Auditor Interno
La auditoría interna conforme a la norma ISO 27001 de sistemas de gestión de la seguridad de la información se centra en procesos, documentos y registros específicos de este estándar.
Cada una de las actividades clave que se desarrollan en el proceso de auditoría interna no son muy diferentes de las que se desarrollan en cualquier auditoría interna de sistemas de gestión basados en normas ISO. Así, se realizarán actividades de revisión de:
- La documentación que sustenta el sistema.
- Los requisitos de la norma verificando que se van cumpliendo y aportando evidencias de ello.
- Los procedimientos confirmando que se ejecutan tal como está establecido.
Para la revisión de la documentación que sustenta al sistema se deberá verificar su existencia y que sus características, contenidos o distribución son los que la norma ISO27001 establece que deben tener, así como que se adecuan a las necesidades de la organización para que se gestione la seguridad de la información generada o tratada.
Se revisará la política de seguridad de la organización, los mecanismos y procedimientos de control desarrollados para darle soporte, la metodología de evaluación de riesgos para la seguridad de la información, el informe de evaluación de riesgos, el plan de tratamiento de riesgos o la declaración de aplicabilidad.
Aunque el resto de documentos mencionados es similar al que puede existir en cualquier sistema de gestión en el que haya una gestión de riesgos, el último documento es específico de los sistemas de gestión ISO-27001.
Si se basa en la relación de controles establecidos por la norma ISO 27002, en esta declaración se reflejarán qué controles que se aplicarán en el sistema en función de la evaluación y tratamiento de riesgos y de qué forma se van a desarrollar esos controles.
En el caso especial de las auditorías internas ISO 27001, parte de la documentación a revisar y evidencias a recabar va a proceder de otras auditorías o pruebas parciales que se hacen para aspectos específicos que influye en la gestión de la seguridad de la información.
Un ejemplo de esos documentos a los que se deberá tener acceso y que entrarán dentro de la revisión habitual del sistema incluye las auditorías de la LOPD, las pruebas de intrusión, las auditorías informáticas, entre otras.
Por último, durante el desarrollo de la auditoría interna, se van a analizar procesos y actividades muy específicos relacionados con la seguridad de la información, gran parte de ellos mencionados en la declaración de aplicabilidad, y para los que se comprobará que se aplican tal como se indica y que generan los resultados esperados.
Algunos de estos serán procesos relacionados con las copias de seguridad, con la gestión de los cambios, la seguridad de los equipos y servidores, el control de accesos y cifrado o la disposición de mecanismos de seguridad física y ambiental en las instalaciones de la organización.
Por todo esto, y para el correcto desarrollo de una auditoría ISO27001 la persona que se encargue de ejecutar la misma debe poseer conocimientos técnicos sobre los problemas y vulnerabilidades que puede tener el sistema de gestión de la información de la organización.
