En la publicación anterior revisamos los enfoques y objetivos que puede tener una auditoría de seguridad, así como los tipos en los cuales pueden clasificarse. Si trata de una revisión de las medidas de seguridad considerada para la gestión de la seguridad, puedes utilizar estándares que definen la forma de llevar a cabo estas revisiones.
En esta publicación vamos a conocer los pasos y requisitos para la realización de auditorías al SGSI, con base en lo que establece ISO 19011, la guía para auditorías de sistemas de gestión.
ISO 19011, referencia para las auditorías
A partir de la primera publicación de ISO 19011 fueron emitidos nuevos estándares para diferentes tipos de sistemas de gestión. Como resultado, fue necesario considerar un alcance amplio para auditorías para estas nuevas emisiones, así como proveer una guía genérica, por lo que en 2011 se publicó la Guía para auditar sistemas de gestión (ISO 19011:2011).
También se desarrolló el estándar ISO/IEC 27007 Guía para auditar sistemas de gestión de seguridad de la información, un documento que pertenece a la serie 27000. Por estas razones, el proceso de auditoría al SGSI puede tener como base cualquiera de los dos estándares.
Pasos a seguir durante la revisión
La aplicación de las actividades de auditoría depende del alcance de la misma y su complejidad, así como la intención que se tenga con los resultados y sus conclusiones. Para poder llevarla a cabo, en los siguientes puntos abordaremos algunas actividades que deberías considerar.
- Planeación de la auditoría
La primera actividad que debes considerar es la autorización de la auditoría, junto con las fechas para llevar a cabo la revisión, todo ello de acuerdo con la planeación de las actividades del sistema de gestión.
Con la autorización será necesario conformar un equipo de auditoría que puede estar conformado por personal de diversas áreas (incluyendo a auditores técnicos si es necesario), un auditor líder, uno o más auditores adjuntos y observadores que darán fe de los resultados.
El grupo de trabajo necesita definir los objetivos, por ejemplo determinar la medida en la que el sistema de gestión cumple con los requisitos, evaluar la efectividad del SGSI o identificar áreas de mejora potencial en el sistema.
Junto con los objetivos, se establece un alcance para determinar los recursos necesarios, que puede ser la ubicación, actividades, procesos, servicios subcontratados o cláusulas del sistema de gestión que son aplicables.
En esta etapa deberás seleccionar criterios de auditoría, es decir, los elementos sujetos a escrutinio y que muestran la evidencia de las desviaciones en la implementación del SGSI. Por ejemplo, políticas, procedimientos, controles, información documentada, entre otros.
- Revisión documental
De forma previa a la auditoría, puedes llevar a cabo la revisión de la documentación del sistema de gestión, a partir de los criterios de auditoría. La revisión debe considerar principalmente el alcance del sistema de gestión, tamaño, naturaleza y complejidad de la organización, así como sus objetivos. El propósito de esta revisión consiste en ampliar el panorama e identificar elementos de interés que podrán ser revisados con mayor detalle.
- Preparación de auditoría en sitio
En esta etapa considera todas las actividades que el equipo auditor considere necesarias para la revisión en sitio. En ella, también puedes preparar las llamadas listas de verificación, que son documentos que permiten identificar el alcance de la auditoría y los objetivos. Son una herramienta que permite planear la revisión y lo que podrías buscar (evidencia de auditoría).
- Auditoría en sitio
A partir de los preparativos anteriores puedes llegar con una mejor preparación a la revisión en sitio. En esta fase deberás aplicar el protocolo de auditoría, que consiste en una junta de apertura, la conducción de la auditoría en sitio, comunicación de hallazgos, junta de cierre y distribución del informe con los resultados de la auditoría.
Cada actividad es relevante para el mantenimiento de la transparencia y objetividad de la auditoría. La junta de apertura resuelve las dudas del proceso, presenta al equipo auditor con los auditados y establece las condiciones de confidencialidad y medios de comunicación de los resultados.
Una vez que se establecieron las condiciones en la junta de apertura, se procede a seguir el plan de auditoría, el cual consiste en realizar las observaciones, entrevistas y revisiones necesarias para cubrir con los criterios de auditoría.
- Conclusiones de la auditoría
Una vez que finalicen las revisiones en sitio, el equipo auditor genera el informe de auditoría, el cual es el conjunto de todas las resoluciones emitidas durante el proceso, donde se describen los resultados. Este informe debe ser aprobado por el auditor líder y presentado a las partes interesadas durante la junta de cierre.
La junta de cierre es el protocolo con el cual se formaliza la conclusión de la auditoría y se presenta el informe con el fin de resolver las dudas y controversias del proceso. La auditoría concluye una vez que el auditado firma la conformidad de los resultados. Posteriormente, el auditado debe presentar al equipo auditor un plan para resolver las no conformidades (incumplimiento) y observaciones encontradas.
- Seguimiento de la auditoría
Una vez que concluye el proceso de auditoría, puedes aplicar actividades de seguimiento sobre las acciones correctivas, encaminadas a satisfacer las desviaciones identificadas en los hallazgos que fueron identificados y clasificados (no conformidades u observaciones).
Con estas actividades podrás realizar una revisión del cumplimiento que deba tener la organización en cuanto a estándares o algún tipo de requerimiento, con base en lo que establece el estándar ISO/IEC 19001.
Estas actividades resultan muy útiles sobre todo si opera a través de un sistema de gestión que tenga como objetivo la protección de la información, ya que se requiere mantener evidencia de actividades de monitoreo y revisión.
Como ya lo hemos mencionado en este espacio, la seguridad de la información se trata de un proceso de revisión y mejora continua, en este sentido, una de las herramientas (en el sentido amplio de la palabra) que contribuyen en esta labor son las auditorías.