viernes, 14 de octubre de 2016

Visita preliminar

Después de enviar una respuesta satisfactoria a la carta de solicitud de auditoría a la empresa solicitante, el organismo certificador se debe preparar la visita preliminar a la empresa para conocerla. Ésto conlleva:

  • Identificar a cada uno de los integrantes del grupo auditor.
  • Programar una fecha en común.
  • Solicitar al cliente disponibilidad del personal involucrado
  • Programar una reunión, incluyendo una minuta de la misma para documentar todas los acuerdos.
  • En la minuta se acuerdan detalles como la fecha de la visita preliminar, los miembros que van a acudir, la duración, tiempos, programas, etc.
  • Firmar un acuerdo de confidencialidad entre empresa(cliente)-auditores. Por lo general, el que lleva la delantera en la auditoría por parte de la empresa es el jefe de esta.


Objetivos de la visita preliminar:

  • Conocer a la empresa
  • Definir qué tipo de auditoría requiere el cliente
  • Determinar los recursos necesarios para llevar a cabo la auditoría
  • Es necesario entregar un Plan de Trabajo, el cual debe incluir varias fechas posibles para la realización de la auditoría, quiénes van a ir a realizarla, a quien en específico van a auditar e incluso a que hora se realizará.

Existen algunas herramientas que los auditores pueden utilizar para conocer mejor a la empresa, como son:


  • Investigación documental: Ésta implica requerir a la empresa documentos que muestren información relevante de la empresa, como son: misión, visión, planes de trabajo, descripción de puestos, organigrama, procedimientos ISO, etc.
  • Entrevista formal: Se utiliza un guión de preguntas con respuestas cerradas o de opción múltiple.
  • Entrevista no guiada: Se realizan preguntas mas generales donde la persona puede ser muy amplia en su respuesta, siendo éstas grabadas y después transcritas.
  • Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la empresa.
  • Observación en sitio: Implica que un miembro del equipo auditor sea observador de alguna actividad o procedimiento de la empresa, tomando nota de como se realizan y sin interactuar con el personal laborando.

jueves, 13 de octubre de 2016

ISO 27001


ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.


ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

  • Cumplir con los requerimientos legales  – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
  • Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.
  • Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
  • Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Tomado de: http://advisera.com/27001academy/es/que-es-iso-27001/