Auditoría ISO 27001: Guía completa

¿Su empresa está preparada para comprobar su conformidad con los requisitos durante una auditoría ISO 27001? Al final, un ataque cibernético es un riesgo al que deben estar atentas todas las organizaciones y es necesario contar con las mejores prácticas para evitar una violación.

Estudios de Cybersecurity Ventures, consultoría de investigación de seguridad cibernética, indican que, hasta 2025, globalmente, los ataques van a provocarles perjuicios anuales de US$ 10,5 billones a las empresas. Y el daño no solo es económico, sino que también golpea la reputación de la marca.

De acuerdo con el informe del Foro Económico Mundial Global Cybersecurity Outlook 2022, la falla en la infraestructura de TI provocada por un ataque cibernético es la preocupación número uno de los líderes de seguridad, aun adelante del robo de identidad.

La preocupación con la ciberseguridad está hace tiempo en el radar de los líderes de seguridad, pero en nuestro mundo cada vez más interconectado – y fragmentado –, los riesgos para las personas, organizaciones, servicios y sistemas derivados de ataques cibernéticos nunca fueron tan grandes. A medida que la tecnología se vuelve más sofisticada, lo mismo ha sucedido con los cibercriminales.

Proteger las informaciones de una empresa contra violaciones de datos y hackers es una tarea cada vez más compleja, varias veces involucrando muchos sistemas, herramientas y personas. Sin embargo, todos los mejores esfuerzos pueden llevar al fracaso si todo el sistema no se gestiona de forma eficaz para garantizar visibilidad sobre lo que funciona y lo que no funciona, y cómo todo eso se amolda a las estructuras y estrategias organizacionales.

La norma ISO 27001 es un estándar reconocido globalmente para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI), y les suministra a las empresas de cualquier porte y de todos los sectores de actividad, requisitos y orientaciones para establecer, implementar, mantener y mejorar continuamente su gestión.

En cualquier empresa se debe pensar estratégicamente sobre las necesidades de seguridad de la información y cómo estas se relacionan con sus propios objetivos, procesos, dimensión y estructura.

La conformidad comprobada tras la auditoría ISO 27001 señala que una empresa implantó con eficiencia el sistema para gestionar riesgos relacionados con la seguridad de los datos de propiedad o tratados por la empresa, y que el mismo responde a todas las mejores prácticas y principios adaptados a su porte y necesidades.

Las empresas que adoptan el abordaje holístico descrito en la SGSI van a garantizar que la seguridad de la información quede integrada a los procesos organizacionales, a los sistemas de información y a los controles de gestión y hasta el final de 2022, cerca de 71 mil empresas ya habían obtenido la certificación ISO 27001 globalmente, según ISO Survey.

Con el aumento de la criminalidad cibernética y el surgimiento constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos de seguridad.

La ISO 27001 ayuda a las organizaciones a tomar conciencia de los riesgos y a identificar y abordar proactivamente los puntos débiles.

Un sistema de gestión de seguridad de la información implementado de acuerdo con esta norma es una herramienta de gestión de riesgos, resiliencia cibernética y excelencia operativa.

La certificación es una forma de demostrarles a las partes interesadas y a los clientes que la empresa está comprometida y es capaz de gestionar informaciones de forma segura y protegida, aportando una capa adicional de confianza.

Al final, para tener éxito en el mercado es necesario conquistar la confianza de los sus clientes.

Un sistema de gestión de seguridad de la información que responda a los requisitos de la ISO 27001 preserva la Confidencialidad, Integridad de la información y Disponibilidad de los datos, sistema conocido como el trío CIA (Confidentiality, Information integrity and Availability of data), aplicando un proceso de gestión de riesgos.

Conozca los requisitos y riesgos de cada principio de la seguridad de la información:

Confidencialidad - Solamente las personas indicadas pueden acceder a las informaciones mantenidas por la organización

Riesgo: los delincuentes obtienen los datos de login de los clientes y los venden en la Dark Web

Integridad de la información - Los datos procesados para la continuidad de los negocios o almacenados para terceros son mantenidos de forma confiable y no se borran ni damnifican

Riesgo: un miembro del equipo excluye accidentalmente la línea de un archivo durante el procesamiento

Disponibilidad de datos - La organización y sus clientes pueden acceder a las informaciones cada vez que sea necesario para responder a los objetivos de negocio

Riesgo: el banco de datos corporativo queda offline debido a problemas en el servidor o fallas en el backup

Una auditoría ISO 27001 involucra un auditor competente y objetivo que va a revisar el SGSI o elementos de él y probar si el sistema implementado responde a los requisitos de la norma, a los requisitos de información y objetivos de la propia organización, y que las políticas, procesos y otros controles sean eficaces y eficientes.

La auditoría ISO 27001 se realiza con base en otra norma, la ISO 19011, que establece las mejores prácticas de auditorías internas y externas, incluyendo todas las fases, como planificación, conducción, informes y evaluación de la competencia de los auditores.

Cuanto más preparada esté su empresa para la auditoría ISO 27001, mejor. Una auditoría interna previa debe ser realizada semanas antes de la fecha de la auditoría.

El proceso de certificación ISO 27001 consiste en diversos tipos de auditorías, incluyendo internas y externas. Todas deben estar regidas por un programa y un plan de auditoría.

El auditor líder es el responsable del desarrollo del plan de auditoría y puede contar con la ayuda de un equipo dependiendo del propósito de la auditoría. El número de personal efectivo dentro del alcance del SGSI y la complejidad de los procesos organizacionales son los factores claves en la determinación de la duración de la averiguación del SGSI (en términos de días de auditoría).

Conozca los procesos involucrados en cada auditoría:

Auditoría interna

La cláusula 9.2 de la norma determina que las organizaciones realicen auditorías internas en intervalos programados para determinar la conformidad con los requisitos de la norma, y que deben estar regidas por un proceso formal.

Las empresas tienen que contratar auditores con experticia comprobada, que formen parte del equipo de un órgano certificador como TÜV Rheinland, ya que difícilmente contarán con recursos internos habilitados para dicho proceso. Esto va a garantizar la calidad e independencia de la auditoría.

Auditorías externas

Ya las auditorías de Etapa 1 y Etapa 2, Vigilancia y Recertificación son consideradas auditorías externas y, obligatoriamente, deben realizarlas auditores externos, y en algunos casos, también podrán ser realizadas por las partes interesadas.

Auditoría de Etapa 1

Aunque no sea obligatoria, las organizaciones pueden realizar un análisis de gaps para verificar el estatus de implementación del SGSI antes de proseguir hacia una auditoría de Etapa 1. Una auditoría de Fase 1 es esencialmente una revisión de documentos para garantizar que la documentación necesaria esté en vigor para la operatividad del SGSI. El objetivo de una auditoría de Etapa 1 es evaluar la madurez de una organización para una certificación ISO 27001.

Auditoría de Etapa 2

Las auditorías de la Etapa 2 se concentran en la implementación y eficacia de los controles de seguridad de la información de una organización, como también en su conformidad con los requisitos de la ISO 27001. La Etapa 2 puede ser tomada como la auditoría inicial de certificación.

Tras esta auditoría la empresa recibe su certificación ISO 27001.

Auditorías de Vigilancia

Las auditorías de Vigilancia ocurren anualmente entre las auditorías de Etapa 2 y de Recertificación. Su objetivo es validar la conformidad operacional y la mejoría continua del SGSI.

Auditoría de Recertificación

Las auditorías de Recertificación son esencialmente otra auditoría de Etapa 2, donde todos los requisitos son evaluados para verificar la conformidad del SGSI con la norma. Las auditorías de Recertificación se realizan cada tres años al final del ciclo de certificación y el SGSI se certifica nuevamente por tres años.

Las dos principales actividades de un auditor consisten en:

Revisar los documentos: la verificación de la documentación de la organización tiene el objetivo de evaluar la adhesión a los principios de la norma. El auditor va a examinar la documentación de la organización para constatar la integridad y adecuación del SGSI. Su foco está en comprender cómo la organización pretende abordar los riesgos de seguridad de la información y responder a los requisitos de la ISO 27001.

Revisar el proceso: esta es la parte principal de la auditoría ISO 27001, cuando el auditor verifica in situ la adhesión de la organización al estándar ISO, evaluando la eficacia de los controles del SGSI. Verifica si la empresa ejecutó las medidas necesarias para enfrentar los riesgos de seguridad y proteger informaciones confidenciales. Tras la auditoría en ese espacio, se labra un informe global resumiendo las conclusiones, y donde se destacan las no conformidades. Cuando y si se identifican no conformidades, la organización está obligada a formular e implementar acciones correctivas para ajustar deficiencias. Las acciones correctivas son fundamentales para alcanzar la conformidad.

Tenga en mente que un auditor ISO sigue un cronograma riguroso. Debido a las limitaciones de tiempo, solo tendrá espacio suficiente para auditar uno o dos ejemplos de cada proceso clave.

Nuevamente, estar preparado es la primera línea de defensa o el auditor podrá tener la sensación de que la empresa enfrenta problemas o que sencillamente no está lo suficientemente comprometida.

Cuando se cumplen los requisitos de la ISO 27001, la organización es capaz de operar un SGSI para proteger sus informaciones valiosas, comercialmente sensibles y privadas. La principal característica de la norma es un conjunto de procesos que ayuda a administrar los riesgos de ataques cibernéticos.

También ayuda a mantener las medidas de seguridad de la información actualizadas, revisando y mejorando continuamente el SGSI para lidiar con los cambios en el ambiente de negocios y en los riesgos.

Pero ¿cómo evaluar la madurez de la seguridad de la información y prepararse para implementar a ISO 27001?

Considere estos temas de abajo y entérese de más:

Contexto empresarial

¿El diseño y la implementación de su SGSI están basados en un análisis del contexto de negocios de su organización? Para garantizar que usted obtendrá todos los beneficios y valor, el propósito y la configuración deben corresponder a los objetivos del negocio.

¿Usted analizó las necesidades y expectativas de las partes interesadas, internas y externas? Cualquier necesidad relacionada con términos de confidencialidad, integridad y disponibilidad de informaciones deben estar considerados por el SGSI.

Liderazgo y compromiso de la alta gestión

¿La alta gestión demuestra liderazgo y compromiso – por ejemplo, asumiendo un rol activo en el involucramiento, promoción, monitoreo y revisión del desempeño y eficacia del SGSI?

¿Su organización posee una política de seguridad de la información documentada? En caso afirmativo, ¿esta política se revisa y actualiza regularmente para garantizar que se mantiene relevante y eficaz?

¿Fueron atribuidos recursos suficientes (financieros, humanos y técnicos) para apoyar el proceso de implementación?

¿La alta gestión les asignó las funciones y responsabilidades relevantes del SGSI a los gerentes y empleados?

Evaluación y tratamiento de riesgos

¿Usted ha realizado una evaluación de riesgo amplia para identificar, analizar y calcular los riesgos que enfrenta en cuestión de pérdida de confidencialidad, integridad y disponibilidad de informaciones? Este es un proceso fundamental y obligatorio para todas las organizaciones.

¿Los resultados de la evaluación de riesgos son usados para determinar la mejor opción para mitigar los riesgos? Un abordaje muy adoptado es seleccionar un conjunto apropiado de controles de seguridad de la información para reducir los riesgos. Estos se pueden obtener de un conjunto estándar de controles o desarrollados por la organización.

¿Los controles se revisan y actualizan regularmente para garantizar que la seguridad de la información se mantenga eficaz?

Competencia, concientización y entrenamiento

¿Su organización asegura que cuenta con gestores y empleados idóneos para las tareas o actividades relevantes para el SGSI?

¿Todos los colaboradores recibieron entrenamiento sobre la importancia de la seguridad de la información y comprenden el rol que desempeñan en la protección de los activos de información de la organización? ¿El entrenamiento de todos es apropiado para sus respectivas funciones?

Evaluación de desempeño

¿Usted realiza monitoreos, mediciones, análisis y evaluaciones regulares de su SGSI? ¿Esto les permite a los gestores responder a una pregunta siempre presente: “Nuestras informaciones están seguras?” La evaluación también garantiza que usted hará mejorías en el SGSI cuando sea necesario para mantenerlo actualizado.

¿Su organización realiza auditorías internas imparciales de su SGSI para garantizar que efectivamente se implemente y mantenga?

La implementación de la estructura de seguridad de la información especificada en la norma ISO 27001 ayuda a su empresa a:

• Reducir su vulnerabilidad a la creciente amenaza de ataques cibernéticos
• Responder a los crecientes riesgos de seguridad
• Garantizar que activos como demostraciones financieras, propiedad intelectual, datos de empleados e informaciones confiadas por terceros se mantengan intactos, confidenciales y disponibles conforme sea necesario
• Entregar una estructura administrada centralmente que protege todas las informaciones en un único lugar
• Preparar personas, procesos y tecnología en toda su organización para enfrentar riesgos y otras amenazas basados en tecnología
• Garantizar la seguridad de las informaciones en todas las formas, incluyendo datos digitales, en papel y en la nube
• Reducir costos aumentando la eficiencia y eliminando gastos en tecnologías de seguridad ineficaces

Los auditores de TÜV Rheinland son certificados en nuestra propia Academia, acreditada por el CQI IRCA para realizar los cursos de gerente de auditoría. Las directrices del curso IRCA garantizan un nivel uniforme de entrenamiento del auditor y solamente las organizaciones que demuestren el conocimiento técnico y de entrenamiento necesario y tengan la capacidad de evaluar y verificar correctamente el desempeño de potenciales auditores y formadores de auditores reciban su aprobación.

De este modo, nuestros auditores especialistas en seguridad de la información tienen el conocimiento y las habilidades necesarias para evaluar la conformidad del sistema de gestión de seguridad de la información de una organización con la ISO 27001.

Todo este proceso de auditoría ISO 27001 parece extremadamente complejo; pero, con nuestro soporte, todas las etapas pueden simplificarse.

Póngase en contacto con TÜV Rheinland y entérese de más.