Para ISO 27001, la auditoría interna debe comprobar el cumplimiento de los requisitos propios de la norma, pero también de los dispuestos por la organización. Las auditorías internas del SGSI, son la forma más eficaz para lograr esta verificación.

Importancia de las auditorías internas del SGSI

Las auditorías internas del SGSI, son importantes por muchas razones. Muchas de ellas las hemos compartido en este espacio. Algunas, de las más relevantes son:

• Ellas permiten identificar problemas en el sistema y establecer acciones correctivas, antes de llegar a una auditoría externa.
• Son el mecanismo ideal para encontrar oportunidades de mejora.
• Ofrecen la seguridad que requiere la organización y la entidad certificadora externa, de que el sistema está siendo revisado y mejorado en forma periódica.
• Sirven para crear y mantener la cultura de la Seguridad de la Información en la organización y en los empleados.

Las auditorías internas del SGSI son importantes para la organización y para el mismo sistema. Eso queda claro. Pero ¿Cómo mejorarlas?, ¿Cómo obtener de ellas el máximo provecho?… veamos:

Cómo mejorar las auditorías internas del SGSI

Nuestra experiencia, y la de varios auditores internos nos permite ofrecer hoy algunos consejos para mejorar las auditorías internas del SGSI:

1-) No acelerar el proceso: la auditoría a un SGSI requiere destinar mucho más tiempo que la que exigen otros Sistemas de Gestión. La razón está fundamentada en los 114 controles que presenta el Anexo A.

Es importante programar el tiempo necesario para examinar todas y cada una de las áreas de la organización, teniendo en cuenta por supuesto, el tamaño de la organización y los hallazgos y acciones correctivas establecidos en la auditoría anterior.

2-) Compartir responsabilidades entre varios auditores: regresando al alto número de controles, es posible que la labor requiera la participación de varios auditores. Es una buena idea dividir el número de controles – 114 -, entre los auditores participantes de acuerdo con sus competencias y sus habilidades.

Control de acceso, criptografía, seguridad operacional… estos son algunos de los 114 controles que es preciso auditar en un Sistema de Gestión de Seguridad de la Información.

3-) La planificación, la programación y la preparación: en todas las auditorias, la planificación es parte esencial del éxito. Las auditorías internas del SGSI no son la excepción. Por ello es conveniente:

• Asegurar el acceso a toda la información requerida.
• Preparar una Check List, que prevea todas las áreas, factores y personas a auditar.
• Comprender con claridad que es lo que el Anexo A requiere de la organización en materia de Seguridad de la Información.
• Establecer un calendario de trabajo que contenga las actividades a realizar y el tiempo dispuesto para cada una.
• Asegura que todos los empleados de la organización, aunque no vallan a ser auditados en primera instancia, comprendan el alcance de la auditoría y sus objetivos.

4-) La retroalimentación constructiva: uno de los propósitos más importantes de una auditoría interna, es identificar oportunidades de mejora del sistema. Por lo tanto, es muy importante que los hallazgos, en la medida de los posible, sean constructivos.

Aunque un determinado hallazgo, requiera una acción correctiva inmediata, los comentarios del auditor y sus recomendaciones, deben apuntar hacia la retroalimentación constructiva y no hacia la crítica destructiva.

5-) Las acciones correctivas: las acciones correctivas son el fruto más valioso de una auditoría interna. Un buen auditor interno debe asegurarse de que lo hallazgos sean registrados en forma correcta y oportuna, y que sobre ellos, se tomen las debidas acciones correctivas.

Mejorar auditorías internas del SGSI con un Software ISO 27001

Gracias a la plataforma tecnológica de ISOTools Excellence las organizaciones pueden realizar auditorías internas a su Sistema de Gestión de la Seguridad de la Información gracias a las funcionalidades que la plataforma incorpora. Si está interesado en obtener mayor información sobre este producto, no dude en contactar a uno de nuestros consultores.