Auditando ISO 27001:2013 bajo el Enfoque de Procesos

El Sistema de Gestión de Seguridad de Información (SGSI), conocido como la norma ISO 27001:2013, adopta desde su concepción un “enfoque basado en procesos”, para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI en una organización. Las auditorías que se efectúen a un SGSI tienen también que estar conceptualizadas desde la perspectiva de procesos. Los auditores tienen que planificar y ejecutar sus auditorías con un enfoque de procesos. El modo de auditar elemento por elemento de manera aislada ya no es aplicable.

Introducción.-
La auditoría en todas las normas es un aspecto fundamental para poder asegurar mantenimiento al sistema implantado e impulsar un proceso de mejora continua. La auditoría tiene como propósito el de identificar oportunidades de mejora.

Muchas veces al auditar se cometen errores al no tener claros los conceptos básicos.

El ISO 19011:2011 “Directrices para la Auditoría de Sistemas de Gestión” (documento mencionado en el ISO 27001:2013, en la nota de la sección 6: Auditorías Internas del SGSI, como una fuente de consulta que puede proporcionar orientación útil para llevar a cabo las auditorías internas del SGSI), es una referencia que debiera ser utilizada como consulta obligatoria al auditar un SGSI.

El ISO 19011:2011, define auditoría como: “proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría.”. En la definición se tienen dos términos importantes: 1) criterio de auditoría.- El cual es el conjunto de políticas, procedimientos o requerimientos. Los criterios de auditoría se utilizan como una referencia con la cual se puede comparar la evidencia de auditoría. 2) evidencia de auditoría.- Son los registros, enunciados de hechos u otra información que eran relevantes para el criterio de auditoría y verificables.  La auditoría no se realiza en términos absolutos, es relativa. Siempre tiene que existir un criterio de auditoría. Vale decir, un punto de referencia contra el cual se compara la evidencia de auditoría, la cual puede ser tanto cualitativa como cuantitativa. Basados en estos conceptos, podríamos decir que cuando se audita un SGSI, lo que se está tratando de hacer es averiguar la conformidad del SGSI con el ISO 27001:2013. Para determinar su conformidad se recolectan evidencias objetivas para compararlas con el criterio. El resultado de esta comparación es lo que se denomina descubrimiento de la auditoría. Al final del proceso se llega a la conclusión de la auditoría, la cual es proporcionada por el equipo de auditoría después de considerar los criterios de la auditoría y los respectivos descubrimientos. La conclusión de la auditoría es presentada a la gerencia auditada en un informe. La gerencia auditada debe de iniciar las acciones correctivas sin demora injustificada.

En lo que resta del ensayo se presentarán los tipos de auditoría comúnmente realizados para luego detallar cómo se debe planificar una auditoría bajo la óptica de procesos a un SGSI.

Niveles de Auditoría.-
Las auditorías a un SGSI pueden clasificarse, por la práctica internacional en dos grupos:

1. Auditoría Interna.- También conocida como auditoría de primera parte. Esta auditoría es realizada por una organización para observarse a sí misma. Usualmente este tipo de auditoría es conducida con recursos propios. El ISO 27001:2013 en la cláusula 9.2 exige que la organización planifique y ejecute sus auditorías internas. Este tipo de auditoría tiene el propósito de ayudar a la empresa a evolucionar.
2. Auditoría Externa.- Esta auditoría se clasifica en auditorías de segunda y tercera parte. Las auditorías de segunda parte usualmente son realizadas por una organización observando a otra. La ilustración clásica es aquella en la cual un cliente audita a su proveedor, para cerciorarse que tiene un SGSI funcionando en conformidad con el ISO 27001:2013. La auditoría de tercera parte es realizada por una organización determinada, para observar a otra sin ningún interés en sus productos o servicios. Una ilustración de este tipo de auditoría es la realizada por un ente certificador.

Todas las auditorías que se realicen a un SGSI para averiguar su conformidad con el ISO 27001:2013, sin importar su tipo, deben ser realizadas bajo la óptica del enfoque de procesos, utilizando las técnicas respectivas.

Tipos de Auditoría a un SGSI bajo la Óptica ISO 27001:2013.-
Las auditorías a un SGSI para identificar conformidad con el ISO 27001:2013, se agrupan en dos tipos. Su clasificación se conoce como fase I y fase II. Una precede a la otra. A continuación se hará una breve descripción de cada tipo de auditoría.

1. Auditoría Fase I.- Esta auditoría es la que se realiza sin necesariamente visitar las instalaciones del auditado. Aquí exclusivamente lo que se hace es verificar si se cumple con la documentación básica exigida por el modelo. Lo que pretende el auditor es cerciorarse que existe un SGSI documentado, que la organización ha desarrollado, implementado, operado, monitoreado y muestra evidencias de mejoramiento documentado. Las cláusulas de la norma que se revisan en esta fase son:

• Cláusula 4.1
• Cláusula 4.2
• Cláusula 4.3
• Cláusula 5.2
• Cláusula 6.1
• Cláusula 6.1.2
• Cláusula 6.1.3
• Cláusula 6.2
• Cláusula 7.5
• Cláusula 9.1
• Cláusula 9.2
• Cláusula 9.3
• Cláusula 10.1
• Anexo A.16

2. Auditoría Fase II.- Esta auditoría es conocida también como auditoría de cumplimiento. Esta es la auditoría donde el auditor debe efectuar su preparación bajo la óptica de procesos y planificarla adecuadamente para luego realizarla. En esta auditoría se desea constatar que lo documentado está implantado. Aquí se revisa la conformidad en la implantación de las cláusulas metodológicas comprendidas entre la sección 4 a la 10 de la norma y los controles desde el A.5 hasta el A.18

El resto del ensayo está dirigido a dar ciertas pautas para preparar auditorías de fase II bajo la óptica de procesos.

Naturaleza de los Procesos.-
Si se desea auditar un SGSI bajo la óptica de procesos, lo primero que se debe hacer es entender que es un proceso y cuáles son sus principales elementos.

Un proceso puede ser definido como “un conjunto de actividades interrelacionadas que transforman insumos en resultados.” (Alexander, 2005) Estas actividades requieren asignación de recursos tales como personas y materiales. En la figura Nº 1, tenemos la representación gráfica de un proceso genérico.

Figura Nº 1: Proceso Genérico

Los insumos y resultados interrelacionados pueden ser tangibles (equipos, materiales o componentes) o intangibles (energía, información).

Los resultados pueden ser no intencionados, tales como: desperdicios o polución. Lo interesante de los procesos en las organizaciones es que tienen clientes y otras partes interesadas (internas o externas) a la empresa, que son afectadas por el proceso y quienes definen los resultados requeridos de acuerdo a sus expectativas y necesidades.

Todo proceso, desde la perspectiva de la gestión, debiera recolectar datos y verificar si sus resultados están siendo eficaces, vale decir si están cumpliendo sus especificaciones, y de no ser así, se debiera tomar las acciones correctivas de lugar. La eficacia y eficiencia de los procesos puede ser evaluada a través de revisiones de proceso tanto internas como externas. “La función gerencial en un sistema es netamente reguladora” (Beer, 1979)

Existen muchos insumos para el funcionamiento de un proceso, que hacen posible completar la transformación. Los procesos, para que su proceso genérico de transformación funcione, necesitan de elementos específicos que hacen que el proceso opere. Los elementos del proceso se podrían dividir en seis grupos que contienen todos los factores básicos para hacer funcionar a un proceso.

Las seis categorías son:
– Personas
– Equipos
– Ambiente
– Materiales
– Mediciones
– Métodos

En la figura Nº 2 se tienen graficados los elementos de un proceso

Figura Nº 2: Elementos de un Proceso

Los procesos son los componentes de las empresas. Cuando se implanta un SGSI dado un determinado alcance, “se deben visualizar los distintos procesos de transformación, identificados dentro del alcance que tendrá el modelo, determinar las actividades de los mismos, las interacciones entre ellos y su método de gestión. Esto es a lo que se le denomina el enfoque de procesos en un SGSI.” (ISO/IEC 27001:2013). Cada proceso debe ser gestionado bajo la óptica del SGSI.

En la figura Nº 3, se tiene gráficamente la presentación de los componentes de un proceso para su gestión. En el proceso están los seis elementos básicos que debieran considerarse para su correcto manejo y regulación. El proceso requiere insumos de entrada, visualizar otras consideraciones de gestión tales como intereses de stakeholders, organismos reguladores, etc.., recursos y generar resultados, los cuales deben tener especificaciones concretas para poder hacer las mediciones de lugar y así poder decidir si el proceso está siendo eficaz en su desempeño. El flujo de retroalimentación va directamente al proceso para tomar las acciones correctivas de lugar. El ISO 27001:2013, opera bajo esta misma óptica, de gestión de procesos. Las distintas cláusulas de la norma están organizadas para generar información y proveer recursos para gestionar el SGSI en un determinado proceso, bajo el enfoque del llamado ciclo Deming “planificar, hacer, revisar y actuar.”

Figura Nº 3: Componentes de un Proceso para la Gestión

Auditando con Enfoque de Procesos.-

Auditar un proceso o sistema, utilizando el enfoque de procesos, está orientado a verificar conformidad con la secuencia de pasos requeridos en las actividades, desde la entrada de insumos hasta los resultados del proceso. Los auditores encargados de auditar bajo la óptica de procesos, “utilizan modelos y herramientas tales como flujogramas, mapeos de procesos o diagramas de flujos de procesos.” (Russell, 2006)

La manera más apropiada para conceptualizar a los elementos de un proceso sujetos a ser auditados es utilizando el “diagrama árbol”; el cual permite, considerando los elementos de un proceso presentados en la figura Nº 2, adecuarlos a un proceso que será auditado para verificar su conformidad con el ISO 27001:2013

A nivel de ilustración, en la Figura Nº 4, se ha utilizado el “diagrama árbol” para preparar la auditoría a un operador de base de datos. El “diagrama árbol”, recomendado para visualizar los componentes de un proceso en el contexto de un SGSI, tiene cuatro categorías básicas, las cuales son los elementos esenciales que todo proceso dentro de un SGSI requiere para poder desempeñarse. Estos elementos son: personas, métodos, controles y activos. En cada uno de estos componentes, se pueden asociar cláusulas de la norma, relevantes para el proceso a auditar. El diagrama árbol permite al auditor, organizar las cláusulas que auditará bajo una óptica de procesos.

Seguidamente, utilizando el “diagrama árbol” como insumo,  se recomienda la construcción de listas de chequeo para organizar el conjunto de preguntas que se le formularán al auditado. Las listas de chequeo son una excelente herramienta para ejecutar la auditoría. Su propósito es el de proveer al auditor con una guía y un medio de registrar todas las evidencias objetivas y evitar basarse sólo en la memoria.

Figura Nº 4: Utilización del Diagrama Árbol para preparar la Auditoría al Operador de Base de Datos

En la figura Nº 5 tenemos una ilustración del formato que debe seguir una lista de chequeo.

 Conclusiones.-
Para auditar el SGSI de la manera correcta, la auditoría debe ser realizada bajo la óptica de procesos. Esto requiere que los auditores tengan un debido conocimiento y entendimiento de los principios de procesos y aspectos de gestión que regulan el funcionamiento de los sistemas organizacionales. La auditoría a un SGSI no puede efectuarse de la manera tradicional la cual se llevaba a cabo auditando elemento por elemento de la norma.

Para auditar a un SGSI bajo la óptica de procesos, en la etapa de preparación de la auditoría se deben cumplir los siguientes pasos y utilizar las herramientas que se mencionan: (1) Conocimiento del proceso a auditar.- Los auditores debieran entender los procesos que van a auditar. Para este propósito se recomienda el uso de flujogramas y de técnicas de mapeo de procesos, para así identificar con mucha precisión la secuencia de actividades, sus interrelaciones y los distintos ingredientes que afectan a los cuatro elementos básicos del proceso. (2) Configuración de los elementos del proceso.- En esta etapa, con los resultados del paso previo, los auditores debieran utilizar el “diagrama árbol” y completarlo, identificando las distintas cláusulas que afectan a cada elemento del proceso. Esta herramienta permite al auditor tener una visión detallada de las cláusulas a auditar y organizarlas bajo la óptica de procesos. (3) Elaboración de las listas de chequeo.- Una vez concluida la configuración del proceso, es recomendable la construcción de listas de chequeo, para preparar las preguntas que se le formularán al auditado.

Al efectuar la auditoría a un SGSI bajo la óptica de procesos, es importante como complemento al “diagrama árbol”, que el auditor utilice el ciclo Deming al construir sus listas de chequeo. Las cláusulas de la norma en su sección metodológica, desde las cláusulas 4 a la 10 están agrupadas de acuerdo al ciclo Deming.

Es importante recalcar, que la Fase I (Auditoría Documental), no sólo está orientada para verificar la correcta documentación de las exigencias de la norma. Esta fase, genera una información muy importante que debe ser utilizada en la preparación de la auditoría de la Fase II. Aspectos sobre los activos de información identificados, su tasación, el enfoque usado para el análisis y evaluación del riesgo, las opciones de tratamiento del riesgo usadas y el plan de tratamiento del riesgo, son ingredientes vitales para organizar la configuración de los elementos del proceso con el diagrama árbol.

Referencias Bibliográficas

1. J.P. “Process Auditing and Techniques.” Quality Progress June, 2006.
2. Alexander, Alberto. Metodología para Documentar el ISO 9000 versión 2000. Prentice Hall, México, 2005.
3. Beer, Stafford. The Heart of Enterprise Wiley, 1979. England
4. ISO/IEC 27001:2005 Information Technology-Security Techniques-Information Security Management Systems Ginebra, Suiza.