10 de jul de 20203 min.
Auditorías de seguridad de la información
Las auditorías internas son el “el entrenamiento antes del final del partido”. Una auditoría interna nos ayudará a analizar todos los puntos y comprobar que nuestra organización cumple con los requisitos necesarios ya sea para obtener la certificación o bien para asegurarse de que nuestra organización funciona conforme a las indicaciones de la norma previo a la auditoría externa.
Como no podría ser de otra forma, en el caso de la norma ISO 27001, estos procesos también son indispensables, por lo que una auditoría de seguridad de la información nos permitirá conocer los puntos que debemos mejorar en nuestra organización con vista a mejorarlos.
Checklist
Existen diferentes métodos para realizar auditorías de seguridad de la información. Al mismo tiempo, podemos contar con diferentes herramientas que nos ayuden a realizar este proceso haciéndolo de este modo mucho más sencillo.
Una de las más interesantes puede ser un checklist, ya que ofrece una gran ayuda a la hora de realizar auditorías de seguridad de la información.
Sin embargo, es importante aclarar que un checklist debe aportarnos un esquema, una guía que nos ayude durante la auditoría y no debemos acabar convirtiendo esta herramienta en un simple método de respuestas «sí o no» que sigamos durante la auditoría.
Si un checklist se usa correctamente durante una auditoría de seguridad de la información, nos permitirá conocer las pautas para realizarla y nos permitirá conocer en mayor profundidad los elementos que se deben mejorar o corregir. Sin embargo, si no se usa correctamente, se convertirá en un guion invariable que el auditor seguirá sin prestar atención a las necesidades de la compañía.
Por lo tanto, para realizar correctamente una auditoría de seguridad de la información, necesario conocer las características de un checklist.
Aspectos de los checklists
No existen dos auditorías exactas ya que los elementos pueden variar, por este motivo, no podemos diseñar un checklist y aplicarlo de manera exacta a las distintas compañías o en caso de ser un auditor interno, no adaptarlo a los posibles cambios de la organización. De este modo, el auditor debe adaptar el checklist de modo que abarque todos los puntos que se encuentren en el alcance de la auditoría interna.
Por lo tanto, si adaptamos esta herramienta a las necesidades de cada organización, se recopilará información de más objetividad que aquellas realizadas siguiendo siempre los mismos pasos sin que varíen.
Un buen checklist permite una adecuada distribución del tiempo. Es sinónimo de eficiencia y nos permite comprobar rápidamente el cumplimiento de los requisitos, por lo que no se empleará tiempo excesivo en los primeros dejando poco tiempo para los últimos requisitos comprobados.
Como hemos dicho, nos aporta varias ventajas, pero existe el riesgo de caer en la monotonía y utilizar la herramienta de modo que se sigan siempre las mismas pautas y terminando siendo una lista de sí o no. Para solucionar esto, es importante añadir evidencias ya sean fotográficas o de otro tipo que demuestren si el requisito cumple o no.
¿Qué hace un checklist eficiente a la hora de realizar una auditoría de seguridad de la información?
Para conseguirlo, hay que cumplir lo siguiente:
Utilizar checklist en los distintos procesos de la organización y utilizar aquellos modelos que están basados en procesos.
Ir más allá del cumplimiento de los requisitos mínimos de la norma. Es necesario profundizar en los resultados para observar que puntos se pueden mejorar.
Trazabilidad: hay que analizar la relación entre los distintos procesos para conseguir trazabilidad durante la auditoría.
Adaptación: las preguntas se deben adaptar a las situaciones concretas de la empresa y sus procedimientos y no usar unos genéricos.
Son una guía y no un guion. Checklist es una guía durante el proceso, por lo que debe ser clara y no un simple guion a completar.
Evidencias basadas en hechos. Adjuntar pruebas del cumplimiento en lugar de responder simplemente sí o no.