Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría de
Sistemas
Tema: La Importancia de la Norma
ISO 27001 en el SGSI de una
empresa
Docente: Mg. Mercedes Ccesa Quincho Ayacucho, 9 de noviembre de 2021
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
1. Sistema de Información
1. Sistema de Información
3
Auditoría de Sistemas – IS547
3
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
4
Auditoría de Sistemas – IS547
4
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
LPDP 5
Auditoría de Sistemas – IS547
5
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
6
Auditoría de Sistemas – IS547
6
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
7
Auditoría de Sistemas – IS547
7
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
8
Auditoría de Sistemas – IS547
8
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
9
Auditoría de Sistemas – IS547
9
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
10
Auditoría de Sistemas – IS547
10
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
11
Auditoría de Sistemas – IS547
11
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
12
Auditoría de Sistemas – IS547
12
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
13
Auditoría de Sistemas – IS547
13
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
14
Auditoría de Sistemas – IS547
14
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
Ciclo PDCA
15
Auditoría de Sistemas – IS547
15
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
Ciclo PDCA en ISO/IEC 27001:2013. Fuente: ONGEI, taller de transición de la norma ISO/IEC 27001:2005 a la
ISO/IEC 27001:2013
16
Auditoría de Sistemas – IS547
16
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
17
Auditoría de Sistemas – IS547
17
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
18
Auditoría de Sistemas – IS547
18
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
19
Auditoría de Sistemas – IS547
19
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
20
Auditoría de Sistemas – IS547
20
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
22
Auditoría de Sistemas – IS547
22
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
23
Auditoría de Sistemas – IS547
23
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
24
Auditoría de Sistemas – IS547
24
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
25
Auditoría de Sistemas – IS547
25
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
26
Auditoría de Sistemas – IS547
26
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
27
Auditoría de Sistemas – IS547
27
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
28
Auditoría de Sistemas – IS547
28
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
29
Auditoría de Sistemas – IS547
29
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
5. Conceptos
30
Auditoría de Sistemas – IS547
30
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
5. Conceptos
31
Auditoría de Sistemas – IS547
31
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
Bibliografía
32
Sistemas Operativos IS-344 32
ll
CONOCIMIENTOS
Conocer las Normas ISO de Seguridad de la Comprender la Estructura y Filosofía de ISO 27001.
Información.
Distinguir los Objetivos y Controles de ISO 27001.
Aprender el Origen y Evolución de ISO 27001.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
Trabajo Individual: Integrar el sistema de gestión de seguridad de la información con los procesos de la
organización. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Establecer los objetivos de seguridad de la información en las funciones y niveles que
exige la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Determinar el enfoque de la importancia de las Nuevas Tecnologías en materia de Protección de
Datos. A realizar a lo largo del Módulo/Curso
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
Motivación a la Calidad
AUTOEVALUACIÓN
Normas ISO de Seguridad de la Información. Estructura y Filosofía de ISO 27001
Origen y Evolución de ISO 27001. Objetivos y Controles de ISO 27001
Utilidad de ISO 27001.
2
NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN
ISO ha asignado a la seguridad de la información la serie 27000, donde se encuadran normas de requisitos
y guías de apoyo.
27001
Contiene los requisitos del SGSI: es un modelo certificable en seguridad de la
información.
27004 Guía que determina la métrica y mediciones del SGSI y de sus controles para
asegurar la eficacia del mismo.
27006 Requisitos para las entidades que realizan auditorias de certificación de un SGSI
27008
Guía para la realización de las auditorias de los controles de seguridad de la
información.
3
La Familia ISO 27000
4
Principales normas de la familia ISO 272000
Existen oficinas de normalización en distintos países, y concretamente en España esta función la realiza
AENOR.
Una norma es un modelo, patrón o criterio a seguir, que define las principales características y requisitos
exigidos para su utilización a nivel internacional.
La finalidad principal de las normas ISO es coordinar y unificar los diferentes usos y aplicaciones con el
fin de conseguir una mayor eficacia y eficiencia, así como una reducción en los costes.
5
Las normas principales son ISO 27001, que contiene los requisitos del sistema de seguridad de la
información e ISO 27002 que es una guía de buenas prácticas.
También, la norma ISO 27011 consistente en una guía de gestión de seguridad de la información específica
para telecomunicaciones.
Otras normas dedicadas a la gestión de la seguridad de la información, son la norma ISO 27032 que
consiste en una guía relativa a la ciberseguridad y la norma ISO 27799 para la adaptación de los controles
de la norma ISO 27002 en el sector sanitario.
6
APRENDER EL ORIGEN Y EVOLUCIÓN DE ISO 27001
La nueva versión de la norma ISO 27001 fue publicada el 1 de Octubre de 2013, y es la norma que
contiene los requisitos del sistema de seguridad de la información. La anterior versión correspondía al año
2005.
Tiene su origen en la BS 7799-2:2002, y su objetivo es proporcionar una base común para la elaboración
de las normas de seguridad de las organizaciones, configurando un método de gestión eficaz de la
seguridad, y estableciendo informes de confianza en las transacciones y las relaciones entre las empresas.
ISO 27001 es la norma en base a la cual se certifica por auditores externos a la empresa los sistemas de
gestión de seguridad de la información de las organizaciones. Aunque el hecho de estar certificado en
ISO 27001 no prueba que la organización sea 100 % segura.
7
ENTENDER LA UTILIDAD DE LA ISO 27001
La autoridad y compromiso decidido de la dirección de la empresa, incluso si el alcance inicialmente es
muy reducido, es uno de los puntos fundamentales de la aplicación de la norma ISO 27001.
La adopción de esta norma internacional proporciona claras ventajas que deben ser valoradas por la
gerencia y la dirección para su implantación en la empresa
Se plantea como principal objetivo la certificación, aunque también es posible alcanzar la conformidad
con la norma sin la certificación; en estos casos el cumplimiento de los requisitos establecidos por la norma
permitirá alcanzar el éxito en la gestión de la seguridad de la información de la empresa.
Se genera credibilidad y confianza: Por tanto, los socios, los accionistas y los
clientes se tranquilizan al constatar la importancia que la organización concede a
En el Ámbito Comercial la protección de la información. Una certificación también puede brindar una
diferenciación sobre la competencia y en el mercado. Asimismo, algunas
licitaciones internacionales ya comienzan a pedir una gestión ISO 27001.
En el Aspecto Se puede conseguir una reducción de los costes vinculados a los incidentes y
Financiero también la posibilidad de disminuir las primas de seguro.
8
Ventajas de la Obtención del Certificado ISO 27001
Certificado expedido por un organismo reconocido oficialmente, en el que se identifica la conformidad del
Sistema de Gestión de Seguridad de la información de la empresa de acuerdo con la Norma ISO, en la
que se basó dicho sistema.
La obtención de un certificado, que asegura de cara al exterior que la organización cumple con el sistema
de gestión implantado, genera prestigio empresarial y es una garantía de competitividad en el mercado.
9
ESTRUCTURA Y FILOSOFÍA DE LA ISO 27001
La norma ISO 2007 presenta la siguiente estructura:
Alcance del SGSI: los límites del SGSI estará documentado y estará
condicionado por los puntos anteriores, así como por las dependencias e
interfaces internas y externas con otras organizaciones.
10
Liderazgo y Compromiso de la Alta Dirección: mostrando evidencias como el
establecimiento, implementación, revisión, mantenimiento y mejora del SGSI,
evidenciando que se proveen los recursos necesarios para el desarrollo del
sistema.
11
recursos necesarios para el desarrollo del sistema.
12
proponiendo acciones correctivas efectivas para eliminar la causa raíz.
13
Se determina un proceso concreto que permite evaluar, establecer, mantener y administrar la seguridad de
la información.
■ Un estándar técnico.
■ Una norma tecnológica orientada al producto.
■ Una metodología de evaluación del equipamiento.
■ Un sistema que permite una certificación de la seguridad, ya que actualmente solo ISO 27001 y sus
derivados nacionales ofrecen un esquema de certificación.
■ Un sistema que no detalla ninguna obligación en cuanto al método de evaluación del riesgo, sino
que bastaría con elegir el que responde a las necesidades.
La norma contiene un conjunto de controles donde se identifican las mejores prácticas para la gestión de
la seguridad de la información, y sirve como consulta al encargado de la seguridad de la información de
una organización.
Las normas ISO 20000-1 (Gestión de Servicios) e ISO 22301 (Gestión de la Continuidad del Negocio)
establecen requisitos adicionales que permiten establecer un marco más eficaz de gestión de la
seguridad de la información, a partir de la implantación de la ISO 27001.
Las normas ISO 20000-1 e ISO 22301 desarrollan en más detalle controles que aparecen en el anexo A
14
de ISO 27001, tales como gestión de la capacidad o continuidad del negocio.
La ISO 27001 se puede integrar con otras normas, como por ejemplo la ISO 90001, ISO 20000-1 o ISO
22301 al compartir como principio general la gestión de procesos.
El cumplimiento de estas normas genera una importante armonización con el grupo de normas de calidad
ISO 9000 ISO 9001 / ISO 20000-1 / ISO 22301 al generar un beneficio común de reducción de esfuerzos y
costes.
15
Cualquier tipo de organización o de empresa, privada o pública, en estos casos no importa el tamaño de
esta para proceder a la implantación del sistema.
La organización que desea probar su nivel de seguridad de la información conforme a una norma
reconocida internacionalmente.
Cuanto más elevado es el riesgo en la organización, más atención se debe poner a la seguridad de sus
datos. Es el caso particular de los sectores gubernamentales, financieros y de salud.
16
OBJETIVOS Y CONTROLES DE ISO 27001
Desde el 1 de Octubre de 2013 se cuenta con una nueva versión de la norma ISO 27001, Y en su anexo A
se regulan los objetivos de control y controles, tal y como establece la Norma ISO 27001.
La ISO 27002 no es certificable y es un código de buenas prácticas y recomendaciones, que describe los
objetivos de control y controles recomendables en materia de seguridad de la información.
■ 14 áreas de aplicación.
■ 35 objetivos: que son aquellos resultados que se esperan alcanzar mediante la implantación de
controles.
■ 114 controles: todas aquellas prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo.
17
Objetivo de Control: establecer un marco de trabajo de gestión para iniciar
y controlar la implantación y operación de la seguridad de la información
dentro de la organización:
Se deben establecer políticas para gestionar los riesgos derivados del uso de
dispositivos móviles y el acceso, procesamiento o almacenamiento de
información desde ubicaciones externas.
(6 controles) Se debe asegurar que los empleados y subcontratistas cumplen con las políticas
y procedimientos de seguridad vigentes, que reciben la adecuada formación y
que son conocedores del procedimiento disciplinario existente en caso de
incumplimiento.
18
Objetivo de Control: identificar los activos de la organización y definir
adecuadas responsabilidades para su protección:
19
Objetivo de Control: limitar el acceso a la información e infraestructura de
procesamiento de información:
Los usuarios deben aplicar las directrices definidas por la organización con
relación al uso de la información secreta para la autenticación.
20
Objetivo de Control: prevenir el acceso físico no autorizado, daños e
interferencias en la información e infraestructuras de procesamiento de
información de la organización.
(15 controles) Objetivo de Control: evitar la pérdida, daño, robo de los activos y la
interrupción de las operaciones de la organización.
21
Objetivo de Control: confirmar que la infraestructura de procesamiento de
la información opera de forma segura y correcta.
A.12 Seguridad de las Se requiere registrar las actividades de los usuarios y sistemas, así como fallos
Operaciones y eventos que atenten contra la seguridad de la información.
(14 controles)
Objetivo de Control: asegurar la integridad de los sistemas operacionales.
22
Objetivo de Control: asegurar la protección de la información en redes de
comunicaciones y en sus recursos de procesamiento de soporte.
A.14 Adquisición,
Desarrollo y
Objetivo de Control: garantizar que la seguridad de la información es parte
Mantenimiento de integral de todo el ciclo de vida de los sistemas de información.
sistemas
Esto también incluye los requisitos para los sistemas de información que
(13 controles) proporcionan servicios sobre de redes públicas.
23
Objetivo de Control: garantizar un enfoque coherente y eficaz para la
A.16 Gestión de los
Incidentes de gestión de los incidentes de seguridad de la información, incluyendo la
Seguridad de la comunicación de eventos de seguridad y las debilidades.
Información
Necesidad de establecer responsabilidades y procedimientos para la
(7 controles) notificación, reporte, evaluación, tratamiento, aprendizaje y registro de los
incidentes, debilidades y eventos de seguridad de la información.
24
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
25
ACTITUD
Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.
La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.
Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.
No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.
26
NOTAS
27
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
28
ll
CONOCIMIENTOS
Contextualizar el Capítulo 4 y 5 de la Norma ISO Reconocer el Liderazgo y Compromiso que debe Asumir
27001:2013. la Dirección
Entender las Necesidades y Expectativas de la Identificar los Principales Aspectos de la Política de
Organización y de su Contexto. Seguridad de la Información
Determinar el Alcance del Sistema de Gestión de Definir de forma Correcta Aspectos Clave como Roles,
Seguridad de la Información Responsabilidades y Autoridades en la Organización.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los conocimientos
profesionales:
Trabajo Individual: Identificar los activos de la organización y definir las responsabilidades de protección adecuadas. A
realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Asegurar que la información recibe el nivel adecuado de protección de acuerdo con en la Norma ISO
27001:2013. A realizar a lo largo del Módulo/Curso.
Debate: Valorar la eficacia del Sistema de Gestión de Seguridad de la Información en una organización. A realizar a lo
largo del Módulo/Curso.
ACTITUD
Orientación al Logro.
AUTOEVALUACIÓN
Contextualización del Capítulo 4 y 5 de la Norma ISO
Liderazgo y Compromiso.
27001:2013.
Necesidades y Expectativas de la Organización. Política de Seguridad de la Información.
Alcance del Sistema de Gestión de Seguridad de la Roles, Responsabilidades y Autoridades en la
Información. Organización.
2
CONTEXTUALIZACIÓN DEL CAPÍTULO 4 Y 5 DE LA NORMA ISO 27001:2013
En el capítulo 4, la Norma describe los requisitos generales de un Sistema de Gestión de la Seguridad de
la Información y sus procesos así como nuevos requisitos de conocimiento y contexto de la
organización, comprensión de necesidades y expectativas de las partes interesadas y determinación del
alcance del sistema de gestión de seguridad de la información.
Por otra parte en el capítulo 5, la Norma describe y establece las responsabilidades de la dirección dentro
de un Sistema de Gestión de la Seguridad de la Información. Los requisitos de esta sección hacen
referencia a las responsabilidades de la organización en todas aquellas cuestiones tanto internas como
externas relevantes para la seguridad de la información.
- Liderazgo.
- Compromiso
- Roles y Autoridades.
3
Los capítulos 4 y 5 de la ISO 27001:2013 se componen de los siguientes apartados:
4. Contexto de la Organización.
5. Liderazgo.
5.2 Política.
■ La organización debe:
4
El conocimiento del contexto externo puede verse facilitado al considerar cuestiones que surgen de los
entornos legal, tecnológico, competitivo, de mercado, cultural, social y económico, ya sea
internacional, nacional, regional o local.
5
COMPRENSIÓN DE LAS NECESIDADES Y EXTECTATIVAS DE LAS PARTES
INTERESADAS
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.2.
■ La organización debe:
■ Determinar los requisitos de estas partes interesadas que son relevantes para la seguridad de la
información.
6
Debido a su impacto potencial sobre la capacidad de la organización los requisitos de las partes interesadas
relevantes para la seguridad de la información, pueden incluir requisitos legales y regulatorios, y también
obligaciones contractuales.
Este nuevo requisito da la posibilidad a la organización de integrar los aspectos del negocio a la gestión del
Sistema de Gestión de la Seguridad de Información, evitando que el SGSI se desconecte de la estrategia de
la organización.
■ Potenciar la integración de la ISO 27001 con la gestión del medioambiente a través de la ISO 14001
identificando como partes interesadas la sociedad, la administración, y con la ISO 9001 de gestión
de la calidad en relación a clientes y proveedores.
Es crucial la participación de la Alta Dirección junto con el resto de los miembros de su dirección al momento
de decidir qué partes interesadas se incorporarán al sistema, siendo esta actuación el enlace de las
actividades requeridas en la cláusula 5 sobre el Liderazgo y Compromiso de la Dirección.
Esta identificación también debe hacerse desde el punto de vista de los potenciales impactos que
pudieran tener algunos grupos de interés sobre el sistema de gestión, permitiendo así su gestión proactiva
a través del enfoque al riesgo requerido, definiendo planes de actuación convenientes.
Una vez identificadas las partes interesadas, dentro del marco de los límites y alcance (Cláusula 4.2), la
organización debe determinar los requisitos de estas partes interesadas pertinentes para el SGSI, para
planificar los procesos asociados y ejercer su seguimiento y control con vistas a su satisfacción y mejora.
Dado el carácter cambiante de los escenarios, de manera sostenida la organización debe realizar el
seguimiento y la revisión de la información sobre estas partes interesadas y sus requisitos
pertinentes, sustentando la planificación de cambios y garantizando de esta manera el requisito de
idoneidad y adecuación del SGSI.
7
DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.3.
La organización debe:
■ Considerar las cuestiones externas e internas referidas en 4.1, valorar los requisitos de las partes
interesadas pertinentes referidos en 4.2 y analizar las actuaciones desarrolladas por la organización.
En relación con la cláusula 4.3, la organización debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance de manera clara y precisa.
La intención del requisito es que las partes interesadas, así como los organismos de certificación conozcan
sin ambigüedades el campo de actuación del sistema de gestión y la capacidad para cumplir requisitos
establecidos evitando confusiones y malentendidos.
Deben considerarse el contexto de la organización, las actividades y acciones objeto del SGSI.
■ Diferenciación de la competencia.
■ Aumento de la satisfacción de todas las partes identificadas, sin olvido u omisión de ninguna de
ellas.
8
En cuanto a la aplicabilidad y/o exclusión de cláusulas, la Norma establece:
■ El alcance debe venir fijado por las necesidades, objetivos, requisitos de seguridad, procesos
organizativos utilizados y su tamaño y estructura, y proporcionar la justificación para cualquier requisito
de esta Norma Internacional.
■ La conformidad con esta Norma Internacional sólo se puede declarar si los requisitos determinados
como no aplicables, no afectan a las cuestiones internas o externas que afecten a la capacidad de la
organización para lograr los resultados previstos en el SGSI.
Alcance
El alcance debe estar disponible para las partes interesadas y mantenerse como información
documentada, estableciendo:
■ Las interfaces y dependencias entre las actividades realizadas por la organización y las que se
realizan por otras organizaciones.
Ejemplo
9
¿Puede AVITT excluir el apartado 7.5 “Información Documentada” de su SGSI y
Pregunta
aun así declarar conformidad con la Norma ISO 27001:2013?.
10
Dado el enfoque de la Norma que diferencia todas las partes de la organización en procesos, se pueden
estudiar y hacer que prospere cada una de las partes, de manera que, si mejora cada uno de los
procesos de forma independiente, conlleve una optimización de todo el conjunto de la organización.
Para lograr estos fines, la organización debe disponer de los recursos ya la información adecuada,
obtenidos mediante el estudio, medición y análisis de los resultados de cada proceso, para actuar tanto
sobre las operaciones realizadas por la propia organización como para aquellas que se contraten con el
exterior.
11
LIDERAZGO Y COMPROMISO
El liderazgo y compromiso adquirido por la dirección de la organización en la implantación de cualquier tipo
de reforma o innovación va a ser uno de los pilares principales que marcarán su éxito o fracaso, por ello la
Norma establece los deberes de la alta dirección a la hora de implantar un Sistema de Gestión de
Seguridad de la Información.
Responsabilidades de la Dirección
La dirección de la organización, en su actitud a la hora de liderar la misma, es la responsable de que ésta
alcance los objetivos marcados con respecto al Sistema de Gestión de Seguridad de la Información, por lo
que es imprescindible su implicación para mantener un ambiente de trabajo, en el cual el personal se vea
totalmente involucrado en la consecución de los propósitos de la organización.
En este punto de la Norma, se hace especial énfasis sobre el liderazgo y compromiso de la dirección
con el funcionamiento del Sistema de Gestión de Seguridad de la Información, refiriéndose a que la
alta dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación, así como
con la mejora continua de su eficacia.
12
Como buen sistema de gestión, la norma ISO 27001 deja bien definidas las obligaciones de la alta dirección
ya que el éxito del sistema sólo se puede conseguir a través de un serio compromiso de la misma, que lo
puede hacer patente comunicando a la organización la importancia de una gestión eficaz y conforme
con los requisitos del Sistema de Gestión de Seguridad de la Información.
Asegurándose de que se establecen los objetivos previstos y estableciendo un sistema con recursos
suficientes para lograr dichos objetivos entre otros requisitos establecidos en la cláusula 5.1 Liderazgo y
compromiso para el sistema de seguridad de la información.
Los sistemas de planificación que plantea la ISO 27001: 2013 permiten prever de antemano los resultados
de los procesos y las posibilidades que tienen a lo largo del tiempo, es decir, la probabilidad de
improvisaciones, fallos y sucesos inesperados se disminuyen.
Además de todas estas obligaciones prácticas, la alta dirección tiene que influir en la implicación y
motivación del resto de componentes de la organización, y transmitirles la importancia del sistema de
gestión, de los clientes y de la importancia de lograr los objetivos fijados.
La alta dirección mediante su capacidad para liderar la organización, debe transmitir un ambiente en el
que todos sus miembros se encuentren totalmente involucrados, lo que facilitará que el Sistema de
Gestión de Seguridad de la Información funcione con eficacia.
13
5.1.1 Generalidades
A continuación se presentan los requisitos exigidos por la norma en el punto 5.1. Generalidades
14
Liderazgo y Compromiso. El Nuevo Requisito Exigido por la Norma
La alta dirección tendrá ahora un papel decisivo dentro de la ISO 27001 demandándosele un papel activo
en impulsar el SGSI.
Términos y Enfoques
■ “Promover”,
■ “Comunicar”,
■ “Asegurar”,
■ “Dirigir” o
■ “Apoyar”
deberán ser adoptados por la Alta Dirección lo que implica que dichas actividades no debe ni pueden
delegarse. Estos elementos aparecen en los nuevos requisitos respecto de la versión anterior de la
Norma, tales como:
■ Asegurar la integración de los requisitos del Sistema de Gestión de Seguridad en los procesos de la
organización.
■ Asegurar que se sigue la política y los objetivos de seguridad de la información, y que sean
compatibles con la dirección estratégica de la organización.
■ Dirigir y apoyar a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la
información.
La Alta Dirección debe ser consciente de los nuevos requisitos y que ahora será auditada con mayor
intensidad para evidenciar su Compromiso y Liderazgo.
15
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La política de seguridad de la información la establece la alta dirección y constituye la base del Sistema de
Gestión de la Seguridad de la Información.
Normas y procedimientos que permiten regular el uso de la información de una organización, evitando
riesgos, deterioros o el uso no autorizado en el acceso a la información y disponible y ayuda a la
organización a emplear adecuadamente sus recursos para alcanzarlos.
La dirección debe asegurarse de que los principios expuestos son practicados y su vigencia se
mantiene por todos los empleados, incluida la cadena de mando.
16
ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN
En toda organización es preciso establecer y definir de modo claro la jerarquía de autoridad y las
responsabilidades de cada uno de sus miembros así como un buen método de comunicación interna para
que el Sistema de Gestión de Seguridad de la Información se desarrolle de un modo eficaz.
A la hora de realizar las actividades y de que la organización funcione de manera adecuada, tanto
responsabilidades como los grados de autoridad deben estar perfectamente definidos.
Para ello, la norma establece que la alta dirección debe asegurarse de que las responsabilidades y
autoridades están asignadas para los roles pertinentes y son comunicadas y entendidas dentro de la
organización.
Por todo ello, es imprescindible determinar con claridad las funciones que componen los procesos de
operación y gestión, y asignar cada uno de ellos a una persona concreta, de modo que ninguna función
quede sin asignar o que pueda ser desarrollada por más de una persona.
Para lograr que este sistema proporcione buenos resultados es necesaria una formación adecuada, una
buena comunicación interna y una acusada participación de los trabajadores.
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la
seguridad de la información se asignen y comuniquen dentro de la organización.
17
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
18
ACTITUD
ORIENTACIÓN AL LOGRO-TENACIDAD
Las personas tenaces son aquellas que ante las dificultades que puedan surgir, poco a poco van superando
las adversidades, con firmeza, perseverancia y constancia, y de esta manera cumplirán con los objetivos
propuestos.
Para todas aquellas personas que son constantes y tenaces siempre hay una recompensa, aunque la tarea
sea muy complicada, ya que con esfuerzo y dedicación todos los objetivos son posibles.
La orientación al logro viene determinada porque una persona cree que su objetivo es posible de conseguir
y lo intenta alcanzar.
En las empresas, es habitual encontrar personas que poseen amplios conocimientos y habilidades, pero
estos trabajadores pueden encontrarse con problemas para desarrollar una vida profesional exitosa, porque
al primer obstáculo que encuentran y que no son capaces de superar, se desaniman.
Es un caso muy similar al del deporte, hemos visto jóvenes deportistas que a los 17-18 años se les ve unas
cualidades tanto técnicas como atléticas muy buenas, y se dice que con esas condiciones llegarán muy
lejos y triunfarán, pero muchas veces estas predicciones no se cumplen, porque no saben competir.
Por tanto, su comportamiento para alcanzar el logro es nulo y posiblemente otro deportista a priori con unas
condiciones físicas y técnicas más limitadas llegará más lejos porque sabe rendir y competir en el momento
adecuado y adaptar su estado emocional al momento clave, en este caso la competición.
Igual sucede en la empresa, ya que no es lo mismo una presentación ante un equipo de trabajo compuesto
por un reducido número de personas y conocidas que hacer una presentación ante 500 personas y donde el
profesional se juega su propio prestigio, en este momento las ansiedades y emociones influyen. Por tanto
actitudes claves como la constancia, perseverancia y tenacidad le ayudarán a superar las dificultades y
miedos que se pudieran plantear.
19
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
Identificar las Acciones para Tratar los Riesgos y las Identificar los Requisitos de Competencia y Toma de
Oportunidades. Conciencia.
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
Gestión Eficiente.
AUTOEVALUACIÓN
Acciones para Tratar los Riesgos y las Oportunidades Competencia y Toma de Conciencia
2
CONTEXTUALIZACIÓN DEL CAPÍTULO 6 DE LA NORMA
En la sección 6, la Norma describe y establece los requisitos de planificación y actuación dentro de un
sistema de gestión de seguridad de la información.
Para que una planificación esté bien elaborada y resulte eficaz se deben cumplir unos determinados
parámetros que permitirán que los resultados que se han planteado, se pueden cumplir satisfactoriamente.
3
Aspectos Claves de la Planificación
■ Definir las necesidades y expectativas, tanto actuales como futuras para las partes interesadas.
■ Evaluar los datos procedentes de las acciones planteadas en los procesos del sistema de gestión
de seguridad de la información.
Cuando se hace la planificación, para intentar alcanzar los objetivos de seguridad de la información
previstos.
■ Se deben establecer plazos para conseguir los objetivos en un tiempo determinado, siendo
recomendable desglosarlos para los distintos niveles de la organización señalando las metas concretas
que ha de alcanzar cada uno con relación a los totales, y se establecen objetivos concretos para cada
uno de los procesos.
El hecho de no alcanzar alguno de estos objetivos debe suponer una revisión de los procedimientos
elaborados para ello, ya que se pretende conseguir una mejora que únicamente se verá satisfecha a través
de una rigurosa planificación de las actividades que permitirá cambios en el modo de obtenerlas sin que ello
conlleve la alteración de los objetivos finales.
4
6.1 ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES
La organización también debe asegurarse que las sucesivas apreciaciones de los riesgos de seguridad de
la información generan resultados consistentes, válidos y comparables.
5
Identificación de los Riesgos de Seguridad de la Información
Cuando la dirección analice los riesgos de seguridad de la información tiene que valorar:
■ Las posibles consecuencias que resultarían si los riesgos de seguridad identificados llegan a
materializarse.
■ Comparando los resultados del análisis de riesgos con los criterios de riesgos establecidos en la
apreciación de los riesgos de seguridad de la información.
6
■ Determinar todos los controles que sean necesarios para implementar las opciones elegidas de
tratamiento de riesgos de seguridad de la información.
Diseño de Controles
Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de cualquier
fuente., y también pueden:
■ Comparar los controles determinados e implementados con los del anexo a y comprobar que no se
han omitido controles necesarios.
■ Los objetivos de control se incluyen implícitamente en los controles seleccionados, tanto los
objetivos de control como los controles enumerados en el anexo a no son exhaustivos, por lo que
pueden ser necesarios objetivos de control y controles adicionales.
■ Elaborar una declaración de aplicabilidad que contenga los controles necesarios y la justificación de
las inclusiones, estén implementadas o no, y la justificación de las exclusiones de los controles del
anexo A.
7
ANALIZAR EL CAPÍTULO 7 DE LA NORMA
7 Soporte
7.1 Recursos.
7.2 Competencia.
7.3 Concienciación
7.4 Comunicación.
8
7.1 RECURSOS
La alta dirección debe asegurarse de que los recursos necesarios tanto para la implantación de las
estrategias planificadas como para el logro de los objetivos de la organización, estén totalmente
identificados y la organización dispone de ellos.
También se tratarán de igual modo los recursos para el desarrollo y mejora del Sistema de Gestión de
Seguridad de información, así como para la satisfacción de las partes interesadas. Entre los recursos más
importantes que una organización debe de tener en cuenta, cabe destacar los siguientes:
La información debe ser tratada como un recurso y como tal debe ser gestionado
por la dirección, la cual debería de emplearla como instrumento para la
mejora continua y para tomar decisiones.
9
EJEMPLO DE UN EXPERTO
René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Ediciones Deusto. ISBN: 84-234-4406-0
Esta viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica de forma muy clara
que todo el personal de una organización es importante para su correcto funcionamiento. Una buena
gestión de los recursos humanos permite a las organizaciones alinear su productividad con un mercado
cambiante, que pone al hombre como único ser capaz de analizar los cambios, ajustes, e innovaciones
necesarias a fin de adaptarse a las necesidades y demandas del cliente.
10
7.2 COMPETENCIA Y 7.3 CONCIENCIACIÓN
Debido a la importancia que las personas tienen en el desarrollo del Sistema de Seguridad de la
Información, la organización debe tener especial cuidado en cuanto su formación, su toma de conciencia y
su competencia en las tareas que debe desempeñar.
La organización debe determinar la competencia que resulta necesaria para las personas
que realizan, bajo su control, un trabajo que afecta a su desempeño en la seguridad de la información
y:
■ Asegurarse que estas personas sean competentes, con base en la educación, formación o
experiencia adecuadas;
■ Dónde sea aplicable, poner en marcha acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones adoptadas
Las acciones aplicables pueden incluir, por ejemplo, la formación, la tutoría o la reasignación de las
personas empleadas actualmente; o la contratación de personas competentes.
La organización debe estudiar con detenimiento las actividades que es necesario desempeñar para cumplir
con sus objetivos, a continuación debe establecer el perfil adecuado para las personas que desempeñen
cada una de las tareas.
De este modo se seleccionará a la persona más adecuada para cada puesto y se determinará cuál es la
formación que le falta para cumplir plenamente con los requisitos, dicha formación será proporcionada,
evaluando su eficacia y quedando recogida en los registros adecuados (información documentada), como
queda reflejado en el siguiente esquema:
11
El conocimiento por parte de las personas de su puesto de trabajo es clave para que el sistema tenga éxito,
y para ello es imprescindible detectar las carencias existentes en cada miembro de la organización y
buscar el modo de erradicarlas a través de la formación adecuada, se busca que las personas conozcan
la mejor forma de hacer las cosas.
12
Requisitos Exigidos por la Norma
Las personas que trabajan bajo el control de la organización deben ser conscientes de:
■ Su contribución a la eficacia del SGSI, incluyendo los beneficios de una mejora del desempeño en
seguridad de la información
Se evaluarán sus resultados a corto y a largo plazo. En este proceso también se encuentra incluida la
dirección, la cual debe recibir formación adaptada a su situación y cargo. Se evaluará en función del
impacto que tiene sobre la eficacia y eficiencia de la organización como instrumento de mejora continua.
No sólo han de tenerse en cuenta los conocimientos, experiencia y formación para seleccionar a las
personas para un determinado puesto de trabajo, también es importante tener en cuenta las características
personales que exigen las condiciones del puesto de trabajo y si el trabajador será capaz de adaptarse
al puesto o al entorno material y personal en el que tenga lugar el mismo.
13
DOCUMENTO PARA LA DESCARGA (a través de la Plataforma)
Navegando por esta Unidad Didáctica, se puede descargar un Ejemplo de Proceso
General de Formación.
14
7.4 COMUNICACIÓN 7.5 CONTROL DE LA INFORMACIÓN DOCUMENTADA
El SGSI de la organización debe incluir:
La información documentada requerida por esta Norma Internacional y la información documentada que la
organización ha determinado que es necesaria para la eficacia del SGSI.
El alcance de la información documentada para un SGSI puede ser diferente de una organización a otra,
debido a:
La organización debe determinar las comunicaciones internas y externas pertinentes al SGSI, que
incluyan:
■ El contenido de la comunicación.
■ Cuando comunicar.
■ A quién comunicar.
La alta dirección debe establecer un buen sistema de comunicación interna para todos los miembros de la
organización acerca de la política, los requisitos y los objetivos de seguridad de la información.
15
Control de la Información Documentada
La información documentada requerida por esta Norma Internacional y la información documentada que la
organización ha determinado que es necesaria para la eficacia del SGSI.
El alcance de la información documentada para un SGSI puede ser diferente de una organización a otra,
debido a:
Toda la información documentada que compone el sistema, debe estar bajo control, de modo que no
exista posibilidad alguna de confusión ni errores.
16
Contenido Mínimo Exigido por la Norma
Los controles mínimos necesarios requeridos por la Norma están establecidos en las cláusulas 7.5.2 y
7.5.3:
17
ACTITUD
GESTIÓN EFICIENTE
Maximizar el aprovechamiento de los recursos que se disponen, tanto humanos, materiales como
económicos.
Para que se produzca una gestión eficiente, es necesario que esté claramente definida la autoridad y la
responsabilidad que se ejerce.
En base a una situación de partida y unos objetivos, se deben adoptar las medidas necesarias con el fin de
resolver los problemas y mejorar la gestión realizada.
La diversidad de propuestas puede permitir adaptar soluciones a las particularidades que se necesiten en
un momento concreto. Un ejemplo muy claro es la gestión eficiente del agua en el que es necesario
armonizar tanto los recursos de agua que se disponen, con la normativa legal, la economía y la participación
de las personas mediante el control de los consumos.
La clave es hacer eficiente el sistema con el fin que se puedan satisfacer las necesidades del mayor número
de personas posibles al menor costo posible.
18
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por 19
la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los conocimientos
profesionales:
Trabajo Individual: Asegurarse que los procedimientos de seguridad cumplen las políticas y normas
de seguridad. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Determinar las necesidades de seguridad de la información y la disponibilidad de los
recursos de tratamiento de la información. A realizar a lo largo del Módulo/Curso.
Debate: Analizar si el desarrollo del software externo debe ser supervisado y controlado por la
organización. A realizar a lo largo del Módulo/Curso.
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
AUTOEVALUACIÓN
2
ANÁLISIS DEL CAPÍTULO 8 DE LA NORMA
La sección 8 de la ISO 27001:2013 contiene las siguientes cláusulas:
8. Operación
La organización debe implementar también planes para alcanzar los objetivos de seguridad de la
información determinados en los objetivos de seguridad de la información y planificación para su
consecución.
En la medida necesaria la organización debe mantener información documentada, para tener la confianza
de que los procesos se han llevado a cabo según lo planificado.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario.
La organización debe garantizar que los procesos contratados externamente están controlados.
La organización debe conservar información documentada de los resultados de las apreciaciones de riesgos
de seguridad de información.
3
EJEMPLO DE UN EXPERTO
René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Esta estupenda viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica de forma
gráfica lo vital que es tener perfectamente claros y definidos todos los requisitos necesarios para la
realización del producto, desde los especificados inicialmente por el cliente, hasta los requisitos de
índole legal o de seguridad de la información. Un incorrecto entendimiento y definición de los requisitos,
podría generar errores inexcusables en la relación con clientes y proveedores.
4
CONTEXTUALIZAR EL CAPÍTULO 9 Y 10 DE LA NORMA
En la sección 9, la Norma describe y establece las responsabilidades de la dirección dentro de un sistema
de gestión de la seguridad de la información en lo referente a su revisión para asegurar su conveniencia,
adecuación y eficacia continua. Los requisitos de esta sección se derivan en gran medida de los principios
de gestión de la calidad:
En la sección 10, la Norma describe y establece los requisitos para la mejora del sistema de gestión de la
seguridad de la información.
10 Mejora.
5
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Los procesos de Seguimiento, Medición, Análisis y Evaluación sirven de base para la aplicación de toma de
decisiones, y siempre implica cierta incertidumbre.
A menudo implica múltiples tipos y fuentes de elementos de entrada, así como su interpretación, que
puede ser subjetiva. Es importante entender las relaciones de causa y efecto y las consecuencias no
previstas potenciales. El análisis de los hechos, de la evidencia y de los datos conduce a una mayor
objetividad y confianza en las decisiones tomadas.
■ A qué es necesario hacer seguimiento y qué es necesario medir, incluyendo procesos y controles de
seguridad de la información.
■ Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar
resultados válidos.
■ Los métodos seleccionados deben producir resultados comparables y reproducibles para ser
considerados válidos.
6
9.2 AUDITORÍA INTERNA
La auditoría se realiza sobre el Sistema de Gestión y a los procesos correspondientes, de un modo
planificado, para garantizar que son conformes con la Norma, que han sido implantados en la organización
y respetados por la misma.
Se utiliza como método de medida del funcionamiento del Sistema de Gestión de Seguridad de la
Información y como instrumento para la mejora continua de los procesos de la organización.
9.2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar
información acerca de si el SGSI:
■ Cumple con:
■ Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la
frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de
informes, que debe tener en consideración, la importancia de los procesos involucrados, y los
resultados de las auditorías previas.
7
Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología.
La selección de los auditores debe asegurar la objetividad e imparcialidad del proceso. Para ello los
auditores no deben auditar su propio trabajo.
Es preciso hacer una aclaración, las inspecciones y ensayos que se realizan controlan el producto, mientras
que las auditorías lo que hacen es controlar el proceso y el sistema de gestión; aunque no son
excluyentes sino que se complementan, ya que una inspección de un producto puede proporcionar los
datos necesarios para modificar un proceso.
La dirección responsable del área que ha sido auditada debe asegurarse de que se toman las correcciones
y acciones necesarias sin demora injustificada para eliminar las no conformidades detectadas y sus
causas. Se debe llevar a cabo un seguimiento para verificar las acciones tomadas y realizar un informe de
sus resultados. (Información documentada).
8
Objetivos de la Auditoría Interna de Calidad
La auditoría interna proporciona el grado de cumplimiento de los procesos establecidos para el sistema de
gestión de seguridad de la información y corrobora si el cumplimiento de dichos procesos permite a la
organización alcanzar los objetivos deseados.
Permite también adoptar las acciones correctivas y de mejora necesarias para lograr los objetivos previstos
cumpliendo con los procesos establecidos.
En caso de que los procesos no sean adecuados para alcanzar dichos objetivos, aporta directrices para el
cambio.
■ Mejora de los procesos. No pretende detectar los defectos, sino que se trata de un sistema de
mejora.
■ Aporta una mayor fuerza al sistema de gestión ya que da confianza en las instrucciones de los
procesos y proporciona el sistema adecuado para mejorarlo.
9
9.3 REVISIÓN POR LA DIRECCIÓN
La dirección deberá desarrollar una actividad de revisión pero que no implique sólo la verificación de la
eficacia y efectividad del Sistema de Gestión de Seguridad de la Información sino que abarque a toda la
organización.
La alta dirección debe, a intervalos planificados, revisar el Sistema de Gestión de la organización para
asegurarse de su conveniencia, adecuación y eficacia continuas.
La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en
el Sistema de Gestión de Seguridad de la Información, incluyendo la política de seguridad de la información
y los objetivos de control
Tanto las necesidades de la organización, las del mercado, las de los clientes y otras partes interesadas,
como el propio cumplimiento de sus objetivos no son en ningún caso estáticas, son cambiantes, así que
el sistema de gestión debe adaptarse a tales cambios, esto implica la obligación por parte de la dirección de
revisar el sistema en intervalos de tiempo que han sido fijados de antemano.
En estas revisiones se incluyen no sólo los procesos establecidos, sino también la política de seguridad
de la información, los objetivos marcados, etc. La revisión de todos estos aspectos de la organización ha
de estar adecuadamente documentada, debe quedar recogida en la información documentada (registros)
correspondiente que acrediten que se ha llevado a cabo.
10
Requisitos Exigidos por la Norma
■ Los cambios en las cuestiones externas e internas que sean pertinentes al SGSI.
■ Los resultados de la apreciación del riesgo y el estado del plan de tratamiento de riesgos.
La organización debe conservar información documentada como evidencia de los resultados de las
revisiones por la dirección
11
10.1 GENERALIDADES DE LA MEJORA
Las generalidades del requisito dan las orientaciones hacia dónde debe encaminarse los procesos de
mejora dentro del sistema de gestión de seguridad de la información.
Estas incluirán:
La dirección de la organización debe encontrar el modo de que la organización mejore de una forma
continuada, para ello los procesos deben ser dinámicos en cuanto al modo de realizarse y como toda
actividad de la organización, esta mejora debe estar planificada.
La mejora puede hacerse reactivamente (p.ej. acción correctiva), de manera incremental (p.ej. mejora
continua), mediante un cambio significativo (p.ej. avance), de manera creativa (p.ej. innovación) o por
reorganización (p.ej. transformación).
12
10.2 NO CONFORMIDAD Y ACCIÓN CORRECTIVA
La Norma indica que cuando ocurra una no conformidad, incluidas aquellas originadas por quejas, la
organización debe reaccionar ante la no conformidad, y según sea aplicable tomar acciones para controlarla
y corregirla.
- La revisión de la no conformidad.
- La determinación de las causas de la no conformidad.
- La determinación de la existencia de no conformidades similares, o que potencialmente
podrían ocurrir.
■ Implementar cualquier acción necesaria.
Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades encontradas.
Acción Correctiva
Las acciones correctivas se utilizan como una herramienta de mejora continua, para que en los puntos que
se han detectado fallos se solventen.
■ Acción correctiva, como la acción tomada para eliminar la causa de una no conformidad
detectada u otra situación indeseable.
13
La organización debe disponer de métodos de respuesta por si se produce una no conformidad y debe
estar preparada para eliminar la causa que la provocó, a poder ser de un modo definitivo para que no
vuelva a producirse. Estas respuestas deben establecerse a través de procedimientos documentados.
Los procesos que conducen las acciones correctivas, deben estar en consonancia a la importancia que
tenga el defecto localizado y han de incluir un estudio de la no conformidad interna o detectada por los
clientes, la determinación de sus posibles causas, modificación de las causas y el control de la
eficacia de las posibles causas.
Este proceso debe señalar la actividad de comenzar el estudio de las no conformidades o quejas y de sus
causas en el instante en que sean detectadas, así como el estudio de si existen no conformidades
similares o que potencialmente podrían ocurrir (estudio de la extensión o alcance de la no conformidad)
y si es necesario, hacer cambios en el sistema de gestión de la calidad.
14
10.2 MEJORA CONTINUA
Todos los elementos de salida del análisis y evaluación que se han mencionado hasta el momento, tanto
auditorías internas, el método PDCA, análisis de datos, así como los elementos de salida de la revisión del
sistema, deben aplicarse para impulsar la adecuación e idoneidad del sistema de gestión de seguridad
de la información, así como la mejora de eficacia del mismo.
Otras fuentes de información para la mejora de la idoneidad y adecuación del sistema de gestión dada su
condición de cambios permanentes serán:
Todo proceso de mejora debe ser permanente y continuo, con un fin educativo y no un objetivo que una vez
alcanzado se estanque.
La mejora continua es el único modo de que la organización sobreviva y de mantener la satisfacción de los
clientes.
15
Requisitos Exigidos por la Norma
■ La organización debe considerar los elementos de salida del análisis y la evaluación, y los
elementos de salida de la revisión por la dirección, para determinar si existen necesidades u
oportunidades u oportunidades que deben tratarse como parte de la mejora continua.
16
NOTAS
17
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
18
ACTITUD
Contribuir a encontrar una solución a situaciones que se plantean en una empresa, y que ayudan a mejorar
el rendimiento en una organización.
Una persona debe proponer ideas y nuevas formas de hacer las cosas, incluso más allá de su propia área
de trabajo con el fin de mejorar métodos o técnicas que pueden haber quedado desfasadas dentro de la
organización.
De esta manera, existen nuevos enfoques que serán afrontados con entusiasmo, ya que las expectativas de
las tareas y funciones planteadas tienen la intención de mejorar el rendimiento general existente en la
empresa.
Se actúa con iniciativa y anticipación, proponiendo e impulsando formas de hacer para un problema o
situación, surgiendo entonces la oportunidad de mejora que debe desarrollarse en base a unos recursos
que se poseen y unos plazos de trabajo.
La oportunidad de mejora que se presenta para una empresa, debe entenderse siempre como un elemento
de innovación empresarial.
19
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
Trabajo Individual: Integrar el sistema de gestión de seguridad de la información con los procesos de
la organización. A realizar a lo largo de esta Unidad de Competencia.
Caso Práctico: Establecer los objetivos de seguridad de la información en las funciones y niveles
precisos de acuerdo con la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Realizar un análisis Nuevas Tecnologías y Protección de Datos. A realizar a lo largo del
Módulo/Curso.
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
AUTOEVALUACIÓN
Consideraciones Básicas de ISO 27001 antes de su
Creación y Alcance de un SGSI.
Implantación.
2
CONSIDERACIONES BÁSICAS DE ISO 27001 ANTES DE SU IMPLANTACIÓN
ISO 27001 es el estándar internacional creado para “proporcionar un modelo para establecer,
implementar, operar, revisar y mejorar un SGSI”.
Enfoque a Procesos
Se puede definir un proceso como un conjunto de actividades orientadas a generar un valor añadido a sus
entradas para conseguir un resultado, que satisfaga los requisitos del cliente.
Resultados y Procesos
Un resultado deseado se alcanza más eficientemente cuando las actividades y recursos relacionados se
gestionan como un proceso.
UNE-EN ISO 9004:2009. Gestión para el éxito sostenido de una organización. Enfoque de gestión de la
calidad.
Toda actividad que se realice dentro de una organización, sea del tipo que sea, procesos productivos,
administrativos, comerciales o de gestión, debe ser tratada y gestionada como si fuese un proceso, y se
considera como “un enfoque a procesos”.
Por tanto, la empresa puede ser entendida como un sistema complejo formado por un conjunto de
elementos como producción, ventas, finanzas, recursos humanos, etc., en interacción entre sí y con el
exterior.
Una empresa u organización debe gestionar un gran número de procesos que de ningún modo son
independientes, sino que se encuentran todos interrelacionados de forma que, normalmente, las salidas
de unos son las entradas de otros.
3
Ventajas del Enfoque Basado en Procesos
■ Permite controlar de forma continua todos los procesos, tanto individualmente como en conjunto.
■ Se reducen los costes y se acortan tiempos si se utilizan los recursos de forma adecuada.
■ Proporciona mejores resultados, con una mayor consistencia y que además se pueden predecir de
forma más sencilla y más fiable.
En la gestión de la seguridad de la información, gracias al enfoque del proceso, los usuarios dan más
importancia a diferentes hechos:
■ Revisar la efectividad del SGSI, y buscar una mejora continua en base a una medición de
resultados.
4
Mapa de Procesos
El mapa de procesos es la representación gráfica de la estructura de un proceso que conforma un Sistema
de Gestión.
Define la organización como un sistema de procesos interrelacionados, mostrando cómo sus actividades
están relacionadas con los clientes, proveedores, y grupos de interés.
Requisitos Exigidos
Adoptar esta visión de la actividad de una organización, implica necesariamente la realización de diversas
tareas.
Tareas a Realizar
■ Enfocar la gestión como un proceso sobre determinadas partes de la empresa, como por
ejemplo, provisión de recursos, productos o recursos humanos, que mejorará las actividades de la
organización.
■ Realizar una definición precisa de las actividades necesarias para lograr el resultado deseado.
5
De esta forma, toda actividad debe tener unas características determinadas:
■ Un objeto definido, con límites bien determinados para cada una de las etapas y para el proceso
global.
■ Algún tipo de indicador que sea cuantificable o medible, para poder comprobar el grado de
cumplimiento de los objetivos.
Metodología PDCA
Gracias al enfoque de toda actividad como un proceso, se pueda aplicar la metodología conocida como:
PDCA (Plan-Do-Check-Act) o lo que es lo mismo PHVA (Planificar-Hacer-Verificar-Actuar), que no es más
que un sistema de mejora continua.
6
PDCA
Para poder establecer los objetivos de cada actividad es necesario tener una
Planificar política clara de lo que se pretende con respecto al sistema de gestión, para
determinar los procesos necesarios para conseguir los resultados deseados.
Verificar Todos los procesos deben ser analizados y medidos, para cumplir con los
requisitos, política y objetivos de la organización.
Una vez realizados los análisis de los resultados producidos, se adoptarán las
Actuar medidas adecuadas, y se replanificará nuevamente con el fin de obtener una
mejora continua.
El SGSI debe intentar conseguir con el modelo PDCA satisfacer los requerimientos y expectativas en
seguridad de la información de las partes interesadas a través de las acciones y procesos necesarios.
Ejemplos
Expectativa Que si ocurre un incidente serio, como el pirateo de una web, se tenga a
personas capacitadas para minimizar el daño.
7
Aplicación del Modelo PDCA en el SGSI
Contexto de la
Establecer la política, objetivos, procesos y procedimientos del
Organización
SGSI para controlar el riesgo, y mejorar la seguridad de la
Planificar Liderazgo
información para entregar resultados acordes con los objetivos
Planificación generales de la organización.
8
COMPATIBILIDAD DE ISO 27001 CON OTROS SISTEMAS DE GESTIÓN
Uno de los principales aciertos de ISO 27001 es que es compatible con otros sistemas de gestión.
Junto con ISO 9001 e ISO 14001, se integra con los otros estándares de gestión para dar soporte a una
implementación consistente.
Esto quiere decir que ISO 27001 está diseñado para satisfacer adecuadamente los requerimientos de los
otros estándares, a la vez que cumple su función.
Por ello, una organización puede implantar su SGSI cumpliendo con los requisitos de los otros sistemas de
gestión relacionados.
Si deseas asistir a un Webinar en directo puedes ver la programación mensual e inscribirte a través del
campo TV Educativa BVBS, que encontrarás en el “Campus Virtual”.
Alcance
Los requerimientos que recoge ISO 27001 alcanzan a todo tipo de empresas, con independencia de sus
dimensiones o finalidad. Así, por ejemplo, pueden aplicarse a empresas comerciales, agencias
gubernamentales u organizaciones sin ánimo de lucro, por citar algunas.
Todas ellas pueden, siguiendo las pautas del estándar, implementar el SGSI que está concebido para que
pueda implantarse dentro del contexto de riesgos comerciales generales de las organizaciones.
El SGSI proporciona controles de seguridad que protegen los activos de información de las empresas. Estas
deben justificar la exclusión de cualquiera de los controles y asumir el riesgo que ello conlleva.
9
TÉRMINOS Y DEFINICIONES CLAVES DE LA ISO 27001
Algunos conceptos que se manejan a lo largo de la norma ISO 27001 y que deben conocerse para
implantar un SGSI:
Términos y Definiciones
Sistema de Gestión de Parte del sistema gerencial general basado en un enfoque de riesgo del riesgo
Seguridad de la para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
Información (SGSI) seguridad de la información
10
Riesgo Residual El riesgo remanente después del tratamiento del riesgo.
Declaración de Enunciado documentado que describe los objetivos de control y los controles
Aplicabilidad que son relevantes y aplicables al SGSI de la organización.
11
CREACIÓN Y ALCANCE DE UN SGSI
Sistema de información: aplicaciones, servicios, activos de tecnología de la información u otros
componentes que manipulen información. (ISO 27000).
■ Papel o disquetes.
■ Video y audio.
■ Dispositivos Ópticos.
El sistema de gestión incluye una estructura organizativa, unas políticas de actuación que indican las
líneas generales necesarias para conseguir los objetivos previstos, con una planificación de las actividades
y la determinación de las responsabilidades.
Posteriormente, los procedimientos desarrollan los objetivos marcados en las políticas, que no es
necesario que sean conocidos por todas las personas de la organización, sino únicamente por aquellas que
lo requieran para el desarrollo de sus funciones.
12
Beneficios de la Implantación en una Organización de un SGSI
- Empresas y organizaciones.
- El cliente final.
- Auditores.
■ Asegura los activos de información de forma adecuada: mediante controles aplicados según el
riesgo.
Alcance de un SGSI
Es fundamental identificar el alcance que va a tener dentro de una organización el sistema de gestión de la
seguridad de la información, pues este alcance es muy variado y puede englobar a:
■ Actividades.
■ Localizaciones.
■ Activos.
■ Tecnología.
13
Entorno de la Organización
■ Internos.
Partes Interesadas
Las partes interesadas serán aquellas personas o grupos que se vean afectadas o tengan la percepción
de serlo por el rendimiento o éxito de su organización.
■ Clientes.
■ Inversores.
■ Aseguradores.
■ Organizaciones gubernamentales.
■ Empleados.
■ Público.
14
Los Riesgos en el Sistema de Gestión de Seguridad de la Información
La organización definirá un método de valoración del riesgo para el SGSI al objeto de reducir el riesgo a
un nivel aceptable. No se especifica que sea necesario un procedimiento documentado.
Para evitar los posibles riesgos en el sistema de gestión se debe requerir a la organización para establecer
roles y responsabilidades incluyendo las seguridad en las responsabilidades de trabajo, tal y como
establece la cláusula 5.3 ISO 27001: 2013, proporcionando además los recursos necesarios para facilitar
una gestión efectiva de la seguridad de la información.
La toma de decisiones es un punto clave en el buen funcionamiento de una organización, y han de estar
basadas en una información precisa y fiable y a través de un acertado análisis de los datos.
En cualquier momento y a todos los niveles de la empresa es preciso tomar una decisión, por ello
los datos deben estar a disposición de aquellos que los necesitan para que la decisión sea lo más
acertada posible.
■ Se manifiesta una amplia confianza en relación con terceros, y se producen también ventajas
comerciales al garantizarse la confidencialidad y el cumplimiento las exigencias legales, generando
una plena seguridad.
LECTURA RECOMENDADA
15
FACTORES DE ÉXITO DE UN SGSI
Es necesario establecer un marco de seguridad sobre los sistemas de información que permita garantizar el
servicio que requiere la organización. Esto se consigue con la implantación de un SGSI.
La gestión del riesgo debe formar parte de todas las actividades de la organización, y los controles de
seguridad aplicados deben ser acordes a las características de los riesgos y especialmente, la organización.
La disposición previa en la organización de otros sistemas de gestión directamente relacionados como las
normas ISO 9001, ISO 22301 o ISO 20000-1 simplifican y agilizan la implantación, siempre que los alcances
sean lo más parecido posible.
16
Los Ocho Factores de Éxito para un SGSI
■ Una política, objetivos y actividades que reflejen los objetivos del negocio de la organización.
■ Un enfoque para implantar la seguridad que sea consistente con la cultura de la organización.
■ Una buena comprensión de los requisitos de seguridad, de la evaluación del riesgo y de la gestión
del riesgo.
17
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo ó o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
18
ACTITUD
Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.
La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.
Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.
No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.
19
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
20
ll
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
ACTITUD
Imparcialidad.
AUTOEVALUACIÓN
Concepto de Normalización. Beneficios de la Acreditación.
Beneficios de la Normalización. Organismos de Evaluación de la Conformidad.
Niveles de la Normalización. Diferencia entre Acreditación y Certificación.
Concepto de Acreditación.
2
CONCEPTO DE NORMALIZACIÓN
La normalización es una actividad mediante la cual fabricantes, consumidores, usuarios, administraciones
públicas, etc. establecen un acuerdo voluntario que se plasma en un documento técnico, o norma, en el que
se definen las características técnicas que debe reunir un material, producto, servicio o sistema para
garantizar su seguridad, su aptitud a la función o su compatibilidad con los otros productos, servicios o
sistemas.
Para comprender el significado de la Normalización es primordial conocer primero qué es una norma:
Una norma se puede definir como un “documento establecido por consenso y aprobado por un
organismo reconocido, que otorga un marco común para su uso repetido, reglas, directrices o
características de las actividades o sus resultados, orientados a la consecución del grado óptimo de
orden en un contexto dado”.
Las normas son desarrolladas por organismos de normalización internacionales, nacionales o regionales. Y,
entre otras muchas ventajas, facilitan el comercio y ofrecen las bases para la reglamentación técnica en
muchos campos como el de la calidad y la seguridad industrial.
3
BENEFICIOS DE LA NORMALIZACIÓN
De manera global, la normalización ayuda a unificar criterios, consiguiendo una serie de ventajas, entre las
que destacan:
Ventajas de la Normalización
■ Fomentar la competitividad.
■ Armonizar el mercado.
Las normas son documentos establecidos por consenso entre las partes interesadas, y son aprobados por
organismos reconocidos.
Una vez han sido publicadas las normas pueden ser empleadas por una gran diversidad de agentes
interesados como por ejemplo: entidades privadas, públicas, público informado en general, etc.
4
La Normalización Internacional y la Seguridad Industrial
5
Uso de las Normas
Las normas son documentos expuestos al uso voluntario de aquéllas partes que están interesadas en su
aplicabilidad, y por tanto, cuentan con derechos de autor para garantizar su integridad.
En muchas ocasiones las áreas sujetas a reglamentación o normatividad en las cuales el sistema de
comercio no permite que se desarrolle y ofrezca un producto de calidad y la seguridad de los consumidores
se ve puesta en riesgo, los gobiernos pueden basar el contenido técnico de sus regulaciones en estas
normas internacionales. Éste es un beneficio fundamental de la normalización.
Sin embargo, es posible que sea obligatorio el uso de la norma solo cuando la reglamentación de un país se
ha basado en su existencia previa.
El objetivo de ISO es fomentar el desarrollo de las actividades de normalización para favorecer intercambios
internacionales de bienes y servicios, y crear una cooperación en los campos intelectual, científico,
tecnológico y económico.
Navegando por la Web es posible acceder a la página oficial de la ISO, donde se facilita la información
de esta organización así como sus actividades, normas publicadas, etc.
6
IEC, International Electrotechnical Commission
IEC, es la organización internacional que prepara y publica normas internacionales sobre electricidad,
electrónica y tecnologías relacionadas. Tiene como misión promover, a través de sus miembros, la
cooperación internacional en todas las cuestiones de normalización electrotécnica y materias relacionadas.
Muchas de las normas elaboradas por esta comisión son desarrolladas conjuntamente con la ISO,
conocidas como normas ISO/IEC.
Navegando por la Web es posible acceder a la página oficial de la IEC, donde puedes acceder a
información sobre estas normas.
Es una organización que en la actualidad cuenta con más de 193 países miembros, y cuya misión es la de
cooperar a nivel internacional para el desarrollo de las nuevas tecnologías de la comunicación y de la
información en todo el mundo. Para ello es fundamental el desarrollo de sus normas, ya que sin ellas no se
podría navegar por internet o realizar una simple llamada telefónica.
Navegando por la Web es posible acceder a la página oficial de UIT y consultar la información que
ofrece este organismo.
7
CEN, European Committee for Standarization
El Comité Europeo de Normalización, desarrolla trabajos de normalización que cubren todos los sectores
técnicos con excepción del campo electrotécnico, que es competencia del Comité Europeo de
Normalización Electrotécnica (CENELEC).
La misión principal del CEN es promover la armonización técnica, de forma voluntaria, en Europa y crear
nuevas Normas Europeas, Normas EN, o documentos de armonización sobre aquellos temas en los que no
existen normas internacionales o nacionales, para fomentar la competitividad de la industria europea a nivel
mundial y ayudar en la creación del mercado interior europeo.
Otra de las funciones principales de este organismo es promover la implantación en Europa de las normas
desarrolladas por la ISO y la IEC.
Navegando por la Web es posible acceder a la página oficial de CEN, donde se facilita toda la
información de esta organización.
La misión del CENELEC es preparar normas electrotécnicas de carácter voluntario que ayuden a desarrollar
un Mercado Único Europeo para productos y servicios eléctricos y electrónicos y eliminar las barreras
comerciales, creando nuevos mercados y reduciendo los costes de adaptación.
Navegando por la Web es posible acceder a la página oficial de CENELEC y consultar la información
que este sitio facilita.
8
ANSI, American National Standars Institute
ANSI, es la Organización nacional de normalización norteamericana, es un sistema voluntario de
normalización, con reconocido prestigio internacional. Que se encarga de la elaboración de normas
referidas a productos, servicios, etc. que pueden ser aplicadas de forma voluntaria por las empresas
estadounidenses y otras partes interesadas.
Navegando por la Web es posible acceder a la página oficial de ANSI, donde se pueden consultar todas
las actividades en las que se encuentra involucrada esta organización.
Actualmente cuenta con 25 miembros activos y 9 miembros adherentes, y agrupa a los Organismos
Nacionales de Normalización (ONN) de las Américas.
Su fin principal es impulsar el crecimiento comercial, industrial, científico y tecnológico de los países que lo
forman
■ Argentina
■ Bolivia
■ Brasil
■ Canadá
■ Colombia
■ Costa Rica
■ Cuba
■ Chile
■ Ecuador
9
■ El Salvador
■ Estados Unidos
■ Guatemala
■ Guyana
■ Honduras
■ Jamaica
■ México
■ Panamá
■ Paraguay
■ Perú
■ República Dominicana
■ Uruguay
■ Etc.
Navegando por la Web es posible acceder a la página oficial de COPANT y consultar la información que
facilita.
El Mercosur intenta avanzar en normas y procedimientos para controlar el mercado aduanero de los países
que lo integran. Desde el punto de vista del comercio interior del Mercosur, como de los bienes que se
intenten comercializar en su espacio. El organismo regional que se encarga de elaborar las normas del
Mercosur se denomina Asociación Mercosur de Normalización (AMN).
10
SITIO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Navegando por la Web es posible acceder a la página oficial de AMN, donde podrás consultar la
información disponible de esta organización.
ICONTEC INTERNACIONAL
Es la organización que representa a Colombia en organismos internacionales de Normalización como ISO y
regionales como COPANT. Actualmente, presta servicio de normalización, certificación, inspección,
educación, acreditación en salud, calibración de equipos, consulta y venta de publicaciones, etc.
Navegando por la Web es posible consultar información relativa a todas las actividades que desarrolla
AENOR en España y a nivel internacional.
11
Entre las funciones de AENOR, destacan:
Aparte de estos organismos de normalización, explicados como ejemplo, existen otros organismos de
normalización en numerosos países como: Francia (AFNOR), Reino Unido (BSI), Alemania (DIN), Argentina
(IRAM), etc.
12
NIVELES DE LA NORMALIZACIÓN
A nivel de organización de todos los organismos de Normalización, se utiliza una estructura jerárquica de
los mismos, de tal manera que, los organismos internacionales son la base de la estructura del desarrollo de
normas voluntarias de carácter internacional pudiendo ser adoptadas por cualquier país, previa adaptación.
13
CONCEPTO DE ACREDITACIÓN
La acreditación es el procedimiento establecido a escala internacional mediante el cual una Entidad
autorizada reconoce formalmente que una organización es competente para la realización de una
determinada actividad de evaluación de la conformidad.
Una acreditación es el reconocimiento por parte de una tercera entidad de la competencia técnica de una
organización para la realización de una actividad de evaluación de la conformidad.
La mayoría de países disponen de entidades de acreditación, que a tal efecto otorgan a los Organismos de
Evaluación de la Conformidad la capacidad de evaluar y realizar declaraciones objetivas de que los
productos, servicios, bienes, etc. cumplen con unos requisitos específicos.
14
BENEFICIOS DE LA ACREDITACIÓN
Las ventajas que aporta la acreditación, no sólo se dejan notar en la organización que resulta acreditada,
sino que también se manifiestan en otros grupos de entidades o personas interesadas. Así existen
beneficios que recaen sobre:
■ La administración.
■ Los evaluadores.
■ Los clientes de los evaluadores.
■ El consumidor final.
■ La existencia de estas entidades acreditadas nos permite tomar decisiones que afectan a la salud y
a la seguridad, basadas en una información técnicamente fiable y homogénea, disminuyendo así
el riesgo. Del mismo modo, refuerza nuestra confianza en los servicios básicos como los laboratorios
de análisis clínico o de alimentos.
■ Los servicios de evaluación acreditados aportan un valor añadido a los productos o servicios, en
cuanto a fiabilidad y reconocimiento, que repercute directamente en la confianza de los clientes y
refuerza la imagen de la empresa.
■ Para el cliente final, la acreditación inspira confianza, ya que garantiza que los productos han sido
evaluados por un organismo independiente y competente. Del mismo modo, aumenta la libertad de
elección y fomenta un mercado libre, pero fiable.
■ Si una empresa contrata los servicios de una entidad acreditada, esto le permite controlar y reducir
los fallos de producto y los costes de producción, fomentando la innovación.
■ Los productos, análisis, calibraciones, evaluaciones ambientales, etc., realizados por entidades
acreditadas, pasan a tener un reconocimiento internacional, abriendo el mercado y disminuyendo
los costes que acarrearía una repetición de las evaluaciones.
15
Organismos Internacionales de Acreditación
La acreditación hace que los organismos de evaluación de la conformidad de diferentes países tengan
formas similares de desarrollar su labor de acreditación, pues se ajustan a las normas de acreditación
vigentes y que son de aplicación internacional.
Existen varios organismos que colaboran para que las entidades de acreditación mejoren día a día, y para
que los criterios seguidos a nivel mundial sean compatibles.
A continuación se describen las funciones de los principales organismos en los que participan las entidades
de acreditación.
Navegando por la página de IAF se puede acceder a noticias y enlaces de interés, así como a
publicaciones realizadas por este organismo.
Los propósitos de la IAF son asegurar que los miembros de esta asociación acrediten sólo a aquellas
entidades que sean competentes, a la vez que promueve los “acuerdos multilaterales de reconocimiento”,
MLA, entre sus miembros.
La acreditación asegura la competencia e imparcialidad de las entidades acreditadoras miembro del IAF, así
como de las acreditaciones que estos miembros otorguen a otras organizaciones para asegurar su
competencia técnica, reconociéndolas como propias.
16
¿Qué son los Acuerdos Multilaterales de Reconocimiento?
Los Acuerdos Multilaterales de Reconocimiento (MLA), aseguran que la acreditación facilite un acceso a
los mercados.
Es una oportunidad para empresas, por ejemplo, colombianas o españolas para que se les permita tener
un respaldo en los mercados internacionales y les facilite la libre circulación de sus productos y servicios,
sin necesidad de someterlos a nuevas pruebas y otros requisitos que deben cumplir de no contar con
esa acreditación con un MLA.
Navegando por la página de ILAC se puede acceder a información sobre los laboratorios acreditados,
así como publicaciones y noticias de interés.
17
EA, European co-operation for Accreditation
A lo largo de toda Europa, encontramos varias entidades de acreditación, que son diferentes en cada país
miembro de la Unión. Se encuentran reunidas en la EA, European co-operation for Accreditation.
Navegando por la página de EA, se encuentra disponible un mapa de Europa, en el que aparecen todas
las entidades de acreditación a nivel europeo, incluyendo datos de contacto.
18
SITIO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Navegando por la Web es posible acceder a la entidad ENAC y consultar la información relativa a la
misma que se encuentra disponible.
La Entidad Nacional de Acreditación es una organización auspiciada y tutelada por la Administración, que
se constituye según lo dispuesto en:
ENAC es una entidad privada, independiente y sin ánimo de lucro, cuya función es coordinar y dirigir en
el ámbito nacional un Sistema de Acreditación conforme a criterios y normas internacionales.
Los criterios seguidos por las entidades de acreditación en otros países, son comunes a los seguidos por
ENAC, de forma que la evaluación de la conformidad realizada por un organismo acreditado por ENAC,
debe ser equivalente al realizado por otro organismo acreditado por otra entidad de acreditación.
19
SITIO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
Navegando por la Web es posible acceder a la página oficial de ONAC, donde podrás consultar la
información disponible de esta organización.
Debido a esta participación mixta, se constituyó regido por las normas del derecho privado, en concreto
según el artículo 96 de la Ley 489 de 1998 del Congreso de la República, por la que se dictan normas sobre
la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones,
principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del
artículo 189 de la Constitución Política y se dictan otras disposiciones, y según el control administrativo del
Ministerio de Comercio, Industria y Turismo.
Los principios que rigen el funcionamiento del ONAC son la independencia, imparcialidad, autonomía
financiera y administrativa.
Proceso de Acreditación
Cuando una entidad opta por la solicitud de una acreditación, el proceso que debe seguir es el siguiente:
20
Los miembros del equipo auditor son seleccionados conforme a criterios
establecidos por el Organismo de Acreditación, y esta entidad cuenta con
expertos en todo tipo de actividades.
La acreditación no es de duración ilimitada, y cada cuatro años, o cinco, según el caso, se reevalúa la
competencia de la entidad mediante una auditoría similar a la inicial.
21
La Normalización Internacional y la Seguridad Industrial
22
Uso de la Marca de Acreditación Otorgada
La Marca de Acreditación, es reconocible fácilmente mediante un logotipo, o la referencia de una entidad a
la condición de acreditado en los informes o certificados que emita, es el medio empleado por las
organizaciones acreditadas para anunciar públicamente el cumplimiento de los requisitos de acreditación
Todos los usuarios de los servicios o productos de una organización, pueden reconocer de manera sencilla
los documentos emitidos debido a actividades acreditadas, como por ejemplo informes de ensayo,
resultados de análisis clínicos, certificados, etc.
Los certificados e informes sin la Marca de Acreditación, o sin la referencia a la acreditación junto con su
número, no pueden ser considerados “documentos acreditados”, y por lo tanto, no se benefician de estas
ventajas.
La Marca de Acreditación sólo puede ser empleada por las organizaciones que se encuentren acreditadas.
Su uso fraudulento o irregular, puede llevar a los Organismos de Acreditación a emprender acciones legales
contra los infractores.
Otro aspecto importante, es que el uso de la Marca de Acreditación debe limitarse a la actividad o
aspecto de la organización que haya sido acreditado.
Por ejemplo, en el informe de análisis clínico de un laboratorio de ensayo que no tenga todas las pruebas
acreditadas, deben constar claramente cuáles son los resultados acreditados y cuáles no, para que no de
lugar a error.
23
La acreditación es tan concreta que incluso, aunque un laboratorio de ensayo esté acreditado para la
determinación de un compuesto concreto, puede ocurrir que lo esté para un rango limitado de
concentraciones, debiendo hacer referencia a ello en el informe, para asegurar si está acreditado para
realizar ese análisis o no.
Las Marcas de Acreditación deben aparecer siempre claramente asociadas al nombre o logotipo de la
organización acreditada, y en ningún caso, a otras organizaciones o logotipos. Además, vendrá
acompañada del número de acreditación.
24
ORGANISMOS DE EVALUACIÓN DE LA CONFORMIDAD
Los organismos de evaluación de la conformidad son los encargados de evaluar y realizar una
declaración objetiva de que los productos, procesos, instalaciones o servicios cumplen unos requisitos
específicos.
Los organismos de evaluación de la conformidad deben estar acreditados garantizando así su competencia
y proporcionando la confianza demandada por el mercado. Estas acreditaciones las realizan las Entidades
Nacionales de Acreditación (ONAC en Colombia, ENAC en España, etc.).
La función básica de los organismos de evaluación de la conformidad es asegurar que los procesos,
productos, instalaciones o servicios puestos a su disposición son conformes con requisitos relacionados con
su Calidad y Seguridad. Estos requisitos pueden estar establecidos en reglamentación específica, o bien
basados en normas voluntarias.
■ Laboratorios.
■ Organismos de Control.
■ Entidades de Certificación.
■ Verificadores.
Laboratorios
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:
■ Laboratorio de ensayo.
■ Laboratorio de calibración.
Estos dos tipos de laboratorios deben demostrar el cumplimiento de los requisitos establecidos en la norma
internacional ISO/IEC 17025:2005 para estar acreditados.
ISO/IEC 17025:2005
La norma ISO/IEC 17025 es una guía genérica y es aplicable a todos los laboratorios, ya sean de ensayo o
calibración, para determinar que:
■ Que tienen implantado y desarrollado un sistema de gestión de la calidad, que le facilitará la gestión de
la documentación del laboratorio a nivel técnico.
■ Que estos laboratorios son capaces técnicamente en cuanto a: personal, instalaciones, condiciones
ambientales, métodos, equipos y patrones con una trazabilidad basada en las unidades del sistema
internacional.
■ Su capacidad para obtener resultados de ensayo y/o calibración fiables.
25
De manera general, esta norma puede ser implantada en cualquier tipo de laboratorio de calibración o
ensayos, y se caracteriza por una primera parte dividida en 15 secciones alineadas con los requisitos de un
sistema de gestión de calidad, y las restantes encaminadas a determinar la competencia técnica y la validez
de los resultados que se obtengan en dichos laboratorios. Se puede implantar independientemente de su
tamaño o actividad.
Los resultados de ensayos y calibraciones realizados por estos laboratorios acreditados por las entidades
nacionales de acreditación como ONAC en Colombia y ENAC en España, son aceptados en otros países
debido a los acuerdos multilaterales de reconocimiento a los que se acogen estas entidades.
Laboratorios de Ensayo
“Los laboratorios de ensayo son entidades públicas o privadas, cuya finalidad es llevar a cabo la
comprobación, solicitada con carácter voluntario, de que los productos cumplen con las normas o
especificaciones técnicas que les sean de aplicación”.
Los resultados llevados a cabo por los laboratorios pueden ser usados por la propia organización para
conocer y controlar la calidad de sus productos y servicios, así como sus repercusiones sobre el medio
ambiente.
Esos resultados también son usados por las entidades de inspección para la declaración de conformidad
con requisitos reglamentarios, bien en apoyo a procedimientos de autocontrol (ámbito voluntario), o bien
dentro de las actividades de inspección y control reglamentario que las distintas administraciones llevan a
cabo para asegurar que se cumplen los desarrollos legales que aprueban (ámbito reglamentario).
Laboratorios de Calibración
“Los laboratorios de calibración industrial son las entidades públicas o privadas, cuya finalidad es facilitar, la
trazabilidad y uniformidad de los resultados de medida”.
En la actualidad se utilizan múltiples equipos de medida para diferentes actividades. Para controlar que
dichos equipos trabajan adecuadamente y proporcionan una información fiable, deben ser revisados
periódicamente por un laboratorio de calibración acreditado, el cual expedirá un certificado de calibración.
26
Organismos de Control
“Los organismos de control son entidades públicas o privadas, cuya finalidad es verificar el cumplimiento de
carácter obligatorio de las condiciones de seguridad de productos e instalaciones industriales, establecidas
por los Reglamentos de Seguridad Industrial, mediante actividades de certificación, ensayo, inspección o
auditoría”.
Estos organismos asisten a la administración en las labores de control y vigilancia de las actividades
industriales.
El control del cumplimiento de las condiciones de seguridad de diseños, productos, equipos, procesos e
instalaciones industriales se efectuará mediante la evaluación de su conformidad con los requisitos
establecidos en los respectivos Reglamentos, emitiéndose según los casos el protocolo, acta, informe o
certificado correspondiente.
Entidades de Certificación
Por tanto, las entidades de certificación son entidades públicas o privadas, cuya finalidad es establecer la
conformidad, solicitada con carácter voluntario, de una determinada empresa, producto, proceso, servicio o
persona a los requisitos definidos en normas o especificaciones técnicas.
Existen distintos tipos de certificaciones dependiendo del ámbito y del tipo de actividad que se trate, entre
las que destacan:
■ Certificaciones de Producto.
■ Certificaciones de Sistemas de Gestión de Calidad.
■ Certificaciones de Sistemas de Gestión Medioambiental.
■ Certificaciones de Sistemas de Seguridad de la Información.
■ Certificaciones de Personas.
Verificadores
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:
■ Verificadores medioambientales.
■ Verificadores del régimen de comercio de derechos de emisión de gases de efecto invernadero.
27
Verificadores Medioambientales
Los verificadores medioambientales son entidades públicas o privadas independientes de la organización
sometida a verificación, que se constituyen con la finalidad de realizar las funciones que se establecen para
ellos, en el Reglamento (CE) 1221/2009 del Parlamento Europeo y del Consejo, de 25 de noviembre de
2009, por el que se permite que las organizaciones se adhieran con carácter voluntario a un Sistema
Comunitario de Gestión y Auditoría Medioambiental (EMAS).
El Reglamento EMAS permite la participación voluntaria de las organizaciones, para la evaluación y mejora
de su comportamiento medioambiental y la difusión de la información pertinente al público y otras partes
interesadas.
Las organizaciones que se adhieran al Reglamento EMAS deben ser objeto de evaluación de conformidad
por parte de un verificador medioambiental, el cual debe estar acreditado y para ello debe demostrar el
cumplimiento de los requisitos establecidos en el Reglamento CE 1221/2009.
28
DIFERENCIAS ENTRE ACREDITACIÓN Y CERTIFICACIÓN
Acreditación y Certificación son términos que suelen confundirse, pero no debería ser así, ya que son
actividades distintas, que se diferencian tanto en su objetivo como en el contenido de normas en las que
se basan.
Objetivos
Las normas que rigen las entidades que desean certificarse son diferentes de las empleadas por las
entidades de acreditación en sus funciones.
En el caso concreto de los organismos certificadores, las normas ISO 9000, ISO 14000 empleadas,
describen de manera general los requisitos de un sistema de gestión, mientras que las normas seguidas por
los acreditadores, no describen un sistema de gestión, sino que establecen los requisitos específicos que
cada uno de los organismos de evaluación de la conformidad deben cumplir, para demostrar su
competencia técnica.
Por ejemplo, un laboratorio, certificado ISO 9000, ha demostrado que dispone de un sistema de gestión de
calidad ISO 9000, mientras que un laboratorio acreditado ISO 17025, ha demostrado su competencia
técnica, es decir, ha demostrado su capacidad para producir resultados de ensayo o calibración precisos y
correctos.
29
ACTITUD
IMPARCIALIDAD
Actitud o comportamiento que exige no inclinarse por ninguna de las partes que intervienen en un conflicto,
ni apoyar expresamente la solución planteada por una de ellas.
En una organización empresarial, todas las decisiones deban adoptarse en base a criterios objetivos, sin
que en ningún caso los prejuicios ni las emociones afecten a la toma de decisiones.
Es muy utilizada la frase “nadie puede caminar hacia ninguna parte”, cuando en realidad si se adopta una
decisión, siempre se sigue una dirección hacia delante o hacia atrás.
Por tanto, es fundamental para cualquier persona que intervenga en un conflicto, que carezca de ningún
interés en la solución del litigio, de esta manera ser imparcial significa:
Adoptar decisiones sin verse afectado en las valoraciones por determinados prejuicios sobre las personas.
Actuar sin estar influenciado por las opiniones y sugerencias de las partes interesadas.
No involucrarse ni personal ni emocionalmente en el asunto en conflicto.
30
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
ACTITUD
AUTOEVALUACIÓN
Conceptos Básicos y Definiciones de Interés. Participantes en una Auditoría.
Objetivos de una Auditoría de un SGSI. Tipos de Auditorías.
Características Generales que Engloba el Proceso
Proceso de Certificación de la Empresa.
de Auditoría.
2
CONCEPTOS BÁSICOS Y DEFINICIONES DE INTERÉS
La serie de Normas Internacionales ISO 27000 ponen énfasis en la importancia de las auditorías como
una herramienta de gestión para el seguimiento y la verificación de la implementación eficaz de una
política de organización para la gestión de la Seguridad de la Información.
Las auditorías son también una parte esencial de las actividades de evaluación de la conformidad y de la
evaluación y vigilancia de la cadena de suministro.
La importa de auditar: la auditoria es un examen independiente para determinar si los examenes realizados permiten
obtener los resultados planificados
Auditoría
Se puede decir que una auditoría es el examen, por parte de personas neutrales, del cumplimiento de
una determinada norma o procedimiento.
De modo más sencillo, la auditoría es una actividad de análisis que, partiendo del punto inicial de
recabar información, la evalúa para determinar posibles errores, estableciendo pautas para corregirlos.
No se trata de un “proceso policial”, sino de un proceso técnico, en el cual el auditado tiene que ver
siempre la parte positiva de recibir información sobre el funcionamiento de la empresa.
Una auditoría tampoco debe convertirse en una simple inspección rutinaria y en su desarrollo no
solamente participan la persona o equipo auditor, sino los propios auditados. El éxito y la eficacia de una
auditoría dependen de la cooperación de todas las partes involucradas.
3
De esta forma, se puede concluir que una auditoría es:
Definiciones
Como definiciones de imprescindible conocimiento se pueden destacar las que siguen, que se
encuentran recogidas en las Normas:
4
Comprender los Principales Aspectos que Reúnen las Auditorías de un SGSI
5
OBJETIVOS DE UNA AUDITORÍA DE UN SGSI
La auditoría de un Sistema de Gestión de Seguridad de la Información se utiliza con el fin de verificar si
el sistema de gestión ha sido convenientemente desarrollado, documentado, implantado y está siendo
seguido por la organización.
Para ello, el auditor realiza una evaluación completa del sistema de gestión y elabora un informe
detallado.
En caso de detectarse desviaciones respecto al sistema, la empresa deberá llevar a cabo las acciones
correctivas que sean necesarias para solucionarlas.
Objetivos de la Auditoría
■ Estudiar los documentos del sistema para determinar si se ajustan a las normas de referencia
correspondientes.
■ Evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los requisitos
legales, reglamentarios y contractuales.
■ Comprobar la adecuación de la Política de Seguridad de la Información al funcionamiento del
sistema y a las actividades de la empresa.
■ Verificar el grado de cumplimiento de los objetivos de la Política.
■ Establecer el nivel de cumplimiento de los procedimientos que forman parte del Sistema de
Gestión, y de esta forma:
6
El estudio del procedimiento auditado y el examen de su cumplimiento por parte de los auditores, junto
con la aportación creativa de los responsables del proceso, proporcionan la ocasión de simplificar y
mejorar la operación, con las miras puestas en el aumento de la calidad y la reducción de los costes.
Hay que tener en cuenta, no obstante, que la filosofía de los sistemas de gestión está basada en la
prevención, más que en la detección de problemas, y por ello debemos dar mayor importancia a:
7
CARACTERÍSTICAS GENERALES DE UNA AUDITORÍA
Para poder realizar una auditoría, debe estar implantada e implementada en la organización, la norma de
referencia sobre la que se aplica dicha auditoría.
Resulta imprescindible contar con personal preparado para llevarla a cabo. En caso contrario, no se
alcanzarán los objetivos de evaluación deseados y el personal auditado sufrirá una importante
desmotivación al ser juzgado por personas a las que no considera con nivel suficiente para ello.
Antes de realizar una auditoría, debe establecerse el objeto de tal auditoría, señalando claramente sus
límites, evitando así que estos puedan estar confusos, así como acopiarse de cuanta documentación e
información exista sobre el objeto a auditar.
8
En caso de realización de una auditoría interna por personal de la propia empresa, es necesario que los
auditores designados dispongan de una copia del Proceso / Procedimiento para la Realización de
Auditorías, redactado y aprobado con anterioridad a la auditoría, de forma que permita seguir una pauta
de actuación al personal auditor, señalando sus competencias y limitaciones.
Así mismo, deberán establecerse los oportunos contactos con los responsables del proceso
auditado, en los que se explicará el objeto de la auditoría, presentándoles al personal del equipo auditor
y señalando las líneas generales de actuación de la misma.
Una vez finalizada la auditoría, el auditor mantiene una reunión con el auditado, o persona delegada, al
que expone las desviaciones encontradas para obtener su acuerdo con las mismas o para que formule
sus observaciones. Tras la reunión, el auditor redactará el correspondiente Informe de Auditoría.
La auditoría no debe tener un cariz de crítica destructiva. Es deseable que se remarquen los aspectos
positivos del sistema auditado, sin embargo, lo que sí debe especificarse en el documento o informe final
de la auditoría son todas las no conformidades detectadas y verificadas sobre la base de evidencias
objetivas.
9
PARTICIPANTES EN UNA AUDITORÍA
En un proceso de Auditoría se encuentran involucrados tres participantes: Cliente, Auditor y Auditado.
Conviene diferenciar claramente cada uno de ellos ya que, en ocasiones, algunas de las figuras pueden
llegar a coincidir.
10
Cliente de Auditoría
El cliente es la persona u organización que solicita una auditoría.
11
Organización Auditora
La organización auditora es aquella que planifica y dirige el proceso de auditoría. También selecciona
o contrata los auditores para cada auditoria, asegurando su cualificación e idoneidad.
Para auditorias de primera parte, la organización auditora es nombrada por la dirección. En empresas
muy pequeñas, la responsabilidad de planificar y dirigir las auditorías internas generalmente recae sobre
el Responsable de Seguridad de la Información o el Representante de la Dirección. Los auditores pueden
ser internos o contratados externamente.
Para auditorias de segunda parte, la organización auditora puede ser del cliente de la auditoria (la
organización que quiere auditar a sus proveedores) o puede subcontratarse.
Para el caso especial de certificación, la organización auditora, además de independiente, conviene que
sea acreditada por un ente nacional o internacional.
■ Líder del equipo auditor: Auditor designado para dirigir, planificar y actuar
como interlocutor principal al informar de las desviaciones encontradas y
evaluar las acciones correctivas.
■ Auditor: Persona que realiza cualquier parte de la auditoría, bajo la
dirección del jefe del equipo.
12
■ Convenir con el cliente los objetivos, alcance y criterios de la auditoría.
■ Convenir con el cliente y auditado la fecha y duración de la auditoria.
■ Seleccionar el equipo auditor idóneo para cada auditoría específica.
■ Suministrar los recursos para la realización de la auditoria.
Funciones del Auditor
■ Asegurar que el equipo auditor realice la auditoría según los criterios
establecidos.
■ Recibir el informe de la auditoria elaborado por el equipo auditor.
■ Entregar el informe al cliente de la auditoria y al auditado.
Organización Auditada
Es la organización o entidad sobre la cual se realiza la auditoría.
Ejemplo Resumen
Un ejemplo claro que permite distinguir a los tres, se da en las auditorías de proveedores, en las que
intervienen los tres miembros:
■ Por un lado el cliente de la auditoría, que es la empresa que demanda los servicios del proveedor.
■ Por otro el auditado, que se corresponde con el proveedor.
■ Y finalmente el auditor, que es la organización contratada para realizar la auditoría.
13
TIPOS DE AUDITORÍAS
Las auditorías pueden ser clasificadas, en base a su origen, como:
A las auditorías internas se las conoce también como auditorías de primera parte, mientras que a las
auditorías externas se las conoce como auditorías de segunda o de tercera parte:
Auditorías Externas
Realizadas por organizaciones externas
independientes, que proporcionan la certificación o
De tercera parte
registro de conformidad con los requisitos contenidos
en la norma.
En cualquier caso, es un requisito básico la independencia del auditor de las actividades auditadas.
La credibilidad del auditor se basa en que sea, y sea visto, como objetivo e independiente, para que la
credibilidad de los resultados de la auditoría no se vea comprometida.
14
Por otro lado, las auditorías para evaluar la conformidad de las actividades realizadas en relación con la
documentación del sistema sí pueden ser llevados a cabo por auditores propios de la empresa sin que se
vea comprometida la condición de independencia, siempre y cuando esos auditores no estén
directamente implicados en las actividades objeto de auditoría.
Asimismo, las auditorías internas son mucho más asequibles a todo tipo de empresas y cuentan con la
ventaja de un mayor conocimiento del proceso productivo por parte del personal auditor. Todo ello
puede conducir a un reducido tiempo de realización y, como consecuencia, a la posibilidad de llevarlas a
cabo con frecuencia, de forma que el sistema de auditorías se acabe convirtiendo en un medio habitual y
rutinario de supervisión y mejora.
15
Comprender el proceso de certificación de la empresa:
AUDITORÍAS Y CERTIFICACIÓN DE LA EMPRESA
Una vez implantado el Sistema de Gestión, el siguiente paso es que la propia organización se asegure y
pueda asegurar de cara al exterior, que dicho sistema funciona eficazmente en el marco de una política
de calidad prefijada y que sus productos/Servicio poseen la calidad requerida.
La auditoría y la certificación surgen, de este modo, como herramientas vitales para cubrir estas
necesidades.
Certificación
La certificación es un modo de confirmar, en general, de cara al exterior de la empresa, que la
organización es capaz de asegurar la calidad de sus productos.
La certificación del sistema es de carácter voluntario y la realiza una entidad privada, organismo
independiente de la organización, la cual ha de estar acreditada por una entidad de acreditación.
Así por ejemplo, para el caso de España, la entidad debe estar acreditada por ENAC (Entidad Nacional
de Acreditación).
16
Ventajas de la Certificación
Una vez que la entidad otorga el certificado, éste tiene una validez limitada. Al finalizar ese período de
tiempo es necesario realizar otra auditoría para su renovación, de este modo se comprueba el
mantenimiento de las condiciones de concesión del certificado.
Generalmente, una vez obtenido el certificado tiene un período de validez de tres años, una vez
finalizado este período se realiza otra auditoría para su renovación y en el transcurso del mismo se
realizan auditorías de seguimiento de forma anual.
17
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
18
ACTITUD
LA ESCUCHA ACTIVA
Escuchar, entender y comprender la comunicación emitida por la persona que habla o da una opinión.
El acto de escuchar es probablemente la herramienta más importante de la que disponen una persona
para influir en los demás.
Pero, para influir en los demás es necesario centrar los esfuerzos en entender primero lo que la otra
persona nos quiere decir.
Escuchar significa ser capaz de aceptar lo que la otra persona expresa, y en ningún caso ignorar lo que
el otro tiene que decir.
Escuchar de verdad es una tarea difícil. Es habitual prestar atención a la mitad o solo a una parte de lo
que se nos dice. Es más, fingimos que atendemos con frases como: “si te estoy escuchando, continúa”,
cuando en realidad hace tiempo que la persona ha desconectado de lo que están comentando.
Es imprescindible en todo proceso de escucha activa con el fin de escuchar de verdad los que la otra
persona dice:
19
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
Entender a Gestión de un Programa de Auditorías. Analizar la Revisión y Mejora del Programa de Auditoría.
Conocer los Pasos a Seguir en la Preparación de una
Conocer los Objetivos del Programa de Auditoría.
Auditoría.
Analizar el Establecimiento del Programa de Auditoría. Reconocer una Lista de Verificación.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
ACTITUD
Objetividad
AUTOEVALUACIÓN
Programa de Auditorías. Revisión y Mejora del Programa de Auditoría.
Objetivos del Programa de Auditoría. Preparación de una Auditoría.
Establecimiento del Programa de Auditoría. Lista de Verificación.
Implementar el Programa de Auditoría. Notas de Hallazgo.
Otros Documentos Útiles en la Preparación de
Seguimiento del Programa de Auditoría.
Auditorías
2
GESTIÓN DE UN PROGRAMA DE AUDITORÍA
Las organizaciones que deseen llevar a cabo auditorías, deben de establecer previamente programas
de auditorías que contribuyan a la determinación de la eficacia del sistema de gestión auditado. Estos
programas pueden incluir auditorías que tengan en consideración una o más normas de sistemas de
gestión, llevadas a cabo de manera individual o combinada.
Un programa de auditoría debe incluir la información y recursos necesarios para organizar y llevar a
cabo las auditorías de forma eficaz y eficiente dentro de los periodos de tiempo que se encuentran
especificados. Además, el programa puede incluir:
3
Un programa de auditoría debe seguirse y medirse de forma que pueda asegurarse que se han
alcanzado sus objetivos, contando siempre con el hecho de poder realizar revisiones para identificar
posibles mejoras.
4
OBJETIVOS DEL PROGRAMA DE AUDITORÍA
La alta dirección de la organización debe asegurarse de que los objetivos del programa de auditoría
se han establecido para dirigir la planificación y realización de auditorías y asegurándose de que el
programa se ha implementado eficazmente.
Los objetivos del programa de auditoría siempre deben de ser coherentes además de servir de apoyo
a la política y los objetivos del sistema de gestión.
Los objetivos del programa deben tener en cuenta aspectos como los que siguen:
■ Prioridades de la dirección.
■ Propósitos comerciales y de negocio.
■ Características de procesos, productos y proyectos, y cualquier cambio en ellos.
■ Requisitos del sistema de gestión.
■ Requisitos legales y contractuales así como otros requisitos con los que la organización esté
comprometido.
■ Necesidad de evaluar a los proveedores.
■ Necesidades y expectativas de cualquier parte interesada, incluyendo los clientes.
■ Nivel de desempeño del auditado.
■ Riesgos para el auditado.
■ Resultados de auditorías previas.
■ Riesgos y Oportunidades del Sistema de Gestión.
■ Nivel de madurez del sistema de gestión que se audita.
5
ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA
El programa de auditoría debe estar gestionado por una persona con las competencias necesarias para
garantizar su gestión de una manera eficiente y eficaz, así como conocimientos y habilidades en áreas
relacionadas con la norma del sistema de gestión auditado, complementado con documentación de
referencia, incluyendo legislación, fichas de procesos, etc.
La persona responsable de la gestión del programa de auditoría debe informar a la alta dirección de los
contenidos del programa de auditoría y, de esta forma, solicitar su aprobación.
6
Identificación y Evaluación de los Riesgos Relacionados con el Programa de
Auditoría
A la hora de elaborar un programa de auditoría, pueden surgir muchos riesgos asociados con su
establecimiento, implementación, seguimiento, revisión y mejora, que pueden afectar al logro de los
objetivos establecidos en el programa.
Riesgos
■ Planificación y elaboración del calendario de las auditorías, considerando los riesgos relacionados.
■ Aseguramiento de la seguridad y confidencialidad de la información.
■ Aseguramiento de la competencia de los auditores.
■ Selección de equipos de auditores apropiados con las competencias necesarias.
■ Realización de las auditorías incluyendo el uso de métodos adecuados de muestreo.
■ Seguimiento de la auditoría.
■ Comunicación a la dirección de la organización los logros globales del programa de auditoría.
■ Conservación de los registros del programa de auditoría.
7
Identificación de los Recursos del Programa
A la hora de elaborar un programa de auditoría se deben de tener en cuenta los recursos que deben
asignarse a éste:
■ Financieros: que se necesitarán para desarrollar, implementar, gestionar y mejorar las actividades
de auditoría.
■ Métodos de la auditoría.
■ Disponibilidad de auditores y expertos técnicos con la experiencia apropiada.
■ Alcance del programa de auditoría y los riesgos relacionados con el programa.
■ Tiempo y costes de transporte, alojamiento y otras necesidades de la auditoría.
■ Disponibilidad de tecnologías de la información y comunicación.
8
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA
Para poner en práctica el programa de auditoría definido previamente, se deben de seguir al menos, los
siguientes pasos:
Alcance de la Auditoría
Describe la extensión y los límites de la auditoría, tales como ubicación, actividades, procesos, etc.
El alcance de la auditoría debe reflejar adecuadamente el alcance del Sistema de Gestión del cliente y de
los productos cubiertos por el Sistema de Gestión, de modo que se especifiquen claramente los procesos,
actividades, productos y servicios que se realizan, así como los lugares de realización, incluyendo las
subcontrataciones realizadas.
Dependiendo del caso, y en función de los procedimientos del programa de auditoría, éste vendrá
determinado por el cliente y verificado por el líder del equipo auditor.
El alcance vendrá determinado por todas las unidades de trabajo que estén
Auditorías de integradas en el sistema implantado por la organización del cliente.
Certificación Voluntaria
También se conocen como Auditorías de Tercera Parte.
9
En este caso, el cliente es la propia dirección, de modo que el alcance vendrá
determinado por la dirección de la organización y normalmente se limita a lo
Auditorías Internas establecido en el programa de auditorías internas.
Objetivos de la Auditoría
Definen qué es lo que se va a lograr con la auditoría y deben ser concretados por el cliente de la
auditoría. Estos pueden incluir:
■ La determinación del grado de conformidad del Sistema de Gestión del auditado, con los
criterios de auditoría.
■ La evaluación de la capacidad del sistema de gestión para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales.
■ La evaluación de la eficacia del sistema de gestión implantado.
Criterios de la Auditoría
■ Políticas y procedimientos.
■ Normas, leyes y reglamentos aplicables.
■ Requisitos contractuales o del sistema de gestión.
■ Códigos de conducta de los sectores aplicables.
10
Métodos Aplicables en Auditoría
Grado de Implicación
entre Auditor y
Ubicación del Auditor
Auditado en la
Preparación
In Situ A Distancia
11
En el caso de las auditorías externas, es la entidad auditora la que designa al
líder del equipo, el cual será el encargado de:
■ En relación con las auditorías internas, el líder del equipo auditor será la
persona o empleado que se designe como tal, según lo establecido en el
Auditorías Internas procedimiento correspondiente de auditorías.
■ Éste debe ser independiente del área a auditar, debiendo tener a su vez
conocimiento de ella.
Periodicidad
Esta variará según el tipo de auditoría del que se trate:
12
Viabilidad de la Auditoría
Previamente a la realización de la auditoría, deberá determinarse la viabilidad de ésta, teniendo en
cuenta factores tales como la disponibilidad de:
En caso de que la auditoría no fuera viable, se deberá proponer al cliente de la auditoría, una alternativa
tras consultar con el auditado.
En caso de que haya un único auditor, éste deberá desempeñar todas las tareas aplicables al auditor jefe
y ser competente para auditar todas las áreas y procesos.
Tanto el cliente como el auditado podrían requerir la sustitución de miembros del equipo auditor con
argumentos razonables, como situaciones de conflicto de intereses, por un comportamiento no ético, etc.
Consideraciones
13
Pasos para la Selección
El proceso de asegurar la competencia global del equipo auditor, deberá incluir los siguientes pasos:
Los auditores en formación pueden incluirse en el equipo auditor, pero no deberán auditar sin una
dirección u orientación.
Tanto el cliente de la auditoría como el auditado, pueden solicitar la sustitución de algún miembro del
equipo auditor con argumentos razonables.
Para ello se deberá comunicar al líder del equipo auditor y demás responsables, los cuales deberán
resolver el problema con el cliente de la auditoría y el auditado, antes de tomar alguna decisión sobre la
sustitución de los miembros del equipo auditor.
Ejemplos:
14
Establecimiento del Contacto Inicial con el Auditado
El contacto inicial con el auditado, por parte del líder del equipo, será más o menos formal en función del
tipo de auditoría.
■ Canales de comunicación y personas de contacto, por parte del auditado y del equipo auditor.
■ Plazos y composición del equipo auditor.
■ Actividades que se realizan en la organización.
■ Tamaño de la organización.
■ Complejidad de las operaciones.
■ Grado de preparación (para recibir la auditoría).
■ Acceso a la documentación pertinente.
■ Acuerdo sobre la presencia de guías y observadores.
■ Reglas de seguridad y preparativos para la auditoría.
15
SEGUIMIENTO DEL PROGRAMA DE AUDITORÍA
Es necesario realizar un seguimiento del programa de auditoría con el objetivo de evaluar:
16
REVISIÓN Y MEJORA DEL PROGRAMA DE AUDITORÍA
Un programa de auditoría siempre debe ser revisado para evaluar si se han alcanzado los objetivos
fijados previamente. De esta forma, las conclusiones de la revisión deben actuar como elemento de
entrada para el proceso de mejora continua del programa:
La persona responsable de gestionar el programa de auditoría será la encargada de llevar a cabo las
actividades de mejora para el mismo mediante diferentes actividades:
17
PREPARACIÓN DE LA AUDITORÍA
Una vez planificada la auditoría y seleccionado el equipo auditor, se procederá a preparar la auditoría, lo
que incluye:
El nivel de detalle puede diferir en función del tipo de auditoría, ya bien sea:
■ Inicial o posterior.
■ Interna o externa.
No obstante, el plan debe diseñarse de manera flexible de cara a permitir posibles cambios que puedan
llegar a ser necesarios a medida que éste se pone en práctica.
Contenido
■ Objetivos de la auditoría.
■ Criterios de auditoría.
■ Documentos de referencia.
■ Alcance de la auditoría.
General
■ Fechas y lugares para la realización de las actividades de auditoría.
■ Hora y duración estimadas, incluyendo las reuniones con la dirección del
auditado y con el equipo auditor.
■ Funciones y responsabilidades de los miembros del equipo auditor y de
los acompañantes.
■ Asignación de los recursos necesarios a las áreas críticas de la auditoría.
18
Cuando sea apropiado, incluirá:
En cualquier caso, la asignación de tareas debe diseñarse de manera flexible, para permitir cambios que
puedan llegar a ser necesarios a medida que se van desarrollando las actividades de auditoría.
19
LISTA DE VERIFICACIÓN
La lista de verificación también se conoce como lista de chequeo o check-list. Se trata de un documento
personal del auditor que contiene las preguntas que éste hará al auditado en cada una de las áreas
correspondientes.
El formato a emplear es libre, se trata de un documento de trabajo personal que servirá de guía al
auditor en el transcurso de la auditoría por lo que debe ser rápido de leer y de manejar. Un requisito
fundamental es que el auditor se sienta cómodo utilizándolo.
Debe incluir todos los requisitos que se exigen en la norma de referencia, pudiendo para ello ser
conveniente, seguir el mismo orden establecido en dicha norma.
20
NOTAS DE HALLAZGO
El formato de registro de hallazgos se trata de un documento donde el auditor puede desarrollar por
escrito un hallazgo siendo utilizado para decidir si tal hallazgo constituye o no, una no conformidad, una
desviación o, simplemente, una observación.
Su utilización es libre, e incluso hay auditores que no emplean este documento y prefieren describir el
hallazgo en la propia lista de verificación.
21
OTROS DOCUMENTOS ÚTILES EN LA PREPARACIÓN DE AUDITORÍAS
Otros documentos y registros que pueden resultar de utilidad en la preparación de la auditoría es la
recogida en la siguiente tabla:
Otros Documentos
■ Norma de referencia.
■ Especificaciones contractuales o administrativas.
En la Preparación
■ Procedimientos de auditoría.
■ Organigrama de la empresa, etc.
■ Plan de auditoría.
En la Reunión de
■ Certificado de cualificación del auditor.
Presentación
■ Material de presentación, etc.
■ Norma de referencia.
■ Especificaciones contractuales o administrativas.
En la Ejecución ■ Procedimientos de auditoría.
■ Lista de verificación.
■ Formatos de registros de hallazgos, etc.
■ Material de presentación.
En la Reunión de Cierre ■ Informe final.
■ Procedimientos de auditoría, etc.
22
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo ó temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
23
ACTITUD
OBJETIVIDAD
Representa tener una mente abierta y libre de prejuicios, ya que sin una visión objetiva de las cosas no
se puede dirigir correctamente.
Es imprescindible ver las cosas tal y como son, y utilizar un razonamiento riguroso antes que dejarse
llevar por los sentimientos y las emociones, que claramente pueden perjudicar la visión de las cosas.
Una persona poco objetiva sólo se cree a sí misma, y confunde la realidad con sus propios deseos y
creencias.
Por tanto, para una persona que debe dirigir y coordinar a otras es fundamental mantener una postura
seria e imparcial en todo momento, afrontando las situaciones con ecuanimidad y sin ningún
apasionamiento.
Se deben evitar expresiones como “esta es mi manera de ver las cosas y no puedo entender que sea de
otro modo”, o “yo pienso así y creo que no hay otra solución distinta”.
La manera más conveniente de fomentar la objetividad es observar los problemas y las situaciones
desde todos los puntos de vista posibles, intentando escuchar todas aquellas opiniones expertas que
permitan adoptar una correcta decisión.
24
NOTAS
25
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de evaluar la conformidad
del sistema de gestión, verificando que está implantado en la empresa y en plena vigencia, de modo que
resulte eficaz.
CONOCIMIENTOS
Conocer las Herramientas de las que el Auditor Llevar a Cabo la Reunión de Cierre.
dispone para Desarrollar una Auditoría.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
ACTITUD
Rectitud.
AUTOEVALUACIÓN
Desarrollo de la Etapa 2 de la Auditoría
Etapas de la Auditoría
Reunión de Apertura
Etapa 1 de la Auditoría
Ejecución de la Auditoría
Etapa 2 de la Auditoría
Reunión de Cierre
Herramientas para Desarrollar una Auditoría
2
ETAPAS DE LA AUDITORÍA
Para realizar una auditoria exitosa es necesario:
El proceso de auditoría de un Sistema de Gestión consta de dos etapas diferenciadas, ambas llevadas
a cabo en las propias instalaciones de la organización auditada, siendo el líder del equipo auditor
sobre el que recae la responsabilidad de que se lleve a cabo todo el proceso de auditoría, desde el inicio
hasta que ésta finalice.
■ Política y objetivos.
■ Procedimientos.
■ Registros.
Etapa 1 ■ Fichas de proceso.
■ Fichas de indicadores
■ Normativa aplicable.
■ Etc.
Obviamente, la realización de la auditoría in situ es la fase que consume la mayor parte del tiempo. Sin
embargo, su éxito depende en gran medida del tiempo que se dedique a su planificación y preparación.
3
DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)
4
ETAPA 1 DE LA AUDITORIA
Para comenzar a familiarizarse con el sistema de gestión del auditado es necesario hacer acopio de la
documentación básica.
En ese sentido, el auditor debe revisar de manera general su contenido con el fin de:
Los resultados de esta primera etapa de la auditoría deben ser documentados y comunicados a la
organización. En este informe quedará reflejado:
Si el auditor encontrase anomalías o considerase que la norma no ha sido correctamente aplicada, puede
llegar a posponer o cancelar la segunda etapa de la auditoría, hasta que las desviaciones
encontradas en la revisión documental del sistema sean subsanadas.
5
ETAPA 2 DE LA AUDITORÍA
Una vez superada la primera etapa de la auditoría, incluyendo, si es necesario, la realización por parte
del auditado de las acciones indispensables para que esto sea así, se llevaría a cabo el desarrollo de la
segunda etapa de la auditoría, por parte del equipo auditor, y de nuevo, en las instalaciones de la
organización auditada.
Entre la realización de las dos etapas de auditoría no deben transcurrir más de seis meses de intervalo.
De hecho, si este intervalo de tiempo se supera, debe volver a repetirse la etapa 1 de auditoría, ya que
en ese entretiempo pueden haberse producido cambios significativos que no hayan sido contemplados
en la primera ocasión.
En la etapa 2 de auditoría, las partes del Sistema de Gestión que, auditadas durante la primera etapa, el
auditor estime que se encuentran perfectamente implementadas y conformes con los requisitos, no
tendrán que volver a ser re-auditadas.
El propósito de esta segunda etapa es evaluar la implementación y eficacia del Sistema de Gestión de
la organización.
6
HERRAMIENTAS PARA DESARROLLAR UNA AUDITORÍA
Para obtener la mayor cantidad de información posible durante el desarrollo del proceso de una auditoría,
el equipo auditor puede ayudarse de una serie de herramientas para conseguir este fin.
■ Entre los miembros del equipo auditor que deberán informarse y consultar periódicamente con el
fin de:
- Intercambiar información.
- Reasignar tareas entre los miembros del equipo auditor, en caso necesario.
■ Entre los miembros del equipo auditor y el auditado: el líder deberá comunicar periódicamente los
progresos de la auditoría y cualquier inquietud al auditado.
■ Entre los miembros del equipo auditor, y el cliente de la auditoría, cuando se considere
necesario.
7
Las no conformidades críticas, deben ser puestas en conocimiento del auditado, tan pronto se
evidencien, pero las cosas de menor importancia pueden comentarse en la reunión diaria de información.
En caso de que las evidencias disponibles de la auditoría, indiquen que los objetivos de la misma no
son alcanzables, el líder del equipo auditor deberá informar de las razones al cliente de la auditoría y al
auditado para determinar las acciones apropiadas. Estas acciones pueden incluir:
Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida que las
actividades de auditoría progresen, deberán revisarse con el cliente de la auditoría y aprobarse por
él y, cuando sea apropiado, por el auditado.
Formulación de Preguntas
Una técnica muy útil a la hora de recopilar información es la entrevista. El auditor deberá preguntar a la
gente cuáles son sus tareas, qué hacen, cómo lo hacen, qué información reciben, qué información
transmiten, etc.
Con frecuencia, los auditores sin experiencia desarrollan inspecciones amplias de documentación, con
poca aportación por parte de las personas que desempeñan las tareas.
Con el fin de que esto no ocurra, es conveniente estructurar las entrevistas de modo que se pueda
conseguir la máxima información por parte del entrevistado, en el menor período de tiempo posible.
Para minimizar posibles errores, durante la entrevista, se deben seguir una serie de pautas:
8
■ Elaborar listas de comprobación que guíen al auditor a través de la
entrevista.
■ Formular preguntas abiertas para obtener información.
■ Realizar el mismo tipo de preguntas a personas distintas. Así el auditor
podrá juzgar la veracidad de las respuestas.
■ Realizar las entrevistas durante las horas normales de trabajo y, cuando sea
práctico, en el lugar habitual de la persona entrevistada.
Pautas de Minimización
de Errores ■ Tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
■ Explicar la razón de la entrevista y de cualquier nota que se tome.
■ Evitar preguntas que predispongan respuestas.
Un método apropiado en este caso, consiste en dividir el tiempo disponible, entre las distintas actividades
que se van a revisar.
El auditor deberá estudiar y establecer una ruta lógica y conveniente a través del sistema, que le ayudará
a controlar las desviaciones de la misma, con el fin de minimizar el muestreo y las discusiones
irrelevantes.
9
Muestreo
El auditor deberá tener claro cuántos documentos y de qué tipo, son necesarios muestrear.
■ Aleatorio.
■ Estadístico.
■ Por objetivos.
■ Teniendo en cuenta un porcentaje determinado, etc.
Todos los métodos son aceptables, no obstante debe primar el sentido común.
Durante el tiempo disponible, los muestreos que se realicen deben ser representativos de la actividad
que está bajo revisión, debiendo aumentar su número si se encuentra una no conformidad o información
que pueda dar lugar a posibles problemas.
Técnicas de Muestreo
10
DESARROLLO DE LA ETAPA 2 DE AUDITORÍA
Con carácter general, la etapa 2 de una auditoría se puede desarrollar en tres fases:
LECTURA RECOMENDADA
11
REUNIÓN DE APERTURA
Resulta conveniente realizar una reunión de apertura con la dirección del auditado e incluso, cuando sea
apropiado, con los responsables de las funciones o procesos que se van a auditar.
Objetivos
Procedimiento
En el caso de las auditorías internas, estas reuniones no suelen hacerse en los mismos términos que
se emplean en las auditorías externas. Así pues, por ejemplo, pueden consistir simplemente en
comunicar que se está realizando una auditoría, y explicar la naturaleza de la misma.
En otros casos, la reunión debería ser formal y manteniendo un registro de los asistentes. Esta reunión
debería ser presidida por el líder del equipo auditor debiendo tener en consideración los siguientes
puntos:
■ Presentación de los miembros del equipo auditor, incluyendo una descripción formal de sus
funciones y citando la identificación de su registro de auditor cualificado.
■ Elaboración de un registro de los asistentes.
■ Confirmación de los objetivos, alcance y criterios de la auditoría, explicando el propósito de la
auditoría, y aclarando el tipo de auditoría solicitada por la empresa.
■ Confirmación del plan de auditoría que seguirán los auditores. Éste deberá haber sido aceptado y
acordado unas semanas antes, sin objeciones por ninguna de las partes.
■ Métodos procesos y procedimientos que los auditores utilizarán para realizar su trabajo.
Información de la necesidad de tomar notas, recoger evidencias documentales y comunicarse
directamente con los poseedores de la información.
■ Confirmación de los modos de comunicación formal entre el equipo auditor y el auditado.
■ Confirmación de que durante la auditoría, el auditado será informado del progreso de la
misma.
■ Verificación de la disponibilidad de medios y recursos, tales como sala de reunión,
fotocopiadora, pases de seguridad, equipos de protección, interlocutor o guía, etc.
■ Modo de presentación de la información, incluyendo la clasificación de las deficiencias.
■ Confirmación de la garantía de confidencialidad.
12
EJECUCIÓN DE LA AUDITORÍA
Una vez concluida la reunión de apertura, y en compañía de un representante del auditado, el auditor
deberá visitar todas y cada una de las áreas funcionales establecidas en el plan de auditoría.
La investigación se efectuará teniendo en cuenta los requisitos correspondientes al área en curso. Para
ello, el auditor se podrá ayudar de la lista de verificación previamente realizada
13
Recopilación y Verificación de la Información
Durante el proceso de auditoría, se debe recopilar, mediante un muestreo adecuado, la información
pertinente para cubrir los objetivos, el alcance y los criterios de la misma, incluyendo la información
relacionada con las interrelaciones entre funciones, actividades y procesos. De su análisis, se extraerán
una serie de evidencias objetivas.
Fuentes de Información
Las fuentes de información a recurrir, pueden variar en función del alcance y complejidad de la auditoría,
pudiendo incluir:
Búsqueda de Evidencias
Para verificar el cumplimiento real de los requisitos de la Norma y del Sistema, es necesario realizar una
búsqueda de evidencias objetivas.
14
Las evidencias de la auditoría se refieren a hechos y condiciones, que en principio pueden llegar a ser
fáciles de identificar. Sin embargo, su demostración resulta compleja si no se puede probar de una forma
tangible y objetiva. Por ello, estas evidencias deberán ser evaluadas siguiendo los criterios de
auditoría previamente definidos, hasta llegar a obtener los hallazgos y posteriores conclusiones de la
auditoría.
Las evidencias de la auditoría, se basan en muestras de la información disponible. Por tanto, siempre
habrá un cierto grado de incertidumbre, de la cual deben ser conscientes los que actúan sobre las
conclusiones de la auditoría.
Las no conformidades y las evidencias de la auditoría que las apoyan, deberán revisarse junto con el
auditado, para obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las no
conformidades se han comprendido, debiendo mantener un registro de ello.
Estas notas, deben ser estudiadas junto con el responsable de calidad, o con el responsable del área
involucrada, con el fin de obtener su conformidad.
Una vez identificadas y cuantificadas las evidencias objetivas, se procederá a su valoración, para lo cual
es necesario haber establecido previamente una clasificación.
No existe una categorización estándar, pudiendo variar en función del organismo auditor, ya bien se
trate de una auditoría interna, externa o de certificación, dependiendo en este caso de cada Organismo
Certificador. En general se suelen establecer tres categorías distintas de no cumplimiento:
Ejemplos:
15
Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión,
de la legislación u otro tipo de documentación. Son fallos aislados, no
sistemáticos, que han de ser solucionados, pero que no requieren que se haga
inmediatamente.
Ejemplo:
Desviación
■ Se ha evidenciado que la información no recibe un adecuado nivel de
protección de acuerdo con la importancia para la organización, incumpliendo
el punto 8.2.2 de Etiquetado de la información, que establece que debe
desarrollarse e implantarse un conjunto adecuado de procedimientos para
etiquetar la información, de acuerdo con el esquema de clasificación
adoptado por la organización.
16
Ejemplo de Nota de Desviación
La empresa "PLAGAS S.L.", perteneciente al sector químico, pretende certificarse según la ISO 27001.
Durante la visita del auditor a una de las instalaciones, ha observado y anotado lo siguiente:
Auditor: "¿No se dispone de una instrucción para identificar correctamente las personas que acceden a la
información en cualquier momento?"
Responsable de Seguridad de la Información: "Si, están avisados de que deben informar puntualmente
después de la realización con riesgos en la seguridad de la información, ya que se solicita que los
informes los facilite cada responsable de área semanalmente”.
AUDITORÍA:
EMPRESA: PLAGAS SL
Interna
Certificación FECHA: 15-12-2015 NOTA Nº: 03
Seguimiento
Renovación
Deficiencias encontradas:
17
Firma del auditor: Firma del auditado:
■ Revisar los hallazgos de la auditoría y cualquier otra información recopilada durante la auditoría.
■ Acordar las conclusiones de la auditoría, teniendo en cuenta la falta de certidumbre propia del
proceso de auditoría.
■ Preparar recomendaciones, en caso de que así estuviera especificado en la auditoría.
■ Comentar el seguimiento de la auditoría, si así se ha definido en el plan de la misma.
18
REUNIÓN DE CIERRE
La reunión de cierre, formaliza la clausura de la auditoría en las dependencias de la empresa auditada.
Deberá ser presidida por el líder del equipo auditor y a ella asistirán en principio, los mismos miembros
que fueron convocados a la reunión de apertura, es decir, los componentes del equipo auditor y los
representantes de la empresa y áreas auditadas.
Objetivos
■ Exponer los hallazgos de la auditoría ante todas las partes interesadas con el fin de asegurar la
correcta comprensión y aceptación de los resultados.
■ Establecer, si es necesario, el intervalo de tiempo imprescindible para que el auditado presente un
plan de acciones correctivas y preventivas.
■ Supone una oportunidad para que el auditado pueda clarificar posibles equívocos, aunque en
ningún caso puede convertirse en un foro de discusión y debate.
Procedimiento
19
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo y temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
20
ACTITUD
RECTITUD
Actuar siempre de manera justa y de acuerdo con las circunstancias exigidas en la situación concreta.
En cualquier ámbito de la vida de una persona actuar correctamente representa, tener la conciencia
tranquila de que se ha actuado como se debía.
Una empresa debe transmitir un clima de credibilidad y justicia en todo aquello que hace, y que esta
confianza se vea reflejada en las acciones y comportamientos que realicen sus trabajadores.
En el trabajo diario es necesario ser responsable de los actos realizados y que éstos sean conformes a
las normas y procedimientos que se consideran adecuados y justos.
La rectitud ofrece seguridad y certeza en base al cumplimiento de los compromisos y la integridad de las
actuaciones realizadas.
Una persona que se deje influenciar o que tenga diversos criterios de actuación en una situación, no se
puede considerar una persona recta, además vulneraría claramente los principales valores que
acompañan a la rectitud como son la justicia, la sinceridad e integridad y por supuesto la equidad.
21
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
AUTOEVALUACIÓN
Aprobación y Distribución del Informe de Auditoría
Informe de Auditoría
Finalización de la Auditoría
Preparación del Informe de Auditoría
Seguimiento de la Auditoría
Estructura del Informe de Auditoría
2
INFORME DE AUDITORÍA
Las actividades que deben llevarse a cabo después de realizar la auditoría de un SGSI incluyen, al
menos:
Cuando se piensa en el informe final, es primordial tener en cuenta quien es el cliente. Lo más habitual
es pensar que se trata del auditado, debido a que durante el proceso de auditoría, el equipo auditor se
encuentra en contacto continuo con éste.
No obstante, el verdadero cliente del informe de auditoría es, en todo caso, el propietario y autor de la
auditoría. Por ejemplo, en el caso de una auditoría de proveedores, el auditado no ve nunca y bajo
ninguna forma el informe de la auditoría, a no ser que el cliente de auditoría lo autorice expresamente.
Una vez que se ha establecido para quién es el informe, el contenido ha de satisfacer las necesidades
del cliente, tal y como viene establecido en el plan de auditoría.
El informe de auditoría tiene por objeto plasmar de manera lógica y ordenada los resultados de la
auditoría. Estos resultados son básicamente dos:
- Desaprobación: El sistema no es aceptable y debe ser redefinido para volver a ser auditado.
3
PREPARACIÓN DEL INFORME DE AUDITORÍA
No existe una forma concreta de elaborar un informe de auditoría, sino que los informes de auditoría
pueden ser muy diversos, dependiendo del estilo que adopte cada empresa o, en su caso, la Entidad de
Certificación.
El responsable de esta tarea es el líder del equipo auditor, aunque cuando se realiza una auditoría
“extensa”, es inevitable la participación de otros miembros del equipo.
Información General
Cada informe debe identificarse de manera única, de forma que se pueda relacionar fácilmente con el
programa de auditoría. Para ello, es conveniente establecer la trazabilidad de partes del informe con la
auditoría como, por ejemplo, las notas de hallazgo.
Requisitos Generales
Los informes de auditoría deben cumplir ciertos requisitos entre los que se encuentran, los siguientes:
Contenidos
Para realizar un informe de auditoría, hay que tener en cuenta dos objetivos concretos:
4
El informe debe proporcionar un registro completo de la auditoría, preciso, conciso y claro, haciendo
referencia, como mínimo, a los siguientes contenidos:
Contenidos
■ Conclusiones de la auditoría.
■ Cualquier otro asunto pertinente para el SGSI.
5
■ Plan de auditoría.
■ Resumen del proceso de auditoría, incluyendo la incertidumbre y/o
cualquier obstáculo encontrado que pudiera disminuir la confianza en las
conclusiones de la auditoría.
■ Confirmación de que se han cumplido los objetivos de la auditoría, dentro
del alcance de auditoría y de acuerdo con el plan estipulado.
■ Áreas no cubiertas, aunque se encuentre fuera del alcance de la auditoría.
En caso Apropiado
■ Opiniones divergentes sin resolver entre el equipo auditor y el auditado.
■ Recomendaciones para la mejora, si se especificó en el plan de la
auditoría.
■ Buenas prácticas identificadas.
■ Planes de acción del seguimiento acordado, si los hubiera.
■ Declaración sobre la naturaleza confidencial de los contenidos.
■ Lista de distribución del informe de auditoría.
Ejemplo
A continuación se muestra lo que podría ser una buena estructura general del índice, del informe:
Índice
1. Objeto.
2. Alcance
3. Asistentes.
4. Equipo Auditor.
5. Desarrollo de la auditoría.
6. Resultados de la auditoría.
7. Conclusiones de la auditoría.
9. Confidencialidad.
11. Anexos.
6
Toma de Decisiones
Previo a la realización de los informes, el auditor deberá decidir si el hallazgo encontrado se trata de, por
ejemplo, una:
De todos modos, la escala de categorización que se utiliza para clasificar las deficiencias detectadas
puede variar dependiendo del auditor, o en su caso, la Entidad de Certificación.
Ante todo, a la hora de categorizar una deficiencia se deberá aplicar el sentido común, dada la posibilidad
de poder perder la cooperación del auditado si se juzga de manera incorrecta.
7
ESTRUCTURA DEL INFORME DE AUDITORÍA
En el informe de auditoría, las deficiencias se pueden presentar siguiendo dos criterios de exposición
distintos:
Dentro del propio informe de auditoría, se suelen incluir en forma de anexos los siguientes documentos:
■ Informe resumen.
■ Informe de no conformidad/desviación y solicitud de acciones correctivas.
Informe Resumen
Su finalidad es indicar los resultados globales de la auditoría. Normalmente contienen la siguiente
información:
■ Nº identificativo.
■ Fecha de la auditoría.
■ Ámbito de la auditoría.
■ Componentes del equipo auditor.
■ Resumen de resultados y conclusiones.
8
Informe de No Conformidad/Desviación y Solicitud de Acciones Correctivas
El propósito de este documento es:
■ Emitir los resultados de la auditoría de forma rigurosa para que se puedan identificar las
acciones correctivas correspondientes.
■ Transmitir los resultados para que se puedan identificar las acciones de seguimiento necesarias.
■ Presentar un informe que se pueda entender claramente cuando se revise fuera del lugar de
auditoría.
Acciones Correctivas
La acción correctiva tiene por objeto eliminar la causa raíz de una no conformidad detectada y
prevenir de este modo su reaparición.
Normalmente, una acción correctiva va precedida de una corrección, es decir, de la acción tomada para
eliminar la no conformidad detectada.
Definiciones
Es el cliente junto con el auditado quien debe identificar la acción correctiva necesaria a implantar.
Sin embargo, el auditor, siempre que sea posible, colaborará en la determinación de la causa raíz del
problema.
9
Contenido y Estructura del Informe de No Conformidad/Desviación
Un informe de no conformidad/desviación, debe contener la información suficiente para que alguien que
no estuviera presente en la auditoría sea capaz de juzgar la influencia de la deficiencia.
■ Nombre de la empresa.
Cabecera ■ Departamento, área o actividad.
■ Fecha.
■ Norma de referencia.
■ Numeración correlativa.
10
APROBACIÓN Y DISTRIBUCIÓN DEL INFORME DE AUDITORÍA
El informe de auditoría debe emitirse en el periodo de tiempo acordado. En caso de que no fuera posible,
se debe comunicar las razones del retraso al cliente de la auditoría, y acordar una nueva fecha de
emisión.
■ Estar fechado, revisado y aprobado de acuerdo con los procedimientos del programa de auditoría.
■ Ser distribuido a los receptores designados por el cliente de la auditoría. En ese sentido, el informe
de la auditoría es propiedad del cliente de la auditoría y por tanto, los miembros del equipo
auditor y todos los receptores del informe, deberán respetar y mantener la debida confidencialidad
sobre el informe.
Revisión y Aprobación
Antes de la presentación del informe de auditoría, resulta conveniente revisarlo con el fin de verificar si:
La supervisión del informe corresponderá al líder del equipo auditor, quien deberá firmarlo y fecharlo en
el día de su elaboración.
Distribución
Puesto que ha sido el cliente el que ha solicitado y contratado la auditoría, le corresponde a él, las
decisiones sobre la distribución del informe de auditoría.
En aquellas auditorías en las que las figuras del cliente y del auditado no coincidan, como es el caso de,
por ejemplo, las auditorías de proveedor, el auditor debe cuidarse mucho de entregar un ejemplar del
informe al auditado sin autorización expresa del cliente.
Inclusive en las auditorías internas, donde se puede considerar que el cliente es la propia Dirección, el
informe no debe ser entregado a nadie más que a la Dirección.
11
Competencias
Deberá celebrarse una reunión sobre el informe, con las partes interesadas, durante la cual se examinen
los puntos de actuación, se tome un acuerdo sobre la acción correctiva y se vuelva a redactar el informe,
si es que la acción correctiva difiere de lo sugerido en el original.
También se deberán acordar los plazos de ejecución, y nombrar a la persona responsable de la puesta
en práctica de las acciones.
El proceso global a seguir y sus competencias, queda perfectamente reflejado en el siguiente diagrama.
12
Presentación de Resultados
En ocasiones, el informe de auditoría se suele presentar en la reunión de cierre. En otras, sin embargo,
se deja un tiempo de reflexión y preparación al auditor, tras el cual se produce la entrega y exposición del
informe.
Conviene dejar claro que la exposición de los resultados no debe consistir en la mera lectura del informe,
sino en su entrega, su presentación oral y su desarrollo de manera estructurada.
Se debe comenzar por la primera deficiencia que aparece escrita en el informe, y terminar por la última.
Así pues, según se haya presentado el informe, se irá de la desviación más grave a la más leve, o bien
del primer requisito incumplido al último, siguiendo el orden de la norma.
Cuando las deficiencias sean puestas en conocimiento, el auditor puede verse involuntariamente
sometido a rechazos y actitudes hostiles por parte de los representantes de la empresa:
■ En ningún caso, el auditor deberá entrar en discusión sobre lo que constituye o deja de constituir
una deficiencia, sino al contrario, debe mostrarse sereno y limitarse a exponer los hallazgos,
categorizar las desviaciones y aclarar las posibles dudas que surjan.
■ Es conveniente no alargar la reunión con discusiones y darla por finalizada una vez que los
hallazgos hayan sido expuestos y se consiga la aceptación de los resultados por parte del auditado.
■ En caso de que la Dirección no estuviera de acuerdo con las deficiencias expuestas y se negara a
firmar el informe, los auditores bajo ningún concepto deberán entrar en una especie de trato que
supedite la firma a la eliminación de una deficiencia. Lo más recomendable es mantener el resultado
de la auditoría e informar que el procedimiento de reclamaciones escritas está al alcance del
auditado.
13
Comprobaciones
14
FINALIZACIÓN DE LA AUDITORÍA
La auditoría finaliza cuando todas las actividades descritas en el plan de auditoría se hayan realizado y el
informe de la auditoría aprobado, se haya distribuido.
Salvo que sea requerido por ley, el equipo auditor y el responsable de la gestión del programa de
auditoría, no deben revelar, sin la aprobación explícita del cliente de la auditoría, y cuando sea
apropiado, la del auditado:
En el caso de que se requiera revelar el contenido de algún documento relacionado con la auditoría,
tanto el cliente como el auditado deben ser informados de este hecho en la mayor brevedad.
15
SEGUIMIENTO DE LA AUDITORÍA
Las conclusiones de la auditoría, pueden indicar la necesidad de realizar acciones correctivas,
preventivas o de mejora, según sea aplicable. Generalmente, estas acciones son decididas y
emprendidas por el auditado en un intervalo de tiempo acordado por todas las partes interesadas, y no se
consideran como parte de la auditoría.
La implementación efectiva de estas acciones correctivas debe ser verificada. Esta verificación puede
formar parte de una auditoría posterior.
− Se ha implantado la acción correctiva adecuada y resulta eficaz para evitar la reaparición del
problema.
DATOS DE LAS NO
DATOS DE LA AUDITORÍA FECHA DE SEGUIMIENTO
CONFORMIDADES
Responsable
Firma
16
Proceso
El auditado debe presentar evidencias de que las deficiencias han sido corregidas en el plazo estipulado
y según consta en el informe final. Estas evidencias deberán ir acompañadas del formato de solicitud de
acción correctiva/preventiva que en su día se acordó.
Ejemplo:
Documentales
Imaginemos que el auditor ha levantado una no conformidad debido a que ha
detectado que la empresa no dispone de un procedimiento documentado para el
control de los registros del sistema, en contra de lo establecido en la norma. En
este caso, la evidencia documental consistirá en aportar el procedimiento de
control de los registros, redactado y aprobado por las personas autorizadas.
Ejemplo:
Físicas
Imaginemos una no conformidad por falta de etiquetado de determinados
productos. En este caso se podrá aportar como evidencia una muestra,
debidamente etiquetada, o tratándose de elementos de dimensiones mayores,
se podrá aportar una fotografía o simplemente la etiqueta o incluso solicitar al
auditor su verificación in situ.
17
Responsabilidades del Auditor
El auditor, una vez recibidas las evidencias, así como los formatos de solicitud, debidamente
cumplimentados, deberá:
■ Verificar que la recepción está dentro del plazo establecido en el informe final.
■ Comprobar que cada no conformidad tiene asignados, una evidencia y el formato de solicitud de
acción correctiva acordado.
■ Evaluar la eficacia de la acción implantada.
■ En caso de duda, verificar in situ la realización de la acción, concertando una auditoría
extraordinaria.
Auditoría de Seguimiento
Las auditorías de seguimiento son auditorías realizadas in situ, pero no necesariamente realizadas a todo
el sistema.
Estas auditorías pueden involucrar o no a los auditores iniciales, en función de lo establecido por las
partes interesadas, y de acuerdo con los procedimientos estipulados en el programa de auditoría, así
como los requisitos legales, reglamentarios y contractuales aplicables.
Esta tarea debe llevarse a cabo de manera controlada y sistemática, siendo de gran utilidad el uso de
hojas de seguimiento de la acción.
18
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo y temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
19
ACTITUD
Buscar la superación en el desempeño profesional basada en la mejora en el día a día con el fin de
alcanzar mejores resultados.
En relación al cliente, es conveniente conocer su opinión sobre la calidad y fiabilidad de los productos
ofrecidos, el cumplimiento de las expectativas en cuanto a la duración y a las prestaciones o el
cumplimiento de los plazos de entrega o los precios.
En una organización, es necesaria una recopilación adecuada de la información con el fin de que el
análisis de datos pueda identificar los puntos de actuación mejorables y permitir la toma de decisiones
adecuadas.
Todo proceso de mejora debe ser permanente y continuo, tanto para el propio trabajador como para la
organización en que desempeña sus funciones.
Por ello, es imprescindible crear oportunidades de mejora para cada persona en base a su potencial, a la
correcta asignación de las funciones que realiza y a un seguimiento de su desempeño.
Para que los equipos de trabajo mejoren y alcancen una sincronización y perfección adecuada, es
necesario un seguimiento del equipo de manera regular, con la aportación de instrucciones concretas y
detalladas y por supuesto ofreciendo en todo momento apoyo e interés en ayudar a las personas por
parte de sus superiores.
20
NOTAS
21
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.
ll
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
Conocer los Atributos Personales que Tendrían Conocer el Proceso de Evaluación del Auditor.
que tener los Auditores.
Comprender las Responsabilidades de cada uno
Conocer los Conocimientos y Habilidades de los
de los Miembros del Equipo Auditor.
Auditores.
HABILIDADES
En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
Ser Asertivo.
AUTOEVALUACIÓN
Mantenimiento y Mejora de la Competencia
Competencias de los Auditores.
Evaluación del Auditor.
Atributos Personales
Responsabilidades
Conocimientos y Habilidades
2
COMPETENCIA DE LOS AUDITORES
La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la competencia de
aquellos que la llevan a cabo.
El auditor debe desarrollar, mantener y mejorar su competencia a través del continuo desarrollo
profesional y de la participación regular en auditorías.
3
Formación y Experiencia de los Auditores
Los auditores deberán tener la cualificación necesaria para llevar a cabo las auditorías de manera eficaz.
Por ello, los candidatos a auditores deben estar en situación de demostrar su formación y experiencia en
diferentes áreas de conocimiento.
NIVELES
Cada organización debe establecer los niveles de competencia que un auditor necesita para lograr los
conocimientos y habilidades adecuados para el programa de auditoría.
4
Competencias
5
ATRIBUTOS PERSONALES
Los auditores deben poseer atributos personales que les permitan actuar de acuerdo con los principios
de la auditoría. Resulta necesario que el auditor sea una persona libre de prejuicios e imparcial.
6
ARTÍCULO DE INTERÉS EN LA WEB (Acceso a través de la Plataforma)
7
CONOCIMIENTOS Y HABILIDADES
Un auditor de Sistemas de Gestión de Gestión de Seguridad de la Información debe estar formado en
diversas disciplinas, siendo esencial que disponga de conocimientos y habilidades que le permitan
examinar el sistema de gestión y generar los hallazgos y conclusiones de auditoría apropiados.
De los Auditores
Los auditores deberán tener conocimientos y habilidades en las siguientes áreas:
Permitir al auditor:
■ Aplicar aquellos principios y procedimientos que sean apropiados a las
Finalidad diferentes auditorías.
■ Asegurarse de que las auditorías se llevan a cabo de manera coherente y
sistemática.
8
■ Utilizar los documentos de trabajo para registrar las actividades de la
auditoría.
■ Documentar los hallazgos de la auditoría y preparar los informes de las
mismas.
■ Mantener la confidencialidad y la seguridad de la información.
■ Comunicarse eficazmente, ya sea con las habilidades lingüísticas personales
o con el apoyo de un intérprete.
■ Entender los riesgos que pueden ir asociados a la auditoría.
Permitir al auditor:
Finalidad
■ Comprender el alcance de la auditoría.
■ Aplicar los criterios de la auditoría.
Situaciones de la Organización
9
Otros Requisitos Aplicables
Permitir al auditor trabajar con ellos y ser consciente de los requisitos aplicables
Finalidad
a la organización que se está auditando.
Conocimientos y Habilidades
■ Equilibrar a los puntos fuertes y débiles de los miembros que forman parte del equipo auditor.
■ Conseguir una relación de trabajo en armonía entre los miembros del equipo auditor.
■ Gestionar el proceso de auditoría, para ello debe:
- Proteger la salud y seguridad de los miembros del equipo auditor durante el transcurso de la
auditoría, asegurando que los auditores cumplen con los requisitos pertinentes de salud,
protección y seguridad.
10
MANTENIMIENTO Y MEJORA DE LA COMPETENCIA
Es necesario que tanto los auditores como los líderes de equipos auditores demuestren el mantenimiento
de las condiciones y aptitudes que en su día les llevaron a su cualificación. Para ello deberán asegurar
que sigue conociendo los requisitos y normas relativas a los sistemas de gestión, que sigue dominando
los métodos y técnicas de auditoría y que ha ido reciclando sus conocimientos.
Del mismo modo, los auditores deberían mantener y demostrar su aptitud para auditar a través de la
participación regular en auditorías de Sistemas de Gestión de Seguridad de la Información.
11
EVALUACIÓN DEL AUDITOR
La evaluación de los auditores, deberá estar planificada, implementada y registrada de acuerdo con
los procedimientos del programa de auditoría. El proceso de evaluación, deberá identificar las
necesidades de formación y de mejora de otras habilidades.
Etapas
Proceso de Evaluación
Pasos
Se deberá considerar:
1
■ Tamaño, naturaleza y complejidad de la organización que va a auditarse.
Identificar Cualidades, ■ Objetivos y campo de aplicación del programa de auditorías.
Conocimientos y
Habilidades ■ Requisitos de certificación/registro y acreditación.
■ Función del proceso de auditoría en la gestión de la organización que va a
auditarse.
■ Nivel de confianza requerido en el programa de auditoría.
■ Complejidad del sistema de gestión que va a auditarse.
12
En un segundo paso, se deben establecer los criterios de actuación que se va a
aplicar en cada caso. Estos pueden ser:
2
■ Cuantitativos: Años de experiencia laboral y de educación, número de
Establecer Criterios de auditorías realizadas, horas de formación en auditoría, etc.
Evaluación ■ Cualitativos: Atributos personales, conocimientos, desempeño de
habilidades demostrados tanto en la formación como en el lugar de trabajo,
etc.
Método de
Objetivos Ejemplos
Evaluación
Análisis de registros de
Revisión de los Verificar antecedentes del educación, formación,
registros auditor laborales y experiencia en
auditorías
Encuestas, referencias,
Proporcionar información
Retro- personales, quejas,
sobre como se percibe el
alimentación recomendaciones,
desempeño del auditor
evaluación del desempeño
3
Evaluar habilidades,
Entrevistas personales y
Seleccionar el Método Entrevista conocimientos y atributos
de Evaluación telefónicas
personales
Adecuado
Evaluar atributos personales y
Actuación, testificación de
aptitudes para aplicar los
Observación auditorías, desempeño en
conocimientos y las
el trabajo
habilidades
13
Estos métodos:
Registros
La organización debe llevar un registro de la experiencia, conocimientos y habilidades descritas así como
de la cualificación de sus auditores.
A continuación se presenta un ejemplo de registro de las aptitudes generales del candidato del auditor:
CUALIFICACIONES DEL
HHH-RG-XY
AUDITOR
Nombre:
Empresa:
REQUISITOS DE CUALIFICACIÓN PUNTUACIÓN
EDUCACIÓN:
Universidad:
14
EXPERIENCIA EN AUDITORÍAS: (Lugar/tema/fecha)
CAPACIDAD DE COMUNICACIÓN:
Evaluado por: (Nombre y cargo)
OTROS FACTORES:
EXAMEN: (Puntuación)
Evaluado por: (Nombre y cargo) Fecha: Créditos Totales
CUALIFICACIÓN
APTO Cualificación del auditor certificada por: (Nombre y cargo)
NO APTO
EVALUACIÓN
Firma
Fecha
15
RESPONSABILIDADES
Tanto el auditor, como el líder del equipo de auditoría, tienen asignadas una serie de responsabilidades
que se deben tener en cuenta.
LECTURA RECOMENDADA
Auditores
Es competencia de los auditores:
16
■ Verificar la eficacia de las acciones correctivas.
■ Actividades de clasificación, archivo y custodia de la documentación correspondiente a la
planificación y los resultados de las auditorías.
Guías y Observadores
Los guías y observadores pueden acompañar al equipo auditor, pero no forman parte del mismo, por lo
que no deben influir en la realización de la auditoría.
Los guías deben asistir al equipo auditor, actuando cuando lo solicite el líder del equipo. Entre sus
responsabilidades se encuentran:
17
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
18
ACTITUD
SER ASERTIVO
Cuando una persona desarrolla su trabajo en cualquier organización empresarial, una de las principales
características que se suelen valorar por las personas encargadas de gestionar el potencial humano de la
misma, es que sea una persona asertiva.
No hay nadie perfecto, y una persona asertiva es aquella que se acepta a si misma y sabe aceptar las
opiniones de los demás.
Se trata a los demás del mismo modo a como espera que le traten a uno mismo.
Una situación muy habitual, se produce cuando una persona tiene una queja de un servicio o producto,
es un derecho de toda persona el expresar su queja por no cumplirse las expectativas esperadas, pero
también se espera que de esa queja se produzca una reacción o modificación posterior.
La premisa inicial es partir del respeto hacia los demás, haciendo lo que considera más adecuado en la
defensa de sus propios derechos sin agredir ni ofender a nadie.
La clave de la asertividad es pensar que puedo cambiar mi modo de pensar, ya que “rectificar es de
sabios”.
Ser asertivo no significa querer llevar siempre la razón, sino expresar nuestras opiniones y puntos de
vista, sean estos correctos o no. Todos tenemos derecho a equivocarnos.
La asertividad permitirá enfrentarnos a las diversas situaciones que se presentan en los trabajos, al
representar la libertad para expresarnos respetando a los demás y asumiendo la responsabilidad de
nuestros actos.
Se debe tener la capacidad para decir sin miedo lo que se siente, analizando la situación y ofreciendo la
mejor solución posible
19
902 350 077
formacion@bvbs.es
www.bureauveritasformacion.com
Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.