Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001:2013?
24 NOVIEMBRE, 2015
ISO 27001:2013
Pero el auditor también realiza algunas preguntas como puede ser: ¿Qué tipo de respuesta
recibiré?
Gran parte de los auditores no suelen llevar un listado de preguntas, ya que cada organización
es un mundo diferente, por lo que deben improvisar dentro de unos criterios establecidos. El
trabajo que realiza el auditor será revisar la documentación, realizar preguntas y buscar pruebas.
La norma ISO 27001:2013 establece una serie de requisitos, que la organización debe
cumplir. Para comprobar el cumplimiento de la norma ISO 27001:2013. El auditor tiene que
revisar los procedimientos, los registros, la política de seguridad y personas. En cuanto a las
personas de la organización, se deberán realizar entrevistas para asegurarse de que el Sistema
de Gestión de Seguridad de la Información se encuentra perfectamente implementado en
la empresa.
Es importante que las empresas sepan cómo piensan los auditores, y eso se obtiene con la
experiencia.
Documentación obligatoria
Lo primero que debe hacer el auditor será revisar toda la documentación que existe en
el Sistema de Gestión de Seguridad de la Información y pedir evidencias de los
documentos que son requeridos por la norma ISO 27001:2013. En el caso de los controles
de seguridad, se utilizará la Declaración de Aplicabilidad cómo guía.
Además de los documentos obligatorios, el auditor también revisará todos los documentos que
la organización haya desarrollado para apoyar la implementación del Sistema de Gestión de
Seguridad de la Información o la implantación de diferentes controles. Como ejemplo
podemos decir, el diagrama de red, el listado de la documentación, el plan del proyecto, etc.
Evidencia
Una vez se comprueban todos los documentos que forman parte del Sistema de Gestión de
Seguridad de la Información, el siguiente paso será verificar que todo se encuentre escrito
y que corresponda con la realidad.
Entrevistas
El auditor conoce que la organización documenta todo lo que utiliza, por lo que será necesario
comprobar si las personas que trabajan en dicha organización se encuentran familiarizadas con
ellos y se utilizan para desempeñar las actividades diarias, es decir, debe comprobar si se está
trabajando bien con el Sistema de Gestión de Seguridad de la Información en la
organización.
Uno de los aspectos más importantes de una organización que cuenta con el certificado según
la norma ISO 27001:2013 es la concienciación de los trabajadores. Por lo que, el auditor
tiene que llevar a cabo entrevistas a los diferentes miembros del personal para conocer su grado
de conocimiento, al menos los documentos más importantes que se aplican a ellos:
Las preguntas que puede realizar el auditor durante las entrevistas a los trabajadores son:
¿Tiene usted acceso a las normas internas de la empresa que se relacionan con el Sistema de
Gestión de Seguridad de la Información?
¿Me puede enseñar algunas de las políticas relacionadas?
¿Puede decirme cuáles son los puntos que, según usted, son más importantes de la política de
seguridad de la información?
El auditor también se puede entrevistar con los responsables de los diferentes sistemas, áreas
físicas y departamentos, para obtener sus percepciones de la aplicación de la norma ISO
27001:2013 en la organización. Durante estas entrevistas, las preguntas van dirigidas a la
familiarización de las personas con las funciones y los roles que tienen, además de conocer si
cumplen con todos los controles que se encuentran implementados.
Los documentos que se requieren por parte de la norma ISO 27001:2013 y cualquier
documento que existe en el Sistema de Gestión de Seguridad de la Información.
Comprobar que se cumple con los documentos establecidos, como puede ser la política de
seguridad de la información, los procedimientos, etc.
Realizar entrevistar con los trabajadores de la organización.
Por lo que si desean estar bien preparadas antes las preguntas que realiza el auditor puede
considerar, primero que compruebe que dispone de todos los documentos requeridos, y luego
comprobar que la organización hace todo lo que dice, además debe estar seguro de que puede
probar todo lo que tiene escrito mediante registros. Es muy importante que los trabajadores
conozcan ‘los documentos que se les puedan aplicar. Se debe asegurar de que la organización
implementó la norma ISO 27001:2013 y que acepta todas las operaciones diarias, esto no
será posible si su documentación se creó sólo para satisfacer la auditoría de certificación.