ISO 27000 y las auditorías de los controles del sistema de seguridad

ISO 27001: 2013

La norma internacional y voluntaria ISO 27001:2007 proporciona una guía para el diseño, implantación, desarrollo, seguimiento, revisión, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Esta norma aplica el esquema PDCA (Planificar- Desarrollar-Comprobar-Actuar) para estructurar los procesos del SGSI, partiendo de los requisitos y expectativas de seguridad de la información de las partes interesadas, a través de acciones y procesos produce los elementos necesarios para dar solución a dichos requerimientos.

En este artículo nos vamos a centrar en la gestión de la auditoría de los controles de seguridad, que según se observa en la imagen pertenece a la fase de Comprobación del ciclo PDCA.

La información sobre auditorías internas se recoge en el punto seis de la norma. Una auditoría comprende el análisis y gestión de sistemas llevado a cabo por profesionales; con el objeto de identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

La organización debe realizarauditorías internas del SGSI a intervalos planificados y garantizar siempre la objetividad e imparcialidad, para determinar si los objetivos de control, los controles, los procesos y los procedimientos de este SGSI: cumplen los requisitos de la norma, la legislación y normativa aplicables; cumplen los requisitos de seguridad de la información identificados; se implantan y se mantienen de forma efectiva y dan el resultado esperado.

Se debe planificar un programa de  auditorías, teniendo en cuenta el estado e importancia de los procesos y las áreas a auditar, así como los resultados de las auditorías previas. Se deben definir los criterios, el alcance, la frecuencia, los métodos de auditoría y la selección de auditores. Toda esta información, los resultados y el mantenimiento de los registros deben estar definidos en un procedimiento documentado.

El responsable del área auditada debe velar por que se realicen acciones para eliminar, sin demoras indebidas, las disconformidades, detectadas y sus causas. Las actividades de seguimiento, deben incluir la verificación de las acciones realizadas y los informes de los resultados de la verificación.

Complementariamente a este requisito de auditoría de la norma, el Anexo A en la tabla A.1. recoge una serie de objetivos de control y controles adicionales voluntarios, que a modo de buenas prácticas amplían las exigencias de verificación.

La Norma ISO 27002:2009 desarrolla una Guía de implantación de los Controles de auditoría de sistemas de información, en la que recomienda que se cumplan las siguientes directrices:

1. Los requisitos de auditoría acordarse con la dirección adecuada.
2. Deberían acordarse y controlarse el alcance de las comprobaciones.
3. Las comprobaciones deberían limitarse a accesos de solo lectura al software y a los datos.
4. Un acceso diferente al de solo lectura debería permitirse únicamente en copias aisladas de los archivos del sistema, que deberían borrarse cuando finalizara la auditoría, o a las que debería protegerse adecuadamente si es obligatorio mantener dichos archivos de acuerdo con los requisitos de documentación de la auditoría.
5. Los recursos para llevar a cabo las comprobaciones deberías identificarse explícitamente  hacerse disponibles.
6. Deberían identificarse y acordase los requisitos para un tratamiento especial o adicional.
7. Todos los accesos deberían ser supervisados y registrados para obtener una pista de referencia. Debería considerarse el uso de pistas de referencia con la inclusión de tiempos para los datos o sistemas críticos.
8. Deberían documentarse todos los procedimientos, requisitos y responsabilidades
9. La persona o personas que lleven a cabo la auditoría deberían ser independientes de las actividades auditadas.

En cuanto a la protección de las herramientas de auditoría de los sistemas de información se recomienda proteger su acceso para evitar usos indebidos, siendo independientes de los sistemas de desarrollo y los sistemas operativos. Además, recomienda la toma de medidas de manera inmediata, como el cambio de contraseñas, si se detectan intentos de acceso no autorizados.

La plataforma tecnológica ISOTools ayuda a planificar y ejecutar estas auditorías de forma sistemática y organizada, consiguiendo revisar el cumplimiento de todos los requsitos obligatorios y voluntarios y documentar toda la información. Los responsables serán notificados de las acciones de mejora y podrán realizar su seguimiento de forma automática hasta dar conformidad a las mejoras.