9.2. La auditoría interna

Este apartado de la norma ISO 27018 resalta la importancia de realizar auditorías internas periódicas para evaluar la eficacia del sistema de gestión de seguridad de la información y privacidad de datos en relación con la protección de datos personales en la nube pública.

Es necesario establecer un programa de auditoría interna que defina el alcance, los objetivos y la frecuencia de las auditorías. Esto puede incluir la identificación de áreas críticas que requieran mayor atención y enfoque durante las auditorías, como el cumplimiento de políticas de seguridad, la gestión de riesgos y la implementación de controles de seguridad.

Durante las auditorías internas, se deben llevar a cabo evaluaciones exhaustivas del sistema de gestión, incluyendo la revisión de políticas y procedimientos, la verificación de la implementación efectiva de controles de seguridad, y la evaluación del cumplimiento con los requisitos de la norma ISO 27018 y otros estándares pertinentes.

Una vez completadas las auditorías, es esencial identificar las áreas de mejora y tomar medidas correctivas adecuadas para abordar cualquier hallazgo o no conformidad identificada. Esto puede incluir la actualización de políticas y procedimientos, la mejora de la formación y la sensibilización del personal, y la implementación de controles adicionales para mitigar los riesgos identificados.