ISO 27001: Auditorías internas del SGSI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Auditorías internas del SGSI

ISO 27001: Auditorías internas del SGSI

ISO 27001

ISO 27001

En un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el estado del Sistema de Gestión de Seguridad de la Información sea el idóneo.

El principal objetivos de que se realicen las auditorías internas periódicamente es poder determinar si los objetivos, los controles, los procesos y los procedimientos del Sistema de Gestión de Seguridad de la Información se encuentran:

  • Conformes a los requisitos que establece el estándar internacional ISO27001, además de la legislación y los reglamentos correspondientes.
  • Acorde a los requisitos establecidos en seguridad de la información.
  • Eficazmente implementados y mantenidos.
  • Comportándose de la manera esperada.

 

El programa de auditoría se planifica contando con el nivel de importancia de los procesos y de las áreas que van a ser auditadas, además se debe contar con los resultados obtenidos de auditorías previas. Se tienen que definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los métodos utilizados. Los auditores elegidos para llevar a cabo la auditoría deben garantizar que se realicen de forma objetiva e imparcial, por esto los auditores no deberán auditar su propio trabajo.

Se debe contar con un procedimiento documentado en el que se especifiquen las responsabilidades, los requisitos y la dirección de las auditorías, además se debe emitir un informe con los resultados obtenidos.

Las responsabilidades en torno a las auditorías internas deben estar perfectamente establecidas, es decir, se debe conocer quiénes son las personas encargadas de planificarlas, los requisitos con los que cuentan, la manera de informar sobre los resultados, el lugar donde deben guardarse los registros, etc.

La alta dirección de la organización es la responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las no conformidades que se hayan detectado durante la auditoría interna y presenta los motivos que causaron la no conformidad lo antes posible. Durante el seguimiento de las actividades realizadas se tiene que incluir una verificación de las acciones que se han llevado a cabo, además de un informe que indique la verificación de los resultados obtenidos.

Vamos a poner un ejemplo de cómo se debe llevar a cabo un Plan de Auditoría Interna

1. Preparación de la auditoría

La persona encargada de llevar a cabo la auditoría, el auditor, conforme a las fechas previstas en el Plan de Auditorías, tiene que comunicar por medio del programa de auditorías a los diferentes departamentos de la organización la fecha en la que tendrá lugar la misma.

2. Realización de la auditoría

La auditoría se encuentra basada en cuatros aspectos básicos dentro de cada uno de los departamentos de la organización, los cuales son:

  • La forma de los documentos, es decir, se debe tener en cuenta la estructura del documento, la actualización, codificación, etc.
  • El contenido de los documentos: la eficacia y eficacia de las medidas descritas en los documentos.
  • Verificar que los documentos cumplan con los requisitos exigidos por el estándar internacional ISO-27001.
  • Que se aplique realmente lo descrito en los documentos.

 

Las comprobaciones se llevan a cabo durante las reuniones que se realizan entre el auditor interno y las personas que integran el departamento auditado. Durante dichas reuniones, el auditor requiere las pruebas necesarias que demuestren el cumplimiento de lo indicado en los procedimientos que afectan al departamento auditado.

3. Conclusiones de la auditoría

Una vez realizada la auditoría, el auditor líder encargado de realizarla debe cumplimentar el Informe de Auditoría. Con dicho Informe se establecen las no conformidades detectadas para posteriormente proceder a abrir la no conformidad oportuna y si es necesario, realizar la apertura de las Acciones correctivas o preventivas que se derivan de la auditoría.

Las no conformidades y las acciones correctivas o preventivas que se abran se deben registrar y se hace entrega de una copia a cada responsable de los departamentos afectados.

4. Seguimiento de la auditoría

Si durante la auditoría se han detectado desviaciones, el auditor será el responsable de realizar las comprobaciones necesarias para corroborar que se están aplicando las acciones propuestas y dentro del plazo de tiempo estimado para cada una de ellas.

En manos del auditor interno queda la aprobación o la no aprobación de las acciones que se han llevado a cabo en cada una de las desviaciones detectadas durante la auditoría, y quedarán reflejadas en el apartado de cierre de la misma.

Si no se aprueba, se deben indicar los motivos por los que se ha llegado a esa conclusión en el correspondiente apartado, y el auditor junto con el responsable de corregir dicha desviación tienen que proponer una nueva medida, que bien puede ser una medida correctiva o preventiva.

Si por algún motivo persisten las desviaciones, el auditor interno debe informar a la alta dirección de la organización.

Se originará la apertura de Acciones Correctoras Preventivas siempre y cuando, el Auditor perciba que se reiteran las deviaciones y estas afectan gravemente al buen funcionamiento del Sistema de Gestión de Seguridad de la Información.

5. Independencia de los Auditores

Las auditorías deben realizarse por auditores independientes del personal que tengan algún tipo de responsabilidad directa respecto a la actividad que se encuentra auditando, por lo que el auditor:

  • No puede ser el responsable de un departamento del que depende el proceso auditado.
  • No podrá formar parte de un departamento dependiente del proceso auditado.

 

Como resumen podemos obtener que las organizaciones deban realizar auditorías internas planificadas regularmente para comprobar el estado del Sistema de Gestión de Seguridad de la Información y así poder determinar cuáles son los controles y los procedimientos implantados que cumplen los requisitos establecidos por la norma ISO27001.

Software para Sistema de Gestión de Seguridad de la Información

El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...