Cómo prepararte para la auditoría de certificación en ISO 27001

Cómo prepararte para la auditoría de certificación en ISO 27001

+ algunos tips y trucos para que no se te caiga el pelo en el proceso de documentación.

9 minutos de lectura

Si estás aquí, probablemente estás a punto de terminar el arduo trabajo de implementación y se viene el momento de la verdad: la auditoría para la certificación ISO 27001

Sabemos que no ha sido un camino fácil.

Todavía debes recibir algunas visitas de un auditor acreditado por ISO para que revise tu SGSI y verifique que cumples con los requisitos. Si está satisfecho con lo que ve, te otorgará el certificado.

Es un momento decisivo y tú y tu equipo deben asegurarse de tener todas las herramientas necesarias para certificarte.

Entonces, sigue estos poderosos consejos para superar el proceso sin drama y hasta con los ojos cerrados. Después de leer este artículo estarás listo para conseguir tu certificación.

¿Quién realiza la auditoría de certificación?

La auditoría debe realizarla una entidad independiente y acreditada por el organismo ISO. En cada país suele haber varias empresas que cumplen esta función, por lo tanto, podrás seleccionar la que tenga el precio más adecuado para tu presupuesto. Que en la mayoría de las startups, no suele ser mucho. 

El precio de auditoría varía según el tamaño de la empresa, del precio local y cantidad de sitios que tengas. Si quiere saber más, hemos mencionado cada factor en profundidad y los valores aproximados en nuestra guía para el cumplimiento de ISO 27001. De todas formas, en Hackmetrix tenemos algunos aliados de confianza: si quieres que te conectemos con ellos, contáctanos para ayudarte.

El proceso de la auditoría ISO 27001

Se compone de dos fases: la primera es de revisión de la documentación, la segunda es la revisión de las prácticas de seguridad.

Primera fase 

Duración: 5 a 10 días aprox.

El auditor verifica que la documentación del SGSI existe, está completa y cumple con los requisitos de la normativa. El foco en esta fase es garantizar que se hayan diseñado las políticas y que exista la documentación básica como el alcance, objetivos, declaración de aplicabilidad, inventario de activos, matriz de accesos, etc. 

También se encarga de señalar si existe algún incumplimiento y/o posible mejora para que la empresa lo solucione de cara a la segunda etapa. Al finalizar, el auditor hará entrega de un informe (notificando incumplimientos, mejoras, lista de controles implementados, etc.). Si se considera que tu SGSI está listo, avanzarás a la siguiente etapa. 

Segunda fase 

Duración: 5 a 10 días aprox.

Ahora el auditor debe garantizar que las políticas no solo sean documentos redactados, sino que todo el personal los conoce y los cumple. Es decir, revisa exhaustivamente que las prácticas y actividades:

  • Se cumplen realmente en la empresa
  • Están alineadas a lo que pide la normativa
  • Están alineadas a lo que dicen tus políticas

Una vez que finalice, el auditor tardará dos semanas en entregar el informe final de decisión. Si este informe dice que cumples con los requisitos, el Comité Certificador dará su última revisión (dos técnicas y una administrativa) para, finalmente, confeccionar tu certificación ISO 27001.

¿Qué sucede si hay incumplimientos? Si detectaran varios incumplimientos y aspectos para mejorar, recibirás un Plan de Acciones Correctivas (PAC).

Este plan es básicamente una lista de cosas que debes corregir en cierto período de tiempo. Por lo general, ese tiempo lo definirá el auditor dependiendo de la cantidad o tipo de aspectos que debas mejorar, aunque como máximo puede dar hasta 28 días. 

Pasado este tiempo, el auditor verificará las mejoras realizadas y emitirá el informe final de evaluación y decisión. Si pasas exitosamente esta etapa, podrán otorgarte el certificado. 

Auditorías de seguimiento

El certificado tiene una validez de tres años, pero debes mantenerte en cumplimiento para superar las auditorías anuales de seguimiento.

Estas pruebas de vigilancia las realiza la misma empresa certificadora para garantizar que el SGSI esté vigente y que las mejoras se implementan en el tiempo adecuado. 

Al tercer año directamente se realiza la auditoría de renovación y se repiten las fases mencionadas en la sección anterior.

Tips para superar la auditoría con éxito

Ahora sí, ve por tu libreta para tomar nota porque se viene la información crucial.

  • Recopila las evidencias: documenta y recopila evidencia de al menos 3 meses previos a la auditoría. Los auditores la pedirán para evaluar cómo estás cumpliendo con los requisitos de ISO 27001. Por ejemplo, si tienes una política de pruebas de intrusión cada seis meses, deberías presentar al menos el último reporte de vulnerabilidades con sus  remediaciones. 
  • Reúne la documentación del SGSI: te solicitarán toda aquella documentación que forme parte de tu SGSI, sea obligatoria o no. Por ello, ten a mano las políticas, procedimientos, controles, evidencias, instructivos o planes que hayas implementado para cumplir.
  • Revisión final del SGSI: haz una última revisión para identificar si hace falta realizar ajustes, firmar o aprobar documentos, buscar más evidencias, etc. Incluso puedes usar la siguiente lista de preguntas para realizarla: ¿Tengo la documentación?, ¿hago seguimiento de los controles?, ¿tengo evidencia que sustenta al control implementado? ¿mis documentos están formalizados y aprobados? ¿creo que mi evidencia es lo suficientemente fuerte para pasar el control? 

Esto te será de ayuda para asegurarte de no dejar nada librado al azar y de tener todas las herramientas para superar el proceso. 

  • Preparar a los interlocutores: Es recomendable designar una o dos personas que tengan trato directo con el auditor. Preferentemente, deben ser personas que hayan participado del proyecto, conozcan el SGSI implementado y cuenten con las habilidades de comunicación necesarias para defender o demostrar lo que han realizado. 
  • Preparar al equipo: En caso de que el auditor quiera realizar preguntas al resto del equipo es conveniente prepararlos. Puede suceder que les realice entrevistas para verificar, por ejemplo, cuál es el grado de conocimiento que tienen de los documentos más importantes del SGSI o de que los utilizan al llevar a cabo sus actividades del día. Por ello, es conveniente que estén preparados para posibles preguntas al respecto.
  • Prepararse para las preguntas: Puedes prever escenarios de preguntas como las siguientes: ¿Tienes las políticas de seguridad de la información?¿ El personal ha sido comunicado de su existencia? ¿Cómo se comunicaron?¿Se realizaron pruebas para verificar que se leyeron y comprendieron las políticas? 
  • Verificar las métricas: Asegúrate de tener y de revisar las métricas del SGSI. Los auditores verificarán que todo se mida y analice de forma constante y eficiente. Por otro lado, si identificas oportunidades de mejora, te recomendamos plasmarlas en un plan con fechas de corrección (ese plan puede llamarse Plan de Acciones Correctivas y Oportunidades de Mejoras, para ganarte el amor del auditor).

Mantente en cumplimiento ISO 27001 con la plataforma de Hackmetrix 

Luego de la auditoría, tendrás toda tu documentación diseñada y recopilada, lo que sigue es almacenarla en un lugar seguro en el que puedas actualizarla o consultarla para resolver próximas auditorías de seguimiento o cuestionarios de clientes.

La plataforma de cumplimiento de Hackmetrix ayuda a las startups a reducir esta carga de trabajo para que puedan implementar y mantener su programa de seguridad de forma simple:

  • Organiza todo en un único lugar y evita la confusión de administrar múltiples documentos. 
  • Optimiza la recopilación de evidencia. La plataforma te ayuda a gestionarla para que puedas reutilizarla en diferentes auditorías, sean de reguladores o de clientes. 
  • Despreocúpate de mantener los controles por tu cuenta, la plataforma establece recordatorios y alertas para mantener todo actualizado.
  • Asigna las tareas de seguridad integrando las aplicaciones que amas, para que tú y tu equipo puedan colaborar y saber qué hacer.
  • Conoce exactamente dónde te encuentras con gráficos y reportes que indican tu estado de cumplimiento. 

Conclusión

La auditoría en certificación ISO 27001 puede realizarla cualquier entidad independiente acreditada por el organismo ISO. El certificado se obtiene luego de superar las dos etapas de las que consta el proceso. 

En resúmen, durante la primera etapa revisarán y evaluarán la documentación del SGSI. Su objetivo será comprobar que existe y que cumple con los requisitos de la normativa. Luego, en la segunda etapa, el auditor buscará y verificará exhaustivamente las evidencias de que cumples y llevas los controles y procedimientos a la práctica diaria de la empresa. 

Al tratarse de un proceso decisivo que demuestra el arduo trabajo de los últimos meses, debes asegurarte de estar preparado y contar con las herramientas necesarias para afrontarlo exitosamente. 

Tomando nota de estos consejos y del funcionamiento de las etapas, estarás listo para obtener la certificación y demostrar a tus clientes que te tomas muy en serio la seguridad y que cumples con uno de los estándares más estrictos a nivel global.

El próximo paso será mantener el cumplimiento de la normativa: Hackmetrix puede ayudarte a lograr el cumplimiento continuo de tu programa de seguridad. Así ahorrarás esfuerzo en la tarea de seguir cumpliendo con cada control de la normativa en tiempo y forma. Si quieres conocer más, contáctanos para asesorarte personalmente.

Backed by

Hackmetrix startup chile