Auditoría ISO 27001: Identificación y Reporte de No Conformidades

¿Qué significa conformidad y no conformidad en una auditoría ISO 27001?

En el proceso de auditar de acuerdo a la ISO 27001, se pueden encontrar dos resultados principales: conformidad y no conformidad. Entender estas diferencias puede ser crucial para la implementación efectiva de los controles de seguridad en una organización, y por eso es indispensable conocer cómo evaluarlos correctamente.

¿Cuál es la importancia de la conformidad?

La conformidad implica que todos los controles declarados por la empresa han sido implementados de manera correcta según los requisitos de la norma. Es vital solo auditar los controles que la empresa afirma haber implementado, asegurando que dichos controles garantizan una adecuada seguridad en el contexto de la empresa.

¿Cómo identificar la no conformidad?

La no conformidad, por otro lado, es cualquier incumplimiento de los requisitos de la norma. Esto puede surgir de diversas situaciones, como la falta de documentación, una implementación parcial de los controles o incluso declarar procesos que no existen en realidad. Las no conformidades representan un problema crítico que la organización debe solucionar para mantener o obtener la certificación.

¿Cuáles son los incumplimientos más comunes en ISO 27001?

Identificar los incumplimientos más comunes permite a las organizaciones anticiparse a los problemas y mejorarlos antes de una auditoría. Aquí exponemos algunos de los puntos críticos que más frecuentemente se pasan por alto:

¿Qué sucede con la documentación no encontrada?

La ausencia de documentación adecuada es un problema recurrente. La norma exige ciertas políticas y procedimientos que deben estar documentados. La falta de esta documentación puede causar desviaciones si no se corrige a tiempo.

¿Cómo impacta la falta de competencias evaluadas?

Es esencial evaluar las competencias del personal. Un error común es encontrar personal sin el conocimiento o experiencia necesaria para desempeñar ciertas funciones críticas, lo que puede acarrear graves problemas de seguridad.

¿Qué pasa con los controles implementados de forma inadecuada?

En ocasiones, el catálogo del Anexo A se aplica de manera inadecuada o incompleta. Esto podría implicar implementar controles prometidos parcialmente, no revisarlos o no mejorarlos continuamente.

¿Por qué es grave el incumplimiento de los procedimientos?

Aunque la documentación de los procedimientos puede existir, el verdadero reto es asegurar que se sigan fielmente en la práctica. Si los empleados no siguen los procedimientos documentados, se pueden provocar errores que comprometen la seguridad.

¿Cómo se deben entregar los reportes de no conformidades?

El reporte de no conformidades es una parte esencial de cualquier auditoría. Es importante seguir ciertas pautas para garantizar que los informes sean efectivos, claros y útiles.

¿Qué evidencia se necesita?

Evidencia tangible y objetiva es crucial. No se debe depender de comentarios informales; todo hallazgo debe documentarse con pruebas claras de las no conformidades.

¿Cómo hacer referencia a la norma?

Al elaborar el reporte, se debe especificar claramente el requisito que no ha sido cumplido según la norma ISO 27001. Esto incluye detallar qué parte del Anexo A está siendo incumplida (por ejemplo, A.2.1.8).

¿Cómo comunicar la conclusión?

Es fundamental comunicar los hallazgos de manera breve y concisa al responsable correspondiente. La conclusión debe ser clara sobre la situación, asegurando que los hallazgos ya han sido discutidos anteriormente con las partes pertinentes.