• (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2


    Si esta es la primera vez que se cruza con la idea de un auditor interno, probablemente se encuentre desconcertado: ¿para qué necesito otro control? ¿Quién lo va a pagar? ¿A quién debo emplear para que lo realice? Es una real pérdida de tiempo…

    Bueno, no tiene que ser tan malo; además de dar conformidad a las normas ISO 27001 y BS 25999-2, las auditorías internas pueden ser bastante útiles para sus demás temas comerciales (estén, o no, relacionados con la seguridad de la información o la continuidad del negocio).

    El punto con las auditorías internas es que descubran problemas que de otra forma permanecerían ocultos y, por consiguiente, perjudicarían el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque sí es posible tener un sistema que se mejore a sí mismo y que aprenda de sus errores. Las auditorías internas son una parte crucial de ese tipo de sistemas.

    Existen unos pocos pasos para realizar una auditoría interna:

    a) Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).

    b) Emplear auditores internos a tiempo parcial: esta es la situación más común, las organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo habitual del otro.

    c) Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada de la organización, también se la considera auditor interno porque la auditoría es realizada por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una persona experimentada en este campo (consultor independiente, etc.).

    Sin embargo, por mi experiencia como auditor, la triste verdad es que la mayoría de las organizaciones realiza auditorías internas solamente para cumplir con la entidad de certificación. El resultado que se obtiene de este tipo de auditorías internas son algunos incumplimientos que no llegan a los problemas reales de los sistemas de gestión de seguridad de la información (SGSI) o de gestión de la continuidad del negocio (SGCN). Esto es una pérdida de tiempo; si las empresas hubieran invertido tiempo de sus auditores internos para realizar estos trabajos, habrían obtenido algunos beneficios.

    Pero, entonces, ¿cuál es el enfoque correcto sobre las auditorías internas? Estas son algunas ideas:

    1. La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar el sistema, no sólo como un medio para obtener la certificación.
    2. Los auditores internos deben estar capacitados: esto significa que deben tener experiencia en seguridad de la información, en tecnología de la información y en técnicas de auditoría. No significa que el auditor debe ser un experto en esas áreas.
    3. La auditoría interna debe ser realizada en forma positiva: el objetivo debería ser mejorar el sistema, no culpar a los empleados por sus errores.

    Por el lado positivo, como auditor de certificación he visto a algunas organizaciones realizar auditorías internas correctamente. Aunque sus empleados se sintieron un poco incómodos porque alguien controlaba sus actividades, enseguida vieron los beneficios de este enfoque: los problemas salieron a la luz y fueron resueltos bastante rápido.

    Aprenda a realizar una auditoría interna de forma gratuita con ISO 27001 Internal Auditor Online Course.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan tiene varias certificaciones, entre las que se incluyen la de Consultor certificado en gestión, Auditor principal para ISO 27001, Auditor principal para ISO 9001 y Profesional asociado en gestión de la continuidad del negocio. Dejan lidera nuestro equipo a través de la gestión de varios sitios web especializados que brindan apoyo a profesionales de TI y de ISO para comprender e implementar con éxito las principales normas internacionales. Dejan cuenta con un Máster de Gestión Empresarial (MBA) de Henley Management College y posee amplia experiencia en inversiones, seguros y bancos. Es conocido por su experiencia en normas internacionales para continuidad del negocio y seguridad de la información (ISO 22301 e ISO 27001) y por la creación de diversos tutoriales Web, paquetes de documentación y libros sobre los mismos temas.
    Etiquetas: #ISO 27001