pasos
Una auditoría interna puede ayudar a una organización a prepararse para todas las auditorías ISO externas, incluida la primera y única auditoría de certificación. Por lo tanto, es esencial que comprenda cómo realizar una.
Dado que las auditorías ISO internas son personalizables para adaptarse a las necesidades y requisitos particulares de su organización, el proceso para realizarlas variará. Hemos esbozado algunos de los pasos básicos para completar una auditoría ISO 27001 interna a continuación.
1. Revisión de documentos
Primero lo primero: su auditor designado (ya sea interno o externo) debe revisar la documentación de cómo se creó el SGSI. Esto ayudará a establecer el alcance de la auditoría interna para que coincida con el del SGSI, ya que eso es lo que cubre la auditoría interna.
La documentación también debe identificar a las partes interesadas clave responsables de los controles y procesos del SGSI. Esto ayudará al auditor en caso de que necesite solicitar más información sobre los detalles del SGSI.
2. Planificación y preparación
Durante esta fase, la dirección y el(los) auditor(es) deben crear un plan de auditoría interna detallado de ISO 27001 sobre lo que se debe hacer. Al crear planes de acción, se debe tener en cuenta los recursos necesarios para completar la auditoría así como el marco de tiempo.
3. Trabajo de campo
El trabajo de campo es el proceso de auditoría propiamente dicho, donde se probará, observará e informará sobre el SGSI. Durante esta fase, su equipo de auditoría entrevistará a los empleados y observará cómo se implementa el SGSI en toda la empresa.
4. Análisis
Las pruebas de auditoría deben ser clasificadas, archivadas y revisadas en relación con los riesgos y objetivos de control establecidos por su organización y la norma ISO 27001.
Una vez recopiladas las pruebas, se deben clasificar y revisar en comparación con la norma ISO 27001. Este proceso puede revelar brechas en la recopilación de pruebas y requerir la necesidad de pruebas de auditoría adicionales.
5. Informe a la dirección
Una vez completadas las pruebas de trabajo de campo, su equipo de auditoría entregará un informe para la revisión de la dirección. Los resultados deben mantenerse como un registro de rendimiento y prueba de que su empresa cumple con los requisitos del SGSI de la norma.
Este informe generalmente incluye:
- Una introducción que aclara el alcance, objetivos, marco de tiempo y resumen de las tareas realizadas
- Un resumen ejecutivo de los hallazgos clave, breve análisis y conclusión
- Hallazgos y análisis detallados
- Declaración de los auditores con recomendaciones y limitaciones del alcance
Una vez entregado el informe a la dirección, son responsables de rastrear la corrección de las no conformidades encontradas durante la auditoría.
Lista de verificación de auditoría ISO 27001
Hemos creado una simple lista de verificación de auditoría de ISO 27001 en cinco pasos para ayudarlo a comprender las tareas necesarias para completar una auditoría interna de ISO 27001. Puede descargar el PDF a continuación.
Cómo Secureframe puede ayudarlo a prepararse para las auditorías ISO
A menudo, las organizaciones no tienen a alguien en el personal calificado para completar una auditoría interna que también no esté directamente vinculado con la creación y el mantenimiento del SGSI.
Cuando esto sucede, es crucial encontrar un auditor externo que lo ayude a completar la auditoría interna. Secureframe puede ayudar al emparejarlo con un auditor líder que no solo conoce su industria, sino que también comprende la norma de principio a fin.
Esto lo ayudará a evaluar de manera eficiente y efectiva su SGSI antes del proceso de certificación.
Secureframe también puede ayudarlo a prepararse para sus auditorías de certificación, vigilancia y recertificación mientras le ahorra tiempo y recursos. Nuestra automatización aumenta enormemente sus posibilidades de obtener y mantener su certificación ISO al ayudarlo a monitorear sus sistemas, corregir cualquier vulnerabilidad, integrar su pila de seguridad y más.
Para obtener más información sobre cómo Secureframe puede ayudar a simplificar el proceso de certificación ISO 27001, programe una demostración hoy.