Partamos de la importancia de la ejecución de auditorías dentro de los diversos procesos de gestión de tecnología y seguridad de la información. La auditoría ofrece una visión objetiva e independiente del estado y funcionamiento del proceso de la auditoría, así mismo esta visión permite tener un diagnóstico de la situación actual, saca a la luz deficiencias en actividades que, de no corregirse, representan un riesgo para la organización y consecuentemente afectando el logro de los objetivos del negocio y en algunos casos generando costos excesivos por las deficiencias existentes.
Ahora bien, ¿cómo podemos saber si una actividad se está realizando bajo un marco de mejores prácticas?, ¿cómo podemos medir consistentemente a lo largo del tiempo? La respuesta evidente resulta en basar las metodologías de auditoría en marcos de referencia de aceptación internacional, lo cual permite por una parte, hacer consistente el proceso de revisión a lo largo del tiempo y poder comparar resultados de los temas revisados con otras organizaciones.
El estándar mas reconocido para implementar un Sistema de Gestión de Seguridad de la Información es el ISO-27001, el cual establece una serie de prácticas alrededor de la seguridad de la información dentro de las que podemos mencionar:
- Políticas de Seguridad de la Información
- Organización de la Función de Seguridad de la Información
- Seguridad de los Recursos Humanos
- Gestión de Activos de Información
- Control de Accesos
- Cifrado de Información
- Seguridad Física y Ambiental
- Seguridad de las Operaciones
- Seguridad de las Telecomunicaciones
- Seguridad en la Adquisición Desarrollo y Mantenimiento de Sistemas de Información
- Seguridad en la Gestión de Terceros
- Gestión de Incidentes de Seguridad
- Seguridad para la Continuidad de Negocio
- Gestión de Cumplimiento Regulatorio
Cada práctica posee a su vez una serie de objetivos de control que la organización debe implementar dentro del ámbito de alcance que tenga declarado para su Sistema de Gestión de Seguridad de la Información, por lo tanto la forma para ejecutar una auditoría es apegarse a las prácticas de control implementadas en la organización y revisar, no solo el cumplimiento, sino ir hacia la verificación del diseño y efectividad operativa de los controles para poder ofrecer una opinión referente al grado en que se está mitigando el riesgo de la seguridad de la información.
Por Cristina Caballero. CRISC & ISO27001 LA