El término Sistema de Gestión de Seguridad de la Información (SGSI) está ligado a la norma ISO 27001, aunque no es la única normativa que sigue este concepto. Es importante recordar que un SGSI es el conjunto de políticas realizadas en una empresa para administrar su información.
Estas políticas hacen referencia al diseño, desarrollo y mantenimiento de métodos para gestionar la accesibilidad de la información y asegurar la confidencialidad, integridad y disponibilidad de los datos.
Un SGSI debe realizarse durante un largo periodo de tiempo para reducir riesgos de seguridad de la información y adaptarse a los cambios internos y externos de la compañía. Además, debe estar en continua revisión para cumplir las cláusulas 8 y 9 del estándar ISO 27001-SGSI.
La auditoría interna es esencial para la correcta certificación ISO 27001, la cual debe efectuarse en intervalos planificados. En ocasiones, las auditorías pueden resultar complejas, especialmente si no se conoce cómo poner en marcha el proceso y documentarlo, o qué aspectos se deben tener en cuenta en un SGSI.
A continuación, ofrecemos algunos consejos para llevar a cabo auditorías:
1. Comprobar el trabajo más de una vez y por más de una persona
Revisar el trabajo de uno mism@ es imprescindible, pero cuando se trata de auditorías para certificar ISO 27001 hace falta más. Un auditor experto detectará posibles puntos de mejora o nuevas tareas a realizar que pueden escaparse si el trabajo es revisado por una sola persona.
2. Las auditorías independientes son muy útiles
Muchas empresas eligen un auditor certificado independiente para asegurar el éxito de la certificación ISO 27001. El motivo radica en que una auditoría independiente identifica mejor las brechas de seguridad y la correcta implementación de las demandas de esta norma internacional sobre seguridad de la información.
3. Las preguntas en una auditoría son buenas
El director de IT Governance y asesor de UKAS, Steve Watkins, señala que “el hecho de que una empresa parezca desafiada en una auditoría puede ser frustrante, sobre todo, si cuenta con las medidas para el buen funcionamiento del negocio”. Sin embargo, los requisitos ISO 27001 son muy específicos y tienen un lenguaje muy genérico, por lo que suelen surgir dudas de procedimiento.
Resolver estas cuestiones es positivo, ya que obliga a la organización a adoptar las exigencias del estándar ISO 27001 y estar preparado para la certificación final.
4. Obtener un conocimiento apropiado
A la vez que las organizaciones contratan un auditor cualificado con experiencia ISO 27001 para tener todas las garantías de certificación de esta norma, es recomendable adquirir estas competencias internamente. Estar al tanto de lo que pasa en la auditoría ofrecerá un conocimiento sobre cómo gestionar la información y otorgará a su vez un aprendizaje sobre vulnerabilidades de seguridad.
Cabe destacar que, sin la experiencia de un profesional experimentado en auditorías internas, estas pueden llegar a ser un verdadero caos. Asimismo, esta situación que se agravaría si es la primera toma de contacto con ISO 27001. Como primer paso para prevenir esto, desde IT Governance te ofrecemos la lectura de la tercera edición de este best-seller sobre estas prácticas.
Descubre ISO 27001 con uno de los libros más vendidos sobre esta norma >>
