AuditoríasCuando se trata de  implementar modelos para gestionar la seguridad de la información el aspecto más importante para garantizar la mejora del sistema son las revisiones, y una de sus principales herramientas son las auditorías de seguridad.

Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado actual de la protección de la información en una empresa. Además, brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.

Con todas la implicaciones que tiene una auditoría de seguridad de la información es necesario tener claro cuáles son los puntos por los cuales se quiere empezar. Para esto es recomendable analizar que en la política de seguridad se tenga en cuenta la clasificación de los activos de información al igual que las medidas de protección respectivas. Para conocer un poco más sobre las políticas de seguridad pueden leer nuestro post ¿Qué se debe tener en cuenta en la política de seguridad de la información?.

Con una auditoría se debe llegar a validar que los niveles de riesgo a los cuales está expuesta una organización realmente cumplen con sus políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y los estándares que apliquen según la industria. Este análisis debe ser transversal a la organización, revisando todos sus procesos.

Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden considerar dos opciones. La primera es realizar una auditoría interna es decir, utilizando un equipo de trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las realizan personas que conocen los procesos y cómo funciona la empresa, por lo cual puede llegar a ser más rápida y realizarse con una mayor periodicidad.

La otra opción es hacer una auditoría externa, en la cual participa un experto ajeno a la empresa y se hace más independiente. La principal ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo de revisiones, que de otra forma parecerían obvias. Dentro de este tipo de auditorías es común que se realice algún Penetration Test para buscar las vulnerabilidades que puedan dar lugar a un incidente de seguridad.

Independiente del tipo de auditoría seleccionado siempre se debe velar porque además de tener especialistas técnicos, se incluyan también especialistas en gestión de procesos para trabajar no solamente sobre la tecnología sino también sobre la forma en que fluye la información a lo largo de la empresa.

En cualquier caso debe ser clara la necesidad de la revisión periódica de los riesgos en las empresas, lo cual se puede lograr a través de auditorías constantes, siguiendo un proceso juicioso y que esté incorporado como parte de la gestión de la seguridad. Finalmente para que una auditoría genere realmente valor debe estar ligada a los objetivos estratégicos de tal forma que su cumplimiento no sea ajeno a garantizar la seguridad de la información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research