Auditorías internas y revisión por la Dirección en ISO 27001

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Auditorías internas y revisión por la Dirección en ISO 27001

Auditorías internas y revisión por la Dirección en ISO 27001

Auditorias internas

Auditorías internas

Las auditorías internas son un proceso organizacional muy complejo. Además de lo complicado de su ejecución, requiere que haya una preparación previa muy exhaustiva. Este procedimiento, implica varios procesos: de revisión, evaluación y validación. Si queremos aplicarlo a alguna norma ISO en concreto, ese proceso de revisión, evaluación y validación debe seguir las directrices que la norma exija. En este caso se hace referencia a ISO 27001.

En un Sistema de Gestión de Seguridad de la información es importante realizar auditorías internas para encontrar posibles problemas en cuanto a la consecución de los objetivos de la empresa. Y sobre todo de cara a la protección de sus activos de seguridad. Llevando a cabo una auditoría interna se podrán encontrar aquellos elementos que se deben solucionar evitando así que no se consigan los objetivos establecidos por la dirección de la empresa.

 

Las auditorías internas

Para garantizar el correcto funcionamiento y mantenimiento de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo.

Existen dos grandes tipos de auditorías internas:

  • Gestión. Donde se supervisa el liderazgo, el contexto, etc.
  • Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.

 

Básicamente, el principal motivo de que se realicen las auditorías internas periódicamente es poder determinar si los procedimientos del Sistema de Gestión de Seguridad de la Información se encuentran conforme a: los requisitos de la norma, la legislación vigente en cada país o sector y los objetivos marcados por la Dirección para el propio sistema de gestión.

 

El plan de auditoría interna en ISO 27001

En la planificación de la auditoría se debe contar con el nivel de importancia de los procesos y de las áreas que van a ser auditadas y, además, hay que tener en cuenta los resultados obtenidos de auditorías previas. También es necesario definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los métodos utilizados.

Si se detectan problemas o desviaciones entre los objetivos de seguridad planteados y los resultados obtenidos, el equipo auditor deberá comprobar si se están aplicando las medidas necesarias, proponiendo nuevas medidas en caso necesario.

 

Revisión por la Dirección

Es fundamental realizar revisiones periódicas del Sistema de Gestión de Seguridad de la información por parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión (ROI).

La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado durante la auditoría interna. Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan contraseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales.

Durante el seguimiento de las actividades realizadas, se tiene que incluir una verificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.

 

 

La norma ISO 19011 directrices para la realización de auditoría

La norma ISO 19011 aporta a las organizaciones las directrices para la realización de auditorías en sistemas de gestión independientemente de su temática: calidad, ambiental, seguridad y salud en el trabajo, seguridad de la información u otras, incluso la propia gestión del programa de auditorías.

La gestión del programa de auditorías se establece mediante la mejora continua, con un proceso de flujo de operaciones. Se realiza un planteamiento abierto enfocado a una planificación de auditorías y se tienen en cuenta varios puntos a la hora de realizar dicho plan de auditorías

 

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los Sistema de Gestión de Seguridad de la información es sencilla de automatizar, mantener y con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la información.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…