La gestión de la seguridad de la información se considera un proceso de mejora continua, junto con acciones de monitoreo y revisión, en busca de corregir y prevenir brechas de seguridad. Para lograr este propósito, una actividad comúnmente utilizada son las auditorías.
En esta publicación revisaremos los elementos a tomar en cuenta para llevar a cabo una auditoría al Sistema de Gestión de Seguridad de la Información (SGSI).
Auditorías de seguridad
Una auditoría de seguridad es una revisión que tiene como objetivo mostrar el estado en el que se encuentra la protección de la información dentro de una organización. Involucra la identificación, análisis y evaluación de debilidades en los activos y en los controles de seguridad aplicados para protegerlos.
Debido a los distintos recursos valiosos y los controles (técnicos, físicos o administrativos) que pueden existir en una organización, las auditorías pueden tener diferentes enfoques y considerar revisiones técnicas o de gestión.
Las auditorías técnicas pueden considerar revisiones como evaluaciones de vulnerabilidades o pruebas de penetración, mientras que las auditorías de gestión permiten conocer el estado del cumplimiento con relación a estándares, normas o requisitos legales.
Al mismo tiempo, las auditorías pueden ser internas o externas, aunque en ambos casos se busca mantener imparcialidad en los resultados. Las internas son revisiones para el autodiagnóstico y por lo tanto se realizan por personal de la organización, pueden programarse con mayor frecuencia y generalmente requieren menos recursos que las auditorías externas.
Por otro lado, cuando la revisión es externa se realiza por personal ajeno a la organización, y una ventaja radica en el hecho de que los resultados muestran mayor objetividad al tratarse de expertos que no presentan conflictos de intereses.
Auditoría al SGSI y tipos disponibles
Para fines de la gestión de seguridad de la información, una auditoría es un proceso sistemático, independiente y documentado que define una revisión de la intención, implementación y efectividad de aspectos del sistema de gestión que hayan sido seleccionados y definidos en los criterios.
En este contexto, también es posible clasificar las auditorías con base en los objetivos y el personal que las lleva a cabo. Las auditorías internas o de primera parte, tienen como propósito la identificación de las desviaciones e incumplimientos en el sistema de gestión y se apegan a las características antes mencionadas.
Por su parte, las auditorías externas se pueden dividir en las denominadas de segunda y de tercera parte. Las auditorías de segunda parte son revisiones que lleva a cabo un tercero con intereses en la organización o con fines de consultoría y diagnóstico externo. Este tipo de auditorías brindan mayor objetividad, ya que son realizadas por personal ajeno a la organización.
Las auditorías de tercera parte las llevan a cabo entidades que proporcionan un voto de conformidad, aprobación y certificación. Por lo tanto son minuciosas y objetivas, debido a que la entidad auditora emite un certificado de aprobación sobre el cumplimiento del sistema auditado.
Características de las revisiones
Para los intereses del SGSI, las actividades relacionadas con las auditorías deben estar documentadas, por lo que se debe mantener evidencia de su aplicación. Una forma de obtener esta información documentada es a través de un programa, que considera un conjunto de auditorías planeadas para un alcance específico. Debe incluir todas las actividades que se necesitan para organizar cada una de las auditorías, principalmente la periodicidad para la revisión del sistema de gestión.
Asimismo, se sugiere una clasificación en tres categorías de los controles para el SGSI de acuerdo a su uso y a quiénes se encargan de su supervisión: controles de configuración, controles de accesos y monitoreo. El primero de estos niveles incluye técnicas como las mencionadas anteriormente, para reducir la posibilidad que los atacantes identifiquen las vulnerabilidades que pueden explotar. Se trata de servicios como Vulnerability Assessment y Penetration Testing.
Aunado a lo anterior, resulta práctico contar con un plan por cada auditoría considerada dentro del programa. El plan de auditoría es una descripción de las actividades a realizar, a partir de los procesos y áreas sujetas a la revisión, así como de resultados obtenidos en evaluaciones previas. Debe incluir, entre otros aspectos, los criterios, alcance, responsables y métodos de auditoría.
Otra característica importante es la selección de los auditores, con la intención es mantener la imparcialidad del proceso de auditoría, siguiendo con la idea de no revisar el propio trabajo. Al concluir este proceso, se debe generar un informe que muestre los resultados de las revisiones y que permita priorizar los hallazgos (no conformidades). La dirección debe atender los incumplimientos y desviaciones de lo establecido en los estándares, normas o requisitos legales que sirven como referencia para la evaluación.
En la próxima entrega conoceremos los pasos a seguir para llevar a cabo una auditoría al SGSI, con base en lo establecido por el estándar ISO/IEC 19011, y revisaremos detalles puntuales sobre el contenido de los objetivos, criterios, hallazgos, entre otros elementos de las revisiones al sistema de gestión. ¡Hasta entonces!