ISO 27001: 7 formas de mejorar las auditorías internas de su Sistema de Gestión de Seguridad de la Información
ISO 27001
La norma ISO 27001 establece que el propósito de la auditoría interna es verificar el cumplimiento tanto de los requisitos propios de la empresa, como los requisitos de la norma ISO 27001.
Es una necesidad de la norma, las auditorías internas son importantes por varias razones:
- Las auditorías internas identifican y corrigen cualquier problema antes de que se lleve a cabo una auditoría de certificación externa.
- La auditoría interna identifica cuales son las oportunidades de mejora.
- Es necesario realizar auditorías internas regulares porque le proporciona seguridad a la empresa y al organismo de certificación que se encuentra revisado de forma continua el Sistema de Gestión de Seguridad de la Información.
- Las auditorías internas sirven para recordar al personal que el cumplimiento de los requisitos son una prioridad comercial.
Consejos para que sus auditorías internas sean más eficaces
Según la experiencia recogida a lo largo de los años, se han proporcionado siete consejos que puede implantar para auditar eficientemente su Sistema de Gestión de Seguridad de la Información:
Es un maratón, no un sprint
Existen 114 controles del Anexo A, así que no espere realizar una auditoría rápida si quiere hacerlo de forma correcta. Es necesario reservar tiempo suficiente para auditar la zona de forma completa. No hay ninguna regla para el tiempo que asigna y depende de diferentes factores, incluyendo la madurez de su Sistema de Gestión de Seguridad de la Información, el tamaño de su empresa y el número de hallazgos identificados en la auditoría interior.
Compartir las responsabilidades de auditoría entre los auditores
Es necesario dividir controles entre auditores con habilidades y fortalezas diferentes. Por ejemplo, el auditor puede ser responsable de la auditoría de procesos que se encuentran orientados a TI:
- 9 Control de acceso
- 10 Criptografía
- 11 Seguridad física y medioambiental
- 12 Seguridad operacional
- 13 Seguridad de las comunicaciones
- 14 Adquisición, desarrollo y mantenimiento del sistema
Y, el auditor puede ser responsable de requisitos más generales:
- 5 Políticas de seguridad de la información
- 6 Organización de la seguridad de la información
- 7 Seguridad de los recursos humanos
- 8 Gestión de activos
- 15 Relaciones de proveedores
- 16 Gestión de incidentes de seguridad de la información
- 17 Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
- 18 Cumplimiento
No prepararse se está preparando para fracasar
En todas las auditorías, la preparación es un dato clave. Antes de realizar la auditoría, debe:
- Asegurarse de tener acceso a toda la información que sea requerida, como los hallazgos, los procedimientos y las políticas de auditoría.
- Es necesario preparar un listado de verificación de auditoría.
- Elaborar un plan de auditoría.
- Programar el tiempo con los auditados, tiempo para compilar su informe y una reunión de seguimiento con representantes del departamento.
- Lo más importante es tener una compresión profunda de lo que requiere el Anexo A y la organización.
Es fundamental que comunique de forma anticipada el plan de auditoría y los objetivos de la sesión. A nadie le gusta una sorpresa, y no es una buena forma de comenzar una auditoría. Para obtener más información puede leer este artículo La norma ISO 27002 complemento para la ISO 27001
Involucrar a todos los departamentos
Todos los miembros de su empresa son responsables de mantener la seguridad de la información, por lo tanto cubra los departamentos en su ámbito como sea posible. Todo el personal debe seguir algunos requisitos de seguridad, mientras que otros departamentos tienen funciones específicas dentro del Sistema de Gestión de Seguridad de la Información. Por ejemplo:
- Recursos humanos: el departamento de recursos humanos ha definido la responsabilidad de asegurar que se mantenga la confidencialidad del empleado. Esto se aplica al proceso disciplinario. El equipo de seguridad de la información puede ser responsable de la definición de las directrices, pero es responsabilidad de los recursos humanos para hacerlas cumplir.
- Equipos informáticos: los equipos técnicos e informáticos tienen el mayor aporte en el Sistema de Gestión de Seguridad de la Información. Se están llevando a cabo actividades como realizar y probar copias de seguridad de datos, implantar medidas de seguridad de red y realizar parches del sistema.
- Equipo orientado al cliente: el personal orientado al cliente tiene que mantener la confidencialidad del cliente en todo momento.
Auditar el entendimiento de los auditados sobre el propósito del Sistema de Gestión de Seguridad de la Información, así como el cumplimiento
Los auditados entienden la importancia de la seguridad de la información que debe ser una parte clave de su auditoría. Las auditorías presentan oportunidades de capacitación y concienciación.
Proporcionar retroalimentación constructiva
Una auditoría no es una caza de brujas, por lo que es importante que todos los resultados se constituyan en la mejora del Sistema de Gestión de Seguridad de la Información. Los comentarios pueden ser proporcionados en diferentes puntos a lo largo de la auditoría, como pueden ser directamente al auditado durante la auditoría, y en la reunión de cierre. Una forma de proporcionar retroalimentación después de completar su auditoría para preparar el informe. Una vez que exista el informe, es crucial compartir sus hallazgos con los diferentes representantes del departamento y responder a cualquier pregunta que pueda tener.
Accione sus hallazgos
Una auditoría no sería eficaz si no actúa con sus conclusiones. Se debe asegurar de que una vez que los resultados han sido acordados con los representantes del departamento, que se registren para la acción correctiva, y que el seguimiento de la eficiencia de la acción se lleva a cabo.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001, presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.