ILISO27001_T034 9.2 Auditoría Interna

Plataformas de Aprendizaje Autodirigido

9.2 Auditoría Interna.

Requisito.

La organización realiza auditorías internas para proporcionar información sobre la conformidad del SGSI con los requisitos.

Explicación.

La evaluación de un SGSI a intervalos planificados mediante auditorías internas proporciona seguridad del estado del SGSI a la alta dirección. La auditoría se caracteriza por una serie de principios: integridad; presentación justa ; debido cuidado profesional; confidencialidad; independencia; y un enfoque basado en la evidencia. (ver ISO 19011).

Las auditorías internas proporcionan información sobre si el SGSI se ajusta a los propios estándares de la organización, así como los requisitos de ISO IEC 27001:2022. Los requisitos incluyen:

    1. requisitos establecidos en la política y los procedimientos de seguridad de la información;
    2. requisitos producidos por el marco para establecer objetivos de seguridad de la información, incluyendo resultados del proceso de tratamiento de riesgos;
    3. requisitos legales y contractuales;
    4. requisitos sobre la información documentada.

Los auditores también evalúan si el SGSI se implementa y mantiene efectivamente.

  • Programa de Auditoría
    • Describe el marco general para un grupo de auditorías planificadas para tiempos específicos y dirigidas hacia propósitos específicos.
  • Plan de auditoría
    • Describe las actividades y disposiciones para una auditoría específica.
  • Criterios de auditoría
    • Son un conjunto de políticas, procedimientos o requisitos usados como referencia contra los cuales se compara la evidencia de auditoría, es decir, los criterios de auditoría describen lo que los auditores esperan encontrar.

 

Guía.

Gestionar un programa de auditoría.

Un programa de auditoría define la estructura y las responsabilidades para planificar, realizar y presentar informes, y finalmente dar seguimiento a las actividades de auditoría individuales. Como tal, debería garantizar que las auditorías realizadas tengan el alcance adecuado, minimicen el impacto en las operaciones de la organización y mantengan la calidad necesaria de las auditorías.

Un programa de auditoría también debería garantizar la competencia de equipos de auditoría, el mantenimiento adecuado de los registros de auditoría, seguimiento y revisión de las operaciones, riesgos y eficacia de las auditorías. Además, un programa de auditoría debe garantizar que el SGSI (es decir, todos procesos, funciones y controles relevantes) se audita dentro de un período de tiempo específico.

El programa debe incluir información documentada sobre tipos, duración, ubicaciones y cronograma de las auditorías.

El alcance y la frecuencia de las auditorías internas deben basarse en el tamaño y la naturaleza de la organización, así como de la naturaleza, funcionalidad, complejidad y nivel de madurez del SGSI (basado en riesgos).

La eficacia de los controles implementados debe examinarse en el ámbito de las auditorías internas.

Se debe diseñar un programa de auditoría para garantizar la cobertura de todos los controles necesarios e incluir la evaluación de la eficacia de los controles seleccionados a lo largo del tiempo. Controles clave (según el programa de auditoría) deben incluirse en cada auditoría, mientras que se deben implementar controles para gestionar niveles más bajos.

El programa de auditoría también debe considerar que los procesos y controles deberían haber estado en funcionamiento durante algún tiempo para permitir la evaluación de pruebas adecuadas.

Las auditorías internas relativas a un SGSI se pueden realizar eficazmente como parte de, o en colaboración con, otras auditorías internas de la organización. El programa de auditoría puede incluir auditorías relacionadas con uno o más estándares de sistemas de gestión, realizados por separado o en combinación.

Un programa de auditoría debe incluir información documentada sobre: criterios de auditoría, métodos de auditoría, selección de equipos de auditoría, procesos para el manejo de la confidencialidad, seguridad de la información y disposiciones para auditores.

Competencia y evaluación de los auditores.

En cuanto a la competencia y evaluación de los auditores, la organización debería:

  • Identificar los requisitos de competencia para sus auditores;
  • Seleccionar auditores internos o externos con la competencia adecuada;
  • Contar con un proceso para monitorear el desempeño de los auditores y equipos de auditoría;
  • Incluir personal en los equipos de auditoría interna que tengan información y sectores específicos apropiados.
  • Contar con conocimientos de seguridad.

Los auditores deben seleccionarse teniendo en cuenta que deben ser competentes, independientes y adecuadamente entrenado. Seleccionar auditores internos puede resultar difícil para las empresas más pequeñas. Si los recursos necesarios y si las competencias no están disponibles internamente, se deberían nombrar auditores externos.

Cuando las organizaciones decidan utilizar auditores externos, estos deben asegurarse de que hayan adquirido suficiente conocimiento sobre el contexto de la organización. Esta información debe ser suministrada por personal interno.

Las organizaciones deben considerar que los empleados internos que actúan como auditores internos pueden ser capaces de realizar auditorías detalladas considerando el contexto de la organización, pero es posible que no tengan suficiente conocimiento sobre la realización de auditorías.

Las organizaciones deberían reconocer las características y posibles deficiencias de los procesos internos versus los auditores externos y establecer equipos de auditoría adecuados con el conocimiento y la competencia necesarios.

Realización de la auditoría.

Al realizar la auditoría, el líder del equipo auditor debe preparar un plan de auditoría considerando los resultados de auditorías previas y la necesidad de dar seguimiento a las no conformidades reportadas previamente y a las normas inaceptables.

El plan de auditoría debe conservarse como información documentada y debe incluir criterios, alcance y métodos de la auditoría.

El equipo auditor debe revisar:

  • adecuación y eficacia de los procesos y controles determinados;
  • cumplimiento de los objetivos de seguridad de la información;
  • cumplimiento de los requisitos definidos en ISO IEC 27001:2022, cláusulas 4 a 10;
  • cumplimiento de los requisitos de seguridad de la información propios de la organización;
  • coherencia de la Declaración de Aplicabilidad con el resultado del riesgo de seguridad de la información y el proceso de tratamiento;
  • coherencia del plan de tratamiento de riesgos de seguridad de la información real con los riesgos evaluados identificados y los criterios de aceptación de riesgos;
  • relevancia (teniendo en cuenta el tamaño y la complejidad de la organización) de los aportes de la revisión por la dirección , salidas;
  • impactos de los resultados de la revisión por la dirección (incluidas las necesidades de mejora) en la organización.

El alcance y la confiabilidad del monitoreo disponible sobre la efectividad de los controles producidos por el SGSI (ver 9.1) puede permitir a los auditores reducir sus propios esfuerzos de evaluación.

Si el resultado de la auditoría incluye no conformidades, el auditado debe preparar un plan de acción para cada no conformidad a ser acordada con el líder del equipo auditor.

Un plan de acción de seguimiento normalmente incluye:

    1. descripción de la no conformidad detectada;
    2. descripción de la(s) causa(s) de la no conformidad;
    3. descripción de la corrección a corto y largo plazo para eliminar un problema detectado o no conformidad dentro de un plazo definido;
    4. las personas responsables de la ejecución del plan.

Los informes de auditoría, con los resultados de la auditoría, deben distribuirse a la alta dirección.

Se deben revisar los resultados de las auditorías anteriores y ajustar el programa de auditoría para gestionar mejor las áreas que experimentan mayores riesgos debido a no conformidades.