top of page
Buscar

¿Qué fases contiene una auditoría de seguridad informática en la ISO 27001?

Actualizado: 27 sept 2022

Para realizar una auditoría de seguridad de una empresa para la ISO 27001, ISO 9001, Esquema Nacional de Seguridad... etc, de una forma eficiente que permita obtener los mejores resultados y aplicar mejoras que incremente en nivel de ciberseguridad, deben seguirse una serie de fases:


Objetivos y planificación

En primer lugar, hay que fijar cuáles son los objetivos que se persiguen con una auditoría de seguridad. No es lo mismo diseñar una auditoría con el objetivo de validar una normativa de seguridad, que una auditoría técnica para comprobar si la política de seguridad se está cumpliendo.


Una vez se han fijado los objetivos hay que realizar una planificación de los pasos a seguir, de las herramientas a utilizar, elaboración de un calendario de actuaciones, y de las áreas a analizar para poder alcanzar esos objetivos.


Recopilación de información

En esta fase se recopiló toda la información posible para poder evaluar el funcionamiento de los sistemas informáticos, tecnologías, políticas y protocolos objetivos de la auditoría. Los principales canales que se utilizarán para objetar esta información son:

  • Entrevistas con el personal de la empresa.

  • Revisión de documentación (políticas y protocolos).

  • Análisis de especificaciones de hardware y software.

  • Realizar test y utilizar herramientas para medir la seguridad de los sistemas.

Análisis de los datos

Con toda la información y documentación recabada, así como el resultado de los distintos test y pruebas realizadas se realizará un análisis con el objetivo de encontrar fallos, vulnerabilidades y debilidades en los sistemas.


Realizar un informe de la auditoría

La auditoría se cierra realizando un informe detallado de los resultados obtenidos durante la fase de análisis. Estos resultados deben presentar los problemas de seguridad encontrados, proponiendo soluciones y recomendaciones sobre cómo solventarlos.

El informe de una auditoría de seguridad debe presentar de forma clara y concisa el propósito y objetivo de la misma, los resultados obtenidos y las medidas correctoras necesarias en ciberseguridad a aplicar.

Con el informe de la auditoría la gerencia de la empresa podrá conocer cuál es el estado real de sus sistemas e infraestructura informática, así como de sus políticas de seguridad, y podrá tomar las decisiones oportunas para mejorarlas e incrementar su nivel de seguridad.

Las empresas que realicen una auditoría de seguridad informática de forma periódica podrán evaluar el estado de su ciberseguridad y detectar cualquier debilidad o vulnerabilidad que ponga en riesgo sus sistemas e información.

El informe de una auditoría de ciberseguridad incluirá las actuaciones recomendadas a realizar por la empresa en cada uno de los puntos críticos (con alto riesgo) que se han encontrado, para poder eliminar el riesgo asociado. Con las auditorías de seguridad se dispondrá de un sistema más seguro y ágil a la hora de reaccionar ante cualquier amenaza externa o incidente interno en materia de seguridad.


5 consejos Útiles


1. Prepara y ordena la documentación de forma centralizada

No es recomendable tener desperdigada la documentación en bases de datos diferentes, aunque las funciones a realizar sean distintas. Toda la normativa y reglamento interno han de compartir un mismo espacio, para poder acceder fácilmente, y revisarlo de manera unitaria.


2. Revisa la coherencia documental entre las diferentes normativas

Cada documento de relevancia ha de tener un número identificador, y una única versión válida, no siendo recomendable un sistema de gestión por área, sino uno centralizado, que permita detectar incoherencias entre partes.


3. Actualiza todas las políticas y procedimientos a fecha de la auditoría

Uno de las acciones a realizar antes de que venga el auditor, interno o externo, es asegurarse de que las revisiones se encuentran al día, incluyendo fecha de revisión y equipo responsable de la misma.

4. Aúna registros, procedimientos y requisitos de la norma, para facilitar y agilizar la auditoría

Cuanto más sencillo sea para el auditor comprender y entender con la realidad los procedimientos/políticas, tanto más sencillo será la labor de certificación, por lo que uno de los pasos más ágiles es pensar y ordenar los documentos de la siguiente manera: "yo mantengo el control de accesos correctamente: En qué papel indica que yo actúo de esta manera, y cómo de muestro que así lo hago."


5. Contacta con nosotros para cualquier servicio de certificación, y que nos ocupemos de todo por ti.

Sabemos que la certificación de seguridad es un proceso costoso y complejo, donde se han de tener en cuenta muchos factores. Lo más sencillo es que nos ocupemos de ello por ti, contratando nuestros servicios. ¡Estamos para ayudarte!


Para más información, visita nuestra web y nuestros servicios


¡Hasta la próxima, certificanautas!



 
 
 

Comentarios

bottom of page