¿Qué es una auditoría interna?
La auditoría interna es la revisión de un sistema de gestión implantado en una organización, por una persona independiente y cualificada, para verificar el cumplimiento de este sistema con respecto a una norma de referencia.
En palabras exactas de ISO 9001:2015 la auditoría interna es un:
Proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoria
Las normas más utilizadas en las organizaciones para la implantación de sistemas de gestión son las normas ISO, publicadas por la International Organization for Standardization. Dentro de las normas ISO, las más comunes son:
- ISO 9001: Sistemas de gestión de calidad: Establece unos requisitos para garantizar la calidad de los productos y servicios de una organización, poniendo el enfoque en la satisfacción del cliente y la gestión por procesos.
- ISO 14001: Sistemas de gestión de ambiental: Dicta una serie de requisitos que garantizan la correcta gestión medioambiental dentro de una organización con el objetivo de reducir el impacto ambiental negativo de la misma.
- ISO 45001: Sistemas de gestión de seguridad y salud en el trabajo: En este caso, se trata de garantizar la seguridad, salud y bienestar de los trabajadores
- ISO 27001: Sistemas de gestión de seguridad de la información.
Todas estas normas tienen una estructura de alto nivel que facilitan su integración. Esto significa que todas ellas tienen unos puntos en común: CONTEXTO, LIDERAZGO, PLANIFICACIÓN, SOPORTE, OPERACIÓN, SEGUIMIENTO Y MEJORA CONTINUA.
En esta ocasión nos vamos a centrar en la auditoría interna de ISO 27001, sistemas de gestión de seguridad de la información, que complementa y da soporte al resto de sistemas con el objetivo de garantizar que la información que procesa la organización se mantiene segura en cuanto a tres principios básicos: confidencialidad, disponibilidad e integridad.
La auditoría interna ISO 27001
Como hemos comentado, cualquier sistema de gestión requiere de la realización de auditorías internas. Estas auditorías deben realizarse de forma periódica (normalmente se realizan de forma anual) y verifican la conformidad de un sistema con la norma de referencia.
En palabras de Álvaro Maraver (CEO de Soluciones QES), la auditoría ISO 27001:
»es una forma de verificar si el Sistema de Gestión de la Seguridad de la Información (SGSI) es realmente eficaz y cumple con la normativa vigente”.
La auditoría de ISO 27001 tiene una mayor complejidad con respecto a la de otras normas ISO, ya que ISO 27001 tiene además de los 10 puntos en común de la estructura de alto nivel, una serie de requisitos específicos en el denominado Anexo A, del que hablaremos más adelante.
Dada la complejidad de ISO 27001 es importante contar con el apoyo de especialistas para la implementación del sistema y realización de auditorías internas, como Soluciones QES, un experto en auditorías ISO 27001
¿Qué es el Anexo A de ISO 27001?
El Anexo A es un documento normativo que sirve como guía para implementar los controles de seguridad específicos de ISO 27001. Todos estos controles están dirigidos a mejorar la Seguridad de la información de nuestra organización y están organizados en dieciocho objetivos de control:
- A.5: Políticas de Seguridad de la Información
- A.6: Organización de la Seguridad de la información
- A.7: Seguridad de los Recursos Humanos
- A.8: Gestión de Recursos
- A.9: Control de Acceso
- A.10: Criptografía
- A.11: Seguridad física y ambiental
- A.12: Seguridad Operacional
- A.13: Seguridad de las comunicaciones
- A.14: Adquisición, desarrollo y mantenimiento de Sistemas
- A.15: Relaciones con los proveedores
- A.16: Gestión de Incidentes en Seguridad de la Información
- A.17: Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio
- A.18: Cumplimiento