miércoles, 25 de julio de 2018

¿QUÉ DEBE SABER AL REALIZAR LAS AUDITORÍAS INTERNAS ISO 27001?


Durante este artículo queremos facilitarle una serie de consejos que puede utilizar en su organización para realizar auditorías internas ISO 27001 de manera eficaz.
La auditoría no se realizará de forma rápida

La norma ISO 27001 cuenta con 114 controles en el Anexo A, por lo que no espere una auditoría rápida si desea hacerlo de forma correcta. Es necesario que se reserve tiempo suficiente para auditar de forma completa un área. No existe una regla para el tiempo que se asigna, y depende de diferentes factores, incluyendo la madurez de un Sistema de Gestión de Seguridad de la Información, el tamaño de su empresa y la cantidad de hallazgos identificados en la auditoría.

Compartir responsabilidades de las auditorías internas ISO 27001 entre los diferentes auditores.

Puede resultar efectivo dividir los controles entre los auditores con distintas habilidades y puntos fuertes.
  • 9 Control de acceso
  • 10 Criptografía
  • 11 Seguridad física y ambiental
  • 12 Seguridad operacional
  • 13 Seguridad de las comunicaciones
  • 14 Adquisición, desarrollo y mantenimiento del sistema
Puede ser responsable de requisitos más generales:
  • 5 Políticas de seguridad de la información
  • 6 Organización de la seguridad de la información
  • 7 Seguridad de los recursos humanos
  • 8 Gestión de activos
  • 15 Relaciones del proveedor
  • 16 Gestión de incidentes de seguridad de la información
  • 17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio
  • 18 Cumplimiento
Prepararse ante la auditoría interna

Como con todas las auditorías, la preparación es clave. Antes de realizar la auditoría, deberá:
  • Asegurarse de tener acceso a toda la información que será requerida, como puede ser hallazgos, procedimientos y políticas previas a la auditoría.
  • Prepare un listado de verificación de auditoría.
  • Preparar un plan de auditoría.
  • Programar el tiempo que se pasará con los auditados, el tiempo que necesita para realizar el informe y establecer una reunión de seguimiento con los representantes del departamento.
  • Lo más importante es tener una comprensión profunda de lo que se requiere en el Anexo A y en la organización.
Es necesario que se comunique el plan de auditoría y los objetivos de la sesión por adelantado. A nadie le gusta encontrarse con ninguna sorpresa, y no es una buena forma de comenzar una auditoría.



Involucrar a todos los departamentos

Todos los miembros de la empresa son responsables de mantener la seguridad de la información, por lo que, es necesario que se cubran todos los departamentos que se encuentren a su alcance. El personal debe cumplir con los requisitos de seguridad, mientras que los demás departamentos tienen funciones específicas dentro del Sistema de Gestión de Seguridad de la Información.
  • Recursos humanos: se define la responsabilidad de garantizar que se mantenga la confidencialidad de los trabajadores. Esto se aplica al proceso disciplinario. El equipo de seguridad de la información puede ser responsable de definir directrices, pero es responsabilidad de los recursos humanos que se cumpla.
  • Equipos de TI: los equipos de TI tienen un peso muy grande en el Sistema de Gestión de Seguridad de la Información. Es necesario que se asegure de que se están llevado a cabo todas las actividades necesarias para realizar las copias de seguridad de los datos.
  • Orientación al cliente: el personal que se encuentra orientado al cliente debe mantener la confidencialidad del cliente en todo momento.
¿Qué conocimiento tiene los auditados del propósito que persiguen las auditorías internas ISO 27001?

Es necesario que se verifique si los auditados comprenden la importancia que tiene realizar auditorías internas ISO 27001, ya que es una parte fundamental del mantenimiento del Sistema de Gestión de Seguridad de la Información.
Proporcionar feedback positivo

Al realizar la auditoría no se pretende sólo buscar errores, sino que es importante que los hallazgos que se realicen sean constructivos para mejorar el Sistema de Gestión de Seguridad de la Información. Se pueden realizar comentarios a lo largo de la auditoría y en la reunión de cierre. Una forma de proporcionar feedback, una vez que ha finalizado la auditoría, es con la realización de informe. Una vez que haya preparado su informe, es necesario que comparta los hallazgos con los representantes del departamento y responda todas las consultas que pueden surgir.
Tomar medidas correctivas

Cuando finalice la auditoría obtendremos un informe con todos los hallazgos obtenidos de la realización de esta. El representante del departamento en cuestión deberá establecer una serie de medidas correctivas y programar un seguimiento de la efectividad de la acción que se quiere realizar.
La importancia de auditar los controles ISO 27001

Las auditorías internas son esenciales, tanto para cumplir con todos los requisitos de la norma ISO 27001, como para mejorar los procesos de seguridad de la información de la organización. Las auditorías internas son uno de los componentes clave para conseguir el éxito de la implantación de la norma ISO 27001, por lo tanto, es necesario que se realicen con regularidad, y por supuesto, que se lleven a cabo de forma efectiva. Es necesario que se esté preparado para garantizar la obtención de las repuestas que se necesitan, y en última instancia, cumplir con los objetivos de la auditoría.


Tomado de: https://www.pmg-ssi.com

No hay comentarios.: