Auditorías Internas y Revisión por la Dirección

Haga clic aquí para descargar el archivo original.

Las auditorías internas

Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar  que el sistema se encuentra en un estado idóneo.

Existen dos grandes tipos de auditorías internas:

• Gestión. Donde se supervisa el liderazgo, el contexto, etc.
• Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.

Básicamente, el principal motivo de que se realicen las auditorías internas periódicamente es poder determinar si los procedimientos del SGSI se encuentran conforme a: los requisitos de la norma, la legislación vigente en cada país o sector y los objetivos marcados por la Dirección para el propio sistema de gestión.

El plan de auditoría interna

En la planificación de la auditoría se debe contar con el nivel de importancia de los procesos y de las áreas que van a ser auditadas y, además, hay que tener en cuenta los resultados obtenidos de auditorías previas. También es necesario definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los métodos utilizados.

Si se detectan problemas o desviaciones entre los objetivos de seguridad planteados y los resultados obtenidos, el equipo auditor comprueba si se están aplicando las medidas necesarias, proponiendo nuevas medidas en caso necesario.

Revisión por la Dirección

Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión (ROI).

La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado durante la auditoría interna.

Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan contraseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales.

Durante el seguimiento de las actividades realizadas, se tiene que incluir una verificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.

Historia para meditar

Mis palabras (Página oficial de la historia)

Esta es la historia de un muchachito que tenia muy mal carácter. Su padre le dio una bolsa de clavos y le dijo que cada vez que perdiera la paciencia, debería clavar un clavo detrás de la puerta.

El primer día, el muchacho clavo 37 clavos detrás de la puerta. Las semanas que siguieron, a medida que el aprendía a controlar su genio, clavaba cada vez menos clavos detrás de la puerta.

Descubrió que era mas fácil controlar su genio que clavar clavos detrás de la puerta. Llego el día en que pudo controlar su carácter durante todo el día. Después de informar a su padre, Este le sugirió que retirara un clavo cada día que lograra controlar su carácter. 

Los días pasaron y el joven pudo finalmente anunciar a su padre que no quedaban mas clavos para retirar de la puerta. Su padre lo tomo de la mano y lo llevo hasta la puerta. Le dijo: “has trabajado duro, hijo mío, pero mira todos esos hoyos en la puerta. Nunca mas será la misma. Cada vez que tu pierdes la paciencia, dejas cicatrices exactamente como las que aquí ves.” Tu puedes insultar a alguien y retirar lo dicho, pero del modo como se lo digas lo devastará, y la cicatriz perdurara para siempre. Una ofensa verbal es tan dañina como una ofensa física.