La auditoría del Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

Si usted va a realizar una auditoría de certificación de su Sistema de Gestión de Seguridad de la Información bajo ISO 27001 seguramente se haya planteado, ¿qué me preguntará el auditor? Del mismo modo, el auditor se preguntará que preguntas serán las que va a recibir durante dicha auditoría.

La mayor parte de los auditores no suelen tener una lista de preguntas, porque cada organización es un mundo diferente, por lo que improvisan. El trabajo que realiza un auditor es revisar la documentación del Sistema de Gestión de Seguridad de la Información, hacer preguntas y buscar pruebas que verifiquen que el sistema funciona según los requerimientos del estándar empleado, como puede ser la norma ISO 27001.

La norma ISO 27001 establece una serie de requisitos que la organización debe cumplir. Para comprobar el cumplimiento de la norma, el auditor tiene que realizar búsquedas en los procedimientos, en los registros, las políticas y personas. Son personas que se encargan de realizar entrevistas para asegurar que se cumplen los requisitos que establece el Sistema de Gestión de Seguridad de la Información que está implementado en la organización.

Documentación obligatoria

El auditor hace una revisión de toda la documentación que existe en el Sistema de Gestión de Seguridad de la Información, pidiendo la existencia de todos los documentos que son requeridos por la norma ISO 27001.

Además de todos los documentos obligatorios, el auditor también revisará cualquier documento que la compañía ha desarrollado como un apoyo a la implantación del sistema o la implementación de diferentes controles. Un ejemplo podría ser: un plan de proyecto, un diagrama de red, una lista de documentación, etc.

Después de la comprobación la totalidad de los documentos relacionados con el Sistema de Gestión de Seguridad de la Información, el siguiente paso será verificar que todo lo que está escrito ser corresponde con ejecuta en la realidad.

En referencia a la política de seguridad de la información, teniendo en cuenta que se debe revisar anualmente, nos podríamos imaginar cual sería la pregunta que formularía el auditor. Exactamente, la pregunta sería “¿Ha revisado la política este año?” y la respuesta devería ser “si”. Pero en ningún momento el auditor puede confiar en lo que no ve, por lo que necesita pruebas.

La evidencia puede incluir registros, actas de reuniones, etc. La siguiente pregunta puede ser “¿Me puede enseñar los registros donde este la fecha en la se revisó la política?”

Según los controles de seguridad se pueden buscar evidencias en la aplicación, aunque en el caso de los registros pueden ser:

Registros
Archivos de sistema
Diagrama de red
Configuración de plataformas
Acuerdos con proveedores
Legislación

Una vez llegado este momento, el auditor debe conocer que documentación utiliza la organización por lo que necesita comprobar si la gente se está familiarizando con ella y la emplean en el desempeño de las actividades diarias, es decir, comprobar que el Sistema de Gestión de Seguridad de la Información está operativo en la organización.

#ISO27001 establece unos requisitos para garantizar la seguridad de la información

Click To Tweet

Tal vez uno de los aspectos más importantes de cualquier aplicación de ISO, no sólo la norma ISO 27001, es la conciencia de los trabajadores. Por lo tanto, el auditor debe realizar entre entrevistas a los diferentes miembros del personal para saber cuál es su grado de conocimiento de los documentos más importantes que se aplican:

Política de seguridad
Cláusulas de confidencialidad
Utilización aceptable de los activos
Política de control de acceso

Un ejemplo de preguntas es una entrevista podría ser:

¿Tiene usted acceso a las normas internas de la organización en relación con la seguridad de la información?
¿Me puede mostrar algunas de las políticas relacionadas?
¿Podría decirme cuáles son los puntos que considera más importante en la política?

Por otra parte, el auditor también puede entrevistar a los responsables de los procesos, de las áreas físicas y de los departamentos, para obtener sus percepciones de la aplicación de la norma en la organización.

En estas entrevistas, las preguntas irán dirigidas, sobre todo para familiarizarse con las diferentes funciones y roles de las personas que se encuentran involucradas en el Sistema de Gestión de Seguridad de la Información y garantizar que cumplen con todos los controles implementados.

En resumen, un auditor puede solicitar:

Los documentos que se requieren para la norma ISO 27001 y cualquier documento que existe en el SGSI.
Comprobar el cumplimiento de los documentos.
Realizar entrevistas a las personas que conforman la organización.

Si quieres estar bien preparado a la hora de contestar a las preguntas que te formule el auditor deberías:

Comprobar que se dispone de todos los documentos que pueden ser requeridos.
Asegurar que la organización hace todo lo que dice y que se puede probar mediante registros.

Es muy importante que las personas sean conscientes de la totalidad de los documentos que se aplican. En general, asegurarse que la organización implementó la norma ISO 27001 y que ha sido aceptada en sus operaciones diarias, esto no será posible si la documentación ha sido creada sólo para satisfacer a la auditoría de certificación.

Software para SGSI

A la hora de pasar una auditoría del Sistema de Gestión de Seguridad de la Información con éxito son muchos los documentos que debe tener a mano, el Software ISOTools Excellence puede ayudarte gracias a su rapidez, sencillez y manejabilidad. Ya que gracias a su gestor documental a golpe de clic tendrá acceso a cualquier documento en muy poco tiempo, esto hará que la auditoría se realice de forma más fácil y rápida.