ISO 27001. Auditorías de los controles del sistema de seguridad
ISO 27001
Aunque ya está publicada la nueva versión de ISO 27001:2013, no debemos olvidar que tenemos un periodo para adaptarnos a la misma y, hasta el momento, todas las organizaciones siguen trabajando con el modelo anterior. En próximos posts les contaremos como realizar las auditorías de los controles con la nueva versión.
Frente a la nueva ISO-27001:2013 que no incluye el apartado de “Enfoque del proceso”, la ISO 27001:2007, aplica el esquema PDCA (Planificar- Desarrollar-Comprobar-Actuar) para estructurar los procesos del SGSI, partiendo de los requisitos y expectativas de seguridad de la información de las partes interesadas, a través de acciones y procesos produce los elementos necesarios para dar solución a dichos requerimientos.
Este artículo lo enfocaremos a la gestión de la auditoría de los controles de seguridad según la ISO 27001:2007, que pertenece a la fase de Comprobación del ciclo PDCA.
La información sobre auditorías internas está recogida en el punto seis de la norma. La auditoría debe incluir el análisis y gestión de sistemas realizado por profesionales, para identificar, enumerar y después describir las posibles vulnerabilidades.
La organización tiene que realizar las auditorías internas del SGSI de forma planificada y garantizando la objetividad e imparcialidad, para determinar si los objetivos de control, los controles, los procesos y los procedimientos de este SGSI cumplen con:
– los requisitos de la norma, la legislación y normativa aplicables
– los requisitos de seguridad de la información identificados
– se implantan y se mantienen efectivamente y dan el resultado esperado
Para una correcta ejecución de las auditorías es necesaria una buena planificación que tenga en cuenta el estado e importancia de los procesos y las áreas a auditar, así como tener en cuenta los resultados de auditorías previas.
Es necesario definir los criterios, el alcance, la frecuencia, los métodos de auditoría y la selección de auditores. Esta información, junto con los resultados y el mantenimiento de los registros deben estar definidos en un procedimiento documentado.
El responsable del área auditada debe encargarse de que todo el proceso se realice de manera correcta y a tiempo. Las actividades de seguimiento, deben incluir la verificación de las acciones realizadas y los informes de los resultados de la verificación.
La ISO 27002:2009 desarrolla una Guía de implantación de los Controles de auditoría de sistemas de información, en la que recomienda que se cumplan una serie de directrices.
Respecto a las herramientas de auditoría de los sistemas de información, es recomendable la protección de su acceso para evitar el uso indebido, siendo independiente de los sistemas de desarrollo y de los sistemas operativos.
ISOTools es la Plataforma Tecnológica que apoya la planificación y ejecución de las auditorías del SGSI, permitiendo revisar de manera sencilla el cumplimiento de los requisitos que exige la norma y documentar toda la información. Los responsables recibirán notificaciones automáticas hasta dar conformidad a las mejoras.