El término Sistema de Gestión de Seguridad de la Información (SGSI) está ligado a la norma ISO 27001, aunque no es la única normativa que sigue este concepto. Es importante recordar que un SGSI es el conjunto de políticas realizadas en una empresa para administrar su información.

Estas políticas hacen referencia al diseño, desarrollo y mantenimiento de métodos para gestionar la accesibilidad de la información y asegurar la confidencialidad, integridad y disponibilidad de los datos.

Un SGSI debe realizarse durante un largo período de tiempo para reducir riesgos de seguridad de la información y adaptarse a los cambios externos e internos de la compañía. Además, debe revisarse continuamente para cumplir las cláusulas 8 y 9 del estándar ISO 27001-SGSI.

La auditoría interna es esencial para la correcta certificación de la norma ISO 27001, la cual debe efectuarse en intervalos planificados. En ocasiones, las auditorías pueden resultar complejas, especialmente si no se sabe cómo poner en marcha el proceso y cómo documentarlo, o qué aspectos se deben tener en cuenta en un SGSI.

A continuación, ofrecemos algunos consejos prácticos para llevar a cabo auditorías internas:

  1. El trabajo debe ser comprobado más de una vez y por más de una persona

Revisar el trabajo de uno mism@ es importante e imprescindible, pero cuando se trata de auditorías para certificar ISO 27001 hace falta más. Un auditor experto detectará posibles puntos de mejora o nuevas tareas a realizar que pueden escaparse si el trabajo es revisado por una sola persona.

  1. Las auditorías independientes pueden ser muy útiles

Muchas empresas eligen un auditor certificado independiente para asegurar el éxito de la certificación ISO 27001. El motivo radica en que una auditoría independiente identifica mejor las posibles brechas de seguridad y la correcta implementación de los requisitos y demandas de esta norma internacional sobre seguridad de la información.

  1. Las preguntas en una auditoría son buenas

El director de IT Governance y asesor de UKAS, Steve Watkins, señala que “a veces, el hecho de que una empresa sea desafiada en una auditoría interna puede parecer frustrante, sobre todo, si cuenta con las medidas adecuadas para el buen funcionamiento del negocio”. Sin embargo, los requisitos ISO 27001 son muy específicos y utilizan un lenguaje muy genérico, por lo que inevitablemente surgen grandes dudas de actuación.

Resolver estas cuestiones es algo positivo, ya que obliga a la organización a adoptar todas las exigencias del estándar ISO 27001 y a estar preparada para la certificación final.

  1. Obtener un conocimiento apropiado

A la vez que las organizaciones suelen contratar un auditor cualificado con amplia experiencia ISO 27001 para tener todas las garantías de certificación de esta norma internacional, es recomendable adquirir estas competencias de manera interna. Estar al tanto de lo que pasa en la auditoría ofrecerá un conocimiento sobre cómo gestionar la información y otorgará a su vez un aprendizaje sobre vulnerabilidades de seguridad.

toolkit iso

Consigue gratis tu kit de herramientas ISO 27001 >>

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.