Ir al contenido principal

50. Plan y Programa de Auditoría

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO 27001 en su versión 2013: 9.2

  • ISO 27001 en su versión 2022: 9.2.1, 9.2.2

Y el siguiente control:

  • ISO 27001 en su versión 2013: A.18.2.1

  • ISO 27001 en su versión 2022: A.5.35

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para planificar la aplicación de auditorías internas y externas, o cualquier posible revisión que consideres necesaria para evaluar tu programa de seguridad, incluyendo el registro de los responsables involucrados y las fechas estimadas.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad debes identificar todos los elementos que conforman la aplicación de una auditoría y documentarlo dentro del template que te proporcionamos, el cual considera los siguientes aspectos:

  • La actividad que se va a realizar, puede ser por ejemplo la aplicación de un ethical hacking, una auditoría interna para validación de cumplimiento, una auditoría externa para la certificación de un estándar de seguridad, etcétera.

  • Los procesos y/o servicios a inspeccionar, por ejemplo para las auditorías de certificación de ISO 27001 debes indicar los procesos o servicios alcanzados por tu SGSI.

  • Los sistemas, aplicaciones o herramientas que serán alcanzados por la inspección, es decir todos aquellos que se usan para la correcta ejecución de los procesos y/o servicios definidos en el punto anterior.

  • Las personas encargadas de llevar a cabo la inspección, por ejemplo para la auditoría interna de este proyecto, puedes indicar que la empresa de apoyo es Hackmetrix.

  • La periodicidad de la inspección, ya que recuerda que para cumplimiento normativo, debes revisar y mejorar constantemente tu programa de seguridad, y por lo menos las auditorías de certificación para ISO 27001 se realizan anualmente, por lo que debes planificar y estar preparado para afrontarlas.

  • Los métodos de auditoría, que pueden ser por ejemplo entrevistas, análisis de la documentación, muestreo de registros, observaciones, inspecciones técnicas, etcétera. Esta información generalmente te la proporciona el auditor o encargado de la inspección.

  • Los responsables involucrados para la ejecución de la inspección, que corresponde a los colaboradores de la empresa que estarán a cargo de facilitar la documentación, las evidencias de cumplimiento, atender las entrevistas, entre otras cosas. Para una auditoría de certificación de ISO 27001 serán todas aquellas personas alcanzadas por el SGSI de la empresa, así como también los colaboradores solicitados por el propio auditor.

  • Fechas y horarios en los que se lleva a cabo la actividad o inspección correspondiente. Esto es básicamente la planificación de las próximas auditorías y revisiones, que tiene como finalidad que puedas preparar adecuadamente todos los recursos necesarios. Esto generalmente se define en conjunto con el auditor o encargado de realizar la inspección.

Con esta información súper clara y bien documentada, ya podrás informar a los involucrados que serán convocados para que se preparen y tengan disponibles todos los recursos que necesitarán durante su participación.

¡Dentro del template que te proporcionamos podrás encontrar algunos ejemplos e información relevante sobre las auditorías que realiza Hackmetrix para que no comiences desde cero!

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Asegúrate de seguir correctamente el cronograma de actividades que definas durante esta planificación para evitar imprevistos y llegar súper preparados a la auditoría o revisión correspondiente.

  • Involucra e informa a todas las áreas que consideres necesarias, recuerda que el trabajo en equipo y la buena comunicación son esenciales para que la auditoría sea todo un éxito.

  • Identifica a tiempo todos los recursos, ya sean humanos, tecnológicos, documentales, etcétera, que vayas a necesitar para asegurar su disponibilidad.

  • Registra toda la información que te solicitamos en el template, e incluso puedes añadir más cosas si lo consideras necesario, para que puedas planificar adecuadamente y dar un seguimiento oportuno.

FAQs❔

Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
8. Programa de Capacitación
55. Auditoría interna del SGSI
¿Cómo entender y atender una auditoría externa?
FAQs - 50. Plan y Programa de Auditoría
Plan y Programa de Auditoría Interna (para SGIA)
¿Ha quedado contestada tu pregunta?