Muchos hemos pasado por algún proceso de auditoría de seguridad y con frecuencia se complica o se vuelve una tarea difícil de cumplir, generando estrés en las personas asignadas debido a la cantidad de requisitos, pero principalmente porque deben evidenciar que sus políticas de seguridad y su Sistema de Gestión de Seguridad de la Información (SGSI) se lleva a cabo conforme a lo definido.
Ingenuamente, muchos podríamos pensar que sería fácil pasar sin problema la auditoría ya que contamos con un SGSI e incluso una certificación en algunos casos ISO 27001 o alguna otra enfocada en seguridad, pero la sorpresa viene cuando nos damos cuenta de que toda la documentación generada y archivada no tiene un seguimiento, y las políticas definidas no se llevan a cabo tal y como fueron estipuladas, es aquí cuando se complica y se convierte en un dolor de cabeza.
¿Quién es el responsable de hacer que se cumpla el SGSI?
Pues bien, la organización completa, incluyendo los dueños, socios, directivos y personal subordinado son los responsables, ya que el SGSI debe de ser una parte fundamental del negocio que debe de ser tan importante como cualquier otro proceso del mismo.
¿Qué es una auditoría de seguridad?
Una auditoria de seguridad es una evaluación de nuestro SGSI o la seguridad, donde se analiza el cumplimiento de políticas y procesos que fueron establecidos por la misma organización, con el fin de saber si cumplen y en que grado de cumplimiento se encuentran, lo que se conoce como "estado de madurez".
Las auditorías pueden ser de dos tipos, cuando son ejecutadas por personal propio de la organización se conocen como internas y cuando se realizan por un tercero son llamadas externas, en su realización, puede ser una auditoría completa donde se analizan todas las políticas y controles de seguridad de la empresa o parcial que es cuando solo se enfocan en ciertos puntos.
Estas auditorías, normalmente son solicitadas por las organizaciones que serán probables clientes y que buscan proteger la información y operaciones confidenciales que se manejan con el proveedor, principalmente por clientes del sector financiero, quienes cuentan con lineamientos muy específicos en materia de ciberseguridad, así mismo, cualquier organización puede realizar una auditoría a sus proveedores.
¿Cómo cumplir con la auditoría de seguridad sin problemas?
Para poder cumplir con la auditoría de seguridad, es necesario e indispensable hacer valer nuestro SGSI, con todas sus políticas, procesos y procedimientos, debería de ser sencillo, si la empresa se encuentra comprometida con la seguridad y mantiene actualizado su sistema no tendrá problemas en la evaluación.
Recordemos que el SGSI se define por la propia empresa y va encaminado conforme al objetivo de la misma, por lo que su cumplimiento, si es que se realiza de forma correcta, no debería ser tan complicado.
Te recomiendo que si ya se decidió y se implementó un SGSI, se lleve a cabo tal y como se encuentra plasmado, esto será lo que lleve al éxito en una auditoría.
Recordemos que el SGSI esta basado en un proceso de mejora continua, por lo que realizarlo y almacenarlo no servirá de nada, mas que convertirse en un gasto tirado a la basura para la empresa.
#sgsi #iso27001 #politicasdeseguridad #ciberseguridad #empresas #auditoría #procesos
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.