40 preguntas para ayudar a guionizar la auditoría del contexto de la organización, conforme con ISO 27001:2022. Checklist

Es de vital importancia saber lo que se está auditando en las fases documental y de implantación para garantizar la efectividad y precisión de una auditoría, especialmente en el contexto de las normas ISO.

Fase Documental:

1. Comprensión Profunda de los Documentos: En esta etapa, el auditor debe familiarizarse a fondo con la documentación de la organización. Esto incluye políticas, procedimientos, registros y cualquier otro documento relevante. Comprender estos documentos es crucial para tener una base sólida sobre la cual evaluar la implementación y el cumplimiento de las normas.
2. Identificación de Discrepancias y Omisiones: El conocimiento detallado de la documentación permite identificar áreas donde la práctica podría no estar alineada con la política escrita o donde podrían faltar elementos clave.
3. Contextualización: Cada organización es única, y su documentación refleja su contexto específico. Un auditor debe entender cómo la organización interpreta y aplica las normas ISO en su contexto particular.

Fase de Implantación:

1. Verificación de la Aplicación Práctica: Esta fase implica evaluar cómo se implementan los procesos y políticas en la práctica. No es suficiente que la documentación esté en orden; las prácticas diarias deben reflejar lo que está documentado.
2. Interacción con el Personal: Hablar con los empleados en diferentes niveles y funciones proporciona información valiosa sobre cómo se implementan y se perciben las políticas y procedimientos en la vida cotidiana de la organización.
3. Observación Directa: La observación de cómo se llevan a cabo los procesos en la realidad permite al auditor verificar la efectividad y la adherencia a las políticas documentadas.

Evitando la Dependencia Excesiva de Checklists:

Mientras que las listas de verificación son útiles como guías, un enfoque rígido puede pasar por alto aspectos importantes. Cada auditoría debe adaptarse al contexto específico de la organización.

Más allá de marcar casillas, los auditores deben buscar entender el 'por qué' y el 'cómo' detrás de cada práctica y procedimiento. Esto implica ir más allá de la superficie para evaluar la eficacia y la adecuación de las prácticas.

El objetivo final es evaluar si el sistema de gestión está funcionando eficazmente y cumpliendo con los objetivos previstos. Esto requiere un enfoque holístico y comprensivo, no solo una verificación superficial.

Una auditoría efectiva, ya sea en la fase documental o de implantación, requiere un enfoque que combine la rigurosidad con la flexibilidad, y un entendimiento profundo del contexto y los objetivos de la organización. La dependencia excesiva de listas de verificación puede conducir a una comprensión superficial y a una evaluación inadecuada del cumplimiento y la eficacia del sistema.

Sin embargo, un checklist bien utilizado como guía puede ser muy útil.

A continuación, os detallo algunas ideas a considerar para auditar el contexto de una organización desde la perspectiva de un sistema de gestión de seguridad de la información basado en ISO 27001:2022, que no es lo mismo que para un sistema de gestión basado en ISO 9001:2015, ISO 14001:2015, …

4.1 Entendiendo la organización y su contexto

1. Identificación del Contexto Externo e Interno: ¿Cómo ha documentado la organización su comprensión del contexto externo e interno en el que opera?
2. Análisis de Factores Externos: ¿Qué factores externos, como condiciones del mercado, tendencias tecnológicas, requisitos legales y sociales, han sido identificados y cómo se reflejan en la documentación?
3. Evaluación de Factores Internos: ¿Cómo se han evaluado y documentado los factores internos, como cultura organizacional, recursos y capacidades internas?
4. Involucramiento de la Alta Dirección: ¿De qué manera la alta dirección ha participado en el proceso de identificar el contexto de la organización y cómo se evidencia esto en la documentación?
5. Revisión y Actualización: ¿Con qué frecuencia se revisa y actualiza la documentación relacionada con el contexto de la organización para asegurar su relevancia y precisión?
6. Impacto en el SGSI: ¿Cómo se refleja el entendimiento del contexto de la organización en la planificación y operación del Sistema de Gestión de Seguridad de la Información (SGSI)?
7. Enfoque en las Partes Interesadas: ¿Cómo se han identificado las partes interesadas relevantes y sus requisitos y cómo se documenta esta información?
8. Identificación de Riesgos y Oportunidades: ¿Cómo se documentan los riesgos y oportunidades identificados a partir del análisis del contexto de la organización?
9. Cohesión con Otros Sistemas de Gestión: ¿Cómo se asegura la documentación de que el entendimiento del contexto está alineado con otros sistemas de gestión implementados en la organización?
10. Proceso de Comunicación Interna y Externa: ¿Cómo se comunica la información sobre el contexto de la organización dentro de la empresa y con partes interesadas externas, y cómo se documenta este proceso?

4.2 Entendiendo las necesidades y expectativas de las partes interesadas

1. Identificación de Partes Interesadas: ¿Cómo ha identificado la organización a sus partes interesadas pertinentes en relación con el SGSI y cómo se documenta este proceso?
2. Determinación de Necesidades y Expectativas: ¿Cómo se determinan y documentan las necesidades y expectativas de estas partes interesadas?
3. Relevancia para el SGSI: ¿Cómo ha evaluado la organización la relevancia de estas necesidades y expectativas para el SGSI?
4. Requisitos Legales y Contractuales: ¿Cómo se asegura y documenta que se cumplen los requisitos legales y contractuales relacionados con la seguridad de la información?
5. Proceso de Comunicación: ¿Cómo se comunica con las partes interesadas sobre los asuntos relacionados con el SGSI y cómo se documenta este proceso?
6. Revisión y Actualización: ¿Con qué frecuencia revisa la organización la información sobre las partes interesadas y sus requisitos para garantizar su actualidad?
7. Impacto en la Política y Objetivos del SGSI: ¿Cómo influyen las necesidades y expectativas de las partes interesadas en la definición o modificación de la política y objetivos del SGSI?
8. Evaluación de Cambios en las Partes Interesadas: ¿Cómo se manejan y documentan los cambios en las partes interesadas o en sus necesidades y expectativas?
9. Riesgos Asociados con las Partes Interesadas: ¿Cómo se identifican, evalúan y gestionan los riesgos relacionados con las necesidades y expectativas de las partes interesadas?
10. Feedback de las Partes Interesadas: ¿Cómo se recoge y utiliza el feedback de las partes interesadas para mejorar continuamente el SGSI?

4.3 Determinando el alcance del sistema de gestión de seguridad de la información

1. Definición de Alcance: ¿Cómo ha definido la organización el alcance del SGSI y cómo se ha documentado este alcance?
2. Criterios para la Determinación del Alcance: ¿Qué criterios se utilizaron para determinar el alcance del SGSI y cómo se documentan estos criterios?
3. Inclusión de Activos de Información: ¿Cómo se han identificado y incluido los activos de información relevantes dentro del alcance del SGSI?
4. Consideraciones de Ubicación y Entorno Operativo: ¿Cómo se han considerado las diferentes ubicaciones y el entorno operativo de la organización al definir el alcance?
5. Partes Interesadas y Requisitos Legales: ¿Cómo se han tenido en cuenta las necesidades de las partes interesadas y los requisitos legales y reglamentarios al definir el alcance del SGSI?
6. Limitaciones o Exclusiones: ¿Existen áreas, divisiones o activos que se hayan excluido del alcance del SGSI? De ser así, ¿cómo se justifican y documentan estas exclusiones?
7. Revisión y Actualización del Alcance: ¿Con qué frecuencia se revisa y actualiza el alcance del SGSI para asegurar que sigue siendo adecuado?
8. Impacto en la Evaluación de Riesgos: ¿Cómo se refleja el alcance definido en la evaluación de riesgos de seguridad de la información de la organización?
9. Alcance y Objetivos del SGSI: ¿Cómo se alinean el alcance del SGSI y los objetivos de seguridad de la información de la organización?
10. Comunicación del Alcance: ¿Cómo se comunica el alcance del SGSI a las partes interesadas internas y externas y cómo se asegura su comprensión?

4.4 Sistema de gestión de seguridad de la información

1. Establecimiento del SGSI: ¿Cómo ha establecido la organización su SGSI y cómo se documentan estos procesos?
2. Integración con Procesos de Negocio: ¿Cómo se ha integrado el SGSI con otros procesos de negocio y cómo se gestiona esta integración?
3. Recursos para el SGSI: ¿Qué recursos se han asignado para el SGSI y cómo se garantiza su adecuación y disponibilidad?
4. Roles y Responsabilidades: ¿Cómo se definen y comunican los roles y responsabilidades en el SGSI y cómo se asegura la comprensión de estos?
5. Gestión de Riesgos: ¿Cómo se aborda la gestión de riesgos dentro del SGSI y cómo se documentan y revisan estos procesos?
6. Objetivos de Seguridad de la Información: ¿Cómo se establecen y revisan los objetivos de seguridad de la información y cómo se alinean con los objetivos generales del negocio?
7. Política de Seguridad de la Información: ¿Cómo se desarrolla, revisa y comunica la política de seguridad de la información dentro de la organización?
8. Procedimientos Operativos: ¿Cómo se documentan y revisan los procedimientos operativos relacionados con el SGSI?
9. Evaluación y Mejora Continua: ¿Cómo se evalúa el rendimiento del SGSI y qué mecanismos se utilizan para su mejora continua?
10. Concienciación y Capacitación: ¿Cómo se asegura la organización de que todo el personal relevante esté consciente y capacitado en relación con sus roles y responsabilidades en el SGSI?