Análisis de no conformidades en ISO 27001

21 septiembre 2020

Como organismo de certificación, NQA no puede ofrecer servicios de consultoría para sistemas de gestión, debemos mantener un carácter independiente e imparcial.

Hemos publicado una excelente Guía de implantación, pero no podemos decirle cómo implementar y mantener su sistema de gestión de seguridad de la información (SGSI). Pero podemos decirle dónde suelen ir mal las cosas durante las auditorías y cómo a menudo pueden resultar en no conformidades.

En esta serie de blogs, revisaré cada cláusula de la ISO 27001 y pondré de manifiesto las no conformidades típicas encontradas por nuestros auditores. Existen algunos factores comunes que sustentan la mayoría de las no conformidades. Algunos de ellos pueden evitarse prestando mucha atención a los requisitos de la norma. A continuación se muestran dos como ejemplo:

1. Falta de documentación esencial

Hay 17 cláusulas y 10 controles del Anexo A, uno de ellos consiste en disponer de información documentada. El auditor esperará ver evidencias de esto y es casi seguro que su ausencia resultará en una no conformidad. Además, hay algunos controles que no exigen documentación, pero la intención es la misma, como la política criptográfica, la política de escritorio limpio, los registros de eventos y las políticas de transferencia de datos. Suele ser frecuente un incumplimiento de la cláusula A.12.1.1 que requiere que los procedimientos operativos estén documentados.

2. No seguir los procedimientos propios

Inlcuso los SGSI más robustos presentan fallos cuando el auditor realiza la auditoría. Los operadores de procesos revelan que no están siguiendo un procedimiento de seguridad de la información definido o no saben que existe. Podría ser el envío de correos electrónicos confidenciales de forma insegura, no revisar los registros del sistema u otros muchos ejemplos. Una de las causas de esto puede ser que la organización no haya comunicado o integrado eficazmente el SGSI en la organización. El auditor tratará de averiguar por qué para determinar dónde ha fallado el sistema de gestión. Algunas personas no siguen los procedimientos porque no tienen los recursos necesarios para seguirlos correctamente. Una vez más, el auditor se dará cuenta de esto porque es un requisito de liderazgo de la gerencia garantizar que los recursos estén disponibles.

Cláusula 4, Contexto de la organización

Casi la mitad de las no conformidades planteadas en contra de la Cláusula 4 por NQA se debieron a que el SGSI no definió adecuadamente los problemas externos e internos que afectan al propósito de la organización. ¿Por qué necesita enumerar los problemas? Bueno, a menos que conozca los problemas que afectan a su organización, no podrá integrar la gestión de riesgos en sus operaciones. No puede gestionar el riesgo si no comprende la organización y su contexto.

La gestión de riesgos puede ser difícil si su organización carece de conocimientos de seguridad, de lo que hablaré en un futuro blog. Pero al conocer los problemas que pueden afectarle, define las bases para gestionar sus riesgos. La cláusula 4.1 requiere enumerar los problemas y forma parte de la determinación del alcance del SGSI, por lo que una deficiencia también afectaría a la definición del alcance requerida en la cláusula 4.3.

¿Qué entendemos por problemas? Los problemas externos son el entorno en el que opera la organización. Están determinadas por lo que hace la organización y cómo afectan a sus objetivos. Si bien los problemas internos también afectan a los objetivos de la organización, estos son autoimpuestos, como la cultura y la estructura. La ISO 31000:2018 contiene directrices y ejemplos útiles que podría considerar.

El alcance supone la siguiente no conformidad más común, faltando por completo o bien siendo incompleto. La cláusula 4.3 define exactamente lo que se requiere, pero tenga en cuenta las dependencias de las cláusulas 4.1 y 4.2. El alcance es importante porque define los límites del SGSI. A veces se hace evidente durante una auditoría, a medida que el auditor se familiariza con la organización, que falta algo en el alcance. O quizás la evaluación de riesgos enumera los activos de información que están fuera del alcance. O que están claramente dentro del alcance pero no se han incluido.

Comprender las necesidades y expectativas de las partes interesadas (cláusula 4.2) suele sorprender a la gente. Pero la norma requiere que usted considere explícitamente los requisitos de seguridad de la información de las partes interesadas. Luego señala que sus requisitos podrían ser legales, reglamentarios o contractuales, lo que esencialmente le indica lo que se requiere.

Nuestros experimentados auditores detectan con frecuencia falta de aplicación de legislación esencial. Hay muchos estatutos que tienen implicaciones en la seguridad de la información, incluso si no es obvio a primera vista. Tenga en cuenta también que durante la auditoría de fase 2, el auditor también examinará el Anexo A-18, que requiere explícitamente que se documenten todos los requisitos legales, reglamentarios y contractuales relevantes.

¿Cómo revisan nuestros auditores su SGSI considerando la sección 4? Como es de esperar, nuestros auditores están al día en asuntos de actualidad y legislación aplicable, le han escuchado a usted y a la gerencia describir la organización, son profesionales de seguridad con experiencia y probablemente hayan auditado a otras organizaciones similares. Sabrán qué se puede esperar de la empresa, tanto en rasgos generales como sobre los requisitos de la norma. Dicha norma también establece los requisitos mínimos de documentación, por lo que cualquier elemento faltante resultará en una no conformidad.

En mi siguiente entrada de blog me centraré en los motivos típicos que resultan en no conformidades en la cláusula 5.

Redactado por: Tim Pinnell, NQA Information Security Assurance Manager