SGSI: ¿Cómo optimizar las auditorías internas?

SGSI

Los Sistemas de Gestión de Seguridad de la Información, también conocidos como SGSI, deben contemplar la ejecución de auditorías internas para garantizar que el sistema cumple con los requisitos según los cuales se haya establecido.

En muchos casos, las organizaciones se basarán en el estándar ISO 27001 para implementar el sistema, por lo tanto, la auditoria interna se realizará para comprobar que se cumplen con los requerimientos de esta norma internacional.

En los SGSI, ¿por qué son importantes las auditorías internas?

Hay muchas razones por las que llevar a cabo auditorías internas en un SGSI o en cualquier otro Sistema de Gestión. A continuación vamos a mencionar algunas:

• Es una herramienta perfecta para determinar las áreas de mejora del Sistema de Gestión de Seguridad de la Información y definir acciones encaminadas a esta mejora con vistas a una auditoría externa realizada por un organismo certificador.
• Es una garantía para la organización de que lo que se está llevando a cabo está siendo revisado y mejorado de una manera periódica.
• Es de utilidad a la hora de implementar y mantener una cultura organizativa sobre el Sistema de Gestión de Seguridad de la Información.

Solo poniendo algunas razones, hemos visto como las auditorías internas para el SGSI son importantes para el sistema y por tanto, también para la organización. Ahora es el momento de sacarle el máximo partido, ¿cómo se podrían optimizar?.

¿Cómo optimizar las auditorías internas de un SGSI?

A continuación incluimos algunos tips a tener en cuenta a la hora de optimizar las auditorías internas de un Sistema de Gestión de Seguridad de la Información.

• Destinar el tiempo necesario: Es muy importante que las auditorías se realicen empleando el tiempo que requieran, en la mayoría de los casos estará determinado por el alcance que se le de al sistema. En relación al tiempo de una auditoría, es imprescindible definir el tiempo que fuese necesario para examinar las áreas de la organización a auditar.
• Contar con un equipo de trabajo: El Sistema de Gestión de Seguridad de la Información de una organización trabajará con los controles que se consideren, en función de ellos y la complejidad que se puede alcanzar, es una buena opción el contar con un equipo de trabajo de varios auditores y dividir entre ellos los controles a auditar, siempre teniendo en cuenta las competencias y habilidades de estos auditores.
• Planificar, programar y preparar la auditoría interna: Para que una auditoría alcance el éxito, una parte fundamental es planificar correctamente, y para eso, es necesario tener disponible y accesible la información. Del mismo modo, contar con un checklist o lista de chequeo que tenga en cuenta las áreas, factores y personas a auditar, junto con el establecimiento de un calendario de trabajo que incluya las acciones a ejecutar y el tiempo en el que se debe realizar.
• Feedback positivo: El objetivo principal de una auditoría interna es identificar las áreas de mejora del sistema, por ello, es imprescindible que los hallazgos identificados se asuman como una retroalimentación positiva para el sistema y en definitiva, para la organización.
• Acciones correctivas: Al realizar las auditorías internas, el auditor debe trabajar porque todos los hallazgos levantados estén perfectamente registrados para poner en marcha las acciones necesarias para solventar lo detectado.

Software para la gestión de auditorías en un SGSI

Para las organizaciones es muy importante potenciar la mejora continua y no dejar ninguna No Conformidad  del SGSI sin registrar, tratar y resolver.

¿Cómo es posible?

ISOTools es una Plataforma Tecnológica que permite gestionar el ciclo de vida de las No Conformidades desde su creación, clasificación y análisis, hasta la posterior gestión de las Acciones Correctivas necesarias para su resolución.

Es una excelente herramienta a emplear durante las auditorías, permite que de aquellas NC identificadas, se genere una serie de actividades que pueden ser asignada a responsables. Además permite controlar el grado de cumplimiento de la actividad y evaluar su eficacia.