1.

CONOCER LA IMPORTANCIA DE LA NORMA ISO

27001 EN EL SGSI DE UNA EMPRESA

SISTEMA DE INFORMACIÓN

Un sistema de información es un conjunto de procedimientos ordenados que permiten gestionar

la información de la organización, y para ello se deben:

 Recoger los datos necesarios y procesarlos adecuadamente con el fin de convertirlos en

información.
 Almacenar la información útil en bases de datos.
 Proporcionar la información en tiempo y forma a los responsables de la organización.

El objetivo fundamental de estos sistemas es proporcionar la información necesaria que facilite la

toma de decisiones.

Los sistemas de información se convierten en un elemento estratégico prioritario y generan valor a

la gestión empresarial.

En el área de una empresa, el sistema de información puede estar delimitado específicamente a

una unidad operativa de finanzas, de marketing, de producción o al de recursos humanos, o tener
un alcance general.

Características Destacadas de un Sistema de Información

Incluir sólo información útil: la que no se necesite o sea irrelevante representa una pérdida de
tiempo para aquellos que desean usarla, y puede llegar a ocultar información realmente valiosa.
Ofrecer una información exacta: este es un requisito prioritario, ya que si los datos manejados
son inexactos, la información carecerá de valor o será engañosa, lo que conducirá en todo caso
a la posibilidad de adoptar decisiones erróneas.

Elementos del Sistema de Información

Información y Datos Con ellos trabaja el sistema, ya que se
transforman unos datos (inputs) en
información (outputs).
Personas Forman parte del sistema de información y
pueden ser:
 Personal técnico encargado de su
diseño y correcto funcionamiento o
encargados de introducir los datos en
el sistema.
 Personas que utilizan la información
que el sistema proporcional.
Elementos de Soporte Sirven para dar soporte al sistema. Si se
tratara de un sistema automatizado habría
 que contemplar el hardware y el software

INFORMATIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN

La mayoría de los sistemas de información de una organización están informatizados, lo que

permite mejorar la rapidez, flexibilidad y comodidad para acceder a la información que se precise
necesitar en un momento dado.

Un sistema de información de un determinado departamento de una empresa está compuesto de

hardware y aplicaciones de software, que permitirán adoptar determinadas decisiones sobre
diferentes aspectos de la empresa.

El hardware puede ser un gran ordenador central o un ordenador personal. El software puede
estar constituido por un programa diseñado a medida del cliente.

Se puede diseñar a medida el sistema de información adaptándolo plenamente a las necesidades

de la empresa

Herramientas de Gestión
Sistemas Gestores de Bases de Datos Para construir bases de datos y guardar la
información que se desea por la empresa, por
ejemplo, la relativa a personal o recursos
humanos.
Hojas de Cálculo Permiten realizar operaciones de forma
rápida, en función de las relaciones que el
usuario haya establecido previamente.
Procesadores de Texto Facilitan la creación y organización de textos, y
también el intercalado de gráficos para
elaborar documentos escritos
Gráficos de Negocios Permiten obtener información sobre la
evolución de algunas variables, que se desean
conocer del departamento.

Características del Sistema

La informatización de los sistemas de información de una empresa debe contemplar una serie de
características como la confidencialidad, seguridad, flexibilidad, rapidez y fiabilidad.

Confidencialidad y Seguridad
Muchos de los datos que forman parte de estos sistemas informatizados guardan relación con la
privacidad de los empleados.

Por ello, se deben desarrollar las políticas adecuadas que protejan la confidencialidad de dichos
sistemas, de manera que la información personal de cada empleado, como la referente a los datos
sobre la salud, situación familiar o los salarios, no sea usada por quien no deba.
Es un requisito imprescindible que el acceso a esta información solo contemple a aquellas
personas que verdaderamente están autorizadas; ya que aquellos usuarios no autorizados que
consigan el acceso a este tipo de información pueden ocasionar múltiples daños, no solo a los
afectados sino también a la propia empresa.

Medidas de Seguridad que Deben Adoptar las Empresas en un Sistema de Información

Para garantizar la seguridad y confidencialidad de la información contenida en los sistemas
informatizados, las empresas deberían:
Codificar los datos: de forma que el usuario no autorizado no los comprenda.
Permitir el acceso a diferentes parcelas de la base de datos, únicamente mediante el uso de
determinados códigos.
Establecer criterios de acceso: como acceder solamente a lo que es necesario saber sobre la
información del empleado.
Implantar políticas que regulen el uso de información sobre el empleado.

Flexibilidad, Rapidez y Fiabilidad

Es imprescindible que el sistema sea adaptable en el tiempo a las necesidades del departamento
correspondiente.

Por ello, los sistemas informatizados deben acompañarse de una adecuada y amplia
documentación. De esta forma, se podrá conocer cómo fueron construidos y qué posibilidades de
ampliación o compatibilidad presentan.

Los sistemas informatizados deben imprimir rapidez o agilidad a las consultas de información,
prestando la correspondiente ayuda a las diversas áreas de aplicación.

Problemas de los Sistemas de información

En algunos casos, los sistemas informatizados no proporcionan el resultado esperado por las
empresas. Entre las principales causas de fracaso se encuentran:

 Altas expectativas de los usuarios.

 Inadecuada selección del sistema

El éxito en la informatización de los sistemas de información de la empresa depende de una buena

planificación del sistema, lo que conlleva una adecuada comunicación entre usuarios, personal
informático y proveedores.

Principales Inconvenientes de los Sistemas Informatizados

 Falta de claridad de metas y objetivos: al no estar claras las funciones que estos
sistemas deben realizar.
 Sobredimensión del sistema: los objetivos del sistema son demasiado elevados en
relación a las capacidades de la organización
 Falta de involucración del usuario: en ocasiones no se consigue un verdadero
compromiso por parte del usuario.
SISTEMA DE GESTIÓN DE LA SEGURIDA DE LA INFORMACIÓN
El sistema de gestión de la seguridad de la información (SGSI) está diseñado para proporcionar
los controles de seguridad que protejan los activos de información de una organización.
Una organización necesita identificar y manejar muchas actividades para poder funcionar de
manera efectiva.

Cualquier actividad que usa recursos y es manejada para permitir la transformación de inputs en
outputs se puede considerar un proceso.

Es básico entender los requerimientos de seguridad de la información de una organización y la

necesidad de establecer una política y unos objetivos concretos para la seguridad de la
información.

Se deberán implementar y operar controles para manejar los riesgos de la seguridad de la

información, monitoreando y revisando el desempeño y la efectividad del sistema de gestión de
seguridad de la información.

La finalidad última es alcanzar una mejora continua en base a la medición del objetivo

La norma ISO 27001

La nueva versión de la norma ISO 27001, que fue publicada el 15 de Octubre de 2013, contiene
los “requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI”

En la aplicación del sistema de gestión de la seguridad de la información adopta el modelo del

Proceso Planear-Hacer-Chequear-Actuar (PDCA), el cual se puede aplicar a todos los procesos de
un sistema de gestión de la seguridad de la información.

PDCA
Planear-Planificar Se fijará la política, objetivos, procesos y
procedimientos del sistema de seguridad de la
información relevantes para manejar el riesgo
y mejorar la seguridad de la información de
 acuerdo con las políticas y objetivos generales
de la organización.
Hacer Se implementarán la política, los controles,
los procesos y procedimientos del sistema de
gestión de seguridad de la información.
Chequear- Verificar Se evaluará y medirá el desempeño del
proceso en comparación con la política,
objetivos y experiencias establecidas en el
sistema de gestión de la seguridad de la
información.
Actuar Se adoptarán las acciones correctivas y
preventivas, basadas en los resultados de la
auditoria interna del sistema de gestión de la
seguridad de la información, juntamente con
la revisión gerencial y cualquier otra
información relevante con el fin de lograr el
mejoramiento continuo del SGSI.

Requerimientos Generales de un Sistema de Gestión de la Seguridad de

la Información
Una organización debe establecer, implementar, monitorear, mantener y mejorar continuamente
un SGSI documentado dentro del contexto de las actividades generales de la organización.

Claves para una Organización de la Implantación del Sistema de Gestión de Seguridad de la

Información
La organización debe:
 Definir el alcance y los límites del sistema de gestión de seguridad de la información de
acuerdo a las características de la organización, los aspectos internos y externos
relevantes que afecten a la seguridad de la información, los aspectos internos y
externos relevantes que afecten a la seguridad de la información, las necesidades y
expectativas de las partes interesadas y las dependencias con otras organizaciones.
 Determinar una política del sistema de gestión de la seguridad de la información en la
que se incluya un marco referencial para establecer sus objetivos, identificando los
riesgos, amenazas y vulnerabilidades que se podrían producir.

Implementar y Operar el Sistema de Gestión de la Seguridad de la

información
La organización debe formular un plan de tratamiento de riesgo que identifique las acciones
apropiadas, los recursos, las responsabilidades y las prioridades para manejar los riesgos de la
seguridad de la información.

De esta manera, con una adecuada implementación de las operaciones y recursos del SGSI se
podrá producir una rápida detección y respuesta a posibles incidentes de seguridad.

Documentación del Sistema de Gestión de Seguridad de la Información

La documentación del sistema de gestión de seguridad de la información debe incluir:
  Política, alcance y objetivos del SGSI.
 Procedimientos y controles de soporte del SGSI.
 Registros requeridos por el estándar internacional.

La extensión de la documentación SGSI puede diferir de una organización a otra, debido al tamaño
de la organización y al tipo de sus actividades, así como por el alcance y complejidad de los
requerimientos de seguridad y al sistema que se esté manejando.

Monitorear y Revisar el Sistema de Gestión de la Seguridad de la

información
La organización debe ejecutar procedimientos de monitoreo y revisión, y todos aquellos
controles, que permitan detectar rápidamente los errores en los resultados de procesamiento,
identificando los incidentes y violaciones de seguridad.

También, esta actividad permitirá a la dirección determinar si las actividades de seguridad

delegadas a las personas o implementadas mediante la tecnología de la información se están
realizando como se esperaba.

Es fundamental, realizar revisiones regulares de la efectividad del sistema de gestión de seguridad

de la información, incluyendo satisfacer la política y objetivos de seguridad del SGSI, revisando los
controles de seguridad con los resultados de las auditorias, incidentes, mediciones de seguridad y
sugerencias de todas las partes interesadas.

Medir la efectividad de los controles para verificar que se hayan cumplido los requerimientos de
seguridad, registrando las acciones y eventos que podrían tener un impacto sobre la efectividad
o desempeño del SGSI.
Mantenimiento y Mejora del Sistema de Gestión de la Seguridad de la
información
La organización deberá implementar las mejoras identificadas en el sistema de gestión de
seguridad de la información, adoptando las acciones correctivas y preventivas apropiadas.

Se deben comunicar los resultados y acciones a todas las partes interesadas con un nivel de
detalle apropiado de acuerdo a las circunstancias y cuando sea relevante acordar cómo proceder,
asegurándose que las mejoras logren los objetivos señalados.

OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El objetivo de la política de seguridad de la información es proporcionar directrices para la gestión
y soporte de la seguridad de la información de acuerdo con los requisitos empresariales y con la
legislación y las normas relevantes

Aspectos Básicos: Documentación y Revisión de la Política de Seguridad de la Información

Documentar las Políticas de Seguridad de la La gerencia debe aprobar un conjunto de
Información políticas de seguridad de la información, que
deberán publicarse y comunicarse a todos los
empleados y partes externas relevantes.
Revisión de las Políticas de Seguridad de la Las políticas de la seguridad de la información
Información deben ser revisadas regularmente a intervalos
planeados o bien en el caso de que ocurrieran
cambios significativos para asegurar su
adecuada conveniencia, adecuación y eficacia

Organización de la Seguridad de la información: Organización Interna

La finalidad de la implementación de una política de seguridad de la información dentro del
ámbito interno de una organización es establecer un marco de trabajo para iniciar y controlar la
implementación de la información dentro de esta.

Dirección, Coordinación y Responsabilidades

Roles y Responsabilidades con la Seguridad Todas las responsabilidades de seguridad de la
de la Información información deben estar definidas y asignadas.
Asignación de Responsabilidades de la Se deben definir claramente las
Seguridad de la Información responsabilidades de la seguridad de la
información.

Organización de la Seguridad de la información: Entidades Externas

En relación a las entidades externas, el principal objetivo es mantener la seguridad de la
información de la organización y de sus medios de procesamiento de información, a los que tienen
acceso o son manejados por entidades externas.

Actuaciones a Desarrollar en la Organización de la Seguridad de la Información en Relación a

las Entidades Externas
Política de Seguridad de la Información para Deben acordase de forma documentada los
Relaciones con Proveedores requisitos de seguridad de la información para
 la mitigación de los riesgos asociados con el
acceso del proveedor a los activos de la
organización.
Abordar la Seguridad en los Acuerdos con Todos los requisitos relevantes de seguridad
Proveedores de la información deben ser establecidos y
acordados con cada proveedor que pueda
acceder, procesar, almacenar, comunicar o
proporcionar componentes de infraestructura
TI para la información de la organización.
Cadena de Suministro, Tecnologías de la Los acuerdos con proveedores incluirán
Información y las Comunicaciones requisitos para abordar los riesgos de
seguridad de la información asociados con la
cadena de suministro de servicios y productos
de tecnología de las comunicaciones.

CONCEPTOS DE SEGURIDAD INFORMÁTICA

En el concepto de seguridad existen unas definiciones previas que deben conocerse antes de en la
implantación de un sistema de gestión de la seguridad de la información.

Definiciones Básicas
Activo Recurso del sistema de información o relacionado con este necesario para
que la organización funcione correctamente y alcance los objetivos
propuestos por su dirección.
Amenaza Evento que puede desencadenar un incidente en la organización,
produciendo daños o pérdidas materiales o inmateriales en sus activos.
Riesgo Posibilidad de que una amenaza se materialice.
Impacto Consecuencia sobre un activo de la materialización de una amenaza
Control Práctica, procedimiento o mecanismo que reduce el nivel de riesgo

Seguridad Informática y Seguridad de la Información

Habitualmente, se suele confundir entre seguridad informática y seguridad de la información, por
lo que es necesario diferenciar entre seguridad informática y seguridad de la información

Diferencias Seguridad Informática y Seguridad de la Información

Seguridad Informática Son medidas encaminadas a proteger el hardware, el software y
las comunicaciones de los equipos informáticos. Estas medidas
pueden ser de:
 Carácter físico: en las instalaciones mediante
perímetros de seguridad cuya finalidad es proteger
áreas que contienen información y medios de
procesamiento de información.
 Telecomunicaciones y acceso al sistema: mediante
protocolos seguros, encriptación, firewall.
 Realización de copias de seguridad: con el fin de
garantizar la información.
Seguridad de la Información Son medidas encaminadas a proteger la información con
 independencia del soporte en el que se encuentren contra
cualquier amenaza, de tal manera se puede asegurar la
continuidad de las actividades de la empresa, minimizando el
perjuicio que se pudiera causar.
Se caracteriza por garantizar como mínimo la:
 Confidencialidad.
 Integridad.
 Disponibilidad.

ACTITUD
CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN
Los documentos deben estar perfectamente identificados, mediante procedimientos que
permitan asegurar la confidencialidad, integridad y disponibilidad de la información.

La mejora continua está directamente relacionada con la implementación de todas aquellas

herramientas de producción necesarias para un mejor aprovechamiento de las tecnologías de la
información y la comunicación.

Si se revisan y actualizan convenientemente los documentos que contienen información valiosa,

por ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información
esté permanentemente actualizada y sea veraz, indistintamente de quien la utilice.

Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se
manejan convenientemente tanto las herramientas informáticas que se requieran como las
habilidades mentales que toda persona posee, en unas personas poco potenciadas y en otras
altamente desarrolladas.

No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver
claramente y con detalle cuáles son las causas de por qué se ha producido determinado hecho. En
todos los casos, es conveniente utilizar la información de la que disponemos para preguntarnos el
porqué de las cosas, por qué ha ocurrido tal situación.

2. ANALIZAR Y REVISAR LA NORMA ISO 27001

NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN
ISO ha asignado a la seguridad de la información la serie 27000, donde se encuadran normas de
requisitos y guías de apoyo.

Quedan configuradas las normas de la siguiente manera:

La Familia ISO 27000

Normas para Construir, Evaluar y Mejorar un SGSI
27000 Descripción general y vocabulario.
27001 Contiene los requisitos del SGSI: es un modelo certificable en seguridad de la
información.
27002 Guía de Buenas prácticas en seguridad de la información que describe los
objetivos de control y los controles recomendables en cuanto a seguridad de la
 información
27003 Guía de implantación de un SGSI.
27004 Guía que determina la métrica y mediciones del SGSI y de sus controles para
asegurar la eficacia del mismo.
27005 Guía para la gestión de riesgos de seguridad de la información.
27006 Requisitos para las entidades que realizan auditorias de certificación de un SGSI
27007 Guía para la realización de auditorías de SGSI
27008 Guía para la realización de las auditorias de los controles de seguridad de la
información.
27035 Guía para la gestión de incidentes de seguridad de la información.

La Familia ISO 27000

Principales Normas de Apoyo para Ampliar el Ámbito de un SGSI y adaptarlo a diferentes
sectores
27010 Guía de controles de seguridad adicionales para organizaciones que comparten
información.
27011 Guía para la aplicación de los controles de la ISO en el sector de telecomunicaciones.
27013 Guía para la implantación integrada de ISO 27001 e ISO 20000-1.
27014 Gobierno de la seguridad de la información.
27015 Guía para la aplicación de los controles de la ISO en servicios financieros.
27019 Guía para la aplicación de los controles de la ISO en el sector de industria energética.
27031 Guía para la continuidad del negocio en el sector TIC.
27032 Guía para la ciberseguridad.
27036-3 Guía para la seguridad en la cadena de suministro TIC.
27799 Guía para la aplicación de los controles de la ISO en el sector sanitario.
Principales normas de la familia ISO 272000

Medidas de Seguridad que Deben Adoptar las Empresas en un Sistema de Información

La ISO (Internacional Standarization Organization) es la entidad internacional encargada de
favorecer la normalización a nivel internacional.
Existen oficinas de normalización en distintos países, y concretamente en España esta función la
realiza AENOR.
Una norma es un modelo, patrón o criterio a seguir, que define las principales características y
requisitos exigidos para su utilización a nivel internacional.
La finalidad principal de las normas ISO es coordinar y unificar los diferentes usos y aplicaciones
con el fin de conseguir una mayor eficacia y eficiencia, así como una reducción en los costes.

Las normas principales son ISO 27001, que contiene los requisitos del sistema de seguridad de la
información e ISO 27002 que es una guía de buenas prácticas.

Otras Normas ISO del Grupo 27000

En el grupo de normas ISO de seguridad de la información, existen también otras que
complementan lo determinado en la 27001 y en la 27002 como es la Norma ISO 27007 que
consiste en una guía de auditoría de un sistema de gestión de la seguridad de la información.

También, la norma ISO 27011 consistente en una guía de gestión de seguridad de la información
específica para telecomunicaciones.
Otras normas dedicadas a la gestión de la seguridad de la información, son la norma ISO 27032
que consiste en una guía relativa a la ciberseguridad y la norma ISO 27799 para la adaptación de
los controles de la norma ISO 27002 en el sector sanitario.

APRENDER EL ORIGEN Y EVOLUCIÓN DE ISO 27001

La nueva versión de la norma ISO 27001 fue publicada el 1 de Octubre de 2013, y es la norma que
contiene los requisitos del sistema de seguridad de la información. La anterior versión
correspondía al año 2005.

Tiene su origen en la BS 7799-2:2002, y su objetivo es proporcionar una base común para la

elaboración de las normas de seguridad de las organizaciones, configurando un método de gestión
eficaz de la seguridad, y estableciendo informes de confianza en las transacciones y las relaciones
entre las empresas.

ISO 27001 es la norma en base a la cual se certifica por auditores externos a la empresa los
sistemas de gestión de seguridad de la información de las organizaciones. Aunque el hecho de
estar certificado en ISO 27001 no prueba que la organización sea 100 % segura.

ENTENDER LA UTILIDAD DE LA ISO 27001

La autoridad y compromiso decidido de la dirección de la empresa, incluso si el alcance
inicialmente es muy reducido, es uno de los puntos fundamentales de la aplicación de la norma
ISO 27001.

La adopción de esta norma internacional proporciona claras ventajas que deben ser valoradas por
la gerencia y la dirección para su implantación en la empresa

Se plantea como principal objetivo la certificación, aunque también es posible alcanzar la

conformidad con la norma sin la certificación; en estos casos el cumplimiento de los requisitos
establecidos por la norma permitirá alcanzar el éxito en la gestión de la seguridad de la
información de la empresa.
 Beneficios de la ISO 27001
En el Ámbito Organizacional Se genera un importante compromiso: El registro permite
garantizar y demostrar la eficacia de los esfuerzos desarrollados
para asegurar la organización en todos sus niveles, y probar la
diligencia razonable de sus administradores.
En el Cumplimiento Legal de Se manifiesta conformidad en el cumplimiento de los
las Exigencias requisitos legales: El registro permite demostrar a las
autoridades competentes que la organización observa todas las
leyes y normativas aplicables.
En el Ámbito Funcional Se desarrolla una adecuada gestión de los riesgos: Permitirá
obtener un mejor conocimiento de los sistemas de información,
sus problemas y los medios de protección, garantizando
también una mejor disponibilidad de los materiales y datos.
En el Ámbito Comercial Se genera credibilidad y confianza: Por tanto, los socios, los
accionistas y los clientes se tranquilizan al constatar la
importancia que la organización concede a la protección de la
información. Una certificación también puede brindar una
diferenciación sobre la competencia y en el mercado. Asimismo,
algunas licitaciones internacionales ya comienzan a pedir una
gestión ISO 27001.
En el Aspecto Financiero Se puede conseguir una reducción de los costes vinculados a los
incidentes y también la posibilidad de disminuir las primas de
seguro.
En el Aspecto Humano En la gestión de los recursos humanos de la empresa se produce
una mejora de la sensibilización del personal en relación a la
seguridad y a sus responsabilidades en la organización.

Ventajas de la Obtención del Certificado ISO 27001

Certificado expedido por un organismo reconocido oficialmente, en el que se identifica la
conformidad del Sistema de Gestión de Seguridad de la información de la empresa de acuerdo
con la Norma ISO, en la que se basó dicho sistema.

La obtención de un certificado, que asegura de cara al exterior que la organización cumple con el
sistema de gestión implantado, genera prestigio empresarial y es una garantía de competitividad
en el mercado.

Aunque quien verdaderamente va a decidir si una organización merece encontrarse y permanecer

en el mercado son los clientes, que son los que realmente van a certificar el sistema de gestión de
la seguridad de la información implantado.

ESTRUCTURA Y FILOSOFÍA DE LA ISO 27001

La norma ISO 27000 presenta la siguiente estructura:
 Estructura de la ISO 27001
Alcance Aunque esta norma se puede aplicar a todos los tipos de organización, es
necesario definir el tamaño de las organizaciones a las que va dirigida.
También, es conveniente especificar los requisitos adecuados para la
implementación de los controles de seguridad adaptados a las necesidades
de las organizaciones o bien a partes de estas.
Referencias En esta Norma es necesaria la utilización de la norma ISO IEC 27002: 2013
Normativas Tecnología de la información. Técnicas de seguridad-Código de buenas
Prácticas para la Gestión de Seguridad de la Información.
A lo largo de la norma se hace referencia a otras normas:
ISO/IEC 27003: Guía implantación del SGSI.
ISO/IEC 27004: Medición.
ISO/IEC 27005: Gestión de Riesgos de Seguridad de la Información.
Términos y Son los términos y definiciones utilizados a lo largo de la norma ISO 27001:
Definiciones Se aplica el contenido de la norma ISO / IEC 27000.
Contexto de la Entendimiento de la Organización y su Contexto: requiere identificar todos
Organización los elementos internos y externos con impacto en la consecución de los
objetivos del SGSI.
Expectativas de las partes interesadas: es obligatorio identificar claramente
los requisitos y expectativas de todas las partes interesadas, incluyendo los
aspectos legales, contractuales y regulatorios.
Alcance del SGSI: los límites del SGSI estará documentado y estará
condicionado por los puntos anteriores, así como por las dependencias e
interfaces internas y externas con otras organizaciones.
Liderazgo Liderazgo y Compromiso de la Alta Dirección: mostrando evidencias como el
establecimiento, implementación, revisión, mantenimiento y mejora del
SGSI, evidenciando que se proveen los recursos necesarios para el desarrollo
del sistema.
Política: diseño, despliegue y comunicación del marco global que incluya el
compromiso permanente de la dirección en cuanto a su cumplimiento y
mejora continua.
Roles, responsabilidades y autoridades de la organización: las
responsabilidades y autoridades están debidamente asignadas y
comunicadas, así como el reporte del funcionamiento del SGSI a la alta
dirección.
Planificación Acciones para abordar los riesgos y oportunidades: la organización debe
definir y aplicar un proceso de evaluación de los riesgos de seguridad de la
información, estableciendo los criterios de análisis que permitan identificar,
analizar y evaluar los riesgos resultantes, para posteriormente realizar un
adecuado tratamiento y selección de los controles más adecuados según el
anexo A.
Objetivos de seguridad de la información: se deben establecer objetivos de
seguridad que deben ser consistentes con la Política, y medibles, basados en
los riesgos del negocio y con un adecuado seguimiento del grado de
cumplimiento.
Soporte Recursos: es necesario demostrar que se han determinado y se proveen los
Analizar y Revisar la Norma ISO 27001 12 recursos necesarios para el
desarrollo del sistema
 Competencia: es fundamental garantizar que todo el personal al que se le
han asignado responsabilidades en el SGSI es competente para desempeñar
las tareas requeridas.
Concienciación: el personal con tareas dentro del SGSI debe conocer la
política de seguridad, su contribución a la efectividad del SGSI y las
implicaciones del incumplimiento con los requisitos establecidos.
Comunicación: relativo a la identificación de los canales más efectivos de
comunicación internos y externos (quién, cómo, cuándo, cómo y qué).
Información documentada: aplicación de criterios que aseguren un control a
lo largo de todo el ciclo de vida de la documentación sobre la que se
construye el SGSI (creación, actualización, distribución, almacenamiento).
Operación Control y control operacionales: planificar, implantar y controlar los
procesos necesarios para cumplir con los requisitos y objetivos de seguridad
de la información.
Evaluaciones de riesgos de seguridad de la información: se deben realizar
evaluaciones documentadas de los riesgos de forma periódica y planificada
en función de los criterios establecidos.
Tratamiento de los riesgos de seguridad de la información: debe
implantarse un plan de tratamiento de los riesgos de la información
documentado.
Evaluación del Medición, análisis y evaluación: el Sistema de Gestión de la Seguridad de la
Desempeño Información debe asegurar que la organización mejora continuamente su
efectividad, determinando cuáles son las necesidades de medición, los
métodos más adecuados, la frecuencia y los responsables de su aplicación y
análisis.
Auditoria Interna: garantizando que la organización realiza auditorías
internas en los intervalos planificados, por tanto se requiere una
formalización del programa de auditorías, los criterios de auditoria, las
competencias necesarias para los auditores internos y un análisis y
tratamiento adecuado de los resultados obtenidos.
Revisión por la dirección: la alta dirección debe revisar el SGSI a intervalos
planificados, que asegure que continúa siendo idóneo, apropiado y efectivo.
Mejora No conformidades y acciones correctivas: cuando se detecte una no
conformidad la organización debe reaccionar, determinando sus causas y
Analizar y Revisar la Norma ISO 27001 13 proponiendo acciones correctivas
efectivas para eliminar la causa raíz.
Mejora continua: el SGSI debe asegurar que la organización mejora
continuamente su efectividad mediante el uso de:
 La política y los objetivos de seguridad de la información.
 Los resultados de auditoria.
 Los análisis de eventos monitorizados.
 Las acciones correctivas y preventivas.
 La revisión del sistema por parte de la alta dirección.

Filosofía de la ISO 27002

La norma ISO 27002:2013 es una guía de recomendaciones estructuradas que está reconocida
internacionalmente y dedicada a la seguridad de la información.
 Se determina un proceso concreto que permite evaluar, establecer, mantener y administrar la
seguridad de la información.

Es Evidente que ISO 27002: 2013 NO ES

 Un estándar técnico.
 Una norma tecnológica orientada al producto.
 Una metodología de evaluación del equipamiento.
 Un sistema que permite una certificación de la seguridad, ya que actualmente solo ISO
27001 y sus derivados nacionales ofrecen un esquema de certificación.
 Un sistema que no detalla ninguna obligación en cuanto al método de evaluación del
riesgo, sino que bastaría con elegir el que responde a las necesidades.

¿Para qué Sirve ISO 27002: 2013?

Es una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la
información de una empresa.

La norma contiene un conjunto de controles donde se identifican las mejores prácticas para la
gestión de la seguridad de la información, y sirve como consulta al encargado de la seguridad de
la información de una organización.

La ISO 27002:2013 no es un Sistema de Gestión de Seguridad de la Información.

La ISO 27002:2013 no es certificable, únicamente hace recomendaciones sobre el uso de controles

de seguridad, y no establece ningún requisito cuyo cumplimiento pudiera certificarse

Integración de Normas iSO

Las normas ISO 20000-1 (Gestión de Servicios) e ISO 22301 (Gestión de la Continuidad del
Negocio) establecen requisitos adicionales que permiten establecer un marco más eficaz de
gestión de la seguridad de la información, a partir de la implantación de la ISO 27001.

Las normas ISO 20000-1 e ISO 22301 desarrollan en más detalle controles que aparecen en el
anexo A Analizar y Revisar la Norma ISO 27001 15 de ISO 27001, tales como gestión de la
capacidad o continuidad del negocio.

La ISO 27001 se puede integrar con otras normas, como por ejemplo la ISO 90001, ISO 20000-1
o ISO 22301 al compartir como principio general la gestión de procesos.
El cumplimiento de estas normas genera una importante armonización con el grupo de normas de
calidad ISO 9000 ISO 9001 / ISO 20000-1 / ISO 22301 al generar un beneficio común de reducción
de esfuerzos y costes.

Perfil de la Organización Interesada

El perfil de las organizaciones en las que puede ser interesante implantar un sistema de gestión de
la seguridad de la información es muy variado:

Organizaciones a las que Pueden Interesarles Implantar un SGSI

Cualquier tipo de organización o de empresa, privada o pública, en estos casos no importa el
tamaño de esta para proceder a la implantación del sistema.
Es importante también su implantación en aquellas organizaciones que utilizan sistemas
internos o externos que poseen informaciones confidenciales, o que dependen de estos
sistemas para el funcionamiento normal de sus operaciones.
La organización que desea probar su nivel de seguridad de la información conforme a una
norma reconocida internacionalmente.

Cuanto más elevado es el riesgo en la organización, más atención se debe poner a la seguridad de
sus datos. Es el caso particular de los sectores gubernamentales, financieros y de salud.
OBJETIVOS Y CONTROLES DE ISO 27001
Desde el 1 de Octubre de 2013 se cuenta con una nueva versión de la norma ISO 27001, Y en su
anexo A se regulan los objetivos de control y controles, tal y como establece la Norma ISO
27001.

La ISO 27002 no es certificable y es un código de buenas prácticas y recomendaciones, que

describe los objetivos de control y controles recomendables en materia de seguridad de la
información.

Contenido de ISO 27002

 14 áreas de aplicación.
 35 objetivos: que son aquellos resultados que se esperan alcanzar mediante la
implantación de controles.
 114 controles: todas aquellas prácticas, procedimientos o mecanismos que reducen el
nivel de riesgo.

Objetivos de Control y Controles

Los objetivos de control y los controles enumerados en la norma se derivan directamente de los
enumerados en ISO 27001: 2013. Pero estas listas no son exhaustivas, y una determinada
organización puede considerar que son necesarios objetivos de control y controles adicionales.

Objetivos de Control y Controles

A.5 Política de Objetivo de Control: dirigir y dar soporte a la gestión de la seguridad de
Seguridad (2 la información de acuerdo con los requisitos del negocio y las leyes y
controles) regulaciones relevantes:
La alta dirección debe definir un conjunto de políticas que reflejen las
líneas directrices de la organización en materia de seguridad, aprobarlas y
publicarlas de la forma adecuada a todo el personal implicado en la
seguridad de la organización (empleados y partes interesadas).
A.6 Organización Objetivo de Control: establecer un marco de trabajo de gestión para
de la Seguridad de iniciar y controlar la implantación y operación de la seguridad de la
la Información (7 información dentro de la organización:
controles) La organización debe definir cada uno de los roles y responsabilidades
implicados, eliminar los conflictos de intereses por medio de la
segregación de las tareas incompatibles, mantener contactos con las
autoridades relevantes con relación al SGSI, mantener vínculos con
grupos de interés y foros profesionales y tratar los riesgos de seguridad
de la información en la gestión de proyectos.
Objetivo de Control: proteger el teletrabajo y uso de dispositivos
móviles.
Se deben establecer políticas para gestionar los riesgos derivados del uso
de dispositivos móviles y el acceso, procesamiento o almacenamiento de
información desde ubicaciones externas.
A.7 Seguridad de Objetivo de Control: asegurar que los empleados y subcontratados
los Recursos entienden sus responsabilidades y que son adecuadas para sus
Humanos (6 funciones:
controles) Es necesario sistematizar un método de verificación de la experiencia y
 credenciales de acuerdo con la legislación, necesidades del negocio y
nivel de riesgo en función de la información a la que se tendrá acceso. Las
responsabilidades deberán estar formalizadas en un contrato entre
ambas partes.
Objetivo de Control: asegurar que los empleados y subcontratados
conocen y cumplen con sus responsabilidades en materia de seguridad
de la información:
Se debe asegurar que los empleados y subcontratistas cumplen con las
políticas y procedimientos de seguridad vigentes, que reciben la adecuada
formación y que son conocedores del procedimiento disciplinario
existente en caso de incumplimiento.
Objetivo de Control: proteger los intereses de la organización como
parte del proceso de cambio de funciones o finalización de la relación
contractual con el empleado o subcontratado:
Las obligaciones y responsabilidades en materia de seguridad de la
información, una vez finalizada la relación laboral o cambio de puesto y
que deban seguir vigentes, se comunicarán al empleado o subcontratista.
A.8 Gestión de Objetivo de Control: identificar los activos de la organización y definir
Activos (10 adecuadas responsabilidades para su protección:
controles) Establecimiento de un inventario de los activos asociados con la
información e infraestructura para su procesamiento, detallando
propietarios, así como las normas de uso aceptable y su devolución en
caso de finalización de la relación contractual entre la organización y el
empleado u otra parte interesada.
Objetivo de Control: asegurar que la documentación recibe un adecuado
nivel de protección en función de su importancia para la organización:
La información se clasificará aplicando diferentes criterios (requisitos
legales, nivel de riesgo, criticidad…) y se procederá a su marcado o
etiquetado en función de las políticas definidas. Además, será necesario
establecer mecanismos para la manipulación de los activos en función de
la clasificación definida.
Objetivo de Control: prevenir la divulgación no autorizada, modificación,
eliminación o destrucción de información almacenada en los medios de
información:
Los medios que contienen información estarán protegidas contra no
autorizado el acceso, el uso indebido o la corrupción durante su
transporte.
A.9 Control de Objetivo de Control: limitar el acceso a la información e infraestructura
Acceso (14 de procesamiento de información:
controles) Los medios que contienen información estarán protegidas contra no
autorizado el acceso, el uso indebido o la corrupción durante su
transporte
Objetivo de Control: asegurar el acceso autorizado y prevenir los
accesos no autorizados a los sistemas y servicios:
Implantación de un proceso formal de registro, modificación y
eliminación de usuarios, incluyendo los permisos y la revisión periódica de
los derechos de acceso.
Objetivo de Control: hacer a los usuarios responsables de proteger su
 información de autenticación:
Los usuarios deben aplicar las directrices definidas por la organización con
relación al uso de la información secreta para la autenticación.
Objetivo de Control: prevenir el acceso no autorizado a sistemas y
aplicaciones:
Implantación de métodos para restringir el acceso a la información,
procedimientos seguros de inicio de sesión, contraseñas robustas, acceso
al código fuente de los programas y control exhaustivo de las
herramientas que tengan la capacidad de romper las medidas de
seguridad de acceso a sistemas y aplicaciones.
A.10 Criptografía Objetivo de Control: asegurar el uso adecuado y efectivo de la
(2 controles) criptografía para proteger la confidencialidad, autenticidad y / o
integridad de la información:
Definir una política de uso de controles criptográficos y uso de claves.
A.11 Seguridad Objetivo de Control: prevenir el acceso físico no autorizado, daños e
Física y Ambiental interferencias en la información e infraestructuras de procesamiento de
(15 controles) información de la organización.
Establecimiento de un perímetro de seguridad con controles físicos de
entrada. Existencia de protección contra amenazas ambientales (fuego,
agua, temperatura) en las zonas seguras, oficinas y salas con
infraestructura.
Objetivo de Control: evitar la pérdida, daño, robo de los activos y la
interrupción de las operaciones de la organización.
Implantación de políticas para la protección de los equipos, suministro
eléctrico y cableado, así como su mantenimiento, reutilización o
eliminación. Además se requiere la definición de políticas en caso de
equipo desatendidos por el usuario y mesas y escritorio limpios.
A.12 Seguridad de Objetivo de Control: confirmar que la infraestructura de procesamiento
las Operaciones de la información opera de forma segura y correcta.
(14 controles) Aplicación de documentos que describan los procedimientos
operacionales, la gestión de cambios, gestión de la capacidad y la
separación de los entornos de desarrollo, pruebas y producción.
Objetivo de Control: asegurar que la información y la infraestructura de
procesamiento de la información están protegidas frente a malware.
Objetivo de Control: protección frente a pérdida de datos.
Objetivo de Control: registrar eventos y generar evidencias.
Se requiere registrar las actividades de los usuarios y sistemas, así como
fallos y eventos que atenten contra la seguridad de la información.
Objetivo de Control: asegurar la integridad de los sistemas
operacionales.
Objetivo de Control: prevenir la explotación de las vulnerabilidades
técnicas.
La organización debe conocer el grado de exposición frente a
vulnerabilidades técnicas de sus sistemas de información, así como
implantar políticas para la instalación restringida de software.
Objetivo de Control: minimizar el impacto de las actividades de
auditoría en los sistemas operacionales.
Las actividades de auditoría de los sistemas de información deben estar
 cuidadosamente planificadas y con el objeto de minimizar las
interrupciones en los procesos del negocio.
A.13 Seguridad de Objetivo de Control: asegurar la protección de la información en redes
las de comunicaciones y en sus recursos de procesamiento de soporte.
Comunicaciones (7 Se deben aplicar medidas de seguridad en la red para proteger la
controles) información en sistemas y aplicaciones. Estos requerimientos se tienen
que evidenciar en los contratos con las empresas que presten servicios de
red.
Objetivo de Control: mantener la seguridad en la información
transferida entre la organización y cualquier entidad externa.
Definición de políticas, procedimientos y controles formales para
gestionar la transferencia con independencia del tipo e infraestructura
que se use. Estos requisitos se deberán plasmar en los contratos y
acuerdos de confidencialidad.
A.14 Adquisición, Objetivo de Control: garantizar que la seguridad de la información es
Desarrollo y parte integral de todo el ciclo de vida de los sistemas de información.
Mantenimiento de Esto también incluye los requisitos para los sistemas de información que
sistemas (13 proporcionan servicios sobre de redes públicas.
controles)
A.14 Adquisición, Objetivo de Control: garantizar que la seguridad de la información
Desarrollo y forma parte del diseño e implantación del ciclo de vida de los sistemas
Mantenimiento de de información.
sistemas (13 Formalización de políticas de desarrollo seguro de software y sistemas,
controles) incluyendo procedimientos de control de cambios, revisión técnica
después del despliegue de los cambios, restricción de cambios en los
paquetes de software, pruebas de seguridad, etc.
Objetivo de Control: asegurar la protección de los datos usados durante
las pruebas.
A.15 Relaciones Objetivo de Control: asegurar la protección de los activos de la
con proveedores (5 organización que son accesibles por proveedores.
controles) Los requisitos de seguridad para la mitigación de los riesgos asociados por
el acceso de terceros deben estar documentados y acordados con el
proveedor, incluyendo todos los escenarios aplicables (acceso,
procesamiento, almacenamiento, comunicación o suministro de
infraestructura TI).
Objetivo de Control: mantener el nivel de seguridad de la información y
la prestación de los servicios de acuerdo con los acuerdos con los
proveedores.
A.16 Gestión de los Objetivo de Control: garantizar un enfoque coherente y eficaz para la
Incidentes de gestión de los incidentes de seguridad de la información, incluyendo la
Seguridad de la comunicación de eventos de seguridad y las debilidades.
Información (7 Necesidad de establecer responsabilidades y procedimientos para la
controles) notificación, reporte, evaluación, tratamiento, aprendizaje y registro de
los incidentes, debilidades y eventos de seguridad de la información.
A.17 Aspectos de Objetivo de Control: la continuidad de la seguridad de la información
Seguridad de la debe estar incluida en los sistemas de gestión de la continuidad del
Información de la negocio.
Gestión de la La organización debe determinar sus requisitos de seguridad de la
 Continuidad del información y continuidad del negocio en situaciones adversas, por
Negocio (4 ejemplo durante una crisis o desastre, documentando procedimientos de
controles) actuación y definiendo mecanismos para verificar, revisa y evaluar su
eficacia.
Objetivo de Control: asegurar la disponibilidad de las infraestructuras de
procesamiento de la información.
A.18 Cumplimiento Objetivo de Control: evitar incumplimientos de las obligaciones legales,
(8 controles) estatutarias, reglamentarias o contractuales en materia de seguridad de
la información y cualquier requisito de seguridad.
Se deberán contemplar obligaciones en materia de privacidad y
protección de datos de carácter personal, propiedad intelectual,
criptografía, registros, etc.
Objetivo de Control: asegurar que la seguridad de la información se
implanta y opera de acuerdo con las políticas y procedimientos de la
organización.
ACTITUD
CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN
Los documentos deben estar perfectamente identificados, mediante procedimientos que
permitan asegurar la confidencialidad, integridad y disponibilidad de la información.

La mejora continua está directamente relacionada con la implementación de todas aquellas

herramientas de producción necesarias para un mejor aprovechamiento de las tecnologías de la
información y la comunicación.

Si se revisan y actualizan convenientemente los documentos que contienen información valiosa,

por ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información
esté permanentemente actualizada y sea veraz, indistintamente de quien la utilice.

Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se
manejan convenientemente tanto las herramientas informáticas que se requieran como las
habilidades mentales que toda persona posee, en unas personas poco potenciadas y en otras
altamente desarrolladas.

No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver
claramente y con detalle cuáles son las causas de por qué se ha producido determinado hecho. En
todos los casos, es conveniente utilizar la información de la que disponemos para preguntarnos el
porqué de las cosas, por qué ha ocurrido tal situación.

3. COMPRENDER LAS NECESIDADES Y

EXPECTATIVAS DE LA ORGANIZACIÓN:
LIDERAZGO Y COMPROMISO DE ALTA DIRECCION.
CONTEXTUALIZACIÓN DEL CAPÍTULO 4 Y 5 DE LA NORMA ISO
27001:2013
En el capítulo 4, la Norma describe los requisitos generales de un Sistema de Gestión de la
Seguridad de la Información y sus procesos así como nuevos requisitos de conocimiento y
contexto de la organización, comprensión de necesidades y expectativas de las partes interesadas
y determinación del alcance del sistema de gestión de seguridad de la información.

Por otra parte en el capítulo 5, la Norma describe y establece las responsabilidades de la dirección
dentro de un Sistema de Gestión de la Seguridad de la Información. Los requisitos de esta sección
hacen referencia a las responsabilidades de la organización en todas aquellas cuestiones tanto
internas como externas relevantes para la seguridad de la información.

 Liderazgo.
 Compromiso
 Roles y Autoridades.

Los capítulos 4 y 5 de la ISO 27001:2013 se componen de los siguientes apartados:

4. Contexto de la Organización.
4.1 Comprensión de la organización y de su contexto.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
4.3 Determinación del alcance del sistema de gestión de la calidad.
4.4 Sistema de gestión de seguridad de la información.
5. Liderazgo.
 5.1 Liderazgo y compromiso.
5.2 Política.
5.3 Roles, responsabilidades, y autoridades en la organización

Comprensión de la Organización y de su Contexto

La nueva versión de ISO 27001 contextualiza a la organización dentro del entorno empresarial, es
decir, requerirá a las organizaciones tener un profundo conocimiento de las cuestiones tanto
internas como externas y que pueden afectar a su capacidad para lograr los resultados previstos
de su sistema de gestión de seguridad de la información.

Requisitos Exigidos por la Norma

La organización debe:
 Tener un conocimiento de la organización y de su contexto.
 Determinar las cuestiones externas e internas pertinentes para su propósito y su
dirección estratégica, y que afectan su capacidad para lograr los resultados previstos de
su Sistema de Gestión de Seguridad de la Información.
 Realizar el seguimiento y revisión de la información sobre estas cuestiones externas e
internas.

El conocimiento del contexto externo puede verse facilitado al considerar cuestiones que surgen
de los entornos legal, tecnológico, competitivo, de mercado, cultural, social y económico, ya sea
internacional, nacional, regional o local.
COMPRENSIÓN DE LAS NECESIDADES Y EXTECTATIVAS DE LAS
PARTES INTERESADAS
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.2.

Requisitos Exigidos por la Norma

La organización debe:
 Determinar las partes interesadas que son pertinentes para el SGSI.
 Determinar los requisitos de estas partes interesadas que son relevantes para la
seguridad de la información.

Debido a su impacto potencial sobre la capacidad de la organización los requisitos de las partes
interesadas relevantes para la seguridad de la información, pueden incluir requisitos legales y
regulatorios, y también obligaciones contractuales.

Este nuevo requisito da la posibilidad a la organización de integrar los aspectos del negocio a la
gestión del Sistema de Gestión de la Seguridad de Información, evitando que el SGSI se desconecte
de la estrategia de la organización.

Claves de la Identificación de las Partes Interesada

La identificación de otras partes interesadas permite:
 Potenciar la integración de la ISO 27001 con la gestión del medioambiente a través de la
ISO 14001 identificando como partes interesadas la sociedad, la administración, y con la
ISO 9001 de gestión de la calidad en relación a clientes y proveedores.
 Fortalecer el contenido y sentido de la política de la seguridad de la información al mirar
más allá de los clientes directos.
Es crucial la participación de la Alta Dirección junto con el resto de los miembros de su dirección al
momento de decidir qué partes interesadas se incorporarán al sistema, siendo esta actuación el
enlace de las actividades requeridas en la cláusula 5 sobre el Liderazgo y Compromiso de la
Dirección.

Esta identificación también debe hacerse desde el punto de vista de los potenciales impactos que
pudieran tener algunos grupos de interés sobre el sistema de gestión, permitiendo así su gestión
proactiva a través del enfoque al riesgo requerido, definiendo planes de actuación convenientes.

Una vez identificadas las partes interesadas, dentro del marco de los límites y alcance (Cláusula
4.2), la organización debe determinar los requisitos de estas partes interesadas pertinentes para el
SGSI, para planificar los procesos asociados y ejercer su seguimiento y control con vistas a su
satisfacción y mejora.

Dado el carácter cambiante de los escenarios, de manera sostenida la organización debe realizar el
seguimiento y la revisión de la información sobre estas partes interesadas y sus requisitos
pertinentes, sustentando la planificación de cambios y garantizando de esta manera el requisito de
idoneidad y adecuación del SGSI.

DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN
A continuación se muestran los requisitos exigidos por la norma respecto al punto 4.3.

Requisitos Exigidos por la Norma

La organización debe:
 Determinar los límites y la aplicabilidad del SGSI para establecer su alcance.
 Considerar las cuestiones externas e internas referidas en 4.1, valorar los requisitos de
las partes interesadas pertinentes referidos en 4.2 y analizar las actuaciones
desarrolladas por la organización

En relación con la cláusula 4.3, la organización debe determinar los límites y la aplicabilidad del
SGSI para establecer su alcance de manera clara y precisa.

La intención del requisito es que las partes interesadas, así como los organismos de certificación
conozcan sin ambigüedades el campo de actuación del sistema de gestión y la capacidad para
cumplir requisitos establecidos evitando confusiones y malentendidos.

Deben considerarse el contexto de la organización, las actividades y acciones objeto del SGSI.

Aspectos Beneficiosos para el Sistema de Gestión de Implantación del SGSI

 Diferenciación de la competencia.
 Mejor posicionamiento en ofertas y licitaciones.
 Mejores comunicaciones con las partes.
 Identificación de requisitos de partes interesadas pertinentes precisos y su mejor
gestión.
 Identificación de requisitos legales y reglamentarios de aplicación precisos.
  Aumento de la satisfacción de todas las partes identificadas, sin olvido u omisión de
ninguna de ellas.

En cuanto a la aplicabilidad y/o exclusión de cláusulas, la Norma establece:

 El alcance debe venir fijado por las necesidades, objetivos, requisitos de seguridad,
procesos organizativos utilizados y su tamaño y estructura, y proporcionar la justificación
para cualquier requisito de esta Norma Internacional.
 La conformidad con esta Norma Internacional sólo se puede declarar si los requisitos
determinados como no aplicables, no afectan a las cuestiones internas o externas que
afecten a la capacidad de la organización para lograr los resultados previstos en el SGSI.

Alcance
El alcance debe estar disponible para las partes interesadas y mantenerse como información
documentada, estableciendo
 Las cuestiones internas y externas referidas a la comprensión de la organización y su
contexto.
 Los requisitos de las partes interesadas relevantes para la seguridad de la información.
 Las interfaces y dependencias entre las actividades realizadas por la organización y las
que se realizan por otras organizaciones.

El alcance debe estar disponible como información documentada.

Ejemplo
Situación La empresa AVITT está construyendo una nueva fábrica para producir
ordenadores, como subcontratista de una multinacional.
Su único cliente, tiene la responsabilidad y la autoridad sobre el diseño del
producto. El cliente proporciona a AVITT las especificaciones de fabricación,
siendo además responsable de notificarle cualquier cambio en el diseño y de
proporcionar la información apropiada sobre el cambio.
Por su parte, AVITT es responsable de comprar todos los componentes y de
realizar la fabricación.
AVITT, en el desarrollo de su SGSI, ha excluido los requisitos del apartado 7. 5
“Información Documentada”, ya que considera las especificaciones de diseño
como un producto proporcionado por el cliente y, por lo tanto, controla este
aspecto de acuerdo con el apartado 7.5.3 “Control de la Información
Documentada” de la Norma ISO 27001:2013.
Pregunta ¿Puede AVITT excluir el apartado 7.5 “Información Documentada” de su SGSI y
aun así declarar conformidad con la Norma ISO 27001:2013?.
Análisis y Efectivamente, la decisión de AVITT de excluir el apartado 7.5 “Información
Conclusión Documentada” de su SGSI está justificada, ya que no tiene ninguna autoridad ni
responsabilidad sobre la información del diseño del ordenador como producto. Al
ser su cliente quien proporciona el diseño.
Sistema de Gestión de Seguridad de la Información
La organización debe establecer, implementar, mantener y mejorar continuamente un SGSI,
incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma
Internacional.

Requisitos Exigidos por la Norma

Con carácter general, la organización debe:
 Determinar los procesos necesarios para el Sistema de Gestión de Seguridad de la
Información y su aplicación en toda la organización.
 Tener un conocimiento de la organización y de su contexto.
 Comprender de las necesidades y expectativas de las partes interesadas.
 Delimitar el alcance del Sistema de Gestión de la información.
 Dentro del Sistema de Gestión de Seguridad de la Información y sus procesos,
determinar:
 Los elementos de entrada requeridos y los elementos de salida esperados.
 Su secuencia e interacción.
 Los criterios, métodos, incluyendo el seguimiento, mediciones y los indicadores
de desempeño necesarios para asegurar su operación eficaz y su control.
 Los recursos necesarios y asegurarse de su disponibilidad.
 La asignación de responsabilidades y autoridades.
 Los riesgos y oportunidades.
 La evaluación de los procesos e implementar cualquier cambio necesario para
asegurarse de que estos procesos logran los resultados previstos, y los métodos
para realizar el seguimiento, mediciones y evaluaciones de los procesos.
  Oportunidades de mejora de los procesos y del SGSI.

Dado el enfoque de la Norma que diferencia todas las partes de la organización en procesos, se
pueden estudiar y hacer que prospere cada una de las partes, de manera que, si mejora cada uno
de los procesos de forma independiente, conlleve una optimización de todo el conjunto de la
organización.
Para lograr estos fines, la organización debe disponer de los recursos ya la información adecuada,
obtenidos mediante el estudio, medición y análisis de los resultados de cada proceso, para actuar
tanto sobre las operaciones realizadas por la propia organización como para aquellas que se
contraten con el exterior

LIDERAZGO Y COMPROMISO
El liderazgo y compromiso adquirido por la dirección de la organización en la implantación de
cualquier tipo de reforma o innovación va a ser uno de los pilares principales que marcarán su
éxito o fracaso, por ello la Norma establece los deberes de la alta dirección a la hora de implantar
un Sistema de Gestión de Seguridad de la Información.

Toda la filosofía en la que se basa un Sistema de Gestión de Seguridad de la Información y la

mejora continua del proceso, no aporta ningún beneficio a corto plazo, sino que sus efectos y
beneficios se observan a lo largo del tiempo, por lo que exige un esfuerzo continuado por parte
de todos los miembros de la organización.
Responsabilidades de la Dirección
La dirección de la organización, en su actitud a la hora de liderar la misma, es la responsable de
que ésta alcance los objetivos marcados con respecto al Sistema de Gestión de Seguridad de la
Información, por lo que es imprescindible su implicación para mantener un ambiente de trabajo,
en el cual el personal se vea totalmente involucrado en la consecución de los propósitos de la
organización.

En este punto de la Norma, se hace especial énfasis sobre el liderazgo y compromiso de la

dirección con el funcionamiento del Sistema de Gestión de Seguridad de la Información,
refiriéndose a que la alta dirección debe proporcionar evidencia de su compromiso con el
desarrollo e implementación, así como con la mejora continua de su eficacia.

Como buen sistema de gestión, la norma ISO 27001 deja bien definidas las obligaciones de la alta
dirección ya que el éxito del sistema sólo se puede conseguir a través de un serio compromiso de
la misma, que lo puede hacer patente comunicando a la organización la importancia de una
gestión eficaz y conforme con los requisitos del Sistema de Gestión de Seguridad de la
Información.

Asegurándose de que se establecen los objetivos previstos y estableciendo un sistema con

recursos suficientes para lograr dichos objetivos entre otros requisitos establecidos en la cláusula
5.1 Liderazgo y compromiso para el sistema de seguridad de la información.

Los sistemas de planificación que plantea la ISO 27001: 2013 permiten prever de antemano los
resultados de los procesos y las posibilidades que tienen a lo largo del tiempo, es decir, la
probabilidad de improvisaciones, fallos y sucesos inesperados se disminuyen.
Además de todas estas obligaciones prácticas, la alta dirección tiene que influir en la implicación y
motivación del resto de componentes de la organización, y transmitirles la importancia del
sistema de gestión, de los clientes y de la importancia de lograr los objetivos fijados.

La alta dirección mediante su capacidad para liderar la organización, debe transmitir un

ambiente en el que todos sus miembros se encuentren totalmente involucrados, lo que
facilitará que el Sistema de Gestión de Seguridad de la Información funcione con eficacia.

5.1.1 Generalidades
A continuación se presentan los requisitos exigidos por la norma en el punto 5.1. Generalidades

La revisión y ajuste de la cláusula responsabilidad de la Dirección introduce como cambio

fundamental y profundo la adición al “compromiso de la dirección” ya requerido en las
versiones anteriores del requisito “Liderazgo” Siendo ahora importante la adopción de un
enfoque y una mayor participación por parte de la Alta Dirección en su relación con el SGSI.

Liderazgo y Compromiso. El Nuevo Requisito Exigido por la Norma

La alta dirección tendrá ahora un papel decisivo dentro de la ISO 27001 demandándosele un papel
activo en impulsar el SGSI.

Términos y Enfoques
Términos y enfoques como:
 “Promover”, “Comunicar”, “Asegurar”, “Dirigir” o “Apoyar”
deberán ser adoptados por la Alta Dirección lo que implica que dichas actividades no debe ni
pueden delegarse. Estos elementos aparecen en los nuevos requisitos respecto de la versión
anterior de la Norma, tales como:
Asegurar la integración de los requisitos del Sistema de Gestión de Seguridad en los procesos de
la organización.
Comunicar la importancia de una gestión de la seguridad de la información eficaz y conforme
con los requisitos del sistema de gestión de seguridad de la información.
Asegurar que se sigue la política y los objetivos de seguridad de la información, y que sean
compatibles con la dirección estratégica de la organización.
Dirigir y apoyar a las personas para contribuir a la eficacia del sistema de gestión de seguridad
de la información.
Asegurar que los recursos necesarios para el SGSI estén disponibles.
Asegurar que el sistema de gestión de seguridad de la información consigue los resultados
previstos.
Promover la mejora continua.
Apoyar a otros roles pertinentes de la dirección, para que demuestren su liderazgo.

La Alta Dirección debe ser consciente de los nuevos requisitos y que ahora será auditada con
mayor intensidad para evidenciar su Compromiso y Liderazgo.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La política de seguridad de la información la establece la alta dirección y constituye la base del
Sistema de Gestión de la Seguridad de la Información.

Normas y procedimientos que permiten regular el uso de la información de una organización,

evitando riesgos, deterioros o el uso no autorizado en el acceso a la información y disponible y
ayuda a la organización a emplear adecuadamente sus recursos para alcanzarlos.

La alta dirección debe establecer una política de seguridad de la información que:

 Sea adecuada al propósito de la organización.

 Incluya objetivos de seguridad de información o proporcione un marco de referencia para
el establecimiento de los objetivos de seguridad de la información.
 Incluya el compromiso de cumplir con los requisitos aplicables a la seguridad de la
información.
 Incluya el compromiso de mejora continua del sistema de gestión de seguridad de la
información.

La política de la seguridad de la información debe estar disponible como información

documentada y comunicada, de modo que sea conocida por todo el personal, dejando claro
cuáles son sus objetivos, el modo de alcanzarlos y los valores en cuanto a ética, profesionalidad
necesarios para alcanzar los propósitos marcados.

La dirección debe asegurarse de que los principios expuestos son practicados y su vigencia se
mantiene por todos los empleados, incluida la cadena de mando.
 La Política de la Seguridad de la Información Debe:
 Estar disponible como información documentada.
 Comunicarse dentro de la Organización.
 Estar disponible para las partes interesadas, según sea apropiado.

ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA

ORGANIZACIÓN
En toda organización es preciso establecer y definir de modo claro la jerarquía de autoridad y las
responsabilidades de cada uno de sus miembros así como un buen método de comunicación
interna para que el Sistema de Gestión de Seguridad de la Información se desarrolle de un modo
eficaz.

A la hora de realizar las actividades y de que la organización funcione de manera adecuada, tanto
responsabilidades como los grados de autoridad deben estar perfectamente definidos.

Para ello, la norma establece que la alta dirección debe asegurarse de que las responsabilidades
y autoridades están asignadas para los roles pertinentes y son comunicadas y entendidas
dentro de la organización.

Por todo ello, es imprescindible determinar con claridad las funciones que componen los procesos
de operación y gestión, y asignar cada uno de ellos a una persona concreta, de modo que ninguna
función quede sin asignar o que pueda ser desarrollada por más de una persona

Para lograr que este sistema proporcione buenos resultados es necesaria una formación
adecuada, una buena comunicación interna y una acusada participación de los trabajadores.

La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles
pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización

Asimismo, la alta dirección debe asignar la responsabilidad y autoridad para:

 Asegurarse de que el Sistema de Gestión de Seguridad de la Información es conforme con

los requisitos de esta Norma Internacional.
 Informar a la alta dirección sobre el comportamiento del Sistema de Gestión de Seguridad
de la información.

ACTITUD
ORIENTACIÓN AL LOGRO-TENACIDAD
Mantenerse firmes en los comportamientos y conductas hasta alcanzar el objetivo propuesto.

Las personas tenaces son aquellas que ante las dificultades que puedan surgir, poco a poco van
superando las adversidades, con firmeza, perseverancia y constancia, y de esta manera cumplirán
con los objetivos propuestos.

Para todas aquellas personas que son constantes y tenaces siempre hay una recompensa, aunque
la tarea sea muy complicada, ya que con esfuerzo y dedicación todos los objetivos son posibles
La orientación al logro viene determinada porque una persona cree que su objetivo es posible de
conseguir y lo intenta alcanzar

En las empresas, es habitual encontrar personas que poseen amplios conocimientos y habilidades,
pero estos trabajadores pueden encontrarse con problemas para desarrollar una vida profesional
exitosa, porque al primer obstáculo que encuentran y que no son capaces de superar, se
desaniman.

Es un caso muy similar al del deporte, hemos visto jóvenes deportistas que a los 17-18 años se les
ve unas cualidades tanto técnicas como atléticas muy buenas, y se dice que con esas condiciones
llegarán muy lejos y triunfarán, pero muchas veces estas predicciones no se cumplen, porque no
saben competir.

Por tanto, su comportamiento para alcanzar el logro es nulo y posiblemente otro deportista a
priori con unas condiciones físicas y técnicas más limitadas llegará más lejos porque sabe rendir y
competir en el momento adecuado y adaptar su estado emocional al momento clave, en este caso
la competición.

Igual sucede en la empresa, ya que no es lo mismo una presentación ante un equipo de trabajo
compuesto por un reducido número de personas y conocidas que hacer una presentación ante
500 personas y donde el profesional se juega su propio prestigio, en este momento las ansiedades
y emociones influyen. Por tanto actitudes claves como la constancia, perseverancia y tenacidad le
ayudarán a superar las dificultades y miedos que se pudieran plantear.

4. LA PLANIFICACIÓN Y LA GESTIÓN DE RECURSOS

PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN
CONTEXTUALIZACIÓN DEL CAPÍTULO 6 DE LA NORMA
En la sección 6, la Norma describe y establece los requisitos de planificación y actuación dentro de
un sistema de gestión de seguridad de la información.

Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe considerar

las cuestiones internas y externas que conforman el contexto de la organización, y los requisitos
de las partes interesadas relevantes para la seguridad de la información, y determinar los riesgos y
oportunidades que es necesario tratar con el fin de:

 Asegurar que el SGSI pueda conseguir sus resultados previstos.

 Prevenir o reducir efectos indeseados.
 Lograr la mejora continua.

La sección 6 de la ISO 27001 contiene las siguientes cláusulas:

 6. Planificación para el sistema de gestión de seguridad de la información

o 6.1 Acciones para tratar los riesgos y oportunidades
 6.1.1 Consideraciones Generales.
 6.1.2 Apreciación de Riesgos de Seguridad de la Información
 6.1.3 Tratamiento de Riesgos de Seguridad de la Información
 o 6.2 Objetivos de seguridad de la información y planificación para su
consecución.

Para que una planificación esté bien elaborada y resulte eficaz se deben cumplir unos
determinados parámetros que permitirán que los resultados que se han planteado, se pueden
cumplir satisfactoriamente.

Aspectos Claves de la Planificación

 Plantear las estrategias adoptadas por la organización.
 Conocer los objetivos definidos por la organización en materia de seguridad de la
información.
 Definir las necesidades y expectativas, tanto actuales como futuras para las partes
interesadas.
 Evaluar los datos procedentes de las acciones planteadas en los procesos del sistema
de gestión de seguridad de la información.

Cuando se hace la planificación, para intentar alcanzar los objetivos de seguridad de la información
previstos.

 Se deben establecer plazos para conseguir los objetivos en un tiempo determinado,

siendo recomendable desglosarlos para los distintos niveles de la organización señalando
las metas concretas que ha de alcanzar cada uno con relación a los totales, y se establecen
objetivos concretos para cada uno de los procesos.
 Los objetivos de seguridad de la información, además de estar perfectamente definidos,
han de estarlo para todos los niveles y secciones de la organización.

El hecho de no alcanzar alguno de estos objetivos debe suponer una revisión de los
procedimientos elaborados para ello, ya que se pretende conseguir una mejora que únicamente
se verá satisfecha a través de una rigurosa planificación de las actividades que permitirá cambios
en el modo de obtenerlas sin que ello conlleve la alteración de los objetivos finales.

6.1 ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES

La organización debe asumir la responsabilidad de planificar el sistema de gestión de seguridad de
la información para lograr conseguir sus metas y cumplir sus objetivos y las acciones para tratar los
riesgos y oportunidades.

Requisitos Exigidos por la Norma

Consideraciones Generales (I) Al planificar el SGSI, la organización debe considerar las
cuestiones internas y externas de la organización que afectan
a su capacidad para lograr los resultados previstos de su
sistema de gestión y los requisitos de las partes interesadas
relevantes para la seguridad de la información, y determinar
los riesgos y oportunidades que es necesario tratar con el fin
de:
 Asegurar que el SGSI pueda conseguir sus resultados
previstos.
  Prevenir o reducir efectos indeseados.
 Lograr la mejora continua.
Consideraciones Generales (II)  La organización debe planificar:
 Las acciones para tratar estos riesgos y
oportunidades
 La manera de a) integrar e implementar las acciones
en los procesos del SGSI y b) evaluar la eficacia de
estas acciones.

Apreciación de Riesgos de Seguridad de la Información

La organización debe definir y aplicar un proceso de apreciación de riesgos de seguridad de la
información que establezca y mantenga criterios sobre riesgos de seguridad de la información
incluyendo:

 Los criterios de aceptación del riesgo

 Los criterios para llevar a cabo las apreciaciones de los riesgos de seguridad de la
información.

La organización también debe asegurarse que las sucesivas apreciaciones de los riesgos de
seguridad de la información generan resultados consistentes, válidos y comparables.

Identificación de los Riesgos de Seguridad de la Información

La organización tiene que identificar los riesgos de seguridad de la información:
 Llevando a cabo el proceso de apreciación de riesgos de seguridad de la información
para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y
disponibilidad de la información en el alcance del Sistema de Gestión de Seguridad de la
Información.
 Identificando a los dueños de los riesgos.

Análisis y Evaluación de los Riesgos

Cuando la dirección analice los riesgos de seguridad de la información tiene que valorar:
 Las posibles consecuencias que resultarían si los riesgos de seguridad identificados
llegan a materializarse.
 De forma realista la probabilidad de ocurrencia de los riesgos identificados.
 Y debe evaluar los riesgos de la seguridad de la información:
 Comparando los resultados del análisis de riesgos con los criterios de riesgos
establecidos en la apreciación de los riesgos de seguridad de la información.
 Priorizando el tratamiento de los riesgos analizados.

La organización debe conservar información documentada sobre el proceso de apreciación de

riesgos de seguridad de la información.

Tratamiento de Riesgos de Seguridad de la Información

La organización debe definir y efectuar un proceso de tratamiento de riesgos de seguridad de la
información para:
  Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la
información teniendo en cuenta los resultados de la apreciación de los riesgos. La
Planificación y la Gestión de Recursos para el Sistema de Gestión de Seguridad de la
Información
 Determinar todos los controles que sean necesarios para implementar las opciones
elegidas de tratamiento de riesgos de seguridad de la información.

Diseño de Controles
Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de
cualquier fuente., y también pueden:
 Comparar los controles determinados e implementados con los del anexo a y
comprobar que no se han omitido controles necesarios.
 Los objetivos de control se incluyen implícitamente en los controles seleccionados,
tanto los objetivos de control como los controles enumerados en el anexo a no son
exhaustivos, por lo que pueden ser necesarios objetivos de control y controles
adicionales.
 Elaborar una declaración de aplicabilidad que contenga los controles necesarios y la
justificación de las inclusiones, estén implementadas o no, y la justificación de las
exclusiones de los controles del anexo A.
 Formular un plan de tratamiento de riesgos de seguridad de la información y obtener la
aprobación del plan de tratamiento de riesgos de la seguridad de la información, y la
aceptación de los riesgos residuales de seguridad por parte de los dueños de los riesgos.

La apreciación de los riesgos de seguridad de la información y el proceso de tratamiento recogido

en esta Norma Internacional se alinean con los principios y directrices genéricas definidos en la
Norma ISO 31000.

ANALIZAR EL CAPÍTULO 7 DE LA NORMA

En el capítulo 7, la Norma describe y establece las responsabilidades de la dirección para la
definición y el suministro de los recursos necesarios para el sistema de gestión de seguridad de la
información.

La sección 7 de la ISO 27001:2013 contiene las siguientes cláusulas:

 7 Soporte
o 7.1 Recursos.
o 7.2 Competencia.
o 7.3 Concienciación
o 7.4 Comunicación.
o 7.5 Información Documentada.
 7.5.1 Consideraciones Generales.
 7.5.2 Creación y actualización.
 7.5.3 Control de la Información Documentada.
7.1 RECURSOS
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la
Información.

La alta dirección debe asegurarse de que los recursos necesarios tanto para la implantación de
las estrategias planificadas como para el logro de los objetivos de la organización, estén
totalmente identificados y la organización dispone de ellos

También se tratarán de igual modo los recursos para el desarrollo y mejora del Sistema de Gestión
de Seguridad de información, así como para la satisfacción de las partes interesadas. Entre los
recursos más importantes que una organización debe de tener en cuenta, cabe destacar los
siguientes:

Recursos a Tener En Cuenta

Información La información debe ser tratada como un recurso y como tal debe ser
gestionado por la dirección, la cual debería de emplearla como instrumento
para la mejora continua y para tomar decisiones.

Cómo Gestionar Adecuadamente La Información

Recursos tangibles tales como mejores instalaciones de realización y apoyo.
Recursos intangibles tales como la propiedad intelectual.
Recursos y mecanismos para alentar la mejora continua innovadora.
Estructuras de organización, incluyendo la gestión de proyectos.
Gestión de la información y tecnología.
Incremento de la competencia del personal a través de la formación,
educación y aprendizaje dirigidos.

EJEMPLO DE UN EXPERTO
 René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Ediciones Deusto. ISBN: 84-234-4406-0

Esta viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica de forma muy
clara que todo el personal de una organización es importante para su correcto funcionamiento.
Una buena gestión de los recursos humanos permite a las organizaciones alinear su
productividad con un mercado cambiante, que pone al hombre como único ser capaz de
analizar los cambios, ajustes, e innovaciones necesarias a fin de adaptarse a las necesidades y
demandas del cliente.

7.2 COMPETENCIA Y 7.3 CONCIENCIACIÓN

Debido a la importancia que las personas tienen en el desarrollo del Sistema de Seguridad de la
Información, la organización debe tener especial cuidado en cuanto su formación, su toma de
conciencia y su competencia en las tareas que debe desempeñar.

En cuanto a este tema la Norma expone lo siguiente:

Requisitos Exigidos por la Norma

La organización debe determinar la competencia que resulta necesaria para las personas que
realizan, bajo su control, un trabajo que afecta a su desempeño en la seguridad de la
información y:
 Asegurarse que estas personas sean competentes, con base en la educación, formación
o experiencia adecuadas;
 Dónde sea aplicable, poner en marcha acciones para adquirir la competencia necesaria
y evaluar la eficacia de las acciones adoptadas
 Conservar la información documentada apropiada como evidencia de la competencia.

Las acciones aplicables pueden incluir, por ejemplo, la formación, la tutoría o la reasignación de
las personas empleadas actualmente; o la contratación de personas competentes.
La organización debe estudiar con detenimiento las actividades que es necesario desempeñar para
cumplir con sus objetivos, a continuación debe establecer el perfil adecuado para las personas
que desempeñen cada una de las tareas.

De este modo se seleccionará a la persona más adecuada para cada puesto y se determinará cuál
es la formación que le falta para cumplir plenamente con los requisitos, dicha formación será
proporcionada, evaluando su eficacia y quedando recogida en los registros adecuados
(información documentada), como queda reflejado en el siguiente esquema:

El conocimiento por parte de las personas de su puesto de trabajo es clave para que el sistema
tenga éxito, y para ello es imprescindible detectar las carencias existentes en cada miembro de la
organización y buscar el modo de erradicarlas a través de la formación adecuada, se busca que
las personas conozcan la mejor forma de hacer las cosas.

Requisitos Exigidos por la Norma

 Las personas que trabajan bajo el control de la organización deben ser conscientes de:
 La política de la seguridad de la información.
 Su contribución a la eficacia del SGSI, incluyendo los beneficios de una mejora del
desempeño en seguridad de la información
 Las implicaciones de no cumplir con los requisitos del SGSI.

Planes o Programas de Formación

Para una adecuada gestión de estos recursos, es preciso establecer un programa general de
formación para los distintos niveles de la organización, correctamente adaptado a cada puesto
tanto en la materia a impartir, como el momento en el que debe ser llevada a cabo, sin dejar que
transcurra demasiado tiempo entre que se imparte la formación y se pone en práctica, ya que de
este modo no ser eficaz.

Se evaluarán sus resultados a corto y a largo plazo. En este proceso también se encuentra incluida
la dirección, la cual debe recibir formación adaptada a su situación y cargo. Se evaluará en función
del impacto que tiene sobre la eficacia y eficiencia de la organización como instrumento de mejora
continua

No sólo han de tenerse en cuenta los conocimientos, experiencia y formación para seleccionar a
las personas para un determinado puesto de trabajo, también es importante tener en cuenta las
características personales que exigen las condiciones del puesto de trabajo y si el trabajador será
capaz de adaptarse al puesto o al entorno material y personal en el que tenga lugar el mismo.

7.4 COMUNICACIÓN 7.5 CONTROL DE LA INFORMACIÓN

DOCUMENTADA
El SGSI de la organización debe incluir:

La información documentada requerida por esta Norma Internacional y la información

documentada que la organización ha determinado que es necesaria para la eficacia del SGSI.
El alcance de la información documentada para un SGSI puede ser diferente de una organización a
otra, debido a:

 El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios

 La complejidad de los procesos y sus interacciones
 La competencia de las personas


Requisitos Exigidos por la Norma

La organización debe determinar las comunicaciones internas y externas pertinentes al SGSI,
que incluyan:
 El contenido de la comunicación.
 Cuando comunicar.
 A quién comunicar.
 Quién debe comunicar.
 Los procesos por los que debe efectuarse la comunicación.

La alta dirección debe establecer un buen sistema de comunicación interna para todos los
miembros de la organización acerca de la política, los requisitos y los objetivos de seguridad de
la información.

Control de la Información Documentada

El SGSI de la organización debe incluir:

La información documentada requerida por esta Norma Internacional y la información

documentada que la organización ha determinado que es necesaria para la eficacia del SGSI.

El alcance de la información documentada para un SGSI puede ser diferente de una organización a
otra, debido a:

 El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios

 La complejidad de los procesos y sus interacciones
 La competencia de las personas.

REQUISITO EXIGIDO POR LA NORMA

El SGSI de la organización debe incluir:
 La información documentada requerida por esta Norma
Internacional.
 La información documentada que la organización ha
determinado que es necesaria para la eficacia del SGSI.
(Apartado 7.5.1 Generalidades.)

El sistema de gestión de seguridad de la información se encuentra definido y basado en una serie

de documentos y registros englobados en el requisito “información documentada”, que reflejan
cómo se encuentra planificada la gestión de la organización, es decir, desarrolla todas las
actividades que en ella se realizan mediante instrucciones contenidas en procedimientos
documentados.

Toda la información documentada que compone el sistema, debe estar bajo control, de modo que
no exista posibilidad alguna de confusión ni errores.

Contenido Mínimo Exigido por la Norma

Los controles mínimos necesarios requeridos por la Norma están establecidos en las cláusulas
7.5.2 y 7.5.3:
 Cuando se crea y se actualiza información documentada, la organización debe
asegurarse en la manera que corresponda:
− La identificación y descripción (p.ej. título, fecha, autor o número de
referencia).
− Formato (por ejemplo idioma, versión del software, gráficos) y sus medios de
soporte (p.ej. papel, electrónico).
− La revisión y aprobación con respecto a la idoneidad y adecuación.
 Se debe controlar para asegurarse de que:
− esté disponible y adecuada para su uso, dónde y cuándo se necesite.
− esté protegida adecuadamente (p.ej. contra pérdida de la confidencialidad, uso
inadecuado, pérdida de integridad).
 Se debe tratar las siguientes actividades, según sea aplicable:
− distribución, acceso, recuperación y uso; − almacenamiento y preservación,
incluida la preservación de la legibilidad:
− control de cambios (p.ej. control de versión).
− retención y disposición.
 La información documentada de origen externo que la organización ha determinado
necesaria para la planificación y operación del SGSI, se debe identificar y controlar,
según sea adecuado.

ACTITUD
GESTIÓN EFICIENTE
Maximizar el aprovechamiento de los recursos que se disponen, tanto humanos, materiales
como económicos.

Para que se produzca una gestión eficiente, es necesario que esté claramente definida la autoridad
y la responsabilidad que se ejerce.

En base a una situación de partida y unos objetivos, se deben adoptar las medidas necesarias con
el fin de resolver los problemas y mejorar la gestión realizada.

La diversidad de propuestas puede permitir adaptar soluciones a las particularidades que se

necesiten en un momento concreto. Un ejemplo muy claro es la gestión eficiente del agua en el
que es necesario armonizar tanto los recursos de agua que se disponen, con la normativa legal, la
economía y la participación de las personas mediante el control de los consumos.
La clave es hacer eficiente el sistema con el fin que se puedan satisfacer las necesidades del mayor
número de personas posibles al menor costo posible.

5. ENTENDER LA EVALUACIÓN DEL DESEMPEÑO Y

LOS PROCESOS DE MEJORA
ANÁLISIS DEL CAPÍTULO 8 DE LA NORMA
La sección 8 de la ISO 27001:2013 contiene las siguientes cláusulas:

8. Operación
8.1 Planificación y control operacional.
8.2 Apreciación de los riesgos de seguridad de la información.
8.3 Tratamiento de los riesgos de seguridad de la información.

Planificación y Control Operacional

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los
requisitos de seguridad de la información y para implementar las acciones determinadas en las
acciones para tratar los riesgos y las oportunidades.

La organización debe implementar también planes para alcanzar los objetivos de seguridad de la
información determinados en los objetivos de seguridad de la información y planificación para su
consecución.

En la medida necesaria la organización debe mantener información documentada, para tener la

confianza de que los procesos se han llevado a cabo según lo planificado.

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios
no previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario.

La organización debe garantizar que los procesos contratados externamente están controlados.

Apreciación de los Riesgos de Seguridad de la Información

La organización debe efectuar apreciaciones de riesgo de seguridad de la información a intervalos
planificados, y cuando se propongan o produzcan modificaciones importantes, teniendo en cuenta
los criterios de aceptación del riesgo establecidos.

La organización debe conservar información documentada de los resultados de las apreciaciones

de riesgos de seguridad de información.

Tratamiento de los Riesgos de Seguridad de la Información

La organización debe implementar el plan de tratamiento de riesgos de seguridad de la
información. La organización debe conservar información documentada de los resultados del
tratamiento de riesgos de seguridad de información.
 EJEMPLO DE UN EXPERTO

René Droin. “La Calidad con Sonrisa: Una ayuda hacia la calidad total”
Ediciones Deusto. ISBN: 84-234-4406-0

Esta estupenda viñeta extraída del Libro “La calidad con Sonrisa” de René Droin, ejemplifica
de forma gráfica lo vital que es tener perfectamente claros y definidos todos los requisitos
necesarios para la realización del producto, desde los especificados inicialmente por el
cliente, hasta los requisitos de índole legal o de seguridad de la información. Un incorrecto
entendimiento y definición de los requisitos, podría generar errores inexcusables en la
relación con clientes y proveedores.

CONTEXTUALIZAR EL CAPÍTULO 9 Y 10 DE LA NORMA

En la sección 9, la Norma describe y establece las responsabilidades de la dirección dentro de un
sistema de gestión de la seguridad de la información en lo referente a su revisión para asegurar
su conveniencia, adecuación y eficacia continua. Los requisitos de esta sección se derivan en gran
medida de los principios de gestión de la calidad:

En la sección 10, la Norma describe y establece los requisitos para la mejora del sistema de gestión
de la seguridad de la información.
La sección 9 y 10 de la ISO 27001:2013 contiene las siguientes cláusulas:

9. Evaluación del desempeño.

9.1 Seguimiento, medición, análisis y evaluación.
9.2 Auditoría Interna.
9.3 Revisión por la dirección.
10 Mejora.
10.1 No conformidad y acciones correctivas.
10.2 Mejora continua.

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

Los procesos de Seguimiento, Medición, Análisis y Evaluación sirven de base para la aplicación de
toma de decisiones, y siempre implica cierta incertidumbre.

A menudo implica múltiples tipos y fuentes de elementos de entrada, así como su interpretación,
que puede ser subjetiva. Es importante entender las relaciones de causa y efecto y las
consecuencias no previstas potenciales. El análisis de los hechos, de la evidencia y de los datos
conduce a una mayor objetividad y confianza en las decisiones tomadas.

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del SGSI.

Requisitos Exigidos por la Norma

La organización debe conservar la información documentada como evidencia de resultados y
determinar los siguientes aspectos:
 A qué es necesario hacer seguimiento y qué es necesario medir, incluyendo procesos y
controles de seguridad de la información.
 Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos.
 Los métodos seleccionados deben producir resultados comparables y reproducibles
para ser considerados válidos.
 Cuándo se deben llevar a cabo el seguimiento y la medición.
 Quién debe hacer el seguimiento y la medición.
 Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
 Quién debe analizar y evaluar esos resultados.

9.2 AUDITORÍA INTERNA

La auditoría se realiza sobre el Sistema de Gestión y a los procesos correspondientes, de un modo
planificado, para garantizar que son conformes con la Norma, que han sido implantados en la
organización y respetados por la misma.

Se utiliza como método de medida del funcionamiento del Sistema de Gestión de Seguridad de
la Información y como instrumento para la mejora continua de los procesos de la organización.

Requisitos Exigidos por la Norma

9.2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados, para
proporcionar información acerca de si el SGSI:
  Cumple con:
- Los propios requisitos de la organización para su SGSI.
- Los requisitos de esta Norma Internacional.
 Está implementado y mantenido eficazmente.

9.2.2 La organización debe:

 Planificar, establecer, implementar y mantener uno o varios programas de auditoría que
incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación
y la elaboración de informes, que debe tener en consideración, la importancia de los
procesos involucrados, y los resultados de las auditorías previas.
 Definir los criterios y el alcance para cada auditoría.
 Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la
imparcialidad del proceso de auditoría.
 Asegurar de que los resultados de las auditorías se informan a la dirección pertinente.
 Tomar las correcciones y acciones correctivas necesarias sin demora injustificada.
 Conservar información documentada como evidencia de la implementación del
programa de auditoría y los resultados de auditoría.

Se debe planificar un programa de auditorías teniendo en cuenta los objetivos de la calidad, la

importancia de los procesos involucrados, la retroalimentación del cliente, los cambios que
tengan un impacto en la organización, y los resultados de las auditorías previas.

Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y metodología.

La selección de los auditores debe asegurar la objetividad e imparcialidad del proceso. Para ello
los auditores no deben auditar su propio trabajo.

Es preciso hacer una aclaración, las inspecciones y ensayos que se realizan controlan el producto,
mientras que las auditorías lo que hacen es controlar el proceso y el sistema de gestión; aunque
no son excluyentes sino que se complementan, ya que una inspección de un producto puede
proporcionar los datos necesarios para modificar un proceso.

La dirección responsable del área que ha sido auditada debe asegurarse de que se toman las
correcciones y acciones necesarias sin demora injustificada para eliminar las no conformidades
detectadas y sus causas. Se debe llevar a cabo un seguimiento para verificar las acciones tomadas
y realizar un informe de sus resultados. (Información documentada).

El resultado de la auditoría interna es un elemento de entrada al proceso de revisión por la

dirección.
Objetivos de la Auditoría Interna de Calidad
La auditoría interna proporciona el grado de cumplimiento de los procesos establecidos para el
sistema de gestión de seguridad de la información y corrobora si el cumplimiento de dichos
procesos permite a la organización alcanzar los objetivos deseados.

Permite también adoptar las acciones correctivas y de mejora necesarias para lograr los objetivos
previstos cumpliendo con los procesos establecidos.

En caso de que los procesos no sean adecuados para alcanzar dichos objetivos, aporta directrices
para el cambio.

Ventajas de una Auditoria Interna

 Mejora de los procesos. No pretende detectar los defectos, sino que se trata de un
sistema de mejora.
 Los problemas que sufre la organización salen a la luz y se intentan resolver.
 Aporta una mayor fuerza al sistema de gestión ya que da confianza en las instrucciones
de los procesos y proporciona el sistema adecuado para mejorarlo.

9.3 REVISIÓN POR LA DIRECCIÓN

La dirección deberá desarrollar una actividad de revisión pero que no implique sólo la verificación
de la eficacia y efectividad del Sistema de Gestión de Seguridad de la Información sino que
abarque a toda la organización.

La alta dirección debe, a intervalos planificados, revisar el Sistema de Gestión de la organización

para asegurarse de su conveniencia, adecuación y eficacia continuas.
La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar
cambios en el Sistema de Gestión de Seguridad de la Información, incluyendo la política de
seguridad de la información y los objetivos de control

La alta dirección debe revisar el sistema de gestión de seguridad de la información de la

organización, a intervalos planificados, para asegurar su continua conveniencia, adecuación, y
eficacia continua

Tanto las necesidades de la organización, las del mercado, las de los clientes y otras partes
interesadas, como el propio cumplimiento de sus objetivos no son en ningún caso estáticas, son
cambiantes, así que el sistema de gestión debe adaptarse a tales cambios, esto implica la
obligación por parte de la dirección de revisar el sistema en intervalos de tiempo que han sido
fijados de antemano.

En estas revisiones se incluyen no sólo los procesos establecidos, sino también la política de
seguridad de la información, los objetivos marcados, etc. La revisión de todos estos aspectos de
la organización ha de estar adecuadamente documentada, debe quedar recogida en la
información documentada (registros) correspondiente que acrediten que se ha llevado a cabo.

Información de Entrada para la Revisión

La revisión se basa en el estudio de determinada información que es aportada a la dirección a
través de distintos medios que han de ser, en todo caso, fiables.

Requisitos Exigidos por la Norma

La revisión por la dirección debe planificarse y llevarse a cabo considerando:
 El estado de las acciones desde anteriores revisiones por la dirección.
 Los cambios en las cuestiones externas e internas que sean pertinentes al SGSI.
 La información sobre el comportamiento de la seguridad de la información, incluidas las
tendencias relativas a:
- No conformidades y acciones correctivas.
- Seguimiento y resultados de las mediciones.
- Resultados de auditoría
- El cumplimiento de los objetivos de seguridad de la información.
 Los comentarios provenientes de las partes interesadas.
 Los resultados de la apreciación del riesgo y el estado del plan de tratamiento de
riesgos.
 Y las oportunidades de mejora continúa.

Elementos de salida de la Revisión

Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas
con las oportunidades de mejora continua y cualquier necesidad de cambio en el SGSI.

La organización debe conservar información documentada como evidencia de los resultados de las
revisiones por la dirección
10.1 GENERALIDADES DE LA MEJORA
Las generalidades del requisito dan las orientaciones hacia dónde debe encaminarse los procesos
de mejora dentro del sistema de gestión de seguridad de la información.

10.1 Mejora - Requisitos

La organización debe determinar y seleccionar las oportunidades de mejora e implementar las
acciones necesarias para cumplir los requisitos del cliente.
Estas incluirán:
 Corregir, prevenir o reducir los efectos no deseados;
 Mejorar el desempeño y la eficacia del sistema de gestión de seguridad de la
información.

La dirección de la organización debe encontrar el modo de que la organización mejore de una

forma continuada, para ello los procesos deben ser dinámicos en cuanto al modo de realizarse y
como toda actividad de la organización, esta mejora debe estar planificada.

La mejora puede hacerse reactivamente (p.ej. acción correctiva), de manera incremental (p.ej.
mejora continua), mediante un cambio significativo (p.ej. avance), de manera creativa (p.ej.
innovación) o por reorganización (p.ej. transformación).

10.2 NO CONFORMIDAD Y ACCIÓN CORRECTIVA

La Norma indica que cuando ocurra una no conformidad, incluidas aquellas originadas por quejas,
la organización debe reaccionar ante la no conformidad, y según sea aplicable tomar acciones para
controlarla y corregirla.

Requisitos Exigidos por la Norma

Cuando ocurra una no conformidad, la organización debe:
 Reaccionar ante la no conformidad, y según sea aplicable:
- Llevar a cabo acciones para controlarla y corregirla.
- Hacer frente a las consecuencias.
 Evaluar la necesidad de acciones para eliminar la causa de la no conformidad, con el fin
de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
- La revisión de la no conformidad.
- La determinación de las causas de la no conformidad.
- La determinación de la existencia de no conformidades similares, o que
 potencialmente podrían ocurrir.
 Implementar cualquier acción necesaria.
 Revisar la eficacia de las acciones correctivas tomadas.
 Realizar cambios en el sistema de gestión de seguridad de la información si es
necesario. Las acciones correctivas deben ser adecuadas a los efectos de las no
conformidades encontradas.
 La organización debe conservar información documentada como evidencia de:
- La naturaleza de las no conformidades y cualquier acción posterior tomada.
- Los resultados de cualquier acción correctiva

Acción Correctiva
Las acciones correctivas se utilizan como una herramienta de mejora continua, para que en los
puntos que se han detectado fallos se solventen.

La norma ISO 9000 define:

 No conformidad, como el incumplimiento de un requisito.
 Acción correctiva, como la acción tomada para eliminar la causa de una no conformidad
detectada u otra situación indeseable.

La organización debe disponer de métodos de respuesta por si se produce una no conformidad y

debe estar preparada para eliminar la causa que la provocó, a poder ser de un modo definitivo
para que no vuelva a producirse. Estas respuestas deben establecerse a través de procedimientos
documentados.

Los procesos que conducen las acciones correctivas, deben estar en consonancia a la importancia
que tenga el defecto localizado y han de incluir un estudio de la no conformidad interna o
detectada por los clientes, la determinación de sus posibles causas, modificación de las causas y
el control de la eficacia de las posibles causas.

Este proceso debe señalar la actividad de comenzar el estudio de las no conformidades o quejas y
de sus causas en el instante en que sean detectadas, así como el estudio de si existen no
conformidades similares o que potencialmente podrían ocurrir (estudio de la extensión o alcance
de la no conformidad) y si es necesario, hacer cambios en el sistema de gestión de la calidad.

10.2 MEJORA CONTINUA

Todos los elementos de salida del análisis y evaluación que se han mencionado hasta el momento,
tanto auditorías internas, el método PDCA, análisis de datos, así como los elementos de salida de
la revisión del sistema, deben aplicarse para impulsar la adecuación e idoneidad del sistema de
gestión de seguridad de la información, así como la mejora de eficacia del mismo.

Otras fuentes de información para la mejora de la idoneidad y adecuación del sistema de gestión
dada su condición de cambios permanentes serán:

 Las cuestiones externas e internas.

 El contexto de la organización.
  Las partes interesadas pertinentes identificadas así como sus necesidades, expectativas y
requisitos.
 Los requisitos legales y reglamentarios aplicables.

Todo proceso de mejora debe ser permanente y continuo, con un fin educativo y no un objetivo
que una vez alcanzado se estanque.

La mejora continua es el único modo de que la organización sobreviva y de mantener la

satisfacción de los clientes.

Requisitos Exigidos por la Norma

La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
La organización debe considerar los elementos de salida del análisis y la evaluación, y los
elementos de salida de la revisión por la dirección, para determinar si existen necesidades u
oportunidades u oportunidades que deben tratarse como parte de la mejora continua.
ACTITUD
CREAR OPORTUNIDADES DE MEJORA
Contribuir a encontrar una solución a situaciones que se plantean en una empresa, y que
ayudan a mejorar el rendimiento en una organización

Una persona debe proponer ideas y nuevas formas de hacer las cosas, incluso más allá de su
propia área de trabajo con el fin de mejorar métodos o técnicas que pueden haber quedado
desfasadas dentro de la organización.

De esta manera, existen nuevos enfoques que serán afrontados con entusiasmo, ya que las
expectativas de las tareas y funciones planteadas tienen la intención de mejorar el rendimiento
general existente en la empresa.

Se actúa con iniciativa y anticipación, proponiendo e impulsando formas de hacer para un

problema o situación, surgiendo entonces la oportunidad de mejora que debe desarrollarse en
base a unos recursos que se poseen y unos plazos de trabajo.

6. ENTENDER EL PROCESO DE IMPLEMENTACIÓN DE

LA NORMA ISO 27001 EN UN SGSI
CONSIDERACIONES BÁSICAS DE ISO 27001 ANTES DE SU
IMPLANTACIÓN
ISO 27001 es el estándar internacional creado para “proporcionar un modelo para establecer,
implementar, operar, revisar y mejorar un SGSI”

La adopción de un sistema de gestión de la seguridad de la información es una decisión

estratégica, y el Sistema de Gestión de Seguridad de la Información (SGSI) se diseña e implanta de
forma específica en cada organización.

La aplicación de la normativa de referencia requerirá como mínimo de la participación de todo el

personal de la organización, y también puede requerir de la implicación en diferente grado de
proveedores, clientes o accionistas.

Seguridad de la Información y Enfoque a Procesos

El Sistema de Gestión de la Seguridad de la Información se configura como un conjunto de
procesos a controlar, que constituyen el eje de la norma ISO 27001.

Enfoque a Procesos
Se puede definir un proceso como un conjunto de actividades orientadas a generar un valor
añadido a sus entradas para conseguir un resultado, que satisfaga los requisitos del cliente.

Resultados y Procesos
Un resultado deseado se alcanza más eficientemente cuando las actividades y recursos
relacionados se gestionan como un proceso.
UNE-EN ISO 9004:2009. Gestión para el éxito sostenido de una organización. Enfoque de gestión
de la calidad.
Toda actividad que se realice dentro de una organización, sea del tipo que sea, procesos
productivos, administrativos, comerciales o de gestión, debe ser tratada y gestionada como si
fuese un proceso, y se considera como “un enfoque a procesos”.

Por tanto, la empresa puede ser entendida como un sistema complejo formado por un conjunto
de elementos como producción, ventas, finanzas, recursos humanos, etc., en interacción entre sí y
con el exterior.

Una empresa u organización debe gestionar un gran número de procesos que de ningún modo son
independientes, sino que se encuentran todos interrelacionados de forma que, normalmente, las
salidas de unos son las entradas de otros.

Ventajas del Enfoque Basado en Procesos

 Permite controlar de forma continua todos los procesos, tanto individualmente como
en conjunto.
 Se reducen los costes y se acortan tiempos si se utilizan los recursos de forma adecuada.
 Proporciona mejores resultados, con una mayor consistencia y que además se pueden
predecir de forma más sencilla y más fiable.
 Permite establecer prioridades a la hora de realizar mejoras

En la gestión de la seguridad de la información, gracias al enfoque del proceso, los usuarios dan
más importancia a diferentes hechos:

Los Usuarios Conceden más Importancia a:

 Entender los requerimientos de seguridad de la información de una organización y su
necesidad de establecer una política y unos objetivos para este fin.
 Poner en marcha controles para los riesgos de la seguridad de la información.
 Revisar la efectividad del SGSI, y buscar una mejora continua en base a una medición de
resultados.
Mapa de Procesos
El mapa de procesos es la representación gráfica de la estructura de un proceso que conforma un
Sistema de Gestión.

Define la organización como un sistema de procesos interrelacionados, mostrando cómo sus

actividades están relacionadas con los clientes, proveedores, y grupos de interés.

Requisitos Exigidos
Adoptar esta visión de la actividad de una organización, implica necesariamente la realización de
diversas tareas.

Tareas a Realizar
 Enfocar la gestión como un proceso sobre determinadas partes de la empresa, como
por ejemplo, provisión de recursos, productos o recursos humanos, que mejorará las
actividades de la organización.
 Realizar una definición precisa de las actividades necesarias para lograr el resultado
deseado.
 Establecer la jerarquía de responsabilidades, y dar indicaciones para gestionar las
actividades clave.

De esta forma, toda actividad debe tener unas características determinadas:

¿Qué Debe Tener una Actividad?

 Un objeto definido, con límites bien determinados para cada una de las etapas y para el
proceso global.
 Algún tipo de indicador que sea cuantificable o medible, para poder comprobar el grado
de cumplimiento de los objetivos.
 Designar un responsable de dicho proceso.

Metodología PDCA
Gracias al enfoque de toda actividad como un proceso, se pueda aplicar la metodología conocida
como: PDCA (Plan-Do-Check-Act) o lo que es lo mismo PHVA (Planificar-Hacer-Verificar-Actuar),
que no es más que un sistema de mejora continua.
 PDCA
Planificar Para poder establecer los objetivos de cada actividad es necesario tener una
política clara de lo que se pretende con respecto al sistema de gestión, para
determinar los procesos necesarios para conseguir los resultados deseados.
Hacer Es la etapa de proceso en la que es necesario gestionar de forma adecuada todos
los recursos de la empresa.
Verificar Todos los procesos deben ser analizados y medidos, para cumplir con los
requisitos, política y objetivos de la organización.
Actuar Una vez realizados los análisis de los resultados producidos, se adoptarán las
medidas adecuadas, y se replanificará nuevamente con el fin de obtener una
mejora continua.

Modelo PDCA Aplicado a los Procesos SGSI

ISO 27001 adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA), que se puede
aplicar a todos los procesos SGSI, y que está implícito en la cláusula 0.1 de la Norma.

El SGSI debe intentar conseguir con el modelo PDCA satisfacer los requerimientos y expectativas
en seguridad de la información de las partes interesadas a través de las acciones y procesos
necesarios.

Ejemplos
Requerimiento Que las violaciones de seguridad de la información no causen daño
financiero ni pérdida de imagen a la organización.
Expectativa Que si ocurre un incidente serio, como el pirateo de una web, se tenga a
personas capacitadas para minimizar el daño.
 Aplicación del Modelo PDCA en el SGSI
Planificar Contexto de la Establecer la política, objetivos, procesos y procedimientos
Organización del SGSI para controlar el riesgo, y mejorar la seguridad de
Liderazgo la información para entregar resultados acordes con los
Planificación objetivos generales de la organización.
Hacer Operación Implementar y operar la política, objetivos, procesos y
Soporte procedimientos SGSI.
Chequear Evaluación del Evaluar, auditar y medir la política, objetivos, procesos y
Desempeño procedimientos SGSI, y realizar la revisión del sistema por la
alta dirección.
Actuar Mejora Realizar acciones correctivas como resultado de la auditoría
interna, evaluación continua de los procesos y controles o
la revisión gerencial para la mejora continua del SGSI.

COMPATIBILIDAD DE ISO 27001 CON OTROS SISTEMAS DE

GESTIÓN
Uno de los principales aciertos de ISO 27001 es que es compatible con otros sistemas de gestión

Junto con ISO 9001 e ISO 14001, se integra con los otros estándares de gestión para dar soporte a
una implementación consistente.

Esto quiere decir que ISO 27001 está diseñado para satisfacer adecuadamente los requerimientos
de los otros estándares, a la vez que cumple su función.

Por ello, una organización puede implantar su SGSI cumpliendo con los requisitos de los otros
sistemas de gestión relacionados.

Alcance
Los requerimientos que recoge ISO 27001 alcanzan a todo tipo de empresas, con independencia
de sus dimensiones o finalidad. Así, por ejemplo, pueden aplicarse a empresas comerciales,
agencias gubernamentales u organizaciones sin ánimo de lucro, por citar algunas.

Todas ellas pueden, siguiendo las pautas del estándar, implementar el SGSI que está concebido
para que pueda implantarse dentro del contexto de riesgos comerciales generales de las
organizaciones.

El SGSI proporciona controles de seguridad que protegen los activos de información de las
empresas. Estas deben justificar la exclusión de cualquiera de los controles y asumir el riesgo que
ello conlleva.

TÉRMINOS Y DEFINICIONES CLAVES DE LA ISO 27001

Algunos conceptos que se manejan a lo largo de la norma ISO 27001 y que deben conocerse para
implantar un SGSI:

Términos y Definiciones
Riesgo Toda situación que genera incertidumbre en la consecución de los
 objetivos definidos por la organización
Disponibilidad El recurso de información debe estar disponible y utilizable cuando lo
requiera una entidad autorizada.
Confidencialidad La información está disponible y no se divulga a personas, entidades o
procesos no autorizados
Integridad La propiedad de salvaguardar la exactitud e integridad de los recursos de
información
Seguridad de Preservación de la confidencialidad, integridad y disponibilidad de la
Información información; además, también pueden estar involucradas otros atributos
como la autenticidad, responsabilidad, no repudio y confiabilidad.
Evento de Una ocurrencia identificada del estado de un sistema, servicio o red
Seguridad de indicando una posible violación de la política de seguridad de la
Información información o falla en las salvaguardas, o una situación previamente
desconocida que puede ser relevante para la seguridad.
Incidente de Un único o una serie de eventos de seguridad de la información no
Seguridad de deseados o inesperados que tienen una significativa probabilidad de
Información comprometer las operaciones comerciales y amenazan la seguridad de la
información
Sistema de Gestión Parte del sistema gerencial general basado en un enfoque de riesgo del
de Seguridad de la riesgo para establecer, implementar, operar, monitorear, revisar,
Información (SGSI) mantener y mejorar la seguridad de la información
Riesgo Residual El riesgo remanente después del tratamiento del riesgo.
Aceptación de Decisión de aceptar el riesgo
Riesgo
Análisis de Riesgo Uso sistemático de la información para identificar fuentes y para estimar
el riesgo.
Evaluación del Proceso de comparar el riesgo estimado con el criterio de riesgo dado
Riesgo para determinar la importancia del riesgo.
Gestión del Riesgo Actividades coordinadas para dirigir y controlar una organización con
relación al riesgo.
Tratamiento del Proceso de tratamiento de la selección e implementación de medidas
Riesgo para modificar el riesgo.
Declaración de Enunciado documentado que describe los objetivos de control y los
Aplicabilidad controles que son relevantes y aplicables al SGSI de la organización.

CREACIÓN Y ALCANCE DE UN SGSI

Sistema de información: aplicaciones, servicios, activos de tecnología de la información u otros
componentes que manipulen información. (ISO 27000).

Los soportes de la información más habituales serán:

Tipos de Soportes de Información

Papel o disquetes.
Video y audio.
Dispositivos Ópticos.
 Aspectos Básicos en la Creación de un SGSI
Confidencialidad El acceso estará limitado solo al personal autorizado.
Integridad Se debe asegurar que la información no ha sido modificada y está
completa.
Disponibilidad La información es accesible cuando se requiere.

El sistema de gestión de seguridad de la información es la parte de un sistema de gestión global,

basada en la aproximación al riesgo del negocio, dirigido a establecer, implantar, revisar,
mantener y mejorar la seguridad de la información.

El sistema de gestión incluye una estructura organizativa, unas políticas de actuación que indican
las líneas generales necesarias para conseguir los objetivos previstos, con una planificación de las
actividades y la determinación de las responsabilidades

Posteriormente, los procedimientos desarrollan los objetivos marcados en las políticas, que no es
necesario que sean conocidos por todas las personas de la organización, sino únicamente por
aquellas que lo requieran para el desarrollo de sus funciones.

Beneficios de la Implantación en una Organización de un SGSI

 Proporciona una excelente lista de chequeo de controles.
 Permite una demostración del uso de prácticas apropiadas para:
- Empresas y organizaciones.
- El cliente final.
- Auditores.
 Asegura los activos de información de forma adecuada: mediante controles aplicados
según el riesgo.

¿Cómo implantar este sistema? Definiendo los procesos

¿Cómo asegurar este sistema? En el ámbito de los controles de seguridad.

El anexo A de la norma ISO 27001:2013 enumera un conjunto de controles asociados a un código

de buenas prácticas para la gestión de la seguridad de la información.

Alcance de un SGSI
Es fundamental identificar el alcance que va a tener dentro de una organización el sistema de
gestión de la seguridad de la información, pues este alcance es muy variado y puede englobar a:

Partes interesadas y Recursos

Entorno de la organización (factores internos y externos).
Necesidades y expectativas de las partes interesadas de la organización.
Actividades.
Localizaciones.
Activos.
Tecnología
 Entorno de la Organización
Entorno interno y externo en el cual, la organización busca alcanzar sus objetivos
 Externos: factores culturales, sociales, políticos, legales, normativos, financieros,
tecnológicos, económicos, ambientales y de competitividad, ya sean internacionales,
nacionales, regionales o locales.
 Internos.
- Estructura organizativa, roles, responsabilidades y relaciones contractuales con
terceros.
- Políticas, normas, guías, objetivos y estrategias existentes.
- Cultura de la organización.
- Capacidades y recursos: recursos financieros, tiempo, personas, procesos,
sistemas y tecnologías.

Partes Interesadas
Las partes interesadas serán aquellas personas o grupos que se vean afectadas o tengan la
percepción de serlo por el rendimiento o éxito de su organización.
 Clientes.
 Inversores.
 Aseguradores.
 Organizaciones gubernamentales.
 Empleados.
 Público.

Los Riesgos en el Sistema de Gestión de Seguridad de la

Información
La organización definirá un método de valoración del riesgo para el SGSI al objeto de reducir el
riesgo a un nivel aceptable. No se especifica que sea necesario un procedimiento documentado.

Un procedimiento especifica la manera de llevar a cabo una actividad o proceso.

Para evitar los posibles riesgos en el sistema de gestión se debe requerir a la organización para
establecer roles y responsabilidades incluyendo las seguridad en las responsabilidades de trabajo,
tal y como establece la cláusula 5.3 ISO 27001: 2013, proporcionando además los recursos
necesarios para facilitar una gestión efectiva de la seguridad de la información.

La toma de decisiones es un punto clave en el buen funcionamiento de una organización, y han de

estar basadas en una información precisa y fiable y a través de un acertado análisis de los datos.

En cualquier momento y a todos los niveles de la empresa es preciso tomar una decisión, por ello
los datos deben estar a disposición de aquellos que los necesitan para que la decisión sea lo más
acertada posible.

En la medida en que se pueda disponer de la información adecuada, se disminuirá el riesgo en las

decisiones.

Ventajas de la Aplicación de un SGSI

Genera mayor competitividad y una mejor imagen de la empresa.
Se manifiesta una amplia confianza en relación con terceros, y se producen también ventajas
comerciales al garantizarse la confidencialidad y el cumplimiento las exigencias legales,
generando una plena seguridad.
Una adecuada gestión de la seguridad de la información permitirá la reducción de riesgos, y
consecuentemente mayor eficacia y eficiencia en la gestión empresarial.

FACTORES DE ÉXITO DE UN SGSI

Es necesario establecer un marco de seguridad sobre los sistemas de información que permita
garantizar el servicio que requiere la organización. Esto se consigue con la implantación de un
SGSI.

La norma ISO 27002:2013 es una guía de buenas prácticas, y por tanto:

La solución a todos estos problemas anteriores es un SGSI.

Factores Claves de Éxito de un SGSI

  La implantación de un SGSI, como el de cualquier sistema de gestión, requiere de la
participación activa de la Alta Dirección.
 La adecuada formación y mantenimiento del personal de la empresa con la seguridad,
agiliza no sólo la implantación inicial sino también el mantenimiento y la identificación
de posibles nuevos riesgos a gestionar en la empresa.
 El sistema de gestión de seguridad debe contemplar su mejora continua para adaptarse
a la evolución de los sistemas y sus amenazas y la organización debe asumir un esfuerzo
permanente para su adecuado mantenimiento.

La gestión del riesgo debe formar parte de todas las actividades de la organización, y los controles
de seguridad aplicados deben ser acordes a las características de los riesgos y especialmente, la
organización

La disposición previa en la organización de otros sistemas de gestión directamente relacionados

como las normas ISO 9001, ISO 22301 o ISO 20000-1 simplifican y agilizan la implantación, siempre
que los alcances sean lo más parecido posible.

Los Ocho Factores de Éxito para un SGSI

 Una política, objetivos y actividades que reflejen los objetivos del negocio de la
organización.
 Un enfoque para implantar la seguridad que sea consistente con la cultura de la
organización.
 El apoyo visible y el compromiso de la alta dirección.
 Una buena comprensión de los requisitos de seguridad, de la evaluación del riesgo y de
la gestión del riesgo.
 La convicción eficaz de la necesidad de la seguridad a todos los directivos y empleados.
 La distribución de guías sobre la política de seguridad de la información de la
organización y de normas a todos los empleados y contratistas.
 La formación y capacitación adecuadas.
 Un sistema integrado y equilibrado de medida que permita evaluar el rendimiento de la
gestión de la seguridad de la información y sugerir mejoras.

ACTITUD
CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN
Los documentos deben estar perfectamente identificados, mediante procedimientos que
permitan asegurar la confidencialidad, integridad y disponibilidad de la información.

La mejora continua está directamente relacionada con la implementación de todas aquellas

herramientas de producción necesarias para un mejor aprovechamiento de las tecnologías de la
información y la comunicación.

Si se revisan y actualizan convenientemente los documentos que contienen información valiosa,

por ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información
esté permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se
manejan convenientemente tanto las herramientas informáticas que se requieran como las
habilidades mentales que toda persona posee, en unas personas poco potenciadas y en otras
altamente desarrolladas.

No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver
claramente y con detalle cuáles son las causas de por qué se ha producido determinado hecho. En
todos los casos, es conveniente utilizar la información de la que disponemos para preguntarnos el
porqué de las cosas, por qué ha ocurrido tal situación.

7. LA NORMALIZACION INTERNACIONAL Y LA
SEGURIDAD INDUSTRIAL
CONCEPTO DE NORMALIZACIÓN
La normalización es una actividad mediante la cual fabricantes, consumidores, usuarios,
administraciones públicas, etc. establecen un acuerdo voluntario que se plasma en un documento
técnico, o norma, en el que se definen las características técnicas que debe reunir un material,
producto, servicio o sistema para garantizar su seguridad, su aptitud a la función o su
compatibilidad con los otros productos, servicios o sistemas.

Para comprender el significado de la Normalización es primordial conocer primero qué es una

norma:

Qué es una Norma

Una norma se puede definir como un “documento establecido por consenso y aprobado por un
organismo reconocido, que otorga un marco común para su uso repetido, reglas, directrices o
características de las actividades o sus resultados, orientados a la consecución del grado óptimo
de orden en un contexto dado
ISO (Organización Internacional para la Normalización)

Las normas son desarrolladas por organismos de normalización internacional, nacional o regional.
Y, entre otras muchas ventajas, facilitan el comercio y ofrecen las bases para la reglamentación
técnica en muchos campos como el de la calidad y la seguridad industrial.

BENEFICIOS DE LA NORMALIZACIÓN
De manera global, la normalización ayuda a unificar criterios, consiguiendo una serie de ventajas,
entre las que destacan:

Ventajas de la Normalización
 Promover el entendimiento mutuo.
 Incrementar la seguridad de los productos.
 Aumentar la confianza de los consumidores.
 Ayudar a los fabricantes a cumplir la legislación.
 Fomentar la competitividad.
 Armonizar el mercado.
 Facilitar el comercio eliminando obstáculos.
 Promover la seguridad y sostenibilidad.
  Salvaguardar el medio ambiente.
Las normas son documentos establecidos por consenso entre las partes interesadas, y son
aprobados por organismos reconocidos.

En el caso de la creación de normas de reconocimiento internacional, se cuenta con la

colaboración de los países miembros participantes enviándoles el proyecto de norma para su
evaluación, revisión, y en su caso aportaciones para su mejora, antes de ser publicada con el
consenso de todos los países participantes.

Una vez han sido publicadas las normas pueden ser empleadas por una gran diversidad de agentes
interesados como por ejemplo: entidades privadas, públicas, público informado en general, etc

Uso de las Normas

Las normas son documentos expuestos al uso voluntario de aquéllas partes que están interesadas
en su aplicabilidad, y por tanto, cuentan con derechos de autor para garantizar su integridad.
En muchas ocasiones las áreas sujetas a reglamentación o normatividad en las cuales el sistema de
comercio no permite que se desarrolle y ofrezca un producto de calidad y la seguridad de los
consumidores se ve puesta en riesgo, los gobiernos pueden basar el contenido técnico de sus
regulaciones en estas normas internacionales. Éste es un beneficio fundamental de la
normalización

Sin embargo, es posible que sea obligatorio el uso de la norma solo cuando la reglamentación de
un país se ha basado en su existencia previa.

Organismos Internacionales de la Normalización

Existen diferentes organismos internacionales para la elaboración de normas.

ISO, International Organization for Standarization

ISO es la Organización Internacional para la Normalización, es una organización internacional no
gubernamental, que redacta y aprueba normas técnicas internacionales. Dichas normas se
conocen como normas ISO.

El objetivo de ISO es fomentar el desarrollo de las actividades de normalización para favorecer

intercambios internacionales de bienes y servicios, y crear una cooperación en los campos
intelectual, científico, tecnológico y económico.

IEC, International Electrotechnical Commission

IEC, es la organización internacional que prepara y publica normas internacionales sobre
electricidad, electrónica y tecnologías relacionadas. Tiene como misión promover, a través de sus
miembros, la cooperación internacional en todas las cuestiones de normalización electrotécnica y
materias relacionadas.

Muchas de las normas elaboradas por esta comisión son desarrolladas conjuntamente con la ISO,
conocidas como normas ISO/IEC.

UIT, International Telecommunications Union

UIT es la organización de las Naciones Unidas para las tecnologías de la información y la
comunicación.

Es una organización que en la actualidad cuenta con más de 193 países miembros, y cuya misión
es la de cooperar a nivel internacional para el desarrollo de las nuevas tecnologías de la
comunicación y de la información en todo el mundo. Para ello es fundamental el desarrollo de sus
normas, ya que sin ellas no se podría navegar por internet o realizar una simple llamada telefónica.
Organismos Regionales de la Normalización
Existen otros organismos de normalización que agrupan en su mayoría otros organismos de
normalización a nivel regional, como por ejemplo:

CEN, European Committee for Standarization

El Comité Europeo de Normalización, desarrolla trabajos de normalización que cubren todos los
sectores técnicos con excepción del campo electrotécnico, que es competencia del Comité
Europeo de Normalización Electrotécnica (CENELEC).

La misión principal del CEN es promover la armonización técnica, de forma voluntaria, en Europa y
crear nuevas Normas Europeas, Normas EN, o documentos de armonización sobre aquellos temas
en los que no existen normas internacionales o nacionales, para fomentar la competitividad de la
industria europea a nivel mundial y ayudar en la creación del mercado interior europeo.

Otra de las funciones principales de este organismo es promover la implantación en Europa de las
normas desarrolladas por la ISO y la IEC.

CENELEC, European Committee for Electrotechnical Standarization

Está reconocido oficialmente como la organización europea de normalización en este campo por la
Comisión Europea en la Directiva 83/189/CEE.

La misión del CENELEC es preparar normas electrotécnicas de carácter voluntario que ayuden a
desarrollar un Mercado Único Europeo para productos y servicios eléctricos y electrónicos y
eliminar las barreras comerciales, creando nuevos mercados y reduciendo los costes de
adaptación.

ANSI, American National Standars Institute

ANSI, es la Organización nacional de normalización norteamericana, es un sistema voluntario de
normalización, con reconocido prestigio internacional. Que se encarga de la elaboración de
normas referidas a productos, servicios, etc. que pueden ser aplicadas de forma voluntaria por las
empresas estadounidenses y otras partes interesadas.

COPANT, Comisión Panamericana de Normas Técnicas

COPANT, es una Sociedad Civil sin ánimo de lucro que agrupa a varios países miembros activos
(25) y 9 miembros adherentes.

Actualmente cuenta con 25 miembros activos y 9 miembros adherentes, y agrupa a los

Organismos Nacionales de Normalización (ONN) de las Américas.

Su fin principal es impulsar el crecimiento comercial, industrial, científico y tecnológico de los

países que lo forman

Países Miembros Activos de COPANT

Algunos de los países miembros activos que forman parte de la COPANT son los siguientes:
Argentina
Bolivia
Brasil
Canadá
Colombia
 Costa Rica
Cuba
Chile
Ecuador
El Salvador
Estados Unidos
Guatemala
Guyana
Honduras
Jamaica
México
Panamá
Paraguay
Perú
República Dominicana
Uruguay
Etc.

MERCOSUR, Mercado Común del Sur

Actualmente, Bolivia, Chile, Perú, Ecuador y Colombia son los Estados Asociados al MERCOSUR,
junto con los miembros fundadores Argentina, Brasil, Paraguay y Uruguay.

El Mercosur intenta avanzar en normas y procedimientos para controlar el mercado aduanero de

los países que lo integran. Desde el punto de vista del comercio interior del Mercosur, como de los
bienes que se intenten comercializar en su espacio. El organismo regional que se encarga de
elaborar las normas del Mercosur se denomina Asociación Mercosur de Normalización (AMN).

Organismos Nacionales de Normalización

ICONTEC INTERNACIONAL
Es la organización que representa a Colombia en organismos internacionales de Normalización
como ISO y regionales como COPANT. Actualmente, presta servicio de normalización, certificación,
inspección, educación, acreditación en salud, calibración de equipos, consulta y venta de
publicaciones, etc.

AENOR, Asociación Española de Normalización y Certificación

En España el único organismo reconocido para la publicación de normas es la Asociación Española
de Normalización, AENOR, como queda reconocido en el Real Decreto 338/2010, de 19 de marzo,
por el que se modifica el Reglamento de la Infraestructura para la Calidad y Seguridad Industrial,
aprobado por el Real Decreto 2200/1995, de 28 de diciembre.

Entre las funciones de AENOR, destacan:

 Elaborar normas técnicas españolas, conocidas como normas UNE.

 Colaborar impulsando la aportación española en la elaboración de normas europeas e
internacionales.
Aparte de estos organismos de normalización, explicados como ejemplo, existen otros organismos
de normalización en numerosos países como: Francia (AFNOR), Reino Unido (BSI), Alemania (DIN),
Argentina (IRAM), etc.

NIVELES DE LA NORMALIZACIÓN
A nivel de organización de todos los organismos de Normalización, se utiliza una estructura
jerárquica de los mismos, de tal manera que, los organismos internacionales son la base de la
estructura del desarrollo de normas voluntarias de carácter internacional pudiendo ser adoptadas
por cualquier país, previa adaptación.

Internacional ISO – IEC – UIT

Reginonal COPANT – MERCOSUR – CENELEC – ANSI
Nacional AENOR – ICONTEC

CONCEPTO DE ACREDITACIÓN
La acreditación es el procedimiento establecido a escala internacional mediante el cual una
Entidad autorizada reconoce formalmente que una organización es competente para la realización
de una determinada actividad de evaluación de la conformidad.

Una acreditación es el reconocimiento por parte de una tercera entidad de la competencia

técnica de una organización para la realización de una actividad de evaluación de la
conformidad.
La acreditación la pueden solicitar:

 Administraciones públicas o empresas que por su actividad requieren estar acreditadas.

 Organizaciones privadas que dentro del ámbito voluntario quieran conseguir una ventaja
competitiva respecto a sus competidores.

La mayoría de países disponen de entidades de acreditación, que a tal efecto otorgan a los
Organismos de Evaluación de la Conformidad la capacidad de evaluar y realizar declaraciones
objetivas de que los productos, servicios, bienes, etc. cumplen con unos requisitos específicos.

BENEFICIOS DE LA ACREDITACIÓN
Las ventajas que aporta la acreditación, no sólo se dejan notar en la organización que resulta
acreditada, sino que también se manifiestan en otros grupos de entidades o personas interesadas.
Así existen beneficios que recaen sobre:

 La administración.
 Los evaluadores.
 Los clientes de los evaluadores.
 El consumidor final.

Principales Ventajas de la Acreditación

 Las entidades acreditadas, cuentan con un reconocimiento de su competencia técnica
para la evaluación de la conformidad.
 Los organismos acreditados fomentan la autorregulación del propio mercado,
incrementan la competencia y la innovación, reduciendo las necesidades de
 reglamentación.
 La existencia de estas entidades acreditadas nos permite tomar decisiones que afectan
a la salud y a la seguridad, basadas en una información técnicamente fiable y
homogénea, disminuyendo así el riesgo. Del mismo modo, refuerza nuestra confianza
en los servicios básicos como los laboratorios de análisis clínico o de alimentos.
 Constituye un rasgo diferenciador en el mercado, garantía de integridad y competencia,
aumentando sus oportunidades comerciales.
 Los servicios de evaluación acreditados aportan un valor añadido a los productos o
servicios, en cuanto a fiabilidad y reconocimiento, que repercute directamente en la
confianza de los clientes y refuerza la imagen de la empresa.
 Para el cliente final, la acreditación inspira confianza, ya que garantiza que los productos
han sido evaluados por un organismo independiente y competente. Del mismo modo,
aumenta la libertad de elección y fomenta un mercado libre, pero fiable.
 Si una empresa contrata los servicios de una entidad acreditada, esto le permite
controlar y reducir los fallos de producto y los costes de producción, fomentando la
innovación.
 Los productos, análisis, calibraciones, evaluaciones ambientales, etc., realizados por
entidades acreditadas, pasan a tener un reconocimiento internacional, abriendo el
mercado y disminuyendo los costes que acarrearía una repetición de las evaluaciones.
Organismos Internacionales de Acreditación
La acreditación hace que los organismos de evaluación de la conformidad de diferentes países
tengan formas similares de desarrollar su labor de acreditación, pues se ajustan a las normas de
acreditación vigentes y que son de aplicación internacional.

Existen varios organismos que colaboran para que las entidades de acreditación mejoren día a día,
y para que los criterios seguidos a nivel mundial sean compatibles.

A continuación se describen las funciones de los principales organismos en los que participan las
entidades de acreditación.

IAF, International Accreditation Forum

Otro organismo importante, que está formado por entidades de todo el mundo, es el IAF,
International Accreditation Forum.

Los propósitos de la IAF son asegurar que los miembros de esta asociación acrediten sólo a
aquellas entidades que sean competentes, a la vez que promueve los “acuerdos multilaterales de
reconocimiento”, MLA, entre sus miembros.
La acreditación asegura la competencia e imparcialidad de las entidades acreditadoras miembro
del IAF, así como de las acreditaciones que estos miembros otorguen a otras organizaciones para
asegurar su competencia técnica, reconociéndolas como propias.

¿Qué son los Acuerdos Multilaterales de Reconocimiento?

Los Acuerdos Multilaterales de Reconocimiento (MLA), aseguran que la acreditación facilite un
acceso a los mercados.
Es una oportunidad para empresas, por ejemplo, colombianas o españolas para que se les
permita tener un respaldo en los mercados internacionales y les facilite la libre circulación de
sus productos y servicios, sin necesidad de someterlos a nuevas pruebas y otros requisitos que
deben cumplir de no contar con esa acreditación con un MLA

ILAC, International Laboratory Accreditation Cooperation

Dentro de la IAF, se encuentra también la ILAC, International Laboratory Accreditation
Cooperation

En el seno de estas organizaciones, es donde se elabora la documentación de carácter técnico

necesaria para garantizar que las actuaciones de las diferentes entidades de acreditación sean
homogéneas.

EA, European co-operation for Accreditation

A lo largo de toda Europa, encontramos varias entidades de acreditación, que son diferentes en
cada país miembro de la Unión. Se encuentran reunidas en la EA, European co-operation for
Accreditation.

Organismos Nacionales de Acreditación

Los diferentes países cuentan con entidades de acreditación propias, que permiten acreditar
diferentes organismos de evaluación de la conformidad de forma equivalente gracias a los
Acuerdos Multilaterales de Reconocimiento.

A continuación, a modo de ejemplo, se introducen las características generales de los Organismos

de Acreditación de España y Colombia.
ENAC, Entidad Nacional de Acreditación
En España, la entidad encargada de acreditar organismos que realizan actividades de evaluación
de la conformidad, es ENAC, Entidad Nacional de Acreditación.

La Entidad Nacional de Acreditación es una organización auspiciada y tutelada por la

Administración, que se constituye según lo dispuesto en:

 Ley de Industria 21/1992.

 Real Decreto 338/2010, por el que se modifica el Reglamento de la Infraestructura para la
calidad y seguridad industrial, aprobado por el Real Decreto 2200/1995.

ENAC es una entidad privada, independiente y sin ánimo de lucro, cuya función es coordinar y
dirigir en el ámbito nacional un Sistema de Acreditación conforme a criterios y normas
internacionales.

Los organismos de acreditación son los encargados de comprobar, mediante evaluaciones

independientes e imparciales, la competencia de los evaluadores de la conformidad, con objeto
de dar confianza al comprador y a la administración, contribuyendo, a su vez, a facilitar el
comercio tanto nacional como internacional.

Los criterios seguidos por las entidades de acreditación en otros países, son comunes a los
seguidos por ENAC, de forma que la evaluación de la conformidad realizada por un organismo
acreditado por ENAC, debe ser equivalente al realizado por otro organismo acreditado por otra
entidad de acreditación.

ONAC, Organismo Nacional de Acreditación de Colombia

Este organismo se caracteriza por ser de naturaleza mixta, ya que en su creación contó con
aportes estatales pero también privados. Su carácter es eminentemente técnico, y aplica
estándares internacionales.

Debido a esta participación mixta, se constituyó regido por las normas del derecho privado, en
concreto según el artículo 96 de la Ley 489 de 1998 del Congreso de la República, por la que se
dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se
expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones
previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras
disposiciones, y según el control administrativo del Ministerio de Comercio, Industria y Turismo.

Los principios que rigen el funcionamiento del ONAC son la independencia, imparcialidad,
autonomía financiera y administrativa
Proceso de Acreditación
Cuando una entidad opta por la solicitud de una acreditación, el proceso que debe seguir es el
siguiente:

Primer El primer paso es la solicitud de la acreditación al Organismo de Acreditación de

Paso cada país, para lo cual se encuentran disponibles los formularios
correspondientes, indicando además la documentación que será necesario
aportar en cada caso.
Miembros del Organismo de Acreditación revisan la documentación, y si todo
está correcto, designan el equipo auditor, que se encargará de la auditoría de la
organización
Segundo Los miembros del equipo auditor son seleccionados conforme a criterios
Paso establecidos por el Organismo de Acreditación, y esta entidad cuenta con
expertos en todo tipo de actividades
Si el solicitante de la acreditación está de acuerdo con el equipo designado, es
decir, no ha detectado a su juicio conflicto de intereses, se procede a la auditoría.
El equipo auditor evalúa que la entidad solicitante cumple los criterios de
acreditación. Este proceso de evaluación incluye:
 Estudio de la documentación técnica.
 Auditoría y observación de la realización de actividades para las que se
solicita la acreditación.
 Emisión de informe para el solicitante donde se detalla cualquier posible
desviación detectada respecto a los requisitos de acreditación.
El solicitante debe implementar las acciones correctivas que considere
pertinentes.
Tercer Paso En este punto, la Comisión de Acreditación, a la vista del informe de evaluación y
de las acciones correctivas puestas en marcha por la organización solicitante,
toma una decisión que comunica a éste.
En caso de que la Comisión de Acreditación considere que ésta es positiva, emite
el correspondiente certificado de acreditación. En caso contrario, se aplaza la
decisión hasta que se verifique la resolución de las desviaciones.

El proceso de acreditación no termina ahí, periódicamente se realizan visitas de seguimiento para

verificar que la entidad continúa cumpliendo los requisitos de acreditación

La acreditación no es de duración ilimitada, y cada cuatro años, o cinco, según el caso, se reevalúa
la competencia de la entidad mediante una auditoría similar a la inicial.
Uso de la Marca de Acreditación Otorgada
La Marca de Acreditación, es reconocible fácilmente mediante un logotipo, o la referencia de una
entidad a la condición de acreditado en los informes o certificados que emita, es el medio
empleado por las organizaciones acreditadas para anunciar públicamente el cumplimiento de los
requisitos de acreditación

Ejemplo de la Marca de Acreditación Otorgada por ENAC (España)

Todos los usuarios de los servicios o productos de una organización, pueden reconocer de manera
sencilla los documentos emitidos debido a actividades acreditadas, como por ejemplo informes de
ensayo, resultados de análisis clínicos, certificados, etc.

La presencia de la Marca de Acreditación de un Organismo de Acreditación de cualquier país en

informes y certificados, indica la garantía de contar con los beneficios y ventajas aportados por la
acreditación. Una parte importante de esto es su aceptación internacional.

Los certificados e informes sin la Marca de Acreditación, o sin la referencia a la acreditación junto
con su número, no pueden ser considerados “documentos acreditados”, y por lo tanto, no se
benefician de estas ventajas.

La Marca de Acreditación sólo puede ser empleada por las organizaciones que se encuentren
acreditadas. Su uso fraudulento o irregular, puede llevar a los Organismos de Acreditación a
emprender acciones legales contra los infractores.

Otro aspecto importante, es que el uso de la Marca de Acreditación debe limitarse a la actividad
o aspecto de la organización que haya sido acreditado.

Por ejemplo, en el informe de análisis clínico de un laboratorio de ensayo que no tenga todas las
pruebas acreditadas, deben constar claramente cuáles son los resultados acreditados y cuáles no,
para que no dé lugar a error.

La acreditación es tan concreta que incluso, aunque un laboratorio de ensayo esté acreditado para
la determinación de un compuesto concreto, puede ocurrir que lo esté para un rango limitado de
concentraciones, debiendo hacer referencia a ello en el informe, para asegurar si está acreditado
para realizar ese análisis o no

Las Marcas de Acreditación deben aparecer siempre claramente asociadas al nombre o logotipo
de la organización acreditada, y en ningún caso, a otras organizaciones o logotipos. Además,
vendrá acompañada del número de acreditación.

ORGANISMOS DE EVALUACIÓN DE LA CONFORMIDAD

Los organismos de evaluación de la conformidad son los encargados de evaluar y realizar una
declaración objetiva de que los productos, procesos, instalaciones o servicios cumplen unos
 requisitos específicos.
Los organismos de evaluación de la conformidad deben estar acreditados garantizando así su
competencia y proporcionando la confianza demandada por el mercado. Estas acreditaciones las
realizan las Entidades Nacionales de Acreditación (ONAC en Colombia, ENAC en España, etc.).

La función básica de los organismos de evaluación de la conformidad es asegurar que los

procesos, productos, instalaciones o servicios puestos a su disposición son conformes con
requisitos relacionados con su Calidad y Seguridad. Estos requisitos pueden estar establecidos
en reglamentación específica, o bien basados en normas voluntarias.
Los organismos de evaluación de la conformidad más representativos, son:

 Laboratorios.
 Organismos de Control.
 Entidades de Certificación.
 Verificadores

Laboratorios
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:

 Laboratorio de ensayo.
 Laboratorio de calibración.

Estos dos tipos de laboratorios deben demostrar el cumplimiento de los requisitos establecidos en
la norma internacional ISO/IEC 17025:2005 para estar acreditados.

ISO/IEC 17025:2005
La norma ISO/IEC 17025 es una guía genérica y es aplicable a todos los laboratorios, ya sean de
ensayo o calibración, para determinar que:

 Que tienen implantado y desarrollado un sistema de gestión de la calidad, que le facilitará

la gestión de la documentación del laboratorio a nivel técnico.
 Que estos laboratorios son capaces técnicamente en cuanto a: personal, instalaciones,
condiciones ambientales, métodos, equipos y patrones con una trazabilidad basada en las
unidades del sistema internacional.
 Su capacidad para obtener resultados de ensayo y/o calibración fiables.

De manera general, esta norma puede ser implantada en cualquier tipo de laboratorio de
calibración o ensayos, y se caracteriza por una primera parte dividida en 15 secciones alineadas
con los requisitos de un sistema de gestión de calidad, y las restantes encaminadas a determinar la
competencia técnica y la validez de los resultados que se obtengan en dichos laboratorios. Se
puede implantar independientemente de su tamaño o actividad.

Los resultados de ensayos y calibraciones realizados por estos laboratorios acreditados por las
entidades nacionales de acreditación como ONAC en Colombia y ENAC en España, son aceptados
en otros países debido a los acuerdos multilaterales de reconocimiento a los que se acogen estas
entidades.

Laboratorios de Ensayo
“Los laboratorios de ensayo son entidades públicas o privadas, cuya finalidad es llevar a cabo la
 comprobación, solicitada con carácter voluntario, de que los productos cumplen con las normas
o especificaciones técnicas que les sean de aplicación”
Los resultados llevados a cabo por los laboratorios pueden ser usados por la propia organización
para conocer y controlar la calidad de sus productos y servicios, así como sus repercusiones sobre
el medio ambiente.

Esos resultados también son usados por las entidades de inspección para la declaración de
conformidad con requisitos reglamentarios, bien en apoyo a procedimientos de autocontrol
(ámbito voluntario), o bien dentro de las actividades de inspección y control reglamentario que las
distintas administraciones llevan a cabo para asegurar que se cumplen los desarrollos legales que
aprueban (ámbito reglamentario).

Laboratorios de Calibración
“Los laboratorios de calibración industrial son las entidades públicas o privadas, cuya finalidad
es facilitar, la trazabilidad y uniformidad de los resultados de medida”.
La calibración es el procedimiento de comparar la lectura de un instrumento de medición, con
respecto a un patrón con valor o dimensión conocida.

En la actualidad se utilizan múltiples equipos de medida para diferentes actividades. Para controlar
que dichos equipos trabajan adecuadamente y proporcionan una información fiable, deben ser
revisados periódicamente por un laboratorio de calibración acreditado, el cual expedirá un
certificado de calibración.

El certificado de calibración proporciona la evidencia de que el instrumento está correctamente

calibrado ante futuras inspecciones.

Organismos de Control
“Los organismos de control son entidades públicas o privadas, cuya finalidad es verificar el
cumplimiento de carácter obligatorio de las condiciones de seguridad de productos e
instalaciones industriales, establecidas por los Reglamentos de Seguridad Industrial, mediante
actividades de certificación, ensayo, inspección o auditoría”.
Estos organismos asisten a la administración en las labores de control y vigilancia de las
actividades industriales

El control del cumplimiento de las condiciones de seguridad de diseños, productos, equipos,

procesos e instalaciones industriales se efectuará mediante la evaluación de su conformidad con
los requisitos establecidos en los respectivos Reglamentos, emitiéndose según los casos el
protocolo, acta, informe o certificado correspondiente.

Entidades de Certificación
La certificación es el procedimiento mediante el cual un organismo de evaluación de la
conformidad da una garantía por escrito, de que un producto, un proceso o un servicio es
conforme con los requisitos especificados en una norma
Por tanto, las entidades de certificación son entidades públicas o privadas, cuya finalidad es
establecer la conformidad, solicitada con carácter voluntario, de una determinada empresa,
producto, proceso, servicio o persona a los requisitos definidos en normas o especificaciones
técnicas.
Existen distintos tipos de certificaciones dependiendo del ámbito y del tipo de actividad que se
trate, entre las que destacan:

 Certificaciones de Producto.
 Certificaciones de Sistemas de Gestión de Calidad.
 Certificaciones de Sistemas de Gestión Medioambiental.
 Certificaciones de Sistemas de Seguridad de la Información.
 Certificaciones de Personas.

Verificadores
Dentro de estos organismos de evaluación de la conformidad se diferencian dos tipos:

 Verificadores medioambientales.
 Verificadores del régimen de comercio de derechos de emisión de gases de efecto
invernadero.

Verificadores Medioambientales
Los verificadores medioambientales son entidades públicas o privadas independientes de la
organización sometida a verificación, que se constituyen con la finalidad de realizar las funciones
que se establecen para ellos, en el Reglamento (CE) 1221/2009 del Parlamento Europeo y del
Consejo, de 25 de noviembre de 2009, por el que se permite que las organizaciones se adhieran
con carácter voluntario a un Sistema Comunitario de Gestión y Auditoría Medioambiental
(EMAS).

El Reglamento EMAS permite la participación voluntaria de las organizaciones, para la evaluación y

mejora de su comportamiento medioambiental y la difusión de la información pertinente al
público y otras partes interesadas.

Las organizaciones que se adhieran al Reglamento EMAS deben ser objeto de evaluación de
conformidad por parte de un verificador medioambiental, el cual debe estar acreditado y para
ello debe demostrar el cumplimiento de los requisitos establecidos en el Reglamento CE
1221/2009.

Verificadores del Régimen de Comercio de Derechos de Emisión de Gases de

Efecto Invernadero
Los verificadores del régimen de comercio de derechos de emisión de gases de efecto
invernadero (VCDE) son los organismos de verificación competentes, independientes y
acreditados para llevar a cabo el proceso de verificación del informe anual de emisiones de gases
de efecto invernadero al que hace referencia diferente reglamentación a nivel europeo por el gran
desarrollo que ha tenido en los últimos años este campo de verificación.

DIFERENCIAS ENTRE ACREDITACIÓN Y CERTIFICACIÓN

Acreditación y Certificación son términos que suelen confundirse, pero no debería ser así, ya que
son actividades distintas, que se diferencian tanto en su objetivo como en el contenido de normas
en las que se basan.

Objetivos
Acreditación Dar reconocimiento formal de que un organismo es competente para llevar a
 cabo tareas específicas.
Certificación Declarar públicamente que un producto, proceso, servicio o persona, es
conforme con los requisitos establecidos en una norma.

Las normas que rigen las entidades que desean certificarse son diferentes de las empleadas por las
entidades de acreditación en sus funciones.

En el caso concreto de los organismos certificadores, las normas ISO 9000, ISO 14000 empleadas,
describen de manera general los requisitos de un sistema de gestión, mientras que las normas
seguidas por los acreditadores, no describen un sistema de gestión, sino que establecen los
requisitos específicos que cada uno de los organismos de evaluación de la conformidad deben
cumplir, para demostrar su competencia técnica.

Por ejemplo, un laboratorio, certificado ISO 9000, ha demostrado que dispone de un sistema de
gestión de calidad ISO 9000, mientras que un laboratorio acreditado ISO 17025, ha demostrado
su competencia técnica, es decir, ha demostrado su capacidad para producir resultados de
ensayo o calibración precisos y correctos.

ACTITUD
IMPARCIALIDAD
Actitud o comportamiento que exige no inclinarse por ninguna de las partes que intervienen en
un conflicto, ni apoyar expresamente la solución planteada por una de ellas.

En una organización empresarial, todas las decisiones deban adoptarse en base a criterios
objetivos, sin que en ningún caso los prejuicios ni las emociones afecten a la toma de decisiones.

La imparcialidad representa no tener interés personal en el resultado de un conflicto, y se basa en

la credibilidad de los motivos y argumentos utilizados para adoptar una decisión.

Es muy utilizada la frase “nadie puede caminar hacia ninguna parte”, cuando en realidad si se
adopta una decisión, siempre se sigue una dirección hacia delante o hacia atrás

Por tanto, es fundamental para cualquier persona que intervenga en un conflicto, que carezca de
ningún interés en la solución del litigio, de esta manera ser imparcial significa:

 Adoptar decisiones sin verse afectado en las valoraciones por determinados prejuicios
sobre las personas.
 Actuar sin estar influenciado por las opiniones y sugerencias de las partes interesadas.
 No involucrarse ni personal ni emocionalmente en el asunto en conflicto.
 8. COMPRENDER LOS PRINCIPALES ASPECTOS QUE
REUNION LAS AUDITORIAS DE SGSI
CONCEPTOS BÁSICOS Y DEFINICIONES DE INTERÉS
La serie de Normas Internacionales ISO 27000 ponen énfasis en la importancia de las auditorías
como una herramienta de gestión para el seguimiento y la verificación de la implementación eficaz
de una política de organización para la gestión de la Seguridad de la Información.

Las auditorías son también una parte esencial de las actividades de evaluación de la conformidad y
de la evaluación y vigilancia de la cadena de suministro.

Auditoría
Una auditoría es un proceso sistemático, independiente y documentado para obtener
evidencias de la auditoría, y evaluarlas de manera objetiva con el fin de determinar el grado en
que se cumplen los criterios de auditoría.
ISO 19011 “Directrices para la Auditoría de Sistemas de Gestión”

Se puede decir que una auditoría es el examen, por parte de personas neutrales, del cumplimiento
de una determinada norma o procedimiento.

De modo más sencillo, la auditoría es una actividad de análisis que, partiendo del punto inicial de
recabar información, la evalúa para determinar posibles errores, estableciendo pautas para
corregirlos.

No se trata de un “proceso policial”, sino de un proceso técnico, en el cual el auditado tiene que
ver siempre la parte positiva de recibir información sobre el funcionamiento de la empresa.

Una auditoría tampoco debe convertirse en una simple inspección rutinaria y en su desarrollo no
solamente participan la persona o equipo auditor, sino los propios auditados. El éxito y la eficacia
de una auditoría dependen de la cooperación de todas las partes involucradas.

De esta forma, se puede concluir que una auditoría es:

 Un examen metódico y documentado.

 Independiente, es decir, realizado por personas que no tengan responsabilidad directa en
los sectores que se desea auditar.

Definiciones
Como definiciones de imprescindible conocimiento se pueden destacar las que siguen, que se
encuentran recogidas en las Normas:

 ISO 27000. “Sistemas de Gestión de Seguridad de la Información. Fundamentos y

vocabulario”.
 ISO 19011. “Directrices para la auditoría de los sistemas de gestión”
OBJETIVOS DE UNA AUDITORÍA DE UN SGSI
La auditoría de un Sistema de Gestión de Seguridad de la Información se utiliza con el fin de
verificar si el sistema de gestión ha sido convenientemente desarrollado, documentado,
implantado y está siendo seguido por la organización.

Para ello, el auditor realiza una evaluación completa del sistema de gestión y elabora un informe
detallado.

En caso de detectarse desviaciones respecto al sistema, la empresa deberá llevar a cabo las
acciones correctivas que sean necesarias para solucionarlas.
 Objetivos de la Auditoría
 Estudiar los documentos del sistema para determinar si se ajustan a las normas de
referencia correspondientes.
 Evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales.
 Comprobar la adecuación de la Política de Seguridad de la Información al
funcionamiento del sistema y a las actividades de la empresa.
 Verificar el grado de cumplimiento de los objetivos de la Política.
 Establecer el nivel de cumplimiento de los procedimientos que forman parte del
Sistema de Gestión, y de esta forma:
- Comprobar que se implementa y mantiene el SGSI.
- Comprobar que el cumplimiento de los procedimientos permite alcanzar los
objetivos de la empresa, así como la implantación de la Política de Seguridad de
la Información.
- Identificar riesgos y oportunidades.
- Proponer las acciones correctivas y de mejora necesarias para alcanzar el
cumplimiento de los procedimientos y de los objetivos.
- Proponer la modificación de la información documentada cuando se
demuestre que no son los adecuados para el desarrollo de la empresa.
- Prevenir la repetición de problemas.
- Identificar las áreas de mejora potencial del sistema de gestión.

El estudio del procedimiento auditado y el examen de su cumplimiento por parte de los auditores,
junto con la aportación creativa de los responsables del proceso, proporcionan la ocasión de
simplificar y mejorar la operación, con las miras puestas en el aumento de la calidad y la reducción
de los costes.

En consecuencia, las auditorías se realizan con la finalidad de determinar:

 La adecuación del Sistema de Gestión de la organización a la norma de referencia

específica.
 La conformidad de las actuaciones del personal de una organización con referencia a los
requisitos de su programa de calidad según lo definido en la documentación.
 La eficacia de las distintas actividades que constituyen el sistema de gestión de la
organización, y de las medidas correctivas y /o preventivas adoptadas.

Hay que tener en cuenta, no obstante, que la filosofía de los sistemas de gestión está basada en la
prevención, más que en la detección de problemas, y por ello debemos dar mayor importancia a:
 Las auditorías proporcionan a la Dirección de la empresa evidencias objetivas basadas en
hechos. Esto permite a la Dirección tomar decisiones basándose en hechos y no en hipótesis.

CARACTERÍSTICAS GENERALES DE UNA AUDITORÍA

Para poder realizar una auditoría, debe estar implantada e implementada en la organización, la
norma de referencia sobre la que se aplica dicha auditoría.

Resulta imprescindible contar con personal preparado para llevarla a cabo. En caso contrario, no
se alcanzarán los objetivos de evaluación deseados y el personal auditado sufrirá una importante
desmotivación al ser juzgado por personas a las que no considera con nivel suficiente para ello.

Antes de realizar una auditoría, debe establecerse el objeto de tal auditoría, señalando
claramente sus límites, evitando así que estos puedan estar confusos, así como acopiarse de
cuanta documentación e información exista sobre el objeto a auditar.
 Documentación e Información para Desarrollar una Auditoría
 Procesos Generales del SGSI.
 Normativa y legislación aplicable.
 Quejas o reclamaciones de clientes.
 Informes de auditorías precedentes (si procede).
 Informes de no Conformidad.
 Registros sobre acciones correctivas o de mejora implantadas o propuestas
recientemente.
 Registros y documentos exigidos por la norma de referencia.
 Riesgos y Oportunidades.
 Información del contexto de la organización.
 Información de las partes interesadas

En caso de realización de una auditoría interna por personal de la propia empresa, es necesario
que los auditores designados dispongan de una copia del Proceso / Procedimiento para la
Realización de Auditorías, redactado y aprobado con anterioridad a la auditoría, de forma que
permita seguir una pauta de actuación al personal auditor, señalando sus competencias y
limitaciones.

Así mismo, deberán establecerse los oportunos contactos con los responsables del proceso
auditado, en los que se explicará el objeto de la auditoría, presentándoles al personal del equipo
auditor y señalando las líneas generales de actuación de la misma.

En el desarrollo de la auditoría, el auditor ha de tener siempre en cuenta que:

 Se evaluarán solamente evidencias objetivas y contrastadas.

 En caso de detectarse una posible deficiencia se investigará hasta confirmarla o no,
averiguar si es fortuita o sistemática y si es posible, identificar sus causas y efectos.
 Se debe hacer un seguimiento exhaustivo de las anomalías detectadas en anteriores
auditorías.

Verificaciones durante la Auditoría

Las verificaciones a efectuar durante la auditoría son, en general, de la siguiente naturaleza:
Revisión de los documentos aplicables del Sistema de Gestión de Seguridad de la Información
aplicable, para comprobar que la organización auditada dispone de los documentos del sistema
de gestión, requeridos en la norma de aplicación.
Examen de los registros y evidencias documentales que demuestren el cumplimiento de las
disposiciones del Sistema de Gestión de Seguridad de la Información.
Supervisión directa de los procesos, para comprobar que las actividades se desarrollan de la
manera prevista en la documentación del Sistema de Gestión de Seguridad de la Información.

Una vez finalizada la auditoría, el auditor mantiene una reunión con el auditado, o persona
delegada, al que expone las desviaciones encontradas para obtener su acuerdo con las mismas o
para que formule sus observaciones. Tras la reunión, el auditor redactará el correspondiente
Informe de Auditoría.
 La auditoría no debe tener un cariz de crítica destructiva. Es deseable que se remarquen los
aspectos positivos del sistema auditado, sin embargo, lo que sí debe especificarse en el
documento o informe final de la auditoría son todas las no conformidades detectadas y
verificadas sobre la base de evidencias objetivas.

PARTICIPANTES EN UNA AUDITORÍA

En un proceso de Auditoría se encuentran involucrados tres participantes: Cliente, Auditor y
Auditado. Conviene diferenciar claramente cada uno de ellos ya que, en ocasiones, algunas de las
figuras pueden llegar a coincidir.

Cliente de Auditoría
El cliente es la persona u organización que solicita una auditoría.

El Cliente  Un comprador, actual o potencial, que quiera evaluar la capacidad de un

Puede Ser determinado proveedor en el tratamiento de los riegos de seguridad de la
información.
 Una organización que quiera establecer auditorías como parte de una
evaluación continua o para detectar cualquier anomalía del Sistema de
Gestión.
 La Administración, cuando es un organismo oficial el que requiere a
empresas suministradoras de ciertos productos o servicios especiales que
se sometan a una auditoría a cargo de entidades de certificación
acreditadas, organismos de control u otros entes concesionarios.
 El propio auditado, que puede requerir:
- A una organización especializada externa una evaluación de su
 sistema.
- A miembros de la propia organización la realización de auditorías
internas para la evaluación de su Sistema.
- A una Entidad de Certificación la realización de una auditoría del
Sistema con vistas a la obtención de un registro de empresa.
 - A un organismo independiente, para determinar si el sistema permite la
gestión adecuada de los productos que se van a suministrar (entidades de
inspección o reglamentarios).
Funciones  Definir los objetivos de la auditoría.
del  Definir el alcance de la auditoría.
Cliente  Determinar las Normas de referencia a utilizar.
 Seleccionar o contratar al personal auditor.
 Determinar el periodo de duración de la auditoría.
 Colaborar en todo momento con el auditor.

Organización Auditora
La organización auditora es aquella que planifica y dirige el proceso de auditoría. También
selecciona o contrata los auditores para cada auditoria, asegurando su cualificación e idoneidad.

Para auditorias de primera parte, la organización auditora es nombrada por la dirección. En

empresas muy pequeñas, la responsabilidad de planificar y dirigir las auditorías internas
generalmente recae sobre el Responsable de Seguridad de la Información o el Representante de la
Dirección. Los auditores pueden ser internos o contratados externamente.

Para auditorias de segunda parte, la organización auditora puede ser del cliente de la auditoria (la
organización que quiere auditar a sus proveedores) o puede subcontratarse.

Para auditorias de tercera parte, la organización auditora siempre es externa e independiente.

Para el caso especial de certificación, la organización auditora, además de independiente,

conviene que sea acreditada por un ente nacional o internacional.

Categorías del Auditor Entre los auditores cabe distinguir:

 Líder del equipo auditor: Auditor designado para dirigir,
planificar y actuar como interlocutor principal al informar de
las desviaciones encontradas y evaluar las acciones
correctivas.
 Auditor: Persona que realiza cualquier parte de la auditoría,
bajo la dirección del jefe del equipo.

Pueden sumarse a los auditores otros colaboradores, tales como:

auditores en prácticas, traductores e intérpretes o, incluso,
observadores. Estos últimos, los observadores, acostumbran a ser:
 Personas de la propia organización auditada, que han
manifestado su deseo de presenciar la auditoría para su
aprendizaje personal.
 Personas pertenecientes o representantes de algún
comprador.
  Personal propio de la entidad auditora cuya intención es
evaluar al auditor con vistas a su registro y cualificación.
Estos observadores deben permanecer neutrales en cuanto al
desarrollo de la auditoría y no interferir en su ejecución.
Funciones del Auditor Convenir con el cliente los objetivos, alcance y criterios de la auditoría.
Convenir con el cliente y auditado la fecha y duración de la auditoria.
Seleccionar el equipo auditor idóneo para cada auditoría específica.
Suministrar los recursos para la realización de la auditoria.
Asegurar que el equipo auditor realice la auditoría según los criterios
establecidos.
Recibir el informe de la auditoria elaborado por el equipo auditor.
Entregar el informe al cliente de la auditoria y al auditado.

Organización Auditada
Es la organización o entidad sobre la cual se realiza la auditoría.

Tipos Puede tratarse de:

 Una organización completa o sólo de unos centros de
producción.
 Todo el Sistema de Gestión de Seguridad de la Información o
sólo de algunas áreas, departamentos, o funciones.
Coincidencia entre La figura del cliente y del auditado coinciden en la misma organización
Cliente y Auditado o persona cuando es ésta la que encarga a un tercero (una entidad de
certificación, por ejemplo) la realización de la auditoría de su propio
Sistema de Gestión de Seguridad de la Información (a fin de recibir un
certificado y/o ser incluido en un registro de empresas certificadas)
Funciones del  Enlace con los auditores para planificar la auditoria
Auditado  Suministrar acceso a las áreas a auditar.
 Suministrar la información y datos requeridos por los
auditores.
 Cooperar con los auditores para facilitar la auditoria.
 Animar a los empleados a participar.
 Actuar sobre los hallazgos de la auditoria.
 Suministrar recursos para las acciones correctivas y
preventivas.
Ejemplo Resumen
Un ejemplo claro que permite distinguir a los tres, se da en las auditorías de proveedores, en las
que intervienen los tres miembros:

 Por un lado el cliente de la auditoría, que es la empresa que demanda los servicios del
proveedor.
 Por otro el auditado, que se corresponde con el proveedor.
 Y finalmente el auditor, que es la organización contratada para realizar la auditoría.

TIPOS DE AUDITORÍAS
Las auditorías pueden ser clasificadas, en base a su origen, como:
  Auditorías internas, realizadas con fines internos por la organización o en su nombre.
 Auditorías externas, realizadas por auditores que no pertenecen a la organización
auditada.

A las auditorías internas se las conoce también como auditorías de primera parte, mientras que a
las auditorías externas se las conoce como auditorías de segunda o de tercera parte:

Auditorías Internas De primera parte Realizadas con fines internos

por la organización o en su
nombre.
Auditorías Externas De segunda parte Realizadas por los clientes de
una organización o por otras
personas en su nombre. Un
ejemplo de este tipo son las
auditorías de proveedores.
De tercera parte Realizadas por organizaciones
externas independientes, que
proporcionan la certificación o
registro de conformidad con
los requisitos contenidos en la
norma.

En cualquier caso, es un requisito básico la independencia del auditor de las actividades

auditadas. La credibilidad del auditor se basa en que sea, y sea visto, como objetivo e
independiente, para que la credibilidad de los resultados de la auditoría no se vea comprometida.

Esta independencia es particularmente crítica en la realización de auditorías internas de

comprobación de la adecuación del sistema.

Por otro lado, las auditorías para evaluar la conformidad de las actividades realizadas en relación
con la documentación del sistema sí pueden ser llevados a cabo por auditores propios de la
empresa sin que se vea comprometida la condición de independencia, siempre y cuando esos
auditores no estén directamente implicados en las actividades objeto de auditoría.

Asimismo, las auditorías internas son mucho más asequibles a todo tipo de empresas y cuentan
con la ventaja de un mayor conocimiento del proceso productivo por parte del personal auditor.
Todo ello puede conducir a un reducido tiempo de realización y, como consecuencia, a la
posibilidad de llevarlas a cabo con frecuencia, de forma que el sistema de auditorías se acabe
convirtiendo en un medio habitual y rutinario de supervisión y mejora.

AUDITORÍAS Y CERTIFICACIÓN DE LA EMPRESA

Una vez implantado el Sistema de Gestión, el siguiente paso es que la propia organización se
asegure y pueda asegurar de cara al exterior, que dicho sistema funciona eficazmente en el marco
de una política de calidad prefijada y que sus productos/Servicio poseen la calidad requerida.

La auditoría y la certificación surgen, de este modo, como herramientas vitales para cubrir estas
necesidades.

Certificación
La certificación es un modo de confirmar, en general, de cara al exterior de la empresa, que la
organización es capaz de asegurar la calidad de sus productos.

Se trata de un certificado expedido por un organismo reconocido oficialmente en el que se

identifica la conformidad del Sistema de Gestión de la empresa de acuerdo con la norma, en la que
se basa dicho sistema.

Es decir, la certificación tras las auditorías de comprobación, identifica la conformidad de un

producto o de un sistema con los requisitos contenidos en una Norma.

La certificación del sistema es de carácter voluntario y la realiza una entidad privada, organismo
independiente de la organización, la cual ha de estar acreditada por una entidad de acreditación.

Así por ejemplo, para el caso de España, la entidad debe estar acreditada por ENAC (Entidad
Nacional de Acreditación).

Ventajas de la Certificación
 Mejora la imagen exterior de la empresa aumentando su credibilidad.
 Mayor transparencia.
 Incremento de la confianza de los consumidores, distribuidores y autoridades
gubernamentales.
 Aumenta la capacidad competitiva de la organización.
 Accesos a nuevos mercados y especificaciones de clientes.
 Supone un argumento comercial eficaz.
 Disminuye el número de Auditorías Internas por parte de los clientes.

Una vez que la entidad otorga el certificado, éste tiene una validez limitada. Al finalizar ese
período de tiempo es necesario realizar otra auditoría para su renovación, de este modo se
comprueba el mantenimiento de las condiciones de concesión del certificado.

Generalmente, una vez obtenido el certificado tiene un período de validez de tres años, una vez
finalizado este período se realiza otra auditoría para su renovación y en el transcurso del mismo se
realizan auditorías de seguimiento de forma anual.
ACTITUD
LA ESCUCHA ACTIVA
Escuchar, entender y comprender la comunicación emitida por la persona que habla o da una
opinión.

El acto de escuchar es probablemente la herramienta más importante de la que disponen una

persona para influir en los demás.

Pero, para influir en los demás es necesario centrar los esfuerzos en entender primero lo que la
otra persona nos quiere decir.

Escuchar significa ser capaz de aceptar lo que la otra persona expresa, y en ningún caso ignorar
lo que el otro tiene que decir.

Escuchar de verdad es una tarea difícil. Es habitual prestar atención a la mitad o solo a una parte
de lo que se nos dice. Es más, fingimos que atendemos con frases como: “si te estoy escuchando,
continúa”, cuando en realidad hace tiempo que la persona ha desconectado de lo que están
comentando.

Es imprescindible en todo proceso de escucha activa con el fin de escuchar de verdad los que la
otra persona dice:

 ■ Resumir lo hablado con la otra persona.

 ■ Hacer preguntas para obtener si es posible mayor información.
 ■ Determinar y clarificar el tema que centraba la conversación.

9. PLANIFICAR Y PREPARAR LA AUDITORÍA A UN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
GESTIÓN DE UN PROGRAMA DE AUDITORÍA
Las organizaciones que deseen llevar a cabo auditorías, deben de establecer previamente
programas de auditorías que contribuyan a la determinación de la eficacia del sistema de gestión
auditado. Estos programas pueden incluir auditorías que tengan en consideración una o más
normas de sistemas de gestión, llevadas a cabo de manera individual o combinada.
Un programa de auditoría debe incluir la información y recursos necesarios para organizar y
llevar a cabo las auditorías de forma eficaz y eficiente dentro de los periodos de tiempo que se
encuentran especificados. Además, el programa puede incluir:

Contenidos del Programa de Auditoría

 ■ Objetivos para este programa de auditoría y las auditorías individuales.
 ■ Alcance de la auditoría.
 ■ Procedimientos del programa de auditoría.
 ■ Criterios de auditoría.
 ■ Métodos de auditoría.
 ■ Selección del equipo auditor.
 ■ Recursos necesarios.
 ■ Procesos para tratar la confidencialidad, la seguridad de la información, la salud y la
seguridad y otros asuntos similares.

Un programa de auditoría debe seguirse y medirse de forma que pueda asegurarse que se han
alcanzado sus objetivos, contando siempre con el hecho de poder realizar revisiones para
identificar posibles mejoras.

El siguiente esquema refleja el proceso para la gestión de un programa de auditoría.

OBJETIVOS DEL PROGRAMA DE AUDITORÍA
La alta dirección de la organización debe asegurarse de que los objetivos del programa de
auditoría se han establecido para dirigir la planificación y realización de auditorías y
asegurándose de que el programa se ha implementado eficazmente.

Los objetivos del programa de auditoría siempre deben de ser coherentes además de servir de
apoyo a la política y los objetivos del sistema de gestión.

Consideraciones a Tener en Cuenta

Los objetivos del programa deben tener en cuenta aspectos como los que siguen:

 ■ Prioridades de la dirección.
 ■ Propósitos comerciales y de negocio.
 ■ Características de procesos, productos y proyectos, y cualquier cambio en ellos.
 ■ Requisitos del sistema de gestión.
 ■ Requisitos legales y contractuales, así como otros requisitos con los que la
organización esté comprometido.
 ■ Necesidad de evaluar a los proveedores.
 ■ Necesidades y expectativas de cualquier parte interesada, incluyendo los clientes.
 ■ Nivel de desempeño del auditado.
  ■ Riesgos para el auditado.
 ■ Resultados de auditorías previas.
 ■ Riesgos y Oportunidades del Sistema de Gestión.
 ■ Nivel de madurez del sistema de gestión que se audita.

ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA

El programa de auditoría debe estar gestionado por una persona con las competencias necesarias
para garantizar su gestión de una manera eficiente y eficaz, así como conocimientos y habilidades
en áreas relacionadas con la norma del sistema de gestión auditado, complementado con
documentación de referencia, incluyendo legislación, fichas de procesos, etc.

Funciones del Programa de Auditoría

 ■ Establecer el alcance del programa de auditoría.
 ■ Identificar y evaluar los riesgos para el programa de auditoría.
 ■ Establecer las responsabilidades de la auditoría.
 ■ Establecer procesos/ procedimientos para los programas de auditoría.
 ■ Determinar los recursos necesarios.
 ■ Asegurarse de la implementación del programa de auditoría.
 ■ Asegurarse de que se gestionan y mantienen los registros del programa de auditoría.
 ■ Seguimiento, revisión y mejora del programa de auditoría.

La persona responsable de la gestión del programa de auditoría debe informar a la alta dirección
de los contenidos del programa de auditoría y, de esta forma, solicitar su aprobación.

Alcance del Programa de Auditoría

El alcance del programa de auditoría puede variar en función del tamaño y la naturaleza del
auditado, así como la de la naturaleza, funcionalidad, complejidad y nivel de madurez del
sistema de gestión que se va a auditar. Es más, en algunos casos, el programa de auditoría puede
consistir únicamente en una auditoría sencilla.

Factores Influyentes en el Programa de Auditoría

 ■ Objetivo, alcance y duración de cada auditoría.
 ■ Número de auditorías a llevar a cabo.
 ■ Número, importancia, complejidad, similitud y la ubicación de las actividades que se
van auditar.
 ■ Factores que influyen en la eficacia del sistema de gestión.
 ■ Conclusiones de auditorías previas.
 ■ Idioma, el contexto cultural y social.
 ■ Cambios significativos de las actividades del auditado.
 ■ Etc.
Identificación y Evaluación de los Riesgos Relacionados con el Programa
de Auditoría
A la hora de elaborar un programa de auditoría, pueden surgir muchos riesgos asociados con su
establecimiento, implementación, seguimiento, revisión y mejora, que pueden afectar al logro de
los objetivos establecidos en el programa.

Riesgos
Los riesgos pueden estar asociados con las siguientes cuestiones:
 ■ Planificación: fallos al determinar el alcance de la auditoría, al establecer objetivos,
etc.
 ■ Recursos: falta de tiempo para desarrollar el programa de auditoría, etc.
 ■ Selección del equipo auditor: falta de competencia colectiva del equipo auditor.
 ■ Implementación, por ejemplo, comunicación ineficaz del programa.
 ■ Registros y controles: no proteger los registros de auditoría para demostrar la eficacia
del programa de auditoría.
 ■ Seguimiento, revisión y mejora del programa de auditoría: no seguir el programa o
seguirlo ineficazmente.
Proceso/ Procedimiento para el Programa de Auditoría
La persona responsable de la gestión del programa de auditoría debe establecer un
procedimiento, dónde se establezcan los requisitos para:

Contenidos del Proceso/ Procedimiento

 ■ Planificación y elaboración del calendario de las auditorías, considerando los riesgos
relacionados.
 ■ Aseguramiento de la seguridad y confidencialidad de la información.
 ■ Aseguramiento de la competencia de los auditores.
 ■ Selección de equipos de auditores apropiados con las competencias necesarias.
 ■ Realización de las auditorías incluyendo el uso de métodos adecuados de muestreo.
 ■ Seguimiento de la auditoría.
 ■ Comunicación a la dirección de la organización los logros globales del programa de
auditoría.
 ■ Conservación de los registros del programa de auditoría.

Identificación de los Recursos del Programa

A la hora de elaborar un programa de auditoría se deben de tener en cuenta los recursos que
deben asignarse a éste:

Recursos Asignados al Programa

 ■ Financieros: que se necesitarán para desarrollar, implementar, gestionar y mejorar las
actividades de auditoría.
 ■ Métodos de la auditoría.
 ■ Disponibilidad de auditores y expertos técnicos con la experiencia apropiada.
 ■ Alcance del programa de auditoría y los riesgos relacionados con el programa.
 ■ Tiempo y costes de transporte, alojamiento y otras necesidades de la auditoría.
 ■ Disponibilidad de tecnologías de la información y comunicación.
IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA
Para poner en práctica el programa de auditoría definido previamente, se deben de seguir al
menos, los siguientes pasos:

 ■ Comunicar a las partes pertinentes del programa de auditoría.

 ■ Definir los objetivos, el alcance y los criterios de auditoría.
 ■ Coordinar y programar las auditorías y otras actividades relativas al programa de
auditoría.
 ■ Asegurar la selección de equipos de auditores competentes.
 ■ Proporcionar recursos necesarios a los auditores.
 ■ Asegurar la realización de las auditorías de acuerdo con el programa de auditoría y
dentro de los plazos fijados.
 ■ Registrar las actividades de auditoría y que los registros se gestionan y mantienen
adecuadamente.

Alcance, Objetivos y Criterios de la Auditoría

Cada auditoría individual debe basarse en unos objetivos, un alcance y unos criterios de auditoría
documentados, los cuáles deben ser coherentes con los objetivos globales del programa de
auditoría.

Alcance de la Auditoría
Describe la extensión y los límites de la auditoría, tales como ubicación, actividades, procesos,
etc.
El alcance de la auditoría debe reflejar adecuadamente el alcance del Sistema de Gestión del
cliente y de los productos cubiertos por el Sistema de Gestión, de modo que se especifiquen
claramente los procesos, actividades, productos y servicios que se realizan, así como los lugares
de realización, incluyendo las subcontrataciones realizadas.
Dependiendo del caso, y en función de los procedimientos del programa de auditoría, éste
vendrá determinado por el cliente y verificado por el líder del equipo auditor.
Auditorías de Certificación El alcance vendrá determinado por todas las unidades de
Voluntaria trabajo que estén integradas en el sistema implantado por la
organización del cliente.
También se conocen como Auditorías de Tercera Parte.
Auditorías de Proveedores En este caso el cliente no es el proveedor, sino el contratista de
los servicios, con lo que el alcance vendrá determinado por
dicho contratista.
Se auditarán sólo aquellos productos o áreas de trabajo que se
hayan contratado.
También conocidas como Auditorías de Segunda Parte.
Auditorías Internas En este caso, el cliente es la propia dirección, de modo que el
alcance vendrá determinado por la dirección de la organización
y normalmente se limita a lo establecido en el programa de
auditorías internas.
También conocidas como Auditorías de Primera Parte.
 Objetivos de la Auditoría
Definen qué es lo que se va a lograr con la auditoría y deben ser concretados por el cliente de la
auditoría. Estos pueden incluir:
 ■ La determinación del grado de conformidad del Sistema de Gestión del auditado,
con los criterios de auditoría.
 ■ La evaluación de la capacidad del sistema de gestión para asegurar el cumplimiento
de los requisitos legales, reglamentarios y contractuales.
 ■ La evaluación de la eficacia del sistema de gestión implantado.

Criterios de la Auditoría
Se utilizan como una referencia para determinar la conformidad. Pueden incluir:
 ■ Políticas y procedimientos.
 ■ Normas, leyes y reglamentos aplicables.
 ■ Requisitos contractuales o del sistema de gestión.
 ■ Códigos de conducta de los sectores aplicables.

Selección de los Métodos de Auditoría

La persona responsable de gestionar el programa de auditoría debe seleccionar también aquellos
métodos que faciliten poder llevar a cabo la auditoría de una manera eficaz, dependiendo de los
objetivos, el alcance y los criterios que se hayan definido para tal auditoría.

Métodos Aplicables en Auditoría

Grado de Implicación Ubicación del Auditor
entre Auditor y
Auditado en la
Preparación
In Situ A Distancia
Interacción Auditor-  ■ Realización de entrevistas.  ■ Mediante medios de
Auditado  ■ Cumplimentación de listas de comunicación interactivos:
verificación y cuestionarios con - Realización de
la participación del auditado. entrevistas.
 ■ Revisión de documentos con - Cumplimentación de
la participación del auditado. listas de verificación
 ■ Muestreo. y cuestionarios.
- Revisión de
documentos con la
participación del auditado.
Sin Interacción  ■ Revisión de documentos.  ■ Revisión de documentos.
Auditor-Auditado  ■ Observación del trabajo  ■ Observación del trabajo
desempeñado. desempeñado mediante
 ■ Realización de visitas al sitio. medios de vigilancia,
 ■ Cumplimentación de listas de tomando en consideración
verificación. requisitos legales y sociales.
 ■ Muestreo.  ■ Análisis de datos.
Para el caso de actividades de auditoría interactivas, la interacción se producirá entre el personal
auditado y el equipo auditor. En el caso de las actividades en las que no existe esta interacción
personal, no dejará de implicar de igual forma, una interacción con equipos, instalaciones y
documentación de la organización auditada.

Lugar de Realización de las Actividades

In Situ En las propias instalaciones del auditado
A Distancia En cualquier ubicación diferente a las
instalaciones del auditado, sin tener en cuenta
la distancia.

Auditorías Externas En el caso de las auditorías externas, es la entidad auditora la que

designa al líder del equipo, el cual será el encargado de:
 ■ Estudiar la documentación del auditado.
 ■ Designar al equipo auditor.
 ■ Coordinar y supervisar todo el proceso.
 ■ Representar al equipo auditor ante la empresa auditada.
 ■ Participar en la ejecución de la auditoría.
 ■ Preparar el informe de desviaciones final.
 ■ Hacer el seguimiento y cierre de las desviaciones detectadas.

Auditorías Internas  ■ En relación con las auditorías internas, el líder del equipo
auditor será la persona o empleado que se designe como tal,
según lo establecido en el procedimiento correspondiente de
auditorías.
 ■ Éste debe ser independiente del área a auditar, debiendo
tener a su vez conocimiento de ella.

Periodicidad
Esta variará según el tipo de auditoría del que se trate:

Auditorías de Dependen de la entidad auditora. Una vez obtenido el certificado, éste, por
Certificación lo general, tiene un periodo de vigencia de 3 años, tras el cual, es necesario
Voluntaria realizar otra auditoría para su renovación.
En el transcurso del mismo, deben realizarse auditorías de seguimiento,
como mínimo, con periodicidad anual, o según establezca cada Organismo
Certificador.
Auditorías Al principio sería recomendable cada 3 o 6 meses. Una vez que el sistema
Internas de gestión lleve tiempo funcionando, se puede espaciar a una sola
auditoría anual.
Se ha de considerar la complejidad de la actividad que se audita, así como
la información disponible sobre no conformidades de auditorías
precedentes.
Viabilidad de la Auditoría
Previamente a la realización de la auditoría, deberá determinarse la viabilidad de ésta, teniendo en
cuenta factores tales como la disponibilidad de:

 ■ Información suficiente y apropiada para planificar la auditoría.

 ■ Cooperación adecuada del auditado.
 ■ Tiempo y recursos adecuados.

En caso de que la auditoría no fuera viable, se deberá proponer al cliente de la auditoría, una
alternativa tras consultar con el auditado.

Selección del Equipo Auditor

Una vez que la auditoría se considere viable, se debe seleccionar el equipo auditor teniendo en
cuenta la competencia necesaria para llevar a cabo la auditoría.

En caso de que haya un único auditor, éste deberá desempeñar todas las tareas aplicables al
auditor jefe y ser competente para auditar todas las áreas y procesos.

Tanto el cliente como el auditado podrían requerir la sustitución de miembros del equipo auditor
con argumentos razonables, como situaciones de conflicto de intereses, por un comportamiento
no ético, etc.

Consideraciones
Para la selección del equipo auditor, se debe tener en cuenta
 ■ Independencia del equipo auditor para interactuar eficazmente con el auditado y
trabajar conjuntamente.
 ■ Conocimiento de la Norma aplicable.
 ■ Conocimientos técnicos.
 ■ Conocimientos de requisitos legales.
 ■ Habilidades de auditor.
 ■ Habilidades de dirección de equipos.
 ■ Aceptabilidad por el auditado.
 ■ Requisitos legales, reglamentarios, contractuales y de acreditación/certificación,
según sea aplicable.
 ■ Cohesión del equipo.
 ■ Disponibilidad.
 ■ Idioma.
 ■ Comprensión de las características sociales y culturales particulares del auditado.
 ■ Necesidades de formación.
 Pasos para la Selección
El proceso de asegurar la competencia global del equipo auditor, deberá incluir los siguientes
pasos:
 ■ Identificación de los conocimientos y habilidades necesarias para alcanzar los
objetivos de la auditoría.
 ■ Selección de los miembros del equipo auditor de modo que todo el conocimiento y las
habilidades necesarias, estén presentes en el equipo auditor.
Si los conocimientos y habilidades necesarios no se encuentran cubiertos en su totalidad por los
auditores del equipo auditor, éstos pueden subsanarse, incluyendo expertos técnicos.
Los auditores en formación pueden incluirse en el equipo auditor, pero no deberán auditar sin
una dirección u orientación.

Sustitución de Miembros del Equipo

Tanto el cliente de la auditoría como el auditado, pueden solicitar la sustitución de algún
miembro del equipo auditor con argumentos razonables.
Para ello se deberá comunicar al líder del equipo auditor y demás responsables, los cuales
deberán resolver el problema con el cliente de la auditoría y el auditado, antes de tomar alguna
decisión sobre la sustitución de los miembros del equipo auditor.
Ejemplos:
 ■ Un miembro del equipo auditor es un antiguo empleado del auditado.
 ■ Un miembro del equipo auditor ha prestado servicios de consultoría al auditado.
 ■ Un miembro del equipo auditor es un viejo amigo del auditado.

Establecimiento del Contacto Inicial con el Auditado

El contacto inicial con el auditado, por parte del líder del equipo, será más o menos formal en
función del tipo de auditoría.

En este contacto inicial se determinarán:

 ■ Canales de comunicación y personas de contacto, por parte del auditado y del equipo
auditor.
 ■ Plazos y composición del equipo auditor.
 ■ Actividades que se realizan en la organización.
 ■ Tamaño de la organización.
 ■ Complejidad de las operaciones.
 ■ Grado de preparación (para recibir la auditoría).
 ■ Acceso a la documentación pertinente.
 ■ Acuerdo sobre la presencia de guías y observadores.
 ■ Reglas de seguridad y preparativos para la auditoría.

SEGUIMIENTO DEL PROGRAMA DE AUDITORÍA

Es necesario realizar un seguimiento del programa de auditoría con el objetivo de evaluar:

 ■ La conformidad con los programas de auditoría, calendarios y objetivos de la auditoría.

  ■ El desempeño de los miembros del equipo auditor.
 ■ La capacidad de los miembros del equipo auditor para implementar el plan de
auditoría.
 ■ La retroalimentación de la alta dirección, de los auditados, los auditores y otras partes
interesadas.

Motivos que Pueden Producir Modificaciones en el Programa de Auditoría

El programa de auditorías puede verse modificado por razones como:
 ■ Los hallazgos de la auditoría.
 ■ El nivel demostrado de la eficacia del sistema de gestión.
 ■ Los cambios en el sistema de gestión del auditado o del cliente de la auditoría.
 ■ Cambios en normas, requisitos legales, requisitos contractuales o cualquier otro
requisito con los que la organización está comprometida.
 ■ Cambio de proveedor.
 ■ Contexto de la Organización.
 ■ Riesgos y Oportunidades del SGSI.

REVISIÓN Y MEJORA DEL PROGRAMA DE AUDITORÍA

Un programa de auditoría siempre debe ser revisado para evaluar si se han alcanzado los
objetivos fijados previamente. De esta forma, las conclusiones de la revisión deben actuar como
elemento de entrada para el proceso de mejora continua del programa:

Factores a Tener en Cuenta en la Revisión del Programa de Auditoría

 ■ Resultados y tendencias del seguimiento del programa de auditoría.
 ■ Conformidad con los procesos / procedimientos del programa de auditoría.
 ■ Evaluación de las necesidades y expectativas de las partes interesadas,
 ■ Registros del programa de auditoría.
 ■ Métodos de auditoría alternativos o nuevos.
 ■ Eficacia de las medidas para tratar los riesgos asociados con el programa de auditoría.
 ■ Confidencialidad y seguridad de la información relacionados con el programa de
auditoría.

La persona responsable de gestionar el programa de auditoría será la encargada de llevar a cabo

las actividades de mejora para el mismo mediante diferentes actividades:

Gestión de la Mejora del Programa de Auditoría

 ■ Revisando la implementación global del programa de auditoría.
 ■ Identificando las áreas de mejora.
 ■ Modificando el programa si es necesario.
 ■ Revisando el desarrollo profesional continuo de los auditores.
 ■ Informando a la alta dirección de los resultados de la revisión del programa de
auditoría.
PREPARACIÓN DE LA AUDITORÍA
Una vez planificada la auditoría y seleccionado el equipo auditor, se procederá a preparar la
auditoría, lo que incluye:

 ■ La elaboración de un plan de auditoría.

 ■ La asignación de tareas al equipo auditor.
 ■ La preparación de los documentos de trabajo.

Elaboración del Plan de Auditoría

El líder del equipo auditor, será el encargado de preparar un plan de auditoría que proporcione la
programación y las características básicas de la misma. Éste, deberá ser conocido previamente por
los auditores, el cliente de la auditoría y los auditados, debiendo ser revisado y aprobado por el
cliente de la auditoría y presentado al auditado antes de que comiencen las actividades de
auditoría

El nivel de detalle puede diferir en función del tipo de auditoría, ya bien sea:

 ■ Inicial o posterior.
 ■ Interna o externa.

No obstante, el plan debe diseñarse de manera flexible de cara a permitir posibles cambios que
puedan llegar a ser necesarios a medida que éste se pone en práctica.

Contenido
General De manera general, un plan de auditoría debe incluir:
 ■ Objetivos de la auditoría.
 ■ Criterios de auditoría.
 ■ Documentos de referencia.
 ■ Alcance de la auditoría.
 ■ Fechas y lugares para la realización de las actividades de
auditoría.
 ■ Hora y duración estimadas, incluyendo las reuniones con la
dirección del auditado y con el equipo auditor.
 ■ Funciones y responsabilidades de los miembros del equipo
auditor y de los acompañantes.
 ■ Asignación de los recursos necesarios a las áreas críticas de la
auditoría
Específico Cuando sea apropiado, incluirá:
 ■ Identificación del representante del auditado en la auditoría.
 ■ Idioma de trabajo y del informe de la auditoría, cuando sea
diferente del idioma del auditor y/o auditado.
 ■ Asuntos del informe de auditoría.
 ■ Preparativos logísticos: viajes, recursos disponibles, etc.
 ■ Puntos relacionados con la confidencialidad.
 ■ Acciones de seguimiento de la auditoría.
 ■ Cláusulas/ Procesos / Funciones a auditar.
 ■ Criterios de auditoria.
Asignación de Tareas al Equipo Auditor
El líder del equipo auditor, en consulta con el equipo auditor deberá asignar a cada miembro del
equipo, las responsabilidades, funciones, lugares, áreas y actividades a auditar. Para ello deberá
tener en cuenta:

 ■ La independencia y competencia de los auditores.

 ■ El uso eficaz de los recursos.
 ■ Las diferentes funciones y responsabilidades de los auditores, auditores en formación y
expertos técnicos.

En cualquier caso, la asignación de tareas debe diseñarse de manera flexible, para permitir
cambios que puedan llegar a ser necesarios a medida que se van desarrollando las actividades de
auditoría.

LISTA DE VERIFICACIÓN
La lista de verificación también se conoce como lista de chequeo o check-list. Se trata de un
documento personal del auditor que contiene las preguntas que éste hará al auditado en cada una
de las áreas correspondientes.

Resulta de gran utilidad, ya que puede servir:

 ■ De guía para el auditor.

 ■ De registro documental donde recoger los hallazgos detectados.

El formato a emplear es libre, se trata de un documento de trabajo personal que servirá de guía
al auditor en el transcurso de la auditoría por lo que debe ser rápido de leer y de manejar. Un
requisito fundamental es que el auditor se sienta cómodo utilizándolo.

Debe incluir todos los requisitos que se exigen en la norma de referencia, pudiendo para ello ser
conveniente, seguir el mismo orden establecido en dicha norma.

NOTAS DE HALLAZGO
El formato de registro de hallazgos se trata de un documento donde el auditor puede desarrollar
por escrito un hallazgo siendo utilizado para decidir si tal hallazgo constituye o no, una no
conformidad, una desviación o, simplemente, una observación.

Su utilización es libre, e incluso hay auditores que no emplean este documento y prefieren
describir el hallazgo en la propia lista de verificación.

Información Mínima del Formato de Registro de Hallazgos

Cada nota de hallazgo debe incluir como mínimo la siguiente información:
 ■ Departamento, área o actividad.
 ■ Fecha.
 ■ Tipo de auditoría.
 ■ Numeración correlativa.
 ■ Punto de la norma al que afecta.
 ■ Texto indicando la evidencia del hallazgo observado.
 ■ Nombre o nombres de las personas involucradas.
 ■ Firma del auditor.
  ■ Criterios de auditoria.

OTROS DOCUMENTOS ÚTILES EN LA PREPARACIÓN DE AUDITORÍAS

Otros documentos y registros que pueden resultar de utilidad en la preparación de la auditoría es
la recogida en la siguiente tabla:

Otros Documentos
En la Preparación  ■ Norma de referencia.
 ■ Especificaciones contractuales o administrativas.
 ■ Procedimientos de auditoría.
 ■ Organigrama de la empresa, etc.
En la Reunión de  ■ Plan de auditoría.
Presentación  ■ Certificado de cualificación del auditor.
 ■ Material de presentación, etc
En la Ejecución  ■ Norma de referencia.
 ■ Especificaciones contractuales o administrativas.
 ■ Procedimientos de auditoría.
 ■ Lista de verificación.
 ■ Formatos de registros de hallazgos, etc.
En la Reunión de Cierre  ■ Material de presentación.
 ■ Informe final.
 ■ Procedimientos de auditoría, etc.

ACTITUD
OBJETIVIDAD
Representa tener una mente abierta y libre de prejuicios, ya que sin una visión objetiva de las
cosas no se puede dirigir correctamente
Es imprescindible ver las cosas tal y como son, y utilizar un razonamiento riguroso antes que
dejarse llevar por los sentimientos y las emociones, que claramente pueden perjudicar la visión de
las cosas.

Una persona poco objetiva sólo se cree a sí misma, y confunde la realidad con sus propios deseos y
creencias.

Por tanto, para una persona que debe dirigir y coordinar a otras es fundamental mantener una
postura seria e imparcial en todo momento, afrontando las situaciones con ecuanimidad y sin
ningún apasionamiento.

Se deben evitar expresiones como “esta es mi manera de ver las cosas y no puedo entender que
sea de otro modo”, o “yo pienso así y creo que no hay otra solución distinta”.

La manera más conveniente de fomentar la objetividad es observar los problemas y las situaciones
desde todos los puntos de vista posibles, intentando escuchar todas aquellas opiniones expertas
que permitan adoptar una correcta decisión.
En el mundo de la información, siempre se dice que un medio de comunicación es objetivo cuando
se limita a registrar la realidad sin comentarios ni interpretaciones.

10. LLEVAR A CABO EL PROCESO DE AUDITORIA

DE UN SISTEMA DE GESTION DE SEGURIDAD DE
LA INFORMACION.

ETAPAS DE LA AUDITORÍA

Para realizar una auditoria exitosa es necesario:

 ■ Una buena planificación y preparación.

 ■ Mantener buenas comunicaciones (con cliente, auditados y auditores).
 ■ Realizar una búsqueda de hechos precisa y objetiva.

El proceso de auditoría de un Sistema de Gestión consta de dos etapas diferenciadas, ambas

llevadas a cabo en las propias instalaciones de la organización auditada, siendo el líder del equipo
auditor sobre el que recae la responsabilidad de que se lleve a cabo todo el proceso de auditoría,
desde el inicio hasta que ésta finalice.

Etapas de la Auditoría de un SGC

Etapa 1 En ella se evalúa la documentación del Sistema de Gestión de la organización:
■ Política y objetivos.
■ Procedimientos.
■ Registros.
■ Fichas de proceso.
■ Fichas de indicadores
■ Normativa aplicable.
■ Etc.

La etapa 1 está destinada a realizar una revisión documental del sistema.

Etapa 2 Se evalúa, in situ, la conformidad del Sistema de Gestión de la organización
frente a los requisitos de la Norma con respecto a la que se está auditando.

El objetivo de esta segunda etapa es evaluar la implementación y eficacia del

Sistema de Gestión del auditado.

Obviamente, la realización de la auditoría in situ es la fase que consume la mayor parte del
tiempo. Sin embargo, su éxito depende en gran medida del tiempo que se dedique a su
planificación y preparación.
ETAPA 1 DE LA AUDITORIA
Para comenzar a familiarizarse con el sistema de gestión del auditado es necesario hacer acopio de
la documentación básica.

En ese sentido, el auditor debe revisar de manera general su contenido con el fin de:

 ■ Comprobar que la documentación está completa.

 ■ Comprender el Sistema de Gestión de Seguridad de la Información establecido en la
organización, a través de su documentación.

Finalidades de la Primera Etapa de Auditoría

A través de la revisión documental, el auditor confirmará si:
 ■ La organización tiene toda la documentación del sistema de gestión.
 ■ El SGSI incluye un proceso adecuado de evaluación del tratamiento de los riesgos de
la seguridad de la información
 ■ Se dispone de la legislación sobre protección de datos aplicable a las
correspondientes actividades de la organización.
 ■ El SGSI se ha diseñado para aplicar la Política de la Seguridad de la Información de la
organización.
  ■ Los programas de validación, verificación, validación y mejora son conformes con los
requisitos de la Norma ISO 27001.
 ■ Se llevan a cabo revisiones de la gestión, y éstas cubren la idoneidad, adecuación y
eficacia permanente.
 ■ Se dispone de los documentos y disposiciones del SGSI para comunicarse
internamente y con los clientes y otros interesados.

Los resultados de esta primera etapa de la auditoría deben ser documentados y comunicados a la
organización. En este informe quedará reflejado:

 ■ La adecuación de la documentación del Sistema de Gestión.

 ■ El análisis por la organización auditada de los aspectos clave.
 ■ El nivel de implementación del Sistema de Gestión, de forma que se decida si la
organización está preparada para llevar a cabo la segunda etapa de la auditoría.

Si el auditor encontrase anomalías o considerase que la norma no ha sido correctamente aplicada,

puede llegar a posponer o cancelar la segunda etapa de la auditoría, hasta que las desviaciones
encontradas en la revisión documental del sistema sean subsanadas.

ETAPA 2 DE LA AUDITORÍA
Una vez superada la primera etapa de la auditoría, incluyendo, si es necesario, la realización por
parte del auditado de las acciones indispensables para que esto sea así, se llevaría a cabo el
desarrollo de la segunda etapa de la auditoría, por parte del equipo auditor, y de nuevo, en las
instalaciones de la organización auditada.

Entre la realización de las dos etapas de auditoría no deben transcurrir más de seis meses de
intervalo. De hecho, si este intervalo de tiempo se supera, debe volver a repetirse la etapa 1 de
auditoría, ya que en ese entretiempo pueden haberse producido cambios significativos que no
hayan sido contemplados en la primera ocasión.

En la etapa 2 de auditoría, las partes del Sistema de Gestión que, auditadas durante la primera
etapa, el auditor estime que se encuentran perfectamente implementadas y conformes con los
requisitos, no tendrán que volver a ser re-auditadas.

El propósito de esta segunda etapa es evaluar la implementación y eficacia del Sistema de Gestión
de la organización.

Finalidades de la Segunda Etapa de Auditoría

El auditor debe evaluar:
 ■ La información y evidencias de la conformidad con todos los requisitos de la ISO
27001.
 ■ La realización de actividades de seguimiento, medición, informe y revisión con
relación a los principales objetivos y metas de ejecución.
 ■ El SGSI de la organización y su desempeño con respecto al cumplimiento legal.
 ■ El control operacional de los procesos del cliente.
 ■ Las auditorías internas realizadas y revisión por la dirección.
 ■ La responsabilidad de la dirección en relación con las políticas del cliente.
 ■ Las relaciones entre los requisitos normativos, política, objetivos y metas de
 desempeño, cualquier requisito aplicable, responsabilidades, competencia del personal,
operaciones, procedimientos, datos de la ejecución y resultados de auditoria interna

HERRAMIENTAS PARA DESARROLLAR UNA AUDITORÍA

Para obtener la mayor cantidad de información posible durante el desarrollo del proceso de una
auditoría, el equipo auditor puede ayudarse de una serie de herramientas para conseguir este fin

Contacto Inicial con el Auditado

Antes de la realización de la auditoría, es conveniente que se establezca un primer contacto por
parte del líder del equipo auditor con el auditado, ya sea de una manera formal o informal.

Objetivos Contacto Inicial

 ■ Establecer comunicaciones con los representantes del auditado.
 ■ Confirmar la autoridad para llevar a cabo el proceso de auditoría.
 ■ Proporcionar información acerca de los objetivos de auditoría, el alcance y la
composición del equipo auditor.
 ■ Solicitar acceso a la documentación del sistema con el objetivo de realizar una
planificación de la auditoría.
 ■ Determinar los requisitos legales y contractuales aplicables y otros requisitos
permanentes para las actividades y productos del auditado.
 ■ Determinar la necesidad de la presencia de observadores, guías o expertos técnicos
durante la auditoría.

Comunicación Durante la Auditoría

Durante el proceso de auditoría, debe mantenerse en todo momento una comunicación fluida a
todos los niveles:

 ■ Entre los miembros del equipo auditor que deberán informarse y consultar
periódicamente con el fin de:
- Intercambiar información.
- Evaluar el progreso de la auditoría.
- Reasignar tareas entre los miembros del equipo auditor, en caso necesario.
 ■ Entre los miembros del equipo auditor y el auditado: el líder deberá comunicar
periódicamente los progresos de la auditoría y cualquier inquietud al auditado.
 ■ Entre los miembros del equipo auditor, y el cliente de la auditoría, cuando se considere
necesario

Las no conformidades críticas, deben ser puestas en conocimiento del auditado, tan pronto se
evidencien, pero las cosas de menor importancia pueden comentarse en la reunión diaria de
información.

En caso de que las evidencias disponibles de la auditoría, indiquen que los objetivos de la misma
no son alcanzables, el líder del equipo auditor deberá informar de las razones al cliente de la
auditoría y al auditado para determinar las acciones apropiadas. Estas acciones pueden incluir:

 ■ Modificación del plan de auditoría.

  ■ Cambios en los objetivos de la auditoría o en su alcance.
 ■ Finalización de la auditoría.

Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida

que las actividades de auditoría progresen, deberán revisarse con el cliente de la auditoría y
aprobarse por él y, cuando sea apropiado, por el auditado.

Formulación de Preguntas
Una técnica muy útil a la hora de recopilar información es la entrevista. El auditor deberá
preguntar a la gente cuáles son sus tareas, qué hacen, cómo lo hacen, qué información reciben,
qué información transmiten, etc.

Con frecuencia, los auditores sin experiencia desarrollan inspecciones amplias de documentación,
con poca aportación por parte de las personas que desempeñan las tareas.

Con el fin de que esto no ocurra, es conveniente estructurar las entrevistas de modo que se pueda
conseguir la máxima información por parte del entrevistado, en el menor período de tiempo
posible.

Para minimizar posibles errores, durante la entrevista, se deben seguir una serie de pautas:

Fuentes de Error  ■ Diferencia semántica: desigual entendimiento del

significado de las palabras en una pregunta o respuesta.
 ■ Entrevista sesgada: proceso en el que la visión del
entrevistador se refleja en las preguntas e influencian las
respuestas dadas por el entrevistado.
 ■ Efecto halo: interpretación positiva de todas las
respuestas del entrevistado debido a que las preguntas
iniciales obtuvieron respuestas positivas.
Pautas de Minimización de  ■ Elaborar listas de comprobación que guíen al auditor a
Errores través de la entrevista.
 ■ Formular preguntas abiertas para obtener información.
 ■ Realizar el mismo tipo de preguntas a personas
distintas. Así el auditor podrá juzgar la veracidad de las
respuestas.
 ■ Realizar las entrevistas durante las horas normales de
trabajo y, cuando sea práctico, en el lugar habitual de la
persona entrevistada.
 ■ Tranquilizar a la persona que se va a entrevistar antes y
durante la entrevista.
 ■ Explicar la razón de la entrevista y de cualquier nota
que se tome.
 ■ Evitar preguntas que predispongan respuestas.
Un requisito a tener en cuenta en la auditoría es que el auditado
se sienta cómodo. Para ello no se debe realizar una entrevista en
forma de interrogatorio, sino, por ejemplo, intercalando las
preguntas en la conversación general.
 La clave para una buena entrevista es la capacidad de escucha del auditor

Gestión del Tiempo

Es tarea del auditor gestionar adecuadamente el tiempo, cosa que con frecuencia puede acarrear
dificultades, sobre todo en auditores sin experiencia.

Un método apropiado en este caso, consiste en dividir el tiempo disponible, entre las distintas
actividades que se van a revisar.

El auditor deberá estudiar y establecer una ruta lógica y conveniente a través del sistema, que le
ayudará a controlar las desviaciones de la misma, con el fin de minimizar el muestreo y las
discusiones irrelevantes.

Muestreo
El auditor deberá tener claro cuántos documentos y de qué tipo, son necesarios muestrear.

Este muestreo se puede realizar por métodos diferentes:

 ■ Aleatorio.
 ■ Estadístico.
 ■ Por objetivos.
 ■ Teniendo en cuenta un porcentaje determinado, etc.

Todos los métodos son aceptables, no obstante, debe primar el sentido común.

Durante el tiempo disponible, los muestreos que se realicen deben ser representativos de la
actividad que está bajo revisión, debiendo aumentar su número si se encuentra una no
conformidad o información que pueda dar lugar a posibles problemas.

Técnicas de Muestreo
Muestreos por Cortes Consiste en el examen de diferentes muestras, centrado en un sólo
Horizontales elemento del sistema y referido a especificaciones consideradas en
un documento.
Sirve para evaluar un elemento del Sistema de Gestión con
precisión y exactitud, en cuanto a su grado de aplicación y
cumplimiento.
Ejemplo: Examinar los documentos de control y seguimiento de los
últimos 9 meses, que se han realizado copias de seguridad de la
información, del software y del sistema, y que se verifica
periódicamente de acuerdo con la política de copias de seguridad
acordada.
Muestreos por Cortes Consiste en el examen de una sola muestra, centrado en varios
Verticales elementos del sistema y referido a especificaciones consideradas
en varios documentos.
Es una herramienta que ayuda a evaluar un determinado número
de elementos del Sistema de Gestión interrelacionados entre sí, a la
vez que sirve para obtener evidencias sobre la calidad del producto
final.
Ejemplo: Examinar un solo registro relacionado con la propiedad de
 los activos, para valorar si todos los activos que figuran en el
inventario tienen un propietario.

DESARROLLO DE LA ETAPA 2 DE AUDITORÍA

Con carácter general, la etapa 2 de una auditoría se puede desarrollar en tres fases:

Reunión de Apertura Entre los representantes de la empresa y el equipo auditor, durante el

cual:
 ■ Se harán las presentaciones oportunas.
 ■ Se confirmará el programa de la auditoría y el alcance de la
misma.
 ■ Se describirá la sistemática a seguir.
Ejecución de la Donde se procederá a la investigación, a través del análisis de
Auditoría documentos, registros y de entrevistas con el personal de la empresa,
de la implementación y eficacia del Sistema de Gestión de la
organización.
Reunión de Cierre Entre el equipo auditor y los representantes de la empresa, con objeto
de presentar a los responsables de la misma, los resultados de la
investigación.

REUNIÓN DE APERTURA
Resulta conveniente realizar una reunión de apertura con la dirección del auditado e incluso,
cuando sea apropiado, con los responsables de las funciones o procesos que se van a auditar.

Objetivos
 ■ Confirmar el acuerdo de todas las partes sobre el plan de auditoría.
 ■ Presentar al equipo auditor.
 ■ Asegurarse de que se pueden realizar todas las actividades de auditorías planificadas.
 ■ Proporcionar al auditado la oportunidad de realizar preguntas

Procedimiento
En el caso de las auditorías internas, estas reuniones no suelen hacerse en los mismos términos
que se emplean en las auditorías externas. Así pues, por ejemplo, pueden consistir simplemente
en comunicar que se está realizando una auditoría, y explicar la naturaleza de la misma.
En otros casos, la reunión debería ser formal y manteniendo un registro de los asistentes. Esta
reunión debería ser presidida por el líder del equipo auditor debiendo tener en consideración
los siguientes puntos:
 ■ Presentación de los miembros del equipo auditor, incluyendo una descripción formal
de sus funciones y citando la identificación de su registro de auditor cualificado.
 ■ Elaboración de un registro de los asistentes.
 ■ Confirmación de los objetivos, alcance y criterios de la auditoría, explicando el
propósito de la auditoría, y aclarando el tipo de auditoría solicitada por la empresa.
 ■ Confirmación del plan de auditoría que seguirán los auditores. Éste deberá haber
sido aceptado y acordado unas semanas antes, sin objeciones por ninguna de las partes.
 ■ Métodos procesos y procedimientos que los auditores utilizarán para realizar su
 trabajo. Información de la necesidad de tomar notas, recoger evidencias documentales
y comunicarse directamente con los poseedores de la información.
 ■ Confirmación de los modos de comunicación formal entre el equipo auditor y el
auditado.
 ■ Confirmación de que, durante la auditoría, el auditado será informado del progreso
de la misma.
 ■ Verificación de la disponibilidad de medios y recursos, tales como sala de reunión,
fotocopiadora, pases de seguridad, equipos de protección, interlocutor o guía, etc.
 ■ Modo de presentación de la información, incluyendo la clasificación de las
deficiencias.
 ■ Confirmación de la garantía de confidencialidad.

EJECUCIÓN DE LA AUDITORÍA
Una vez concluida la reunión de apertura, y en compañía de un representante del auditado, el
auditor deberá visitar todas y cada una de las áreas funcionales establecidas en el plan de
auditoría.

El examen y visita de un área de trabajo, significa realizar las siguientes actuaciones:

 ■ Entrevistas con el personal del área a auditar.

 ■ Inspecciones de las instalaciones, equipos, materiales y productos.
 ■ Observación de los procesos, operaciones y actividades.
 ■ Consulta de la documentación.

La investigación se efectuará teniendo en cuenta los requisitos correspondientes al área en curso.

Para ello, el auditor se podrá ayudar de la lista de verificación previamente realizada

El proceso a seguir es el siguiente:

Recopilación y Verificación de la Información

Durante el proceso de auditoría, se debe recopilar, mediante un muestreo adecuado, la
información pertinente para cubrir los objetivos, el alcance y los criterios de la misma, incluyendo
la información relacionada con las interrelaciones entre funciones, actividades y procesos. De su
análisis, se extraerán una serie de evidencias objetivas.

Fuentes de Información
Las fuentes de información a recurrir, pueden variar en función del alcance y complejidad de la
auditoría, pudiendo incluir:
 ■ Entrevistas con empleados u otras personas.
 ■ Observación de actividades, control operativo, ambiente de trabajo y condiciones
externas.
 ■ Resultados de la monitorización y medición, de los informes y de la revisión
comparados con los principales objetivos y metas de ejecución.
 ■ Documentos tales como objetivos, política, procedimientos, normas, instrucciones,
especificaciones, cualquier requisito legal aplicable, etc.
 ■ Registros, tales como actas de reunión, informes de auditorías, resultados de
mediciones, competencia del personal, etc.

Búsqueda de Evidencias
Para verificar el cumplimiento real de los requisitos de la Norma y del Sistema, es necesario
realizar una búsqueda de evidencias objetivas.

Las evidencias de la auditoría se refieren a hechos y condiciones, que en principio pueden llegar a
ser fáciles de identificar. Sin embargo, su demostración resulta compleja si no se puede probar de
una forma tangible y objetiva. Por ello, estas evidencias deberán ser evaluadas siguiendo los
criterios de auditoría previamente definidos, hasta llegar a obtener los hallazgos y posteriores
conclusiones de la auditoría.

Las evidencias de la auditoría, se basan en muestras de la información disponible. Por tanto,

siempre habrá un cierto grado de incertidumbre, de la cual deben ser conscientes los que actúan
sobre las conclusiones de la auditoría.

Las no conformidades y las evidencias de la auditoría que las apoyan, deberán revisarse junto con
el auditado, para obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las
no conformidades se han comprendido, debiendo mantener un registro de ello.

Evaluación y Generación de Hallazgos

Una vez que el auditor ha llegado a la conclusión objetiva de que existe un incumplimiento con
respecto a lo establecido en el Sistema o norma de referencia, deberá documentarlo y elaborar
una Nota de no conformidad o desviación.

Estas notas, deben ser estudiadas junto con el responsable de calidad, o con el responsable del
área involucrada, con el fin de obtener su conformidad.

Categorización de los Hallazgos

Una vez identificadas y cuantificadas las evidencias objetivas, se procederá a su valoración, para
lo cual es necesario haber establecido previamente una clasificación.
No existe una categorización estándar, pudiendo variar en función del organismo auditor, ya
bien se trate de una auditoría interna, externa o de certificación, dependiendo en este caso de
cada Organismo Certificador. En general se suelen establecer tres categorías distintas de no
cumplimiento:
No Conformidad Incumplimiento de un requisito, bien sea de la norma, del Sistema de
Gestión de la calidad, u otras, que puede afectar directamente a la calidad
del producto y que por tanto, debe ser solucionado inmediatamente.
Ejemplos:
 ■ No se han rectificado deficiencias del Sistema encontradas
durante la última auditoría.
 ■ No se ha podido comprobar la existencia de declaraciones
documentadas de la Política de Seguridad de la Información.
 ■ No se han definido los objetivos y las metas en materia de
Seguridad de la Información.

Desviación Incumplimiento de un requisito, bien sea de la norma, del Sistema de

Gestión, de la legislación u otro tipo de documentación. Son fallos
aislados, no sistemáticos, que han de ser solucionados, pero que no
requieren que se haga inmediatamente.
Ejemplo:
 ■ Se ha evidenciado que la información no recibe un adecuado
nivel de protección de acuerdo con la importancia para la
organización, incumpliendo el punto 8.2.2 de Etiquetado de la
información, que establece que debe desarrollarse e implantarse
un conjunto adecuado de procedimientos para etiquetar la
información, de acuerdo con el esquema de clasificación
adoptado por la organización.
Observación Hallazgo que no incumple un requisito de la norma, o del cual no se tiene
evidencia objetiva, pero que implica un alto riesgo futuro. Sería un
indicativo de malas prácticas.
Ejemplo:
 ■ Se detectan algunos documentos del sistema de gestión con
errores en su paginación.

Documentación de los Hallazgos

 ■ La justificación de los hallazgos se ha de redactar de manera clara, transparente y
concisa, de forma que sirvan para: - Informar de los incumplimientos a la organización.
- Determinar los pasos a seguir para corregir la no conformidad.
- Establecer, en posteriores auditorías, si las no conformidades han sido
solucionadas.
 ■ A la hora de redactar la no conformidad se suelen emplear fórmulas del tipo “se ha
evidenciado….en contra de….”.
Ejemplo de Nota de Desviación
La empresa "PLAGAS S.L.", perteneciente al sector químico, pretende certificarse según la ISO
27001. Durante la visita del auditor a una de las instalaciones, ha observado y anotado lo
siguiente:

La política de control de acceso a la información es indiscriminada, y no se limita el acceso a los

recursos de tratamiento de la información y a la información.

Auditor: "¿No se dispone de una instrucción para identificar correctamente las personas que
acceden a la información en cualquier momento?"

Responsable de Seguridad de la Información: "Si, están avisados de que deben informar

puntualmente después de la realización con riesgos en la seguridad de la información, ya que se
solicita que los informes los facilite cada responsable de área semanalmente”

Al concluir la visita, el Auditor y el Responsable de Seguridad se dirigen al despacho de éste último.

El Auditor solicita el Manual de Seguridad de la empresa, y comprueba que en el punto 9.1 se
refiere al cumplimiento de las exigencias de tratamiento de la información, debe informarse única
y exclusivamente al Responsable de Seguridad y no con carácter previo al Director de su área.

Tras concluir el análisis, el auditor procede a cumplimentar la siguiente nota de hallazgo:

Preparación de las Conclusiones de la Auditoría
Una vez auditadas todas las áreas, y antes de la reunión de cierre, el equipo auditor deberá
realizar una puesta en común de la información obtenida con el fin de:

 ■ Revisar los hallazgos de la auditoría y cualquier otra información recopilada durante la

auditoría.
 ■ Acordar las conclusiones de la auditoría, teniendo en cuenta la falta de certidumbre
propia del proceso de auditoría.
 ■ Preparar recomendaciones, en caso de que así estuviera especificado en la auditoría.
 ■ Comentar el seguimiento de la auditoría, si así se ha definido en el plan de la misma.

REUNIÓN DE CIERRE
La reunión de cierre, formaliza la clausura de la auditoría en las dependencias de la empresa
auditada.

Deberá ser presidida por el líder del equipo auditor y a ella asistirán en principio, los mismos
miembros que fueron convocados a la reunión de apertura, es decir, los componentes del equipo
auditor y los representantes de la empresa y áreas auditadas.

Objetivos
 ■ Exponer los hallazgos de la auditoría ante todas las partes interesadas con el fin de
asegurar la correcta comprensión y aceptación de los resultados.
 ■ Establecer, si es necesario, el intervalo de tiempo imprescindible para que el auditado
presente un plan de acciones correctivas y preventivas.
 ■ Supone una oportunidad para que el auditado pueda clarificar posibles equívocos,
aunque en ningún caso puede convertirse en un foro de discusión y debate.

Procedimiento
■ En muchos casos, por ejemplo, en auditorías internas en pequeñas Organizaciones, la reunión
de cierre puede consistir únicamente en comunicar los hallazgos y conclusiones de la auditoría.
Sin embargo, en otras situaciones, la reunión debería ser formal, debiendo conservarse las
actas y registros de asistencia.
■ En ocasiones, como por ejemplo, en auditorías de certificación, durante la reunión de cierre
se suele presentar el informe final con los resultados concluyentes de la auditoría. No obstante,
en otros casos, su entrega se realiza a posteriori, en una fecha acordada por todas las partes
implicadas.
■ Cualquier discrepancia relativa a los hallazgos y conclusiones de la auditoría, entre el equipo
auditor y el auditado, deberían resolverse en la mayor brevedad posible, debiendo, en caso
contrario, dejar constancia de ello mediante un registro.
■ En caso de que estuviera especificado en los objetivos de la auditoría, se deberán presentar
recomendaciones para la mejora, aunque dichas recomendaciones, no son obligatorias.

ACTITUD
RECTITUD
Actuar siempre de manera justa y de acuerdo con las circunstancias exigidas en la situación
concreta.
En cualquier ámbito de la vida de una persona actuar correctamente representa, tener la
conciencia tranquila de que se ha actuado como se debía.

Una empresa debe transmitir un clima de credibilidad y justicia en todo aquello que hace, y que
esta confianza se vea reflejada en las acciones y comportamientos que realicen sus trabajadores.

En el trabajo diario es necesario ser responsable de los actos realizados y que éstos sean
conformes a las normas y procedimientos que se consideran adecuados y justos.

La rectitud ofrece seguridad y certeza en base al cumplimiento de los compromisos y la integridad

de las actuaciones realizadas.

Una persona que se deje influenciar o que tenga diversos criterios de actuación en una situación,
no se puede considerar una persona recta, además vulneraría claramente los principales valores
que acompañan a la rectitud como son la justicia, la sinceridad e integridad y por supuesto la
equidad.

11. ANALIZAR LA ELABORACIÓN DEL INFORME DE

AUDITORÍA DE UN SGSI

INFORME DE AUDITORÍA
Las actividades que deben llevarse a cabo después de realizar la auditoría de un SGSI incluyen, al
menos:

 ■ La entrega al cliente de una relación de todas las no conformidades identificadas antes

de abandonar las dependencias donde se hizo la auditoría.
 ■ La elaboración del informe de auditoría.

El informe de auditoría es el producto final de la auditoría y su elaboración refleja los

resultados de la fase de ejecución.

Cuando se piensa en el informe final, es primordial tener en cuenta quien es el cliente. Lo

más habitual es pensar que se trata del auditado, debido a que durante el proceso de
auditoría, el equipo auditor se encuentra en contacto continuo con éste.

No obstante, el verdadero cliente del informe de auditoría es, en todo caso, el propietario
y autor de la auditoría. Por ejemplo, en el caso de una auditoría de proveedores, el
auditado no ve nunca y bajo ninguna forma el informe de la auditoría, a no ser que el
cliente de auditoría lo autorice expresamente.

Una vez que se ha establecido para quién es el informe, el contenido ha de satisfacer las
necesidades del cliente, tal y como viene establecido en el plan de auditoría.
 Resultados del Informe de Auditoría
 El informe de auditoría tiene por objeto plasmar de manera lógica y ordenada
los resultados de la auditoría. Estos resultados son básicamente dos:
 ■ Resultados parciales: Desviaciones detectadas en cada área.
 ■ Resultado global: Aprobación incondicional, aprobación condicional o
desaprobación. Se da en auditorías externas, bien sean de certificación,
reglamentarias o de proveedor, siendo:
- Aprobación incondicional: El sistema auditado es aceptable sin
condiciones.
- Aprobación condicional: El sistema será aceptado si se subsanan las
desviaciones detectadas.
- Desaprobación: El sistema no es aceptable y debe ser redefinido para
volver a ser auditado.

PREPARACIÓN DEL INFORME DE AUDITORÍA

No existe una forma concreta de elaborar un informe de auditoría, sino que los informes de
auditoría pueden ser muy diversos, dependiendo del estilo que adopte cada empresa o, en su
caso, la Entidad de Certificación.

El responsable de esta tarea es el líder del equipo auditor, aunque cuando se realiza una auditoría
“extensa”, es inevitable la participación de otros miembros del equipo.

Información General
Cada informe debe identificarse de manera única, de forma que se pueda relacionar fácilmente
con el programa de auditoría. Para ello, es conveniente establecer la trazabilidad de partes del
informe con la auditoría como, por ejemplo, las notas de hallazgo.

Requisitos Generales
Los informes de auditoría deben cumplir ciertos requisitos entre los que se encuentran, los
siguientes:
 ■ Escrito y firmado, lo que facilita su difusión y seguimiento.
 ■ Exacto en lo que concierne a hechos, datos y problemas.
 ■ Claro y directo, sin rodeos, en cuanto a observaciones y conclusiones.
 ■ Conciso, categorizando y ordenando las conclusiones en orden de importancia.
 ■ Oportuno, con respuestas adecuadas y útiles en tiempo y forma.
 ■ Objetivo respecto a los hechos observados.
 ■ Redactado en tono constructivo, en cuanto a opiniones, conclusiones y
recomendaciones.

Contenidos
Para realizar un informe de auditoría, hay que tener en cuenta dos objetivos concretos:

 ■ El informe debe proporcionar evidencias objetivas de la implantación eficaz del

procedimiento de auditoría.
 ■ Se deben identificar las exigencias de las Acciones Correctivas/Preventivas y establecer
e iniciar las acciones de seguimiento necesarias.
El informe debe proporcionar un registro completo de la auditoría, preciso, conciso y claro,
haciendo referencia, como mínimo, a los siguientes contenidos:

Contenidos
Generales  ■ Identificación del cliente de la
auditoría.
 ■ Identificación del líder y miembros
del equipo auditor.
 ■ Objetivos de la auditoría.
 ■ Alcance de la auditoría,
particularmente la identificación de las
unidades de la organización y de los
procesos auditados, período de
tiempo empleado y las categorías de
productos evaluados.
 ■ Criterios de muestreos utilizados en
la auditoría.
 ■ Referencia de documentos
normativos usados.
 ■ Fechas y lugares donde se realizaron
las actividades de auditoría in situ.
 ■ Hallazgos de auditoría:
- Resumen de observaciones
más importantes, positivas y
negativas, en referencia a la
implementación y eficacia del
SGSI.
- No conformidades detectadas
respecto a los requisitos de la
Norma ISO 27001.
- Informe de cierre de cada no
conformidad detectada en la
anterior auditoría.
 ■ Conclusiones de la auditoría.
 ■ Cualquier otro asunto pertinente
para el SGSI.
En caso Apropiado ■ Plan de auditoría.
■ Resumen del proceso de auditoría,
incluyendo la incertidumbre y/o cualquier
 obstáculo encontrado que pudiera disminuir la
confianza en las conclusiones de la auditoría.
■ Confirmación de que se han cumplido los
objetivos de la auditoría, dentro del alcance de
auditoría y de acuerdo con el plan estipulado.
■ Áreas no cubiertas, aunque se encuentre
fuera del alcance de la auditoría.
■ Opiniones divergentes sin resolver entre el
equipo auditor y el auditado.
■ Recomendaciones para la mejora, si se
especificó en el plan de la auditoría.
■ Buenas prácticas identificadas.
■ Planes de acción del seguimiento acordado,
si los hubiera.
■ Declaración sobre la naturaleza confidencial
de los contenidos.
■ Lista de distribución del informe de
auditoría.

Ejemplo
A continuación se muestra lo que podría ser una buena estructura general del índice, del informe:

Índice
1. Objeto.
2. Alcance
3. Asistentes.
4. Equipo Auditor.
5. Desarrollo de la auditoría.
6. Resultados de la auditoría.
7. Conclusiones de la auditoría.
8. Distribución del informe.
9. Confidencialidad.
10. Seguimiento del proceso de
auditoría.
11. Anexos.

Toma de Decisiones
Previo a la realización de los informes, el auditor deberá decidir si el hallazgo encontrado se trata
de, por ejemplo, una:

No Conformidad Incumplimiento de un requisito, bien sea de la norma, del Sistema de

Gestión, de requisitos legales, especificaciones del cliente u otras, que
puede afectar directamente a la seguridad del producto y que por tanto,
debe ser solucionado inmediatamente.
Desviación Incumplimiento de un requisito, bien sea de la norma, del Sistema de
Gestión, de requisitos legales, especificaciones del cliente u otras, que no
afectan directamente a la seguridad del producto. Son fallos aislados, no
 sistemáticos, que han de ser solucionados, pero que no requieren que se
haga inmediatamente.
Observación Hallazgo que no incumple requisito de norma, o del cual no se tiene
evidencia objetiva, pero que implica un alto riesgo futuro. Sería un
indicativo de “malas prácticas”.

De todos modos, la escala de categorización que se utiliza para clasificar las deficiencias
detectadas puede variar dependiendo del auditor, o en su caso, la Entidad de Certificación.

Ante todo, a la hora de categorizar una deficiencia se deberá aplicar el sentido común, dada la
posibilidad de poder perder la cooperación del auditado si se juzga de manera incorrecta.

ESTRUCTURA DEL INFORME DE AUDITORÍA

En el informe de auditoría, las deficiencias se pueden presentar siguiendo dos criterios de

exposición distintos:

 ■ Por orden de importancia: de la más grave a la más leve.

 ■ Según el orden de los requisitos de la norma.

Dentro del propio informe de auditoría, se suelen incluir en forma de anexos los siguientes
documentos:

 ■ Informe resumen.
 ■ Informe de no conformidad/desviación y solicitud de acciones correctivas.

Informe Resumen
Su finalidad es indicar los resultados globales de la auditoría. Normalmente contienen la siguiente
información:

 ■ Nº identificativo.
 ■ Fecha de la auditoría.
 ■ Ámbito de la auditoría.
 ■ Componentes del equipo auditor.
 ■ Resumen de resultados y conclusiones.

Informe de No Conformidad/Desviación y Solicitud de Acciones

Correctivas
El propósito de este documento es:

 ■ Emitir los resultados de la auditoría de forma rigurosa para que se puedan identificar
las acciones correctivas correspondientes.
 ■ Transmitir los resultados para que se puedan identificar las acciones de seguimiento
necesarias.
 ■ Presentar un informe que se pueda entender claramente cuando se revise fuera del
lugar de auditoría.
Acciones Correctivas
La acción correctiva tiene por objeto eliminar la causa raíz de una no conformidad detectada y
prevenir de este modo su reaparición.

Normalmente, una acción correctiva va precedida de una corrección, es decir, de la acción tomada
para eliminar la no conformidad detectada.

Definiciones
No Conformidad Incumplimiento de un requisito.
Corrección Acción tomada para eliminar una no conformidad detectada.
Acción Correctiva Acción tomada para eliminar la causa de una no conformidad detectada u
otra situación indeseable.
ISO 9000. Sistemas de gestión de la calidad. Fundamentos y vocabulario

De forma habitual, junto con el informe de no conformidad/desviación, se establece un apartado

para añadir las posibles acciones correctivas que se deriven de las deficiencias encontradas.

Es el cliente junto con el auditado quien debe identificar la acción correctiva necesaria a
implantar. Sin embargo, el auditor, siempre que sea posible, colaborará en la determinación de la
causa raíz del problema.

Contenido y Estructura del Informe de No Conformidad/Desviación

Un informe de no conformidad/desviación, debe contener la información suficiente para que
alguien que no estuviera presente en la auditoría sea capaz de juzgar la influencia de la deficiencia.

Si los auditores advierten deficiencias que no se puedan emitir como informes de no

conformidad/desviación debido, por ejemplo, a que no pertenezcan al ámbito de la auditoría,
éstas se podrán plantear como recomendaciones, siempre y cuando el procedimiento de auditoría
interna, así lo permita.

Estructura del Informe de No Conformidad/Desviación

Cabecera En ella se incluirán datos generales como:
 ■ Nombre de la empresa.
 ■ Departamento, área o actividad.
 ■ Fecha.
 ■ Norma de referencia.
 ■ Numeración correlativa.
Zona Superior Área a cumplimentar por el auditor, donde se describe la desviación o no
conformidad detectada, con fecha y firma del auditor.
Zona Central Área donde la empresa describe la acción correctiva que ha adoptado, en
el plazo establecido, con fecha y firma del responsable.
Zona Inferior Lugar donde el auditor comenta el seguimiento de la acción. Si se
comprueba que la acción ha sido eficaz, la no conformidad se considerará
subsanada y se procederá a su aprobación dejando constancia de ello
mediante la fecha y la firma del auditor
APROBACIÓN Y DISTRIBUCIÓN DEL INFORME DE AUDITORÍA
El informe de auditoría debe emitirse en el periodo de tiempo acordado. En caso de que no fuera
posible, se debe comunicar las razones del retraso al cliente de la auditoría, y acordar una nueva
fecha de emisión.

Dicho informe debe:

 ■ Estar fechado, revisado y aprobado de acuerdo con los procedimientos del programa de
auditoría.
 ■ Ser distribuido a los receptores designados por el cliente de la auditoría. En ese sentido,
el informe de la auditoría es propiedad del cliente de la auditoría y por tanto, los
miembros del equipo auditor y todos los receptores del informe, deberán respetar y
mantener la debida confidencialidad sobre el informe.

Revisión y Aprobación
Antes de la presentación del informe de auditoría, resulta conveniente revisarlo con el fin de
verificar si:

 ■ Proporciona una visión clara de la situación, en el momento de terminar la fase de

investigación.
 ■ No incluye nada que no se hubiera puesto de manifiesto durante la reunión de cierre.
 ■ No contiene nada que no pueda ser apoyado por medio de una evidencia real y objetiva.
 ■ Engloba todas las consideraciones clave que la norma exige.

La supervisión del informe corresponderá al líder del equipo auditor, quien deberá firmarlo y
fecharlo en el día de su elaboración.
Distribución
Puesto que ha sido el cliente el que ha solicitado y contratado la auditoría, le corresponde a él,
las decisiones sobre la distribución del informe de auditoría.

En aquellas auditorías en las que las figuras del cliente y del auditado no coincidan, como es el
caso de, por ejemplo, las auditorías de proveedor, el auditor debe cuidarse mucho de entregar un
ejemplar del informe al auditado sin autorización expresa del cliente.

Inclusive en las auditorías internas, donde se puede considerar que el cliente es la propia
Dirección, el informe no debe ser entregado a nadie más que a la Dirección.

Competencias
Deberá celebrarse una reunión sobre el informe, con las partes interesadas, durante la cual se
examinen los puntos de actuación, se tome un acuerdo sobre la acción correctiva y se vuelva a
redactar el informe, si es que la acción correctiva difiere de lo sugerido en el original.

También se deberán acordar los plazos de ejecución, y nombrar a la persona responsable de la

puesta en práctica de las acciones.

El proceso global a seguir y sus competencias, queda perfectamente reflejado en el siguiente

diagrama.
Presentación de Resultados
En ocasiones, el informe de auditoría se suele presentar en la reunión de cierre. En otras, sin
embargo, se deja un tiempo de reflexión y preparación al auditor, tras el cual se produce la
entrega y exposición del informe.

Conviene dejar claro que la exposición de los resultados no debe consistir en la mera lectura del
informe, sino en su entrega, su presentación oral y su desarrollo de manera estructurada.

Se debe comenzar por la primera deficiencia que aparece escrita en el informe, y terminar por la
última. Así pues, según se haya presentado el informe, se irá de la desviación más grave a la más
leve, o bien del primer requisito incumplido al último, siguiendo el orden de la norma.

Actitud por parte del Auditor

Cuando las deficiencias sean puestas en conocimiento, el auditor puede verse
involuntariamente sometido a rechazos y actitudes hostiles por parte de los representantes de
la empresa:

 ■ En ningún caso, el auditor deberá entrar en discusión sobre lo que constituye o deja
de constituir una deficiencia, sino al contrario, debe mostrarse sereno y limitarse a
exponer los hallazgos, categorizar las desviaciones y aclarar las posibles dudas que
surjan.
  ■ Es conveniente no alargar la reunión con discusiones y darla por finalizada una vez
que los hallazgos hayan sido expuestos y se consiga la aceptación de los resultados por
parte del auditado.
 ■En caso de que la Dirección no estuviera de acuerdo con las deficiencias expuestas y se
negara a firmar el informe, los auditores bajo ningún concepto deberán entrar en una
especie de trato que supedite la firma a la eliminación de una deficiencia. Lo más
recomendable es mantener el resultado de la auditoría e informar que el procedimiento
de reclamaciones escritas está al alcance del auditado.

Comprobaciones
Los auditores no deberán dar por concluida la reunión sin comprobar:
 ■ Que el informe final ha sido debidamente firmado por la Dirección.
 ■ Que el formato de acciones correctivas ha sido entregado.
 ■ Que no ha quedado ningún aspecto importante pendiente de explicación.

FINALIZACIÓN DE LA AUDITORÍA
La auditoría finaliza cuando todas las actividades descritas en el plan de auditoría se hayan
realizado y el informe de la auditoría aprobado, se haya distribuido.

En relación con la conservación de los documentos pertenecientes a la auditoría, deberá actuarse

conforme establezcan las partes participantes y de acuerdo con los procedimientos estipulados en
el programa de auditoría y los requisitos legales, reglamentarios y contractuales aplicables.

Salvo que sea requerido por ley, el equipo auditor y el responsable de la gestión del programa de
auditoría, no deben revelar, sin la aprobación explícita del cliente de la auditoría, y cuando sea
apropiado, la del auditado:

 ■ El contenido de los documentos.

 ■ Cualquier otra información obtenida durante la auditoría.
 ■ El informe de auditoría.

En el caso de que se requiera revelar el contenido de algún documento relacionado con la

auditoría, tanto el cliente como el auditado deben ser informados de este hecho en la mayor
brevedad.

SEGUIMIENTO DE LA AUDITORÍA
Las conclusiones de la auditoría, pueden indicar la necesidad de realizar acciones correctivas,
preventivas o de mejora, según sea aplicable. Generalmente, estas acciones son decididas y
emprendidas por el auditado en un intervalo de tiempo acordado por todas las partes interesadas,
y no se consideran como parte de la auditoría.

La implementación efectiva de estas acciones correctivas debe ser verificada. Esta verificación
puede formar parte de una auditoría posterior.

El seguimiento de la acción correctiva es necesario para asegurarse de que

 ■ Las deficiencias encontradas se han solucionado, es decir, se ha aplicado la corrección.

  ■ Se ha eliminado la no conformidad, es decir:
− La causa generadora del problema se ha identificado.
− Se ha implantado la acción correctiva adecuada y resulta eficaz para evitar la
reaparición del problema.

Hoja De Seguimiento De Acciones Correctivas

DATOS DE LA AUDITORÍA DATOS DE LAS NO FECHA DE SEGUIMIENTO
CONFORMIDADES
Nº ÁREA FECHA Nº FECHA DE FINALIZACIÓN DE LA SEGUIMIENTO CIERRE
ACCIÓN

Responsable

Firma

Proceso
El auditado debe presentar evidencias de que las deficiencias han sido corregidas en el plazo
estipulado y según consta en el informe final. Estas evidencias deberán ir acompañadas del
formato de solicitud de acción correctiva/preventiva que en su día se acordó.

Modos de Establecer la Evidencia

Documentales Consistirán en documentos que certifiquen
que la acción requerida ha sido implantada.
Ejemplo:
Imaginemos que el auditor ha levantado una
no conformidad debido a que ha detectado
que la empresa no dispone de un
procedimiento documentado para el control
de los registros del sistema, en contra de lo
establecido en la norma. En este caso, la
evidencia documental consistirá en aportar el
procedimiento de control de los registros,
redactado y aprobado por las personas
autorizadas.
Físicas Consistirán en pruebas físicas, del tipo
muestras, ejemplares o fotografías que
puedan demostrar que se han llevado a cabo
las acciones requeridas.
Ejemplo:
Imaginemos una no conformidad por falta de
etiquetado de determinados productos. En
este caso se podrá aportar como evidencia
una muestra, debidamente etiquetada, o
tratándose de elementos de dimensiones
 mayores, se podrá aportar una fotografía o
simplemente la etiqueta o incluso solicitar al
auditor su verificación in situ.

Responsabilidades del Auditor

El auditor, una vez recibidas las evidencias, así como los formatos de solicitud, debidamente
cumplimentados, deberá:
 ■ Verificar que la recepción está dentro del plazo establecido en el informe final.
 ■ Comprobar que cada no conformidad tiene asignados, una evidencia y el formato de
solicitud de acción correctiva acordado.
 ■ Evaluar la eficacia de la acción implantada.
 ■ En caso de duda, verificar in situ la realización de la acción, concertando una auditoría
extraordinaria.

Auditoría de Seguimiento
Las auditorías de seguimiento son auditorías realizadas in situ, pero no necesariamente realizadas
a todo el sistema.

Estas auditorías pueden involucrar o no a los auditores iniciales, en función de lo establecido por
las partes interesadas, y de acuerdo con los procedimientos estipulados en el programa de
auditoría, así como los requisitos legales, reglamentarios y contractuales aplicables.

Objetivos de las Auditorías de Seguimiento

 ■ Comprobar el mantenimiento del Sistema de Gestión de la Calidad de la empresa.
 ■ Verificar la implantación y eficacia de acciones correctoras a las posibles deficiencias
detectadas en auditorías previas.
 ■ Examinar cualquier cambio en la organización interna y procedimientos del SGSI de la
empresa.

En el caso de auditorías de certificación, una vez obtenida la certificación y de manera periódica

(como mínimo una vez al año, según establezca cada Organismo Certificador) se establecerán
auditorías de seguimiento continuadas, hasta la realización de la auditoría de recertificación.

Esta tarea debe llevarse a cabo de manera controlada y sistemática, siendo de gran utilidad el uso
de hojas de seguimiento de la acción.

ACTITUD
PERFECCIONAMIENTO Y MEJORA CONTINUA
Buscar la superación en el desempeño profesional basada en la mejora en el día a día con el fin
de alcanzar mejores resultados.

Conseguir el perfeccionamiento en el desarrollo de un trabajo, buscando siempre la mejora

continua, son actitudes esenciales para la organización y deben ser la base para la mejora del
desempeño.
En relación al cliente, es conveniente conocer su opinión sobre la calidad y fiabilidad de los
productos ofrecidos, el cumplimiento de las expectativas en cuanto a la duración y a las
prestaciones o el cumplimiento de los plazos de entrega o los precios.

En una organización, es necesaria una recopilación adecuada de la información con el fin de que el
análisis de datos pueda identificar los puntos de actuación mejorables y permitir la toma de
decisiones adecuadas.

Todo proceso de mejora debe ser permanente y continuo, tanto para el propio trabajador como
para la organización en que desempeña sus funciones.

Por ello, es imprescindible crear oportunidades de mejora para cada persona en base a su
potencial, a la correcta asignación de las funciones que realiza y a un seguimiento de su
desempeño.

Para que los equipos de trabajo mejoren y alcancen una sincronización y perfección adecuada, es
necesario un seguimiento del equipo de manera regular, con la aportación de instrucciones
concretas y detalladas y por supuesto ofreciendo en todo momento apoyo e interés en ayudar a
las personas por parte de sus superiores.

12. IDENTIFICAR EL PERFIL QUE DEBE REUNIR UN

AUDITOR DE SGSI

COMPETENCIA DE LOS AUDITORES

La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la competencia de
aquellos que la llevan a cabo.

Esta competencia se basa en la demostración de:

 ■ La aptitud para aplicar los conocimientos y habilidades adquiridos mediante la

educación, la experiencia laboral, la formación como auditor y la experiencia en auditorías.
 ■ Las cualidades personales.

El auditor debe desarrollar, mantener y mejorar su competencia a través del continuo

desarrollo profesional y de la participación regular en auditorías.
Formación y Experiencia de los Auditores
Los auditores deberán tener la cualificación necesaria para llevar a cabo las auditorías de manera
eficaz. Por ello, los candidatos a auditores deben estar en situación de demostrar su formación y
experiencia en diferentes áreas de conocimiento.
 NIVELES
Cada organización debe establecer los niveles de competencia que un auditor necesita para
lograr los conocimientos y habilidades adecuados para el programa de auditoría.

Estos niveles podrán variar en función del programa y tipo de auditoría.

Competencias
Auditor Los auditores deberán tener:
 ■ Nivel educativo suficiente para adquirir los conocimientos
y habilidades descritos.
 ■ Experiencia laboral que contribuya al desarrollo de los
conocimientos y habilidades descritos.
 ■ Formación en materia de gestión de la calidad que
permitan al auditor llevar a cabo el desarrollo correcto de la
auditoría de un SGSI.
 ■ Formación procesos, productos y servicios que permita
comprender el contexto tecnológico en el que se está
llevando a cabo la auditoría.
 ■ Formación como auditor que contribuya al desarrollo de
los conocimientos y habilidades descritos. Esta formación
podrá ser proporcionada por la propia organización a la que
pertenece la persona o por una organización externa.
 ■ Experiencia en auditorías, obtenida bajo la dirección y
orientación de un auditor con competencia como líder del
equipo auditor.
Líder del Equipo Audito Deberán tener experiencia adicional en la auditoría para desarrollar
los conocimientos y habilidades descritos, actuando como líder del
equipo auditor bajo la dirección y orientación de otro auditor
competente como líder del equipo auditor.

ATRIBUTOS PERSONALES
Los auditores deben poseer atributos personales que les permitan actuar de acuerdo con los
principios de la auditoría. Resulta necesario que el auditor sea una persona libre de prejuicios e
imparcial.
CONOCIMIENTOS Y HABILIDADES
Un auditor de Sistemas de Gestión de Gestión de Seguridad de la Información debe estar formado
en diversas disciplinas, siendo esencial que disponga de conocimientos y habilidades que le
permitan examinar el sistema de gestión y generar los hallazgos y conclusiones de auditoría
apropiados.

De los Auditores
Los auditores deberán tener conocimientos y habilidades en las siguientes áreas:

 ■ Principios, procedimientos y técnicas de auditoría.

 ■ Documentos del Sistema de Gestión.
  ■ Situaciones de la Organización.
 ■ Requisitos aplicables.
 ■ Métodos y técnicas relativos a la calidad.
 ■ Procesos, productos y servicios.
 ■ Gestión de Riesgos y Oportunidades.
 ■ Contexto de las Organizaciones.
 ■ Productos / Servicios incluidos en el alcance.

Principios, Procedimientos y Técnicas de Auditoría

Finalidad Permitir al auditor:
 ■ Aplicar aquellos principios y procedimientos que sean
apropiados a las diferentes auditorías.
 ■ Asegurarse de que las auditorías se llevan a cabo de manera
coherente y sistemática.
Conocimientos y  ■ Aplicar principios, procedimientos y técnicas de auditoría.
Habilidades  ■ Planificar y organizar el trabajo eficazmente.
 ■ Llevar a cabo la auditoría dentro del calendario acordado.
 ■ Establecer prioridades y centrarse en los asuntos de
importancia.
 ■ Recopilar información a través de entrevistas eficaces,
escuchando, observando y revisando documentos, registros y
datos.
 ■ Comprender y tener en consideración la opinión de los
expertos.
 ■ Entender lo apropiado del uso de técnicas de muestreo y sus
consecuencias para la auditoría.
 ■ Verificar la exactitud de la información recopilada.
 ■ Confirmar que la evidencia de la auditoría es suficiente y
apropiada para apoyar los hallazgos y conclusiones de la
auditoría.
 ■ Evaluar aquellos factores que puedan afectar a la fiabilidad de
los hallazgos y conclusiones de la auditoría.
 ■ Utilizar los documentos de trabajo para registrar las actividades
de la auditoría.
 ■ Documentar los hallazgos de la auditoría y preparar los
informes de las mismas.
 ■ Mantener la confidencialidad y la seguridad de la información.
 ■ Comunicarse eficazmente, ya sea con las habilidades
lingüísticas personales o con el apoyo de un intérprete.
 ■ Entender los riesgos que pueden ir asociados a la auditoría

Documentos del Sistema de Gestión

Finalidad Permitir al auditor:
 ■ Comprender el alcance de la auditoría.
 ■ Aplicar los criterios de la auditoría.
Conocimientos y  ■ Aplicar sistemas de gestión a diferentes organizaciones.
 Habilidades  ■ Interaccionar entre los componentes del sistema de gestión.
 ■ Normas de Sistemas de Gestión de la Calidad,
procedimientos aplicables u otros documentos del sistema de
gestión utilizados como criterios de auditoría.
 ■ Reconocer las diferencias y el orden de prioridad entre los
documentos de referencia.
 ■ Aplicar los documentos de referencia a las diferentes
situaciones de auditoría.
 ■ Sistemas de información y tecnología para la autorización,
seguridad, distribución y control de documentos, datos y
registros.

Situaciones de la Organización
Finalidad Permitir al auditor entender el contexto de las operaciones de la
organización.
Conocimientos y ■ El tamaño, estructura, funciones y relaciones de la organización.
Habilidades ■ Los procesos generales de negocio y la terminología relacionada.
■ Las costumbres sociales y culturales del auditado.

Otros Requisitos Aplicables

Finalidad Permitir al auditor trabajar con ellos y ser consciente de los requisitos
aplicables a la organización que se está auditando.
Conocimientos y ■ Los códigos, leyes y reglamentos locales, regionales y nacionales.
Habilidades ■ Terminología legal básica.
■ Los contratos y acuerdos, y responsabilidad legal.
■ Otros requisitos a los que se suscriba la organización.

De los Líderes de los Equipos Auditores

Los líderes de los equipos auditores deberán tener, además, conocimientos y habilidades
adicionales en relación al liderazgo de la auditoría, para facilitar la realización de ésta de manera
eficiente y eficaz.

Conocimientos y Habilidades
 ■ Equilibrar a los puntos fuertes y débiles de los miembros que forman parte del equipo
auditor.
 ■ Conseguir una relación de trabajo en armonía entre los miembros del equipo auditor.
 ■ Gestionar el proceso de auditoría, para ello debe:
- Planificar la auditoría haciendo un uso eficaz de los recursos durante esta.
- Gestionar el logro de los objetivos de la auditoría.
- Proteger la salud y seguridad de los miembros del equipo auditor durante el
transcurso de la auditoría, asegurando que los auditores cumplen con los
requisitos pertinentes de salud, protección y seguridad.
- Organizar y dirigir a los miembros del equipo auditor.
- Proporcionar dirección y orientación a los auditores en formación. - Prevenir y
resolver conflictos.
  ■ Representar al equipo en las comunicaciones con el cliente de la auditoría y el
auditado.
 ■ Conducir al equipo auditor para llegar a las conclusiones de la auditoría.
 ■ Preparar y completar el informe de la auditoría.

MANTENIMIENTO Y MEJORA DE LA COMPETENCIA

Es necesario que tanto los auditores como los líderes de equipos auditores demuestren el
mantenimiento de las condiciones y aptitudes que en su día les llevaron a su cualificación. Para
ello deberán asegurar que sigue conociendo los requisitos y normas relativas a los sistemas de
gestión, que sigue dominando los métodos y técnicas de auditoría y que ha ido reciclando sus
conocimientos.

Algunos de estos medios a aplicar pueden ser:

Del mismo modo, los auditores deberían mantener y demostrar su aptitud para auditar a través de
la participación regular en auditorías de Sistemas de Gestión de Seguridad de la Información.

EVALUACIÓN DEL AUDITOR

La evaluación de los auditores, deberá estar planificada, implementada y registrada de acuerdo
con los procedimientos del programa de auditoría. El proceso de evaluación, deberá identificar las
necesidades de formación y de mejora de otras habilidades.

Etapas
 ■ Evaluación inicial de las personas que desean ser auditores.
 ■ Evaluación de los auditores como parte de los procesos de selección del equipo
auditor.
 ■ Evaluación continua del desempeño de los auditores para identificar las necesidades
de mantenimiento y mejora de sus conocimientos y habilidades.
Proceso de Evaluación

Pasos
1 Identificar Cualidades, El primer paso consiste en identificar las cualidades,
Conocimientos y conocimientos y habilidades necesarias para satisfacer los
Habilidades requisitos del programa de auditoría.
Se deberá considerar:
 ■ Tamaño, naturaleza y complejidad de la organización
que va a auditarse.
 ■ Objetivos y campo de aplicación del programa de
auditorías.
 ■ Requisitos de certificación/registro y acreditación.
 ■ Función del proceso de auditoría en la gestión de la
organización que va a auditarse.
 ■ Nivel de confianza requerido en el programa de
auditoría.
 ■ Complejidad del sistema de gestión que va a
auditarse.
2 Establecer Criterios de En un segundo paso, se deben establecer los criterios de
Evaluación actuación que se va a aplicar en cada caso. Estos pueden ser:
 ■ Cuantitativos: Años de experiencia laboral y de
educación, número de auditorías realizadas, horas de
formación en auditoría, etc.
 ■ Cualitativos: Atributos personales, conocimientos,
desempeño de habilidades demostrados tanto en la
formación como en el lugar de trabajo, etc.
3 Seleccionar el Método de La evaluación debería llevarse a cabo, utilizando uno o varios
Evaluación Adecuado métodos de los siguientes
Método de Objetivos Ejemplos
Evaluación
Revisión de los registros Verificar antecedentes del Análisis de registros
auditor de educación,
formación, laborales y
experiencia en
auditorías
Retroalimentación Proporcionar información Encuestas,
sobre cómo se percibe el referencias,
desempeño del auditor personales, quejas,
recomendaciones,
evaluación del
desempeño
Entrevista Evaluar habilidades, Entrevistas
conocimientos y atributos personales y
personales telefónicas
Observación Evaluar atributos personales y Actuación,
 aptitudes para aplicar los testificación de
conocimientos y las auditorías,
habilidades desempeño en el
trabajo
Examen Evaluar cualidades personales, Exámenes orales y
conocimientos, habilidades y escritos, exámenes
su aplicación. psicotécnicos.
Revisión después de la Proporcionar información Revisión del informe
auditoría sobre el desempeño del de auditoría,
auditor durante las actividades entrevistas con el
de auditoría. líder del equipo
auditor y el equipo
auditor, y posibilidad
de retroalimentación
del auditado

4 Realizar la Evaluación En función de los criterios de evaluación establecidos, se

valorará la validez del auditor.

En caso de que la persona no cumpla los criterios, se requerirá

formación, experiencia laboral y/o experiencia en auditorías
adicionales, después de lo cual, debería realizarse una nueva
evaluación.

Registros
La organización debe llevar un registro de la experiencia, conocimientos y habilidades descritas así
como de la cualificación de sus auditores.

A continuación se presenta un ejemplo de registro de las aptitudes generales del candidato del
auditor:

CUALIFICACIONES HHH-RG-XY
DEL AUDITOR

Nombre:
Empresa:
REQUISITOS DE CUALIFICACIÓN PUNTUACIÓN
EDUCACIÓN:
Universidad:
Grado: Diplomado Licenciado
EXPERIENCIA LABORAL: (Empresa/ámbito/fecha)

FORMACIÓN COMO AUDITOR: (Cursos, seminarios o similar)

EXPERIENCIA EN AUDITORÍAS: (Lugar/tema/fecha)

CAPACIDAD DE COMUNICACIÓN:
 Evaluado por: (Nombre y cargo)
OTROS FACTORES:

EXAMEN: (Puntuación)
Evaluado por: (Nombre y cargo) Fecha Créditos Totales

CUALIFICACIÓN
APTO Cualificación del auditor certificada por: (Nombre y cargo)
NO APTO
EVALUACIÓN
Firma
Fecha

RESPONSABILIDADES
Tanto el auditor, como el líder del equipo de auditoría, tienen asignadas una serie de
responsabilidades que se deben tener en cuenta.

Líder del Equipo Auditor

Además de la suficiente experiencia, es imprescindible que disponga de la capacidad necesaria de
gestión y sepa manifestar la autoridad oportuna para tomar decisiones sobre cualquier cuestión
relacionada con la auditoría.

Sus responsabilidades principales comprenden:

 ■ Definir los requisitos y los planes de formación de los auditores internos.

 ■ Participar en la selección y adiestramiento de los auditores.
 ■ Preparar los planes de auditoría.
 ■ Representar al equipo auditor ante el organismo auditado.
 ■ Preparar y/o supervisar los documentos e impresos de trabajo.
 ■ Seleccionar al equipo auditor y asignar las responsabilidades.
 ■ Revisar la documentación aplicable.
 ■ Coordinar las auditorías con los responsables de los entes auditados.
 ■ Notificar la auditoría al organismo auditado.
 ■ Clarificar los objetivos de las auditorías.
 ■ Intervenir en las eventuales discrepancias que se presente en las auditorías.
 ■ Presentar el informe de auditorías.
 ■ Asistir en el mantenimiento de la competencia de los auditores.

Auditores
Es competencia de los auditores:

 ■ Actuar de acuerdo con los requisitos aplicables a cada auditoría.

 ■ Realizar las misiones asignadas por el líder del equipo.
 ■ Cooperar con el auditor jefe en la preparación de la auditoría.
  ■ Recoger evidencias suficientes para determinar las recomendaciones.
 ■ Verificar la eficacia de las acciones correctivas.
 ■ Actividades de clasificación, archivo y custodia de la documentación correspondiente a
la planificación y los resultados de las auditorías.

Guías y Observadores
Los guías y observadores pueden acompañar al equipo auditor, pero no forman parte del mismo,
por lo que no deben influir en la realización de la auditoría.

El guía es la persona designada por el auditado para asistir al equipo auditor.

El observador es la persona que acompaña al equipo auditor pero que no audita.
ISO 19011 “Directrices para la Auditoría de Sistemas de Gestión”

Ambos actuarán cuando así lo solicite el líder del equipo auditor.

Los guías deben asistir al equipo auditor, actuando cuando lo solicite el líder del equipo. Entre sus
responsabilidades se encuentran:

 ■ Establecer contactos, horarios y acordar visitas y accesos a ubicaciones específicas del

auditado.
 ■ Asegurar que el equipo auditor y los observadores conocen y respetan los
procedimientos relacionados con la protección y reglas de seguridad de las ubicaciones.
 ■ Ser testigos en nombre del auditado.
 ■ Proporcionar aclaraciones o ayudar en el caso de recopilar información.

ACTITUD
SER ASERTIVO
Expresar nuestras opiniones y puntos de vista respetando el de los demás.

Cuando una persona desarrolla su trabajo en cualquier organización empresarial, una de las
principales características que se suelen valorar por las personas encargadas de gestionar el
potencial humano de la misma, es que sea una persona asertiva.

No hay nadie perfecto, y una persona asertiva es aquella que se acepta a si misma y sabe aceptar
las opiniones de los demás.

Se trata a los demás del mismo modo a como espera que le traten a uno mismo.

Una situación muy habitual, se produce cuando una persona tiene una queja de un servicio o
producto, es un derecho de toda persona el expresar su queja por no cumplirse las expectativas
esperadas, pero también se espera que de esa queja se produzca una reacción o modificación
posterior.

La premisa inicial es partir del respeto hacia los demás, haciendo lo que considera más adecuado
en la defensa de sus propios derechos sin agredir ni ofender a nadie.

La clave de la asertividad es pensar que puedo cambiar mi modo de pensar, ya que “rectificar es
de sabios”.
Ser asertivo no significa querer llevar siempre la razón, sino expresar nuestras opiniones y puntos
de vista, sean estos correctos o no. Todos tenemos derecho a equivocarnos.

El asertividad permitirá enfrentarnos a las diversas situaciones que se presentan en los trabajos, al
representar la libertad para expresarnos respetando a los demás y asumiendo la responsabilidad
de nuestros actos.

Muchas veces, no se manejan adecuadamente determinadas situaciones empresariales, cuando

por ejemplo una simple frase como “lo siento, pero no estoy de acuerdo” pueda ayudarnos a
reconducir determinadas situaciones.

Se debe tener la capacidad para decir sin miedo lo que se siente, analizando la situación y
ofreciendo la mejor solución posible