Reporte de No Conformidades en Auditoría ISO 27001

Clase 35 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Cómo reportar una no conformidad bajo la norma ISO 27001?

Ah, la auditoría: fundamental para evaluar el cumplimiento normativo y la eficacia de los sistemas de gestión de seguridad de la información. Pero, ¿qué sucede cuando las cosas no salen según lo planeado? Aquí es donde entra en juego el reporte de no conformidades. A través de un proceso rigurosamente estructurado, podemos identificar, documentar y comenzar a solucionar los desvíos del estándar ISO 27001. Este enfoque no solo ayuda a corregir problemas actuales, sino que promueve una cultura organizacional de constante mejora y aprendizaje. Vamos a desglosar este procedimiento paso a paso.

¿Qué es una no conformidad bajo ISO 27001?

Dentro del ámbito de las auditorías según la norma ISO 27001, una 'no conformidad' es un incumplimiento de alguno de los controles especificados en el Anexo A de la norma. Estos controles son fundamentales para mantener la integridad, confidencialidad y disponibilidad de la información. Existen dos resultados posibles en una auditoría:

  • Cumple con el requisito: Define conformidad con la norma.
  • No conforme: Indica donde se debe realizar el reporte.

Es importante recordar que el reporte de una no conformidad es esencial para el proceso de auditoría y mejora continua.

¿Cómo elaborar un reporte de no conformidad?

Para estructurar adecuadamente un reporte de no conformidad, es crucial utilizar un formato estándar que, aunque no es especificado por la norma, se recomienda ampliamente.

  1. Número de no conformidad: Asigna un número identificativo, comenzando por "001", ya que es probable que debas reportar más de una.

  2. Fecha de reporte y hallazgo: Anota la fecha actual del reporte así como la fecha en la que se detectó la no conformidad. Usualmente, el hallazgo se realizaba una o dos semanas antes.

  3. Área auditada: Especifica el área de la organización donde se identificó la no conformidad, como la gerencia de tecnología.

  4. Tipo de auditoría: Define si la auditoría es interna, una revisión de la dirección, o una auditoría externa.

  5. Documentos o registros asociados: Enumera los documentos que respaldaron la auditoría, como manuales o flujogramas pertinentes al proceso auditado.

  6. Descripción de la no conformidad: Redáctalo en pasado, ya que debe describir lo evidenciado. Ejemplo: "Se evidenció que la consola de administración del antivirus presenta desconexiones frecuentes".

  7. Información del auditor: Indica el nombre del auditor que identificó la situación y su departamento, normalmente auditoría interna.

  8. Control o requisito asociado: Vuelve al Anexo A para especificar el control exacto incumplido, por ejemplo, A.12.2.1 relacionado con controles contra código malicioso.

  9. Presentado por y fechas de presentación: Introduce el auditor líder que está presentando el informe y las fechas correspondientes al reporte, hallazgo y presentación del hallazgo.

  10. Clasificación de la no conformidad: Evalúa si la no conformidad es mayor o menor basado en su gravedad. La falta de actualización de una consola de antivirus, por ejemplo, sería considerada como una no conformidad grave.

  11. Conforme a procesos posteriores: Incluye fechas de la revisión y aceptación por parte del responsable del área auditada.

Consejos para una auditoría efectiva

  • Preparación: Lleva bien preparados los documentos y evidencia durante la reunión de presentación para responder a cualquier pregunta de la gerencia del área auditada.
  • Brevedad y claridad: En las reuniones gerenciales, destaca con precisión el hallazgo sin extenderte innecesariamente.
  • Foco en la mejora continua: Utiliza las no conformidades reportadas para informar mejoras sólidas en el control y gestión de la seguridad de la información.

Ahora que comprendes cómo reportar una no conformidad, es hora de aplicar estos conocimientos en tu propia organización. Explora posibles incumplimientos y practica diligenciando una plantilla como si fueras un auditor profesional. Sigue adelante en tu camino hacia la excelencia en seguridad de la información. ¡Nos vemos en la próxima clase sobre continuidad del negocio!