Reporte de No Conformidades en Auditoría ISO 27001
Clase 35 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 min - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 min - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
08:28 min - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 min - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 min - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54 min
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 min - 12
Clasificación de Activos de Información en Excel
11:46 min - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
11:40 min - 14
Clasificación de Activos de Información en Excel
06:30 min - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 min - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 min - 17
Controles para Mitigar Riesgos según ISO 27001
07:28 min - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 min - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 min - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 min - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
01:40 min
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
- 31
Auditoría de Sistemas de Seguridad según ISO 27001
09:16 min - 32
Terminología de Auditoría según ISO 27001
08:33 min - 33
Fases de una Auditoría: Paso a Paso para su Ejecución
14:15 min - 34
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
09:47 min - 35
Reporte de No Conformidades en Auditoría ISO 27001
Viendo ahora
Gestión de la Continuidad del Negocio
Cierre del curso
Resumen
¿Cómo reportar una no conformidad bajo la norma ISO 27001?
Ah, la auditoría: fundamental para evaluar el cumplimiento normativo y la eficacia de los sistemas de gestión de seguridad de la información. Pero, ¿qué sucede cuando las cosas no salen según lo planeado? Aquí es donde entra en juego el reporte de no conformidades. A través de un proceso rigurosamente estructurado, podemos identificar, documentar y comenzar a solucionar los desvíos del estándar ISO 27001. Este enfoque no solo ayuda a corregir problemas actuales, sino que promueve una cultura organizacional de constante mejora y aprendizaje. Vamos a desglosar este procedimiento paso a paso.
¿Qué es una no conformidad bajo ISO 27001?
Dentro del ámbito de las auditorías según la norma ISO 27001, una 'no conformidad' es un incumplimiento de alguno de los controles especificados en el Anexo A de la norma. Estos controles son fundamentales para mantener la integridad, confidencialidad y disponibilidad de la información. Existen dos resultados posibles en una auditoría:
- Cumple con el requisito: Define conformidad con la norma.
- No conforme: Indica donde se debe realizar el reporte.
Es importante recordar que el reporte de una no conformidad es esencial para el proceso de auditoría y mejora continua.
¿Cómo elaborar un reporte de no conformidad?
Para estructurar adecuadamente un reporte de no conformidad, es crucial utilizar un formato estándar que, aunque no es especificado por la norma, se recomienda ampliamente.
-
Número de no conformidad: Asigna un número identificativo, comenzando por "001", ya que es probable que debas reportar más de una.
-
Fecha de reporte y hallazgo: Anota la fecha actual del reporte así como la fecha en la que se detectó la no conformidad. Usualmente, el hallazgo se realizaba una o dos semanas antes.
-
Área auditada: Especifica el área de la organización donde se identificó la no conformidad, como la gerencia de tecnología.
-
Tipo de auditoría: Define si la auditoría es interna, una revisión de la dirección, o una auditoría externa.
-
Documentos o registros asociados: Enumera los documentos que respaldaron la auditoría, como manuales o flujogramas pertinentes al proceso auditado.
-
Descripción de la no conformidad: Redáctalo en pasado, ya que debe describir lo evidenciado. Ejemplo: "Se evidenció que la consola de administración del antivirus presenta desconexiones frecuentes".
-
Información del auditor: Indica el nombre del auditor que identificó la situación y su departamento, normalmente auditoría interna.
-
Control o requisito asociado: Vuelve al Anexo A para especificar el control exacto incumplido, por ejemplo, A.12.2.1 relacionado con controles contra código malicioso.
-
Presentado por y fechas de presentación: Introduce el auditor líder que está presentando el informe y las fechas correspondientes al reporte, hallazgo y presentación del hallazgo.
-
Clasificación de la no conformidad: Evalúa si la no conformidad es mayor o menor basado en su gravedad. La falta de actualización de una consola de antivirus, por ejemplo, sería considerada como una no conformidad grave.
-
Conforme a procesos posteriores: Incluye fechas de la revisión y aceptación por parte del responsable del área auditada.
Consejos para una auditoría efectiva
- Preparación: Lleva bien preparados los documentos y evidencia durante la reunión de presentación para responder a cualquier pregunta de la gerencia del área auditada.
- Brevedad y claridad: En las reuniones gerenciales, destaca con precisión el hallazgo sin extenderte innecesariamente.
- Foco en la mejora continua: Utiliza las no conformidades reportadas para informar mejoras sólidas en el control y gestión de la seguridad de la información.
Ahora que comprendes cómo reportar una no conformidad, es hora de aplicar estos conocimientos en tu propia organización. Explora posibles incumplimientos y practica diligenciando una plantilla como si fueras un auditor profesional. Sigue adelante en tu camino hacia la excelencia en seguridad de la información. ¡Nos vemos en la próxima clase sobre continuidad del negocio!