¿Cómo realizar una auditoría SGSI?
Auditoría SGSI
El objetivo de una auditoría de SGSI es identificar, prevenir y corregir las posibles vulnerabilidades y amenazas a las que está expuesta una empresa. El sistema de gestión de seguridad de la información se basa en la Norma ISO 27001:2013. La certificación de un Sistema de Gestión de Seguridad de la Información causa confianza en los clientes además de mejorar la eficiencia en las empresas.
Auditorías de seguridad
Las auditorías de SGSI, son controles y revisiones del sistema con el objetivo de examinar el estado en el que se encuentra el sistema de información implantado en las empresas. Con el fin, de asegurarnos que se están cumpliendo con todos los requisitos establecidos en la Norma Internacional ISO 27001:2013, reglamentos y legislación pertinente. Además, deben de estar implantados eficazmente y comportándose de la manera esperada.
Estas auditorías de SGSI, comprenden el estudio y evaluación de los activos de la empresa y todos los controles y planes de acción planteados para preservarlos.
Las Auditoria de SGSI pueden centrarse en realizar revisiones técnicas o revisiones de gestión. Esta diferenciación va en función a la especialización de los distintos profesionales que van a participar en el proceso y los controles existentes.
Mientras que las auditorías técnicas usan técnicas como análisis de vulnerabilidades o Hacking Ético, la auditoría de gestión evalúa el cumplimiento de los requisitos con respecto a estándares, normas o requisitos legales.
Además, las Auditoria de SGSI se clasifican en externas o internas. Las auditorías internas son realizadas por personas pertenecientes a la organización, se suelen realizar con mayor periodicidad ya que son más fáciles de organizar. Los requisitos de los auditores internos los determina la empresa. Uno de los requerimientos en estas auditorías, es que los auditores no pueden auditar su trabajo o departamento.
Las empresas para realizar una auditoría externa contratan a una empresa externa para la realización de la misma. La ventaja de estas es que tienen una mayor imparcialidad, al tratarse de profesionales que no tienen conflictos de intereses.
Auditoría al SGSI y tipos disponibles
Una auditoría de SGSI o Auditoría de Seguridad de Sistema de la Información, es un proceso que incluye el estudio y evaluación del sistema implantado, con respecto a la implantación y efectividad de los procesos y su alineación con respecto a los requisitos que establezca la norma en la cual nos basemos. El alcance, frecuencia, auditores y los métodos usados serán definidos en el programa y/o plan de auditoría. En este programa o plan, definiremos si se trata de una auditoría interna o externa. En función a esto existe una nueva clasificación:
Auditoría Internas o de primera parte, tienen como finalidad la detención de desviaciones o incumplimientos en el sistema de gestión y poseen las características anteriormente explicadas.
Las auditorías externas se pueden subdividir en Auditorías de segunda parte y de tercera parte:
- Las auditorías de segunda parte: son realizadas por terceros, aportando mayor objetividad e imparcialidad, al no pertenecer a la empresa en cuestión.
- Las auditorías de tercera parte, son realizadas por empresas que aportan mayor detalle. Estas auditorías son minuciosas y proporcionan un certificado de aprobación confirmando su conformidad con respecto al cumplimiento del sistema de la empresa auditada.
Características de las revisiones
Una de las características principales de las auditorías de SGSI es que son documentadas. Esto quiere decir, que se debe aportar evidencia de todos los requisitos exigidos por la norma. Además de la redacción de un informe de auditoría donde exponer el alcance, auditores, fecha, hallazgos detectados y toda la información referente a la auditoría en cuestión.
Las empresas a principios de año redactan un documento para programar todas las auditorías internas y externas que se van a realizar en la empresa durante un periodo de tiempo. En este documento especifica el alcance, los auditores, fechas establecidas, periodicidad… de cada una de ellas.
Siguiendo lo anterior, se propone una clasificación en tres categorías de los controles en las auditorias del SGSI en función a su uso: controles de configuración, controles de acceso y monitoreo. Los controles de configuración engloban técnicas como evaluaciones de vulnerabilidades o pruebas de penetración con la idea de minimizar las posibilidades de que los posibles atacantes encuentren la forma de acceder.
También resulta muy útil realizar un plan de auditoría por cada auditoría. En el cual incluiremos toda la información referente a ésta como: proceso y áreas a auditar, auditores, auditados, fechas de realización, tipo de auditoría (sería interna, para externa lo hace la empresa contratada para llevarla a cabo), norma y los puntos de éstas que se van a auditar y método usado. Además, en este plan podemos incluir los resultados de la auditoría anterior.
Otra cosa a realizar es la elección de los auditores. El auditor tiene que ser imparcial y no puede ser el responsable del departamento del proceso a auditar ni su trabajo puede estar relacionado con el proceso en cuestión. El trabajo del auditor es hacer pruebas necesarias para confirmar que se están llevando a cabo las acciones propuestas y en las fechas establecidas. Si no es así, levantará una desviación y los auditados propondrán nuevos planes de acción a través de medidas correctoras o preventivas.
Diplomado de Seguridad de la Información
Para conocer más sobre auditorías de SGSI, podemos realizar el Diplomado de Seguridad de la información ISO 27001 de la Escuela Europea de Excelencia, los alumnos adquirirán las competencias necesarias para realizar estas auditorías de manera eficaz, además de conocer su aplicación con la ISO 19011:2018 y las buenas prácticas de las auditorías de sistemas de gestión.