INICIO

Lecciones aprendidas de mi participación en una auditoría interna ISO 27001

¿Por qué son críticas las auditorías internas en ISO 27001?

Implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001 puede ser un desafío considerable. Las auditorías internas son una herramienta clave para garantizar que el SGSI cumple con los requisitos normativos y las políticas internas, pero también pueden generar incertidumbre y estrés, especialmente para quienes participan por primera vez.

La auditoría interna es un requisito obligatorio de la norma ISO 27001. Este requisito está establecido en la cláusula 9.2, donde se especifica que la organización debe llevar a cabo auditorías internas a intervalos planificados para garantizar que su Sistema de Gestión de Seguridad de la Información (SGSI) cumple con:

  1. Los requisitos de la organización: Esto incluye las políticas, procedimientos y controles definidos internamente para la seguridad de la información.
  2. Los requisitos de la norma ISO 27001: Asegurar que se cumplen todos los requisitos especificados por la norma.

Los retos y tensiones durante una auditoría interna

Cuando llega el momento de realizar la auditoría interna, la organización enfrenta un punto crucial: evaluar el desempeño del SGSI en la práctica. Es la oportunidad para identificar problemas en la ejecución, incumplimientos de plazos y áreas donde los procesos no están alineados con las políticas definidas. Naturalmente, este proceso puede generar incertidumbre y estrés, ya que pone bajo escrutinio el trabajo realizado. Sin embargo, es fundamental cambiar esta perspectiva y verlo como una valiosa oportunidad para descubrir mejoras, corregir desviaciones y fortalecer la seguridad de la información, consolidando la resiliencia de la organización.

Mis lecciones aprendidas

Después de pasar por esta experiencia, aquí están las principales lecciones que quiero compartir (comentarios práctico):

  • Generalmente se comienza explicando al auditor de que se trata la empresa. Cual es el negocio y la industria en la cual se desenvuelve.
  • Antes de partir se debe tener claro si se debe firmar algún acuerdo de confidencialidad (NDA). Por seguridad, diría que este proceso debiera realizarse “siempre”.
  • Debido a la implementación de las ISO27001 (y otras), es posible que exista un procedimiento para auditoría interna (formularios a llenar u otros), por lo que se debe revisar este procedimiento.
  • Se realiza una revisión de la declaración de aplicabilidad (Statement of Applicability, SoA). Este documento formal identifica y justifica cuáles de los controles del Anexo A de la norma son aplicables o no a una organización y cómo estos controles se implementan para gestionar los riesgos de seguridad de la información.
  • Se realiza una revisión del contexto de la organización (cláusula 4.1) y los objetivos de seguridad (cláusula 6.2).
  • El auditor solicita información sobre la topología de red, probablemente para entender cómo opera el negocio y evaluar si los controles del Anexo A están correctamente implementados y alineados con las necesidades de la organización.
  • Se realiza lectura de la política general de la información.
  • Se realiza una revisión de como se abordan los riesgos y oportunidades.
  • Se solicita revisar como se hace el seguimiento y la medición del SGSI (cláusula 9.1). Para realizar esta medición se definen métricas y KPIs claras, y se les realiza el correspondiente seguimiento.
  • Se revisa en detalle los objetivos del sistema (cláusula 6.2). Estos deben ser coherentes con la política de seguridad de la información, deben ser medibles y tener en cuenta los requisitos aplicables.
  • Se revisa la cláusula 7.1. Esta se refiere a demostrar de que manera se aseguran los recursos para que el sistema de seguridad de la información funcione.
  • Se revisan los roles y responsabilidades (cláusula 5.1) de las personas involucradas en el sistema; se preguntan por las competencias de las personas involucradas (cláusula 7.2) para garantizar el éxito del funcionamiento del SGSI.
  • Se chequea la información documentada (cláusula 7.5.3). El propósito es garantizar que la información documentada del SGSI esté protegida, accesible, y gestionada correctamente durante todo su ciclo de vida. Esto incluye la creación, revisión, distribución, y disposición de los documentos y registros.
  • Se realiza una revisión de las no conformidades y acciones correctivas (cláusula 10.1).
  • Se revisa la revisión anual del SGSI por la alta dirección (cláusula 9.3). El propósito es garantizar que la alta dirección evalúe periódicamente el desempeño del sistema, para asegurar su idoneidad, adecuación y eficacia.
  • Finalmente el auditor comienza a realizar una revisión aleatoria de los controles del Anexo A.
  • Se finaliza con la presentación de los hallazgos y las oportunidades de mejora identificadas, las cuales serán detalladas posteriormente en un informe formal elaborado por el auditor.

Conclusiones

En resumen, la auditoría interna implica una revisión integral de la implementación de la norma ISO 27001, evaluando el cumplimiento de sus diferentes cláusulas. Para afrontar este proceso con éxito, la organización auditada debe asegurarse de contar con sistemas, documentos, registros y otros elementos que respalden y evidencien la correcta implementación y operación del SGSI. Esto no solo facilita el trabajo del auditor, sino que también refuerza el compromiso de la empresa con la mejora continua y la seguridad de la información.