👉 Esta actividad te ayuda a cumplir el siguiente requisito:
ISO 27001 en su versión 2013: 9.2
ISO 27001 en su versión 2022: 9.2.1, 9.2.2
Y el siguiente control:
ISO 27001 en su versión 2013: A.18.2.1
ISO 27001 en su versión 2022: A.5.35
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a evaluar el nivel de cumplimiento normativo de tu programa de seguridad, por medio de un ejercicio de auditoría interna, en el cuál se verifica la implementación de los requisitos y controles de seguridad, y se revisa la documentación generada.
💡 La auditoría interna es un requisito normativo muy importante. Además, te permite prepararte para abordar una auditoría externa adecuadamente, y garantizar la certificación.
¿Qué tengo que hacer? 🚀
Antes de comenzar, repasemos el concepto de auditoría interna y externa:
La auditoría interna es la evaluación posterior a la implementación del programa de seguridad, que tiene como objetivo identificar hallazgos a tiempo para resolverlos y estar preparado para una auditoría externa, y cumplir con los requisitos normativos pertinentes.
Esta auditoría la realiza Hackmetrix, y es lo que te permite terminar esta actividad. Para mayor información sobre cómo se solicita y conocer todas las consideraciones importantes, te pedimos que leas el siguiente artículo: Todo lo que necesitas saber sobre una auditoría interna y cómo hacerla con Hackmetrix.
La auditoría externa es la validación de la implementación del programa de seguridad, pero ahora con el objetivo de obtener una certificación.
Esta auditoría la realiza una entidad o casa certificadora externa, la cual puede autorizar la certificación del SGSI. Nosotros podemos ayudarte a coordinar este ejercicio, y para que conozcas más detalle sobre cómo se lleva a cabo te recomendamos leer el siguiente artículo: ¿Cómo entender y atender una auditoría externa?
Ahora bien, ya con estos conceptos súper claros, ¡podemos continuar con la aplicación de la auditoría interna! Y para que todo el proceso sea fácil y eficiente, te sugerimos realizar los siguientes pasos:
Planifica la auditoría interna. Con ayuda de tu Customer Success Manager podrás coordinar las fechas y horarios de la auditoría interna, y esto debe quedar documentado en el Plan y Programa de Auditoría. Pero además de eso, debes asegurar que todos los recursos necesarios estén disponibles, incluyendo las áreas y colaboradores pertinentes, la documentación, las evidencias, las herramientas tecnológicas, etcétera.
Las áreas y colaboradores que te recomendamos involucrar son todos aquellos alcanzados por tu SGSI, el comité de seguridad, la alta dirección, el encargado del proyecto u Oficial de Seguridad de la Información (OSI), el encargado de Recursos Humanos, el gerente de Tecnología y Desarrollo, el encargado de la infraestructura tecnológica o sus áreas equivalentes.
¡Prepárate para la auditoría! Para enfrentar cualquier tipo de auditoría es muy importante que conozcas tu documentación, dónde encontrarla y conocer su contenido adecuadamente. Así como también tener toda la evidencia de cumplimiento a la mano, y estar listo para mostrarla en vivo, si el auditor lo solicita.
Algunos de los aspectos más importantes para esta preparación es garantizar que se conoce y comprende el alcance del SGSI, y sus objetivos de seguridad establecidos. Tus procedimientos deben estar alineados a las operaciones reales de tu empresa, y éstas, deben estar alineadas a tus políticas de seguridad.
Reserva el tiempo adecuado. Las sesiones de auditoría pueden ser un poco largas y exhaustivas, por lo que debes reservar el tiempo suficiente para ti y tu equipo, de forma que puedan atender pertinentemente las solicitudes del auditor. Para esto, es importante que todos los involucrados estén previamente informados de que su participación es requerida.
Puedes consultar con el auditor si es posible que alguno de tus colaboradores solo atienda los requisitos asociados a su área y posteriormente se retire. Por ejemplo, el área de Recursos Humanos generalmente no es necesario que atienda las sesiones completas, ya que sus requisitos aplicables pueden revisarse en menor tiempo 🙌🏼.
Asiste a la auditoría puntualmente. Para aprovechar al máximo el tiempo, procura llegar puntualmente, respetar el rol del auditor, ser receptivo con los hallazgos y comenzar con toda la actitud 😎.
Para que estés más familiarizado con los tipos de hallazgos que podrá tener tu programa de seguridad, te compartimos los siguientes conceptos:
No conformidad mayor, es el incumplimiento total de uno o más requisitos o controles normativos. Por ejemplo, no contar con una Política de Seguridad o no haber realizado la evaluación de riesgos.
No conformidad menor, es el incumplimiento parcial de uno o más requisitos o controles normativos. Por ejemplo, que la documentación no esté alineada a las operaciones reales de la empresa, que los registros no estén actualizados, etcétera.
Observación, es un aspecto de tu programa de seguridad que debe ser revisado lo antes posible, ya que puede convertirse en una no conformidad.
Oportunidad de mejora, es un aspecto de tu programa de seguridad que puede optimizarse y hacerse de una mejor manera, siguiendo las buenas prácticas. Por ejemplo, realizar Ethical Hacking cada seis meses en lugar de cada año.
Una vez terminadas las sesiones, el auditor interno genera un reporte con los hallazgos identificados y toda la información relevante sobre la auditoría. Este reporte se te enviará por correo electrónico, y con él, podrás continuar con esta actividad.
Revisa el reporte de auditoría interna. Los hallazgos encontrados deben ser revisados, idealmente por todo tu comité de seguridad y/o alta dirección, para determinar las acciones correctivas.
Si el reporte de auditoría interna te parece muy extenso, dentro de esta actividad te proporcionamos un template de “Informe general”, con el cual puedes comunicar los resultados de la auditoría en un formato de resumen ejecutivo.
Identifica las causas raíz. Para poder definir las acciones correctivas y de mejora más apropiadas para remediar los hallazgos encontrados, debes analizar sus causas raíz.
Para hacer este análisis te proporcionamos un template donde te sugerimos aplicar el método de los 5 Porqués, pero puedes utilizar el método que consideres más conveniente.
Define las acciones correctivas y de mejora. Una vez identificadas las causas raíz de tus hallazgos, principalmente de las no conformidades, será mucho más sencillo definir las acciones correctivas que pueden remediarlas, y evitar que sea un tema recurrente en las auditorías posteriores. Aquí recomendamos que el comité de seguridad y/o la alta dirección se involucren para definir estas acciones, o que por lo menos estén enterados de lo que se va a realizar.
Una acción correctiva puede ser realmente cualquier tarea, algo tan simple como actualizar un documento o algo más complejo, como adquirir alguna solución de seguridad, instalarla, configurarla, etcétera.
Estas acciones deben tener un responsable asignado y un seguimiento oportuno para garantizar su correcta implementación, siguiendo el Procedimiento de Acciones Correctivas y de Mejora definido por la empresa.
Además, toda esta información debe quedar documentada dentro del Plan de Tratamiento de Acciones Correctivas y de Mejora.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Involucra, capacita y concientiza sobre la importancia de esta actividad a todo el equipo que participará en la auditoría (tanto interna como externa).
Para realizar la auditoría interna con Hackmetrix, es muy recomendable haber terminado hasta la fase 9 del plan de acción, y que este avance esté visible en la plataforma, para agilizar y facilitar la revisión.
Recuerda que en caso de no tener terminadas las actividades mencionadas en el punto anterior, hay mayor probabilidad de obtener hallazgos.
Durante las sesiones de auditoría, recuerda que debes mostrar los documentos en su versión final (en PDF).
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.