Las auditorías internas
Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo.
Existen dos grandes tipos de auditorías internas:
- Gestión. Donde se supervisa el liderazgo, el contexto, etc.
- Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.
El plan de auditoría interna
En la planificación de la auditoría se debe contar con el nivel de importancia
de los procesos y de las áreas que van a ser auditadas y, además, hay que tener
en cuenta los resultados obtenidos de auditorías previas. También es necesario
definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los
métodos utilizados.
Si se detectan problemas o desviaciones entre los objetivos de seguridad planteados y los resultados obtenidos, el equipo auditor comprueba si se están
aplicando las medidas necesarias, proponiendo nuevas medidas en caso
necesario.
Revisión por la Dirección
Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta
Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si
se están cumpliendo los objetivos y también si se está produciendo un Retorno
de la Inversión (ROI).
La Alta Dirección de la organización es la máxima responsable de que el área
auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades
que se hayan detectado durante la auditoría interna.
Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan contraseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales.
Durante el seguimiento de las actividades realizadas, se tiene que incluir una verificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.
Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan contraseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales.
Durante el seguimiento de las actividades realizadas, se tiene que incluir una verificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.
Excelente trabajo
ResponderEliminarPorfavor tu nombre...
Eliminarexcelente trabajo :D ...!!!
ResponderEliminarGracias
Eliminarexcellent i liked it a lot :)
ResponderEliminarGracias Ruth
Eliminarde nada profesor xd
Eliminar