Índice
- Parte I
- Parte II
- ISO 27001 en PYMES
- ¿En qué consiste la auditoría inicial?
- “No conformidad”, “Observación” y “Mejora”
- Hocelot certificado en ISO-27001
ISO 27001 en PYMES
En los posts anteriores, hemos descrito brevemente la documentación fundamental y la procedimentación necesaria para garantizar un servicio fiable y seguro que ofrecer a nuestros clientes.
La primera cita (pero no más importante), es la auditoria con el organismo regulador que concede la certificación.
En ella, se evaluará el grado de cumplimiento que posee nuestra empresa y nos notificarán las diferentes observaciones, puntos de mejora y no conformidades que se detecten, con el fin de adaptarnos al estándar.
Decimos que no es la cita más importante, porque aunque pueda parecer que la certificación inicial es el hito más difícil, es necesario revalidar la certificación anualmente proporcionando un plan de mejora contínua que demuestre que nuestro sistema de gestión de los sistemas de la información (SGSI) es robusto y evoluciona.
Por lo tanto, es imprescindible tener en cuenta que todas las políticas, procedimientos y controles son documentos “vivos” que hay que actualizar y mantener al día, tanto por cambios normativos, organizativos y técnicos.
Minusvalorar esta actualización y dejar el mantenimiento del SGSI de lado, puede implicar perder la certificación, y con ello que todo el esfuerzo que se ha invertido para la certificación inicial, no tenga validez de cara a demostrar que la empresa está plenamente comprometida con dar servicio a sus clientes.
¿En qué consiste la auditoría inicial?
Hecha esta introducción, la auditoría inicial se basa en revisar la totalidad de los puntos redactados en la norma, mostrando la documentación a los auditores, y proveyendo de evidencias cuando así lo soliciten.
Ellos son quienes establecerán la agenda, ya que, la duración de la auditoría dependerá de la dimensión de la infraestructura y complejidad de la organización.
Es importante ceñirse al orden que se establezca en la agenda y que los responsables de cada punto estén disponibles para defender la documentación y las dudas que puedan surgir, así como tener claro cómo obtener evidencias.
Es decir, hay puntos que deberá exponer el encargado de protección de datos, otros relativos a recursos humanos y una gran parte de los apartados deberán defenderlos varios tipos de perfiles técnicos, como un responsable de desarrollo, responsable de sistemas o responsable de operaciones, por ejemplo.
Otro aspecto a considerar, es que no es recomendable extender más de lo necesario las exposiciones sobre cada punto.
Debemos intentar ser concisos y cualquier procedimiento/política debe ser fácilmente aplicable y justificable, ya que de lo contrario, se pueden generar dudas que pueden desembocar en puntos a revisar.
“No conformidad”, “Observación” y “Mejora”
Pese a que lo tengamos todo procedimentado y probado, es muy probable que surjan puntos a revisar para obtener la certificación.
Finalizada la auditoría (y en ocasiones durante la misma), nos informan de lo que se ha marcado como “no conformidad“, “observación” y “mejora”.
Se deben subsanar las “no conformidades” para obtener la certificación, y las observaciones y puntos de mejora, es muy recomendable que se revisen y se implanten, ya que en futuras auditorías, se pueden convertir en “no conformidades”.
El conjunto de “no conformidades”, “observaciones” y “mejoras”, se recopilan en un PAC o Plan de Acciones Correctivas, que deberemos cumplimentar con lo que hemos llevado a cabo para subsanar las disconformidades así como con evidencias que lo demuestren.
Para subsanar estas disconformidades tenemos un tiempo limitado, con lo que debemos darnos prisa y como mínimo aplicar una medida compensatoria.
Una vez entregado el PAC, si hubiera alguna acción extra a realizar, se haria una ampliación del PAC (con su correspondiente plazo), y por supuesto los auditores nos aclararán qué se necesita conseguir para dar una “no conformidad” por remediada.
Hocelot certificado en ISO-27001
En conclusión, pese a que todo el proceso es complejo y costoso en esfuerzo y recursos, debemos tener en cuenta que esta acreditación es una carta de presentación que avalará nuestro compromiso con la seguridad.
En Hocelot nos hemos certificado hace unos meses y con el conjunto de estos posts, contamos nuestra experiencia durante el proceso y el enfoque que tomamos para embarcarnos en la preparación de la certificación de la ISO 27001 en PYMES o startups.
Esto sólo ha sido el principio, y continuamos dedicados a la mejora continua de la seguridad de nuestros productos.