La práctica de la auditoría interna de seguridad de la información es un tema que despierta interés aún antes de la implementación formal del Sistema de Gestión basado en la norma ISO 27001.
La auditoría interna de seguridad de la información, para profesionales y organizaciones que han hecho el tránsito completo, desde la planificación de la implementación hasta la certificación del sistema, puede ser algo rutinario ahora.
Pero, al inicio, la complejidad de los requisitos y la cantidad de éstos que es necesario verificar, puede causar algún desconcierto. Contar con una guía de pasos a seguir, facilitará la tarea para los profesionales que recién se aprestan a practicar una auditoría interna de seguridad de la información.
¿Cómo preparar una auditoría interna de seguridad de la información?
La auditoría interna de seguridad de la información es una evaluación profunda que busca verificar y comprobar el cumplimiento del Sistema de Gestión con cada uno de los requisitos de la norma ISO 27001.
Al comprobar esa conformidad, se tiene la certeza de que el sistema está en proceso de constante mejora, y que la organización no está expuesta a riesgos de incumplimiento de regulaciones relacionadas, como RGPD.
El auditor interno debe ser un profesional, interno o externo, con conocimiento suficiente sobre el estándar, pero también sobre las prácticas de auditoría generalmente reconocidas a nivel internacional.
La periodicidad con la que se realizan las auditorías depende del programa diseñado para ello, o de la urgencia de evaluar el sistema ante la evidencia de la existencia de problemas que afectan la seguridad de la información. Si bien, se suele realizar la auditoría interna de seguridad de la información al menos una vez al año.
La preparación es un paso previo a la práctica de la auditoría, que tiene una alta relevancia para el resultado final de la tarea. Dentro de esta etapa de preparación es importante tener en cuenta:
1. El tiempo transcurrido entre una auditoría y otra
La frecuencia de las auditorías la determina la complejidad de la organización, su tamaño o las obligaciones regulatorias a las que esté expuesta. Sistemas de Gestión de Seguridad de la Información que son evaluados con relativa frecuencia –3 a 6 meses-, pueden requerir auditorías que no profundicen en todos y cada uno de los requisitos del estándar, y se ocupen, en cambio, de asuntos específicos de acuerdo con lo que indique la Gestión de Riesgos.
2. La coherencia con otras auditorías
Las organizaciones que ya tienen otros Sistemas de Gestión ISO implementados entenderán la importancia de guardar coherencia en la práctica de auditorías, utilizar los mismos procesos e, incluso, acudir a los mismos auditores. Esto tiene un valor especial para las organizaciones que están en proceso de integración de sus diferentes Sistemas de Gestión ISO.
3. Proceso unificado de práctica de auditorías
Del ítem anterior se infiere que las organizaciones necesitan un proceso único y estandarizado para la práctica de auditorías internas. Esto facilita a auditores y auditados prepararse para proceder de tal forma que se agilice el desarrollo de la evaluación y el alcance de los objetivos propuestos.
4. Solicitud de documentos
Los documentos, en una auditoría interna ISO, proveen muchas de las evidencias satisfactorias para comprobar la conformidad con los requisitos del estándar. Es importante preparar una lista de verificación de documentos, asociada a los empleados que tienen la capacidad de proveer tal información.
Así no se interrumpe el dinamismo necesario de la actividad, con la búsqueda de una política, por ejemplo, que tendría que estar disponible desde el momento en que se avisa la práctica de la auditoría.
5. Transformación Digital
El área de Seguridad de la Información requiere más que otros de apoyo tecnológico. La automatización y digitalización del Sistema de Gestión facilitará la tarea del auditor y de los empleados que deben proveer documentos, información o que serán entrevistados u observados mientras ejecutan un proceso.
La Transformación Digital es un elemento que fortalece los Sistemas de Gestión y sus procesos, entre ellos, por supuesto, la auditoría interna.
6. Disponibilidad de los empleados clave
No todos los empleados tienen que estar disponibles para una auditoría interna de seguridad de la información. En muchas organizaciones, la gran mayoría de los empleados, se preparan para atender a los auditores. Sorprendentemente, los que son indispensables, no están disponibles.
Sucede esto cuando la planificación no es la adecuada, o cuando simplemente no se presenta esa etapa de preparación.
Aprende cuáles son los pasos necesarios para practicar una #auditoríainterna de #seguridadinformación en un SG-SI basado en la norma #ISO27001 Share on X¿Qué pasos seguir para realizar una auditoría de Seguridad de la Información?
Los cinco pasos previos, preparan el terreno para abordar la auditoría interna de seguridad de la información con fluidez, y con la posibilidad de obtener de ella el mejor resultado. Ya sobre el terreno, los pasos a seguir son:
1. Revisar los documentos
Muchos auditores realizan en primer lugar la revisión de documentos. Sorprende el número de ítems que se pueden dar por cumplidos, en una lista de verificación, solo con la revisión de la documentación.
2. Elaborar notas sobre hallazgos o no conformidades
Los documentos, por sí solos, no son evidencia de la conformidad con un requisito. Es importante que el auditor empiece una lista de notas y observaciones sobre la relevancia y pertinencia de los documentos, o sobre cualquier otra circunstancia que observe, o que deduzca de una conversación con algún empleado, y que indique o evidencie una no conformidad con ISO 27001 o un problema.
3. Asignar tareas a los miembros del equipo de auditoría
En las organizaciones en las que el tamaño lo justifica, el auditor delega algunas tareas de inspección y revisión en miembros de su equipo, de acuerdo con los conocimientos, las habilidades y las capacidades de cada uno de ellos.
4. Realizar la auditoría
Para algunos profesionales, la auditoría interna de seguridad de la información inicia cuando se ha terminado de revisar la documentación y se ha distribuido el trabajo entre los auditores participantes. Es en este paso en el que se observan procesos críticos, se realizan entrevistas, se documentan eventos relevantes y se toman muchas notas importantes para la redacción de los informes.
5. Redactar los informes para la Alta Dirección
El objetivo final de la auditoría interna de seguridad de la información es informar sobre el excelente, bueno o deficiente rendimiento del Sistema de Gestión. Y esto se hace con los informes de auditoría, usualmente dirigidos a la Alta Dirección. En ellos, el auditor consigna sus hallazgos, profundiza sobre cada uno de los problemas encontrados, recalca los aspectos positivos, propone acciones correctivas para mejorar o solucionar no conformidades y, en general, consigna sus impresiones y opiniones sobre el sistema.
6. Hacer seguimiento
La entrega de los informes no representa el final de la auditoría interna de seguridad de la información. El auditor debe hacer seguimiento a la implementación de las acciones que sugirió, o a otras que han considerado los profesionales en el área necearías para mejorar el rendimiento del sistema y solucionar los problemas identificados.
Diplomado de Seguridad de la Información ISO/IEC 27001 (Actualización 2022)
La Escuela Europea de Excelencia ha actualizado los contenidos de su Diplomado de Seguridad de la Información ISO/IEC 27001, para ajustarlos a las novedades que incorpora la actualización del año 2022.
Los estudiantes de este Diplomado, además de ser expertos en el área de Seguridad de la Información, y en el estándar internacional ISO 27001, tienen la capacidad para realizar una auditoría interna de Seguridad de la Información, de acuerdo con las mejores prácticas generalmente aceptadas.
De hecho, los profesionales que toman este Diplomado, son acreditados como auditores internos certificados, y tienen la posibilidad de obtener el certificado ERCA, que les permitirá ejercer su trabajo en cualquier país de la Unión Europea o de América Latina. Compruébalo aquí.