En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.
En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.
¿Cómo mejorar la auditoría de un SGSI según ISO 27001?
La auditoría de un SGSI es una de varias evaluaciones que se deben efectuar sobre la Gestión de Seguridad de la Información. Para detectar brechas de cumplimiento o no conformidades y así mejorar el sistema y la seguridad de la información corporativa, y para cumplir con el requisito de mejora continua de la norma ISO 27001 (capítulo 10).
Las auditorías, entonces, conducen a una gestión cada día más efectiva y eficiente. Pero siempre pueden ser mejores. Algunas formas de conseguirlo son:
1. Tomar el tiempo necesario
10 capítulos, siete de ellos con requisitos, y 93 controles no permiten una evaluación rápida. Para la auditoría de un SGSI es preciso tomarse el tiempo necesario. Cuando el Sistema afronta las primeras auditorías, es apenas razonable que la tarea se extienda por varios días o incluso, semanas. La madurez y la práctica ayudan a reducir el tiempo, pero hacerlo en horas no parece razonable.
2. Delegar responsabilidades
Por la magnitud de la tarea, pero también por las habilidades y competencias que requiere la revisión de algunos controles, es una buena idea segmentar y distribuir las responsabilidades.
Los controles y procesos de TI, por ejemplo, pueden ser asignados a un auditor. Otro podría encargarse de documentación, políticas y planificación. Lo relacionado con información en papel o almacenada en otros medios diferentes a los digitales, pueden ser competencia de otro auditor.
3. Preparar y planificar el trabajo
Como en toda tarea importante, la planificación y la preparación son elementos que representan una alta probabilidad de éxito. Es importante elaborar un cronograma de actividades realista, y comunicarlo a los interesados para que estén preparados y faciliten la recopilación de evidencia.
Una lista de verificación es de gran ayuda para preparar la auditoría de un SGSI. De esta forma, es posible agilizar los pasos previos sin olvidar aspectos importantes.
4. Involucrar a todas las áreas
Salvo que el alcance de una auditoría sea limitado y excepcional, la seguridad de la información debe ser verificada en todas las áreas, niveles, ubicaciones y departamentos.
Esto significa que todos los empleados de la organización deben comprometerse con el éxito de la auditoría. Algunas áreas, sin embargo, tienen responsabilidades mayores: Recursos Humanos, TI, Comercial, Contabilidad y Finanzas y Cumplimiento.
Optimiza la gestión de la #SeguridadInformación con estas siete buenas prácticas para mejorar la Auditoría de un #SGSI según #ISO27001 Clic para tuitear5. Asegurar la comprensión de los objetivos y la importancia de la auditoría de un SGSI
Muchas no conformidades están relacionadas con necesidades de capacitación o formación no solucionadas. Esto, a su vez, impide que muchos empleados puedan comprender el objetivo de la auditoría y la importancia que tiene la Seguridad de la Información para su organización y sus propios empleos.
Es importante que, además de la conformidad con los requisitos del estándar, el auditor evalúe la comprensión de los procesos y de los objetivos de SI por parte de los empleados y establezca si existen nuevas necesidades de capacitación y formación sobre seguridad de la información.
6. Pensar en mejorar antes que en castigar
Los comentarios verbales que hace el auditor, los comentarios y notas que plasma en sus planillas, las acciones correctivas que sugiere en sus informes finales, y todas las acciones que desarrolle antes, durante y después de la auditoría, deben enfocarse en la mejora y en la retroalimentación constructiva, antes que en la búsqueda de culpables.
7. Hacer seguimiento a la implementación de acciones correctivas
Es una recomendación recurrente siempre que se habla de auditorías internas de seguridad de la información. El trabajo del auditor no termina con la entrega del informe final, que contiene los hallazgos y las acciones correctivas recomendadas. Es preciso hacer seguimiento de la implementación y verificar la eficacia de esas acciones, y documentarlo, por supuesto. Es el punto de partida de la siguiente auditoría de un SGSI.
Realizar una auditoría a un Sistema de Gestión de Seguridad de la Información basado en el estándar ISO 27001 es una tarea compleja y que implica una cuantiosa inversión de tiempo y recursos. Si bien, al seguir estas recomendaciones, la tarea fluirá de forma más sencilla, especialmente en Sistemas digitalizados y automatizados. Disponer de información fiable en tiempo real es siempre un activo de valor para agilizar y mejorar la práctica de auditoría.
Contar con profesionales cualificados y con una formación actualizada es otro factor clave para que la inversión que implica la auditoría de un SGSI se traduzca en un motor de mejora en la organización.
Diplomado de Seguridad de la Información ISO/IEC 27001 (Actualización 2022)
Tras la actualización en 2022 del estándar de Seguridad de la Información de ISO 27001, en la Escuela Europea de Excelencia hemos revisado y ajustado nuestro programa avanzado en la materia: el Diplomado de Seguridad de la Información ISO/IEC 27001.
Los contenidos actualizados permiten a los alumnos ser expertos en Seguridad de la Información, en los requisitos de la norma, pero también ser auditores y acercarse a la posibilidad de obtener el certificado ERCA que permite a los profesionales trabajar en cualquier país del continente europeo o de América Latina. Descubre una gran oportunidad para tu futuro aquí.
