Sistema de Gestión de Seguridad de la Información ¿Cómo ser auditor?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Sistema de Gestión de Seguridad de la Información ¿Cómo ser auditor?

Sistema de Gestión de Seguridad de la Información ¿Cómo ser auditor?

sistema de gestión de seguridad de la información

Sistema de Gestión de Seguridad de la Información

Para auditar un Sistema de Gestión de Seguridad de la Información hay que haber tomado previamente una formación que nos aporte las competencias necesarias para desempeñar las funciones correspondientes. Además, es imprescindible ir tomando mucha experiencia y dedicarle muchas horas de trabajo.

¿En qué consiste esta formación?

Antes de nada es necesario comprender el significado de los Sistemas de Gestión. El participante debe tener una idea clara y un enfoque preciso del trabajo que tiene por delante.

De esta forma el interesado adquirirá la base para manejar el conjunto de normas ISO que existen. Una buena comprensión le facilitará la continuidad de su carrera en este área de forma exitosa.

Posteriormente su aprendizaje debe centrarse en la estructura de alto nivel de los sistemas de gestión, requisitos obligados y el enfoque basado en riesgos.

Una vez superada esta parte inicial, la formación se centrará en desarrollar las técnicas de auditoría y sus requisitos. 

¿Cuántos días de duración y cuáles son los temas?

La formación suele durar unos cinco días, se realiza un examen el último día, que es obligatorio para obtener el certificado. Los exámenes pueden variar de uno a otro proveedor de formación. La formación se encuentra organizada más o menos de la siguiente forma:

Día 1

Se realiza una introducción de la norma ISO 27001, los principios fundamentales, las definiciones y la comprensión de un entorno complejo, se debe tener en cuenta un enfoque basado en riesgo.

Día 2

Formación continua con la aclaración de la norma ISO 27001. Los requisitos seguidos a la explicación del Anexo A-objetivos de control y los controles de referencia. Anexo A se compone de 14 dominios y 114 controles. En esta sesión, los participantes comprenderán la declaración de aplicabilidad y cómo identificar las exclusiones.

Día 3

Inicia con las definiciones de auditoría, planificación de la auditoría y preparación de la auditoría, las competencias y responsabilidades de los auditores. Se mueve sobre los principios éticos y profesionales, el comportamiento, los conocimientos y habilidades de los auditores líderes.

Día 4

Los siguientes temas serán cubiertos por las actividades de la auditoría. La utilización de las listas de control, la apertura de las reuniones y la revisión del documento inicial, recolección y verificación de información, junto con las técnicas de auditoría. Se debe elegir el equipo de auditoría y manejar las reuniones del equipo de auditoría, identificar y evaluar la auditoría de hallazgos, las observaciones y las buenas prácticas, y el proceso para comunicarse con el auditado.

Día 5

El último día se cubre el juicio y la notificación de los resultados obtenidos de la auditoría. Cómo puede ser, cómo llevar a cabo la reunión de cierre, cómo preparar y distribuir el informe de auditoría, cómo completar la auditoría y establecer los requisitos para las auditorías de seguimiento. Se deberá preparar un resumen con los puntos clave de aprendizaje y los objetivos, la forma de documentar la retroalimentación de los participantes y el examen final.

¿Qué hay de los talleres?

Durante el entrenamiento se recibirán tres sesiones prácticas de trabajo al día, siguiendo los temas del orden del día. Deberán estar dispuestos a participar de forma activa en los talleres. Durante los talleres le ayudarán a conocer cómo comportarse y hacer preguntas de una forma profesional, además practicará la escucha activa.

¿Es necesario algún requisito previo para asistir a este entrenamiento?

Lo más importante es dar una oportunidad a los principios de un Sistema de Gestión de Seguridad de la Información, se deberá creer en los beneficios y el valor que le ofrece a cualquier organización. Es una ventaja tener conocimiento de Tic, una función de gestión anterior, y la participación en el Sistema de Gestión de Seguridad de la Información como parte de la participación profesional.

Existen participantes que no creen en estos principios y participan sólo porque su jefe necesita empleados con el certificado. Es muy difícil hacer frente a este tipo de personas, tratando de enseñarles y alcanzar el nivel de conocimientos y la creencia de que este sistema puede ayudar a cualquier empresa a tener éxito y obtener el máximo provecho.

¿Cómo va a beneficiar de esta formación?

Deberá seguir adelante en su carrera profesional. Deberá realizar implementaciones de seguridad de la información, consultoría y auditoría. Este será el punto de partida para su futura promoción.

Software ISO 27001

El Software ISOTools Excellence para ISO27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...