Los Sistemas de Gestión de la Seguridad de la Información basados en la norma ISO 27001 incluyen en sus requisitos la realización de auditorías internas. A través de la auditoría interna se determinan cuáles son los puntos débiles del sistema así como los posibles errores que se dan en el mismo.
Las organizaciones deben contar con un procedimiento documentado en el que se asignen las responsabilidades, se incluyan los requisitos para la planificación y realización de las auditorías, se determine qué información de los resultados se obtiene y a quién se hace llegar y cómo se mantienen los registros generados. Este procedimiento formará parte del Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la ISO-27001.
Las auditorías del SGSI deberán estar planificadas formando parte de un programa de auditoría interna, que será otro documento generado por el sistema, pudiendo realizarse de forma combinada con otras auditorías con las que comparta requisitos como las de calidad de ISO 9001 o de gestión de servicios TI de ISO 20000.
Como en el resto de auditorías internas, se realizará la comprobación de la documentación del SGSI conforme a la norma ISO27001, se obtienen los registros que avalan el cumplimiento de los requisitos del estándar y se revisan los procedimientos comprobando que son acordes con la norma y que se ejecutan de la forma indicada y dando el resultado esperado.
Lo que diferencia a los SGSI de otros es que va a trabajar con una documentación específica debido a las características del objeto mismo del sistema. Por lo tanto, los documentos con los que deberá contar el SGSI y que serán revisados en la auditoría interna incluyen los siguientes:
- Política, objetivos y alcance.
- Procedimientos y mecanismos de control de soporte.
- Metodología de evaluación de riesgos.
- Informe de evaluación de riesgos.
- Plan de tratamiento de riesgos
- Procedimientos específicos para la planificación, operación y control de los procesos de seguridad de la información, así como los relacionados con la medición de la eficacia de los controles.
- Otros registros exigidos por la norma ISO 27001.
- Declaración de aplicabilidad de los controles.
Así, durante la auditoría interna se trabajará con documentos y registros relacionados con la LOPD (o leyes que regulen la protección de los datos), auditorías informáticas, análisis y evaluación de riesgos, pruebas de intrusión, copias de seguridad, activos de la organización, incidencias, acuerdos de confidencialidad, etc.
Como último apunte hay que indicar que la extensión de la documentación con la que debe contar un SGSI no es la misma para todas las organizaciones. Va a diferir en función del tamaño y tipo de actividades que desarrolla la organización y de las necesidades generadas por el alcance y complejidad de los requisitos de seguridad del sistema gestionado.
Por ello, a la hora de definir el programa de auditoría interna, se deberán tener en cuenta estas características de la documentación para la correcta planificación de las auditorías en términos de tiempo y alcance de las mismas.
