¿Cómo afrontar una auditoría de certificación para la norma

ISO 27001:2013?
24 NOVIEMBRE, 2015

ISO 27001:2013

Norma ISO 27001:2013

Si su organización va a pasar por un proceso de auditoría de certificación según la norma ISO
27001:2013, seguramente se realizará algunas preguntas como pueden ser:

¿Cuáles serán las preguntas que realizará el auditor?

Pero el auditor también realiza algunas preguntas como puede ser: ¿Qué tipo de respuesta
recibiré?

Gran parte de los auditores no suelen llevar un listado de preguntas, ya que cada organización
es un mundo diferente, por lo que deben improvisar dentro de unos criterios establecidos. El
trabajo que realiza el auditor será revisar la documentación, realizar preguntas y buscar pruebas.
La norma ISO 27001:2013 establece una serie de requisitos, que la organización debe
cumplir. Para comprobar el cumplimiento de la norma ISO 27001:2013. El auditor tiene que
revisar los procedimientos, los registros, la política de seguridad y personas. En cuanto a las
personas de la organización, se deberán realizar entrevistas para asegurarse de que el Sistema
de Gestión de Seguridad de la Información se encuentra perfectamente implementado en
la empresa.
Es importante que las empresas sepan cómo piensan los auditores, y eso se obtiene con la
experiencia.

Documentación obligatoria
Lo primero que debe hacer el auditor será revisar toda la documentación que existe en
el Sistema de Gestión de Seguridad de la Información y pedir evidencias de los
documentos que son requeridos por la norma ISO 27001:2013. En el caso de los controles
de seguridad, se utilizará la Declaración de Aplicabilidad cómo guía.

Además de los documentos obligatorios, el auditor también revisará todos los documentos que
la organización haya desarrollado para apoyar la implementación del Sistema de Gestión de
Seguridad de la Información o la implantación de diferentes controles. Como ejemplo
podemos decir, el diagrama de red, el listado de la documentación, el plan del proyecto, etc.

Evidencia
Una vez se comprueban todos los documentos que forman parte del Sistema de Gestión de
Seguridad de la Información, el siguiente paso será verificar que todo se encuentre escrito
y que corresponda con la realidad.

Podemos poner el siguiente ejemplo, la empresa define una política de seguridad de la

información que se revisa cada año. El auditor preguntará si se ha revisado este año, pero
necesita también una evidencia ya que no puede confiar lo que no ve. La evidencia debe
encontrase en los registros, actas de reuniones, etc. por lo que el auditor pedirá esta información
al auditado, si no cuenta con ella se le levantará una no conformidad que debe ser corregida.

En cuanto a los controles de seguridad, buscando también alguna evidencia de su aplicación,

aunque este caso los registros puede ser registros, archivos del sistema, diagramas,
configuración de plataformas, acuerdos con proveedores, etc.

Entrevistas
El auditor conoce que la organización documenta todo lo que utiliza, por lo que será necesario
comprobar si las personas que trabajan en dicha organización se encuentran familiarizadas con
ellos y se utilizan para desempeñar las actividades diarias, es decir, debe comprobar si se está
trabajando bien con el Sistema de Gestión de Seguridad de la Información en la
organización.

Uno de los aspectos más importantes de una organización que cuenta con el certificado según
la norma ISO 27001:2013 es la concienciación de los trabajadores. Por lo que, el auditor
 tiene que llevar a cabo entrevistas a los diferentes miembros del personal para conocer su grado
de conocimiento, al menos los documentos más importantes que se aplican a ellos:

 Política de seguridad de la información.

 Cláusulas de confidencialidad.
 Utilización aceptable de los activos.
 La política de control de acceso.

Las preguntas que puede realizar el auditor durante las entrevistas a los trabajadores son:

 ¿Tiene usted acceso a las normas internas de la empresa que se relacionan con el Sistema de
Gestión de Seguridad de la Información?
 ¿Me puede enseñar algunas de las políticas relacionadas?
 ¿Puede decirme cuáles son los puntos que, según usted, son más importantes de la política de
seguridad de la información?

El auditor también se puede entrevistar con los responsables de los diferentes sistemas, áreas
físicas y departamentos, para obtener sus percepciones de la aplicación de la norma ISO
27001:2013 en la organización. Durante estas entrevistas, las preguntas van dirigidas a la
familiarización de las personas con las funciones y los roles que tienen, además de conocer si
cumplen con todos los controles que se encuentran implementados.

En resumen podemos decir que el auditor suele solicitar:

 Los documentos que se requieren por parte de la norma ISO 27001:2013 y cualquier
documento que existe en el Sistema de Gestión de Seguridad de la Información.
 Comprobar que se cumple con los documentos establecidos, como puede ser la política de
seguridad de la información, los procedimientos, etc.
 Realizar entrevistar con los trabajadores de la organización.

Por lo que si desean estar bien preparadas antes las preguntas que realiza el auditor puede
considerar, primero que compruebe que dispone de todos los documentos requeridos, y luego
comprobar que la organización hace todo lo que dice, además debe estar seguro de que puede
probar todo lo que tiene escrito mediante registros. Es muy importante que los trabajadores
conozcan ‘los documentos que se les puedan aplicar. Se debe asegurar de que la organización
implementó la norma ISO 27001:2013 y que acepta todas las operaciones diarias, esto no
será posible si su documentación se creó sólo para satisfacer la auditoría de certificación.