Para cumplir con el requisito de la norma ISO 27001:_2013 deberemos establecer un plan de auditorías internas que nos permitan revisar el sistema de Gestión SGSI.

Sin embargo, visto desde el punto de vista de la utilidad y no tanto del cumplimiento, la auditoria Interna se sitúa dentro del proceso de mejora continua, donde la auditoría interna es una de las herramientas más interesantes ya que nos permite identificar insuficiencias en el sistema y detectar potenciales situaciones de riesgo.

¿Cuál es el objetivo de una auditoria Interna ISO 27001?

En términos generales, con la auditoría interna se pretende:

  • Comprobar que el SGSI que hemos implantado cumple con los requisitos de la norma.
  • Comprobar que los requisitos y procesos de la organización han integrado correctamente los requisitos de la seguridad de la información definidos en el SGSI

¿Qué beneficios tiene una auditoria interna del SGSI?

  • La auditoría interna nos prepara para la auditoria de certificación permitiéndonos identificar y corregir cualquier problema antes de que se lleve a cabo
  • Las auditorías internas identifican oportunidades de mejora.
  • La realización de auditorías internas periódicas proporciona la evidencia tanto a la propia empresa como a la certificadora de que el (SGSI) Sistema de gestión de la seguridad de la información, se está revisando continuamente
  • Las auditorías internas sirven como un recordatorio para todo el personal de la importancia y prioridad del cumplimiento de los requisitos sobre la seguridad de la información suponen para la empresa y el alcance de sus objetivos

¿Cómo elegir al auditor interno del SGSI?

Antes de nada deberíamos responder a la pregunta de Quién puede realizar una auditoria Interna ISO 27001.

Definamos primero las tareas que debe desempeñar el Auditor Interno ISO 27001

REALIZACION DE INFORMES
Si tenemos en cuenta los objetivos de una auditoria interna del SGSI, podemos considerar que el auditor interno es un papel esencial en la presentación de informes a la alta gerencia sobre el rendimiento del sistema de gestión de seguridad de la información (SGSI).

CONOCER y PREPARAR LA CERTIFICACION
En organizaciones más pequeñas, el auditor interno a menudo ayuda a prepararse para la certificación o visita de mantenimiento de un organismo de certificación, por lo que en todo caso debe tener un buen conocimiento de los requisitos y procesos involucrados en la auditoría de certificación.

MONITOREO DEL SGSI
Otra de las funciones importantes y destacables del auditor interno podría ser la de monitorear continuamente la efectividad del SGSI y ayudar a la dirección en la evaluación de los objetivos de seguridad de la información en cuanto a su contribución al cumplimiento de los objetivos comerciales de la organización.

¿Cómo definir el equipo auditor?

Está claro que en pequeñas empresas u organizaciones no podremos designar más que a una persona para el desempeño de la tarea de auditor interno de nuestro sistema SGSI.

Sin embargo, en empresas de cierto tamaño (mediano o grande) conviene que al menos dos personas o más desempeñen conjuntamente esta responsabilidad. También puede resultar interesante designar un auditor por cada departamento como lo son Recursos Humanos, finanzas, Comercial y ventas, infraestructura ti, etc.

El nombramiento de auditores internos por departamentos aumenta la responsabilidad y reduce el riesgo de errores que podrían surgir de la falta de recursos incidiendo también en el control y seguimiento de las acciones preventivas y correctivas.

El papel de auditor interno no se limita a la realización de las prescriptivas auditorias si no que puede ser muy útil durante la fase de implementación del proyecto SGSI ISO 27001 y que nos puede proporcionar orientación estratégica y establecer objetivos para el programa de auditoría

Finalmente, el auditor interno puede desempeñar un papel importante después de la puesta en marcha del proyecto SGSI para que una vez que se ha logrado el cumplimiento con los requisitos de la norma ISO 27001, podamos revisar y mantener el cumplimiento de cara a la mejora continua.

¿Quién puede convertirse en un auditor interno?

Los altos directivos son buenos candidatos para los auditores internos. Por ejemplo, los gerentes de RR. HH. Pueden beneficiarse particularmente de calificar como auditores internos ya que están acostumbrados a asegurar que las políticas se mantengan actualizadas con estándares y requisitos legales, como la Ley de Protección de Datos (RGPD). Formar parte del equipo de implantación del SGSI ISO 27001 puede facilitar el trabajo de implantación, ya que estarán preparados para cumplir con los requisitos pertinentes.

VENTAJAS DE FORMAR AL PERSONAL COMO AUDITORES INTENOS

Formar a un auditor interno del SGSI ISO 27001 proporciona a sus empleados unas habilidades de auditoría genéricas que se pueden utilizar en diferentes entornos (no solo en el contexto del cumplimiento de la norma ISO 27001).

Los auditores internos también son valiosos para una organización que audita proveedores y socios externos para garantizar que cuentan con los controles de seguridad adecuados.

Una buena recomendación

Una buena formación como auditor interno debe estar enfocada a mirar más allá del cumplimiento puro, ya que es importante tener la vista puesta en la mejora.

¿En qué se diferencia una auditoria interna de una auditoria de certificación?

En cierto modo ya hemos respondido a esta pregunta

Ya hemos dicho que la auditoria interna sirve como preparación para la auditoria de certificación y para ello podemos usarla. Sin embargo, la auditoria interna tiene utilidad en cuanto nos sirve para validar la efectividad del SGSI implantado y no solo para evaluar el cumplimiento con los requisitos del SGSI que es el objeto más directo de la auditoria de certificación.

En otras palabras, su auditoría interna de SGSI debe incluir pruebas sustantivas para informar sobre la efectividad de su SGSI. Mientras que la auditoría de certificación enfatiza las pruebas de cumplimiento para informar sobre la conformidad del SGSI. De hecho, se requiere que la auditoría de certificación ISO 27001 confíe en la auditoría interna y en la revisión por la dirección de SGSI para garantizar que la organización mantenga un SGSI efectivo.

Si considera que su auditoría interna es una "auditoría de certificación simulada", no proporcionará a la dirección un informe sobre la eficacia del SGSI. Simplemente indicará si su ISMS cumple con las políticas de la dirección, sin decirle si el SGSI realmente está logrando los objetivos de la dirección.

La realidad es que muchas empresas están motivadas para lograr la certificación ISO 27001 como un instrumento de ventaja competitiva al proporcionar seguridad a clientes y terceros; la seguridad de la información puede quedar en segundo plano.

Una buena recomendación

Pero no permita que esta forma sesgada de ver las cosas se extienda a su auditoría interna. La auditoría interna ISO 27001 es una herramienta vital que aporta a los gerentes de seguridad una información de valor añadido y que debería ser aprovechado.

Consejos para realizar una buena auditoria Interna

CASO PRACTICO:
Consejos para realizar una buena auditoria Interna

Tomemos como ejemplo una organización con una red con una variedad de tipos de usuarios donde nos encontramos con usuarios temporales, altas de nuevos empleados que llegan con sus equipos, empleados que comparten grandes cantidades de datos, accesos remotos a servicios de red para personas que viajan o tele trabajan etc.

DEDICAR el TIEMPO Necesario

Hay 114 controles en el Anexo A, por lo que no espere una auditoría rápida si desea hacerlo correctamente. Reserve tiempo suficiente para auditar completamente cada área o departamento.

No existe una regla para el tiempo que debe asignarse a cada tarea ya que depende de varios factores, entre otros:

  • La madurez de su Sistema de Gestión de la Seguridad de la información SGSI
  • El tamaño de su organización
  • La cantidad de hallazgos identificados en la auditoría anterior.

DELEGAR RESPONSABILIDADES DE auditoría entre DISTINTOS auditores

Puede ser efectivo dividir los controles entre los auditores con diferentes habilidades y puntos fuertes.

Por ejemplo, un auditor puede ser responsable de auditar procesos orientados a TI:

  • A.9 Control de acceso
  • A.10 Criptografía
  •  A.11 Seguridad física y ambiental
  • A.12 Seguridad operacional
  • A.13 Seguridad de las comunicaciones
  • A.14 Adquisición, desarrollo y mantenimiento del sistema

Y un segundo auditor puede ser responsable de requisitos más generales:

  • A.5 Políticas de seguridad de la información
  • A.6 Organización de la seguridad de la información
  • A.7 Seguridad de los recursos humanos
  • A.8 Gestión de activos
  • A.15 Relaciones del proveedor
  • A.16 Gestión de incidentes de seguridad de la información
  • A.17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio
  • A.18 Cumplimiento

Para saber más acerca de los controles que componen el Anexo A

Visión general del ANEXO A de la norma ISO 27001: 2013

PREPARAR LAS AUDITORIAS

Si no estamos preparados para una auditoria entonces estamos preparando nuestro propio fracaso. Es decir, hay cosas que hacer antes de una auditoria

Veamos algunas de ellas:

  • Lo más importante es tener una comprensión profunda de los requisitos de Anexo A y de la organización.
  • Tener disponible la información requerida para la auditoria
    • Los hallazgos o no conformidades en Seguridad de la información
    • Los procedimientos y políticas
    • La declaración de aplicabilidad
  • Haber preparado una lista de verificación CHECK LIST de los puntos a tratar en la auditoria
  • Prepare un plan de auditoría incluyendo
    • Horarios
    • Departamentos y
    • Ubicaciones
  • Antes de la auditoría, coordine con tiempo el plan de auditoria con los auditados).
  • Programe tiempo con las áreas a auditar para
    • Discutir y explicar el informe de auditoria
    • Reuniones de seguimiento con los representantes del departamento.

Es crucial que comunique el plan de auditoría y los objetivos de la sesión por adelantado. A nadie le gusta una sorpresa, y no es una buena manera de comenzar una auditoría.

Para más información podemos consultar el siguiente artículo

Cómo hacer una lista de verificación de auditoría interna para ISO 27001

INVOLUCRAR A TODA LA ORGANIZACION

Este punto además de crucial es el más difícil de conseguir

Ya hemos hablado de cómo involucrar a todos los empleados y departamentos en la Seguridad de la información.

Leer más sobre: Comunicación y sensibilización en el SGSI

En este punto nos centraremos en lo que afecta a las auditorías internas

Lo primero que debemos tener en cuenta son los puntos anteriores sobre cómo preparar una auditoria. Una buena coordinación es fundamental o más bien básica para lograr involucrar a todos en este proceso.

Un segundo elemento podría ser si nuestra organización tiene el tamaño de gran empresa el hecho de dividir o responsabilizar de las auditorias a responsables de cada departamento como mencionamos anteriormente, puede ser también de gran ayuda para este cometido.

Además, podemos plantearnos crear objetivos de auditoria en cuanto a verificar funciones por departamentos relacionadas con la seguridad de la información.

Por ejemplo:

  • Recursos humanos: RRHH
    – ¿ha definido la responsabilidad de garantizar que se mantenga la confidencialidad de los empleados?
    – ¿han incorporado el asesoramiento del Gerente de seguridad de la información en los contratos del personal?
    – Existe y se aplica un proceso disciplinario.
    – El equipo de seguridad de la información es el responsable de definir las directrices sobre la seguridad de la información, pero se asume la responsabilidad de los recursos humanos hacer cumplir estas políticas y directrices
  • Equipos técnicos de TI:
    Como los mayores contribuyentes al sistema de seguridad de la información.
    Asegúrese de que están llevando a cabo actividades tales como realizar y probar copias de seguridad de datos, implementar medidas de seguridad de la red y llevar a cabo el parcheo del sistema.
  • Equipo Comercial y de trato con el cliente:
    Asegurarse que el personal orientado al cliente mantiene la confidencialidad de los datos del cliente en todo momento.

EVALUAR O AUDITAR la comprensión de los objetivos del SGSI y su cumplimiento

Una parte clave de la auditoria interna es verificar en qué grado los empleados y la organización comprenden la importancia de la seguridad de la información. Para ello deberemos estar siempre cuestionando los procesos y tareas desempeñadas en cuanto a:

  • Identificar las causas del no cumplimiento de reglas o procedimientos sobre la seguridad de la información
  • Evaluar el grado de entendimiento y comprensión de las políticas y procedimientos sobre la seguridad de la información

En este aspecto debemos tener en cuenta de que una auditoria interna siempre es una oportunidad para la capacitación y formación del personal sobre la seguridad de la información

AYUDA PARA MEJORAR EL SISTEMA SGSI

Una auditoria interna no es una “caza” de incumplimientos si no una herramienta de información para el objetivo de la mejora continua.

Para ello recomendamos tomar nota de los hallazgos sobre la seguridad de la información siempre con comentarios aludiendo a las oportunidades de mejora para discutirlos después en la fase de elaboración y comunicación del informe de auditoria.

Para ello es imprescindible mantener reuniones con los responsables de los departamentos y compartir los hallazgos, discutir las dudas que se presenten y acordar las oportunidades de mejora para poder presentar un informe que sirva para la mejora continua del sistema.

TOMAR ACCIONES

Para garantizar que la auditoria interna resulta efectiva deberemos asegurarnos que los hallazgos sobre la seguridad de la información van a ser tratados mediante unas acciones que:

  • Deben ser acordadas con los responsables de los departamentos
  • Queden registradas y documentadas
  • Se identifiquen las medidas correctivas
  • Se planifique su implementación y se establezcan responsables
  • Se programe un seguimiento para verificar su implementación y la efectividad de dichas medidas