9.2. La auditoría interna

9.2. La auditoría interna

Este apartado de la norma ISO 27018 resalta la importancia de realizar auditorías internas periódicas para evaluar la eficacia del sistema de gestión de seguridad de la información y privacidad de datos en relación con la protección de datos personales en la nube pública.

Es necesario establecer un programa de auditoría interna que defina el alcance, los objetivos y la frecuencia de las auditorías. Esto puede incluir la identificación de áreas críticas que requieran mayor atención y enfoque durante las auditorías, como el cumplimiento de políticas de seguridad, la gestión de riesgos y la implementación de controles de seguridad.

Durante las auditorías internas, se deben llevar a cabo evaluaciones exhaustivas del sistema de gestión, incluyendo la revisión de políticas y procedimientos, la verificación de la implementación efectiva de controles de seguridad, y la evaluación del cumplimiento con los requisitos de la norma ISO 27018 y otros estándares pertinentes.

Una vez completadas las auditorías, es esencial identificar las áreas de mejora y tomar medidas correctivas adecuadas para abordar cualquier hallazgo o no conformidad identificada. Esto puede incluir la actualización de políticas y procedimientos, la mejora de la formación y la sensibilización del personal, y la implementación de controles adicionales para mitigar los riesgos identificados.