Practicar auditorías internas en seguridad de la información es un requisito de ISO 27001. Esto, de acuerdo con lo determinado en la sección 9 de la norma, que habla sobre criterios de gestión: “la auditoría interna tiene como objetivo la evaluación del desempeño”.
Pero, si revisamos atentamente los controles de ISO 27001, vemos que el control A15.2 solicita que “los gerentes dentro de una organización se aseguren de que se sigan las políticas de seguridad”. Esto suena muy sensato. Pero, ¿cómo podrían los gerentes tener la seguridad de que se siguen las políticas, si no es practicando auditorías internas en seguridad de la información?
A muchos profesionales esto les parece un trabajo obligatorio, rutinario, pero innecesario. Razón por la cual simplemente se apresuran a obtener una lista de verificación, la diligencian y el problema ha sido resuelto.
Pero eso no es lo que ISO 27001 espera al solicitar auditorías internas en seguridad de la información. Por eso, a continuación, analizamos qué son realmente las auditorías internas en seguridad de la información y la mejor forma para hacer que resulten eficaces.
Auditorías internas en seguridad de la información – ¿Qué tipo de auditor elegir?
Empecemos por el inicio. Para realizar una auditoría, aunque parezca una perogrullada, lo primero que necesitamos es contar con un auditor. Eso es claro. Para muchos gerentes, directores o miembros de la Alta Dirección, el término “auditoría interna” resulta algo confuso. Suelen pensar que el carácter interno de la auditoría implica que se tiene que realizar exclusivamente con empleados de la organización.
Esto no es así. Las auditorías internas los son, porque son determinadas por la organización, y sus resultados e informes incumben única y exclusivamente a la organización. Pero, bien puede contratar auditores externos para que la practiquen, sin que ello cambie el carácter de interna a externa.
Algunas organizaciones, muy complejas y de gran tamaño, cuentan con auditores internos de tiempo completo, especializados en auditar sistemas de gestión ISO. Algunas, incluso, pueden contar con auditores de tiempo completo especializados en seguridad de la información.
Estos son casos excepcionales. Lo más común suele ser que las organizaciones cuenten con empleados que se han formado como auditores internos, en diferentes áreas, entre ellas seguridad de la información, y que pueden cumplir con la tarea, sin que este sea el objetivo cotidiano en su trabajo diario.
También es posible encontrar organizaciones que optan por contratar el servicio de auditoría interna. En estos casos, aunque la auditoría la practique un consultor externo, no por ello deja de ser interna. Es, además, una forma que tienen las organizaciones para adquirir conocimiento.
Bien. Una vez solucionado el tema del auditor elegido, podemos pasar a la auditoría en la práctica.
Afrontar las #AuditoríasInternas en seguridad de la información #ISO27001 con una checklist puede crear nuevos problemas. Aprendemos hoy a enfrentarla con éxito. Clic para tuitear¿Cómo realizar auditorías internas en seguridad de la información?
Una auditoría a un sistema de gestión de seguridad de la información requiere planeación antes de su ejecución. De otra forma, se corre el riesgo de tomar un camino sin rumbo o asumir una tarea superior a la capacidad de auditores y auditados.
Así es que, antes de emprender la tarea, conviene:
Definir el alcance basado en los riesgos identificados
La definición del alcance es una decisión que se toma con base en las evaluaciones de riesgo. Las fuentes de información podrían incluir investigaciones propias de la organización, encuestas, informes elaborados para auditorías anteriores – como la de certificación -, documentos, procedimientos y políticas.
Así será posible identificar áreas o problemas específicos a evaluar. En el caso de organizaciones de gran tamaño, es posible que los auditores deban realizar este trabajo para cada una de las ubicaciones.
Del resultado de este trabajo depende el alcance que se dé a la auditoría. Bien puede ser sólo para un área, o sólo para verificar la seguridad de la información en papel, por ejemplo.
Planificación y preparación
Tras definir el alcance, los auditores deben diseñar el plan para acometer la tarea sobre el terreno. En el plan, se acuerda con la Alta Dirección un cronograma de trabajo y se detallan los recursos que requerirá la auditoría.
Los planes de auditoría identifican y establecen límites y, a menudo, incluyen lo que se conoce como “puntos de control”. Se trata de hitos que se alcanzan en la ejecución de la auditoría, en los que es posible proporcionar actualizaciones o informes provisionales a la Alta Dirección.
Estas actualizaciones previas, permiten a los auditores plantear inquietudes con respecto al desarrollo de la auditoría, pero también recibir retroalimentación por parte de la Alta Dirección que también podría plantear reparos o interrogantes.
Revisar la documentación
Ya sobre el terreno, lo primero que se debe revisar es la documentación, empezando por aquella que se creó para la implementación del Sistema de Gestión de Seguridad de la Información. Esto incluye regulaciones, permisos, procedimientos y otros documentos de este tipo. El análisis de documentos permite establecer un marco específico para lo que se revisará en lo que queda de la auditoría.
El trabajo de campo
Esto es lo que podemos considerar como “auditoría interna propiamente dicha”. Es en esta etapa cuando tiene lugar la evaluación real y práctica de lo que pretendemos examinar. En este momento se llevan a cabo actividades como:
- Observar cómo funciona el Sistema de Gestión de Seguridad de la Información en la práctica, con los empleados.
- Realizar pruebas de auditoría para validar evidencia a medida que esta se recopila.
- Iniciar la redacción de los informes de auditoría completos.
- Revisar otros documentos, realizar entrevistas y tomar notas sobre cualquier dato, información o incidente acaecido durante la auditoría, que pudiese ser relevante para el SGSI.
Lo que sigue es presentar informes a la Alta Dirección, indicando los hallazgos de auditoría, las no conformidades – en caso de que las haya -, y las recomendaciones o acciones correctivas para solucionar problemas o para la mejora continua del sistema.
En la práctica, las auditorías internas en seguridad de la información, bajo la norma ISO 27001, se desarrollan de forma similar a otros estándares ISO. LUn aspecto clave para un auditor interno es la formación y el conocimiento profundo de la norma.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
Volviendo sobre el primer apartado que comentamos, lo primero que necesita una organización para afrontar las auditorías internas en seguridad de la información, es auditores expertos, cualificados y con un conocimiento profundo de la norma ISO 27001.
Esto es lo que ofrece el programa Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Métodos de Auditorías Remotas de Sistemas de Gestión. Se trata de un programa de excelencia que, además de abordar todos los requisitos de ISO 27001, también ofrece las técnicas necesarias para practicar auditorías remotas a sistemas de gestión ISO, conocimiento tan importante en el momento que atraviesa actualmente el mundo entero.
Pues hoy tenemos dos buenas noticias para ti: la primera es que puedes iniciar este programa ahora. La segunda es que podrías obtener un atractivo beneficio para este programa y para otros de la Escuela Europea de Excelencia, durante todo el año, afiliándote al Club Alumni.
