El SGSI, Sistema de Gestión de Seguridad de la Información, es la base principal de la norma ISO 27001, que se implanta para conseguir una mejora integral en la Seguridad de la Información de toda la organización mediante un entorno de control que mitiga los riesgos de seguridad de la información, garantizando la integridad, confidencialidad y disponibilidad de los datos.
La auditoría interna, siendo uno de los requisitos de cumplimiento de la norma ISO 27001, aporta una seguridad a la organización y a la entidad certificadora externa de que el sistema está siendo revisado y mejorado de forma continua, determinando si la empresa está o no preparada para la certificación de la norma.
La auditoría debe comprobar los requisitos propios de la norma, identificando problemas y oportunidades de mejora, pero también asegurar la alineación estratégica con los objetivos y requisitos dispuestos por la organización, la legislación y por las partes interesadas, así como la gestión de riesgos corporativos en un entorno de eficiencia.
Si queremos destacar los fallos más típicos que nos encontramos los auditores al auditar un SGSI, tenemos que distinguir entre sistemas maduros que ya han cubierto al menos un ciclo de certificación o sistemas poco maduros que acaban de realizar la adecuación o se encuentran en el primer ciclo de certificación.
Para las empresas que se enfrentan a una primera auditoría interna tras el proceso de adecuación o incluso a las auditorías internas dentro del primer ciclo de certificación, los fallos más comunes que nos encontramos son:
- Falta de entendimiento de la norma y su interpretación sobre todo en la parte del contexto y alcance. Si la organización no está certificada en otra norma ISO, algunas secciones como el contexto y liderazgo, o la evaluación de riesgos suele ser compleja, a no ser que haya sido guiada por unos buenos consultores en la implantación. Es recomendable una buena formación inicial en esta materia para que estos conceptos sean entendidos para una mejor implementación del SGSI.
En ocasiones, las empresas piensan que implantar un SGSI es tarea únicamente del responsable de Seguridad de la información y del departamento de IT, pero sobre todo el marco de gestión requiere la involucración de la Dirección para identificar apropiadamente el contexto, riesgos y oportunidades y partes interesadas que incluye requisitos legales, de clientes y proveedores y que, sin el apoyo e involucración de la Dirección, los perfiles técnicos de IT no siempre conocen de forma holística.
- Falta de argumentos y justificaciones apropiadas en la valoración de activos, amenazas y salvaguardas como parte del análisis de riesgos.
- Dificultad en la definición de objetivos de seguridad correctamente determinados no como tareas o proyectos sino como objetivos coherentes, medibles y con una apropiada planificación para su consecución.
- Debilidades en la definición de las competencias necesarias, así como en la concienciación, educación y capacitación relativas al SGSI.
- Definición de métricas de cumplimiento que no aportan valor y que no permiten monitorizar ni medir la eficiencia tanto de objetivos de seguridad como de los diferentes procesos del sistema.
- Focalizar el control de cambios en cambios en los sistemas entendidos como desarrollos informáticos y no como cambios generales de la organización, estructura, proyectos, etc.
- Falta de retención de evidencias que permitan demostrar la efectividad de los controles del Anexo A de ISO 27001. En general las empresas antes de afrontar una implantación del SGSI tienen su entorno de control más o menos apropiado, pero no suelen estar acostumbradas a definir en un procedimiento o instrucción técnica los procesos y controles realizados, ni a registrar evidencias que demuestren la efectividad de dichos controles.
Como ejemplo, se denotan falta de registros que evidencian revisiones periódicas de usuarios, etiquetado y manipulado de la información, eliminación de soportes de manera segura, aprendizaje de los incidentes de seguridad de la información, documentación de pruebas de los desarrollos, supervisión y revisión de los servicios prestados por terceros, plan de continuidad de negocio poco desarrollados y con pruebas anuales deficientemente definidas y documentadas, entre otros.
Para las empresas con un SGSI maduro (que ya han cubierto al menos un ciclo de certificación) se comprueba que el número de no conformidades mayores y menores suele ser reducido en la parte de las cláusulas de norma, donde la auditoría suele reflejar si acaso observaciones y oportunidades de mejora relativas a la desactualización por ejemplo de normativa o de terceras partes. Aunque los hallazgos suelen ser sobre análisis de riesgos no adaptados a los cambios sufridos en el periodo o relativos a planes de tratamiento de riesgos que no se relacionan apropiadamente con la evaluación de los riesgos.
Sin embargo, en la auditoría de la parte de los controles del anexo, si se suelen encontrar políticas desactualizadas, procedimientos desfasados que no se corresponden con los procesos y controles realizados en el día a día, así como falta de evidencias que soporten y permitan comprobar que los controles se realizan correctamente, como los ya mencionado para el caso de SGSI no maduros.
Carmen Sánchez-Guijo Martín
Departamento GRC