Auditoría de Sistemas de Seguridad según ISO 27001

Clase 31 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Qué es una auditoría en un sistema de gestión de seguridad de la información?

La auditoría es un proceso indispensable en la gestión de la seguridad de la información. Desde una perspectiva independiente y documentada, el auditor analiza y evalúa el cumplimiento de un sistema bajo estándares específicos. En el ámbito de la norma ISO 27001, la auditoría es crucial para garantizar que el sistema de gestión de seguridad cumple con los requisitos establecidos. Este proceso sistemático, fijado por la ISO 19011, se centra en obtener y evaluar evidencia objetiva para determinar el grado de cumplimiento de los criterios de auditoría.

¿Cuáles son los componentes esenciales de una auditoría?

  • Proceso sistemático: Las auditorías deben ser actividades planificadas y programadas, evitando sorpresas que puedan interrumpir otras actividades críticas, como la gestión de incidentes de seguridad.

  • Independiente: Es vital que el auditor tenga independencia en su evaluación para evitar sesgos. Esta independencia asegura la objetividad necesaria para identificar áreas de mejora sin influencias externas.

  • Documentado: Toda la auditoría debe ser respaldada por documentación detallada y evidencia suficiente. Esto incluye los objetivos, alcance, cronograma, y los recursos involucrados.

  • Evidencia y evaluación objetiva: La evidencia recopilada debe ser analizada cuidadosamente para asegurar que el sistema cumple con los requerimientos. La habilidad técnica del auditor juega un papel crucial en esta evaluación, necesitando un conocimiento profundo de la norma ISO 27001 y de las tecnologías evaluadas.

¿Qué tipos de auditoría existen bajo la norma ISO 27001?

Auditoría interna

Es llevada a cabo por auditores dentro de la misma organización. Aunque son parte de la entidad, operan de manera independiente, reportando directamente a la dirección ejecutiva o a la junta directiva. Estos auditores deben estar certificados para poder evaluar objetivamente el sistema de gestión de seguridad.

  • Independencia y colaboración: Aun siendo parte de la organización, los auditores internos deben mantener una postura objetiva. Su conocimiento interno del sistema puede ser ventajoso, siempre que se mantenga la imparcialidad.

Auditoría externa

Llevada a cabo por auditores de entidades externas y clasificadas como auditorías de segunda y tercera parte. Estas son realizadas por organizaciones acreditadas para certificar que el sistema cumple con los estándares ISO 27001. Es importante que estas auditorías se realicen anualmente para mantener la certificación vigente.

  • Proceso de certificación: Una vez que la auditoría interna ha confirmado que el sistema está listo, se solicita a la Organización de Estándares Internacionales (ISO) enviar auditores para la evaluación final. Estos auditores externos corroboran que se cumplan todas las normas y requisitos.

Consejo para auditores en formación

Iniciar una carrera en auditoría de sistemas de gestión de seguridad de la información bajo ISO 27001 implica adquirir un profundo conocimiento técnico y normativo. Mantener una perspectiva objetiva, comprender las tecnologías subyacentes, y documentar adecuadamente son habilidades esenciales. Considera obtener certificaciones relevantes y busca oportunidades para practicar estas habilidades en un entorno real. Y recuerda, la certificación como auditor no solo valida tu experiencia, sino que también fortalece la confianza del equipo y de la organización en su sistema de gestión de seguridad.