SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

“Hace un año aproximadamente nuestra empresa superó la auditoría de certificación y se evidenció que nuestro sistema de gestión de seguridad de la información (SGSI) funcionaba conforme a los requisitos de la norma ISO 27001”. El certificado dura tres años pero cada año debe realizarse una auditoría de tercera parte, por la entidad certificadora, para mantener el sello. De lo contrario, este se perdería.

¿Cuál es el objetivo de esta auditoría de seguimiento? Si estamos utilizando como argumento comercial el disponer del sello y estamos garantizando así a nuestros clientes, proveedores, colaboradores y accionistas que estamos operando un SGSI de una manera determinada, según la norma, es lógico que deba revisarse, al pasar un año al menos, que, no solo hemos mantenido el SGSI como el día que nos certificamos, sino que lo hemos mejorado. La mejora continua es uno de los requisitos fundamentales de un SGSI certificado.

¿Cómo tratará de evidenciar el auditor de certificación que hemos mantenido, trabajado y mejorado el sistema? Los registros serán documentos fundamentales en esta auditoría. Durante el tiempo que hemos mantenido la certificación debemos preocuparnos de invertir el tiempo necesario para generar las evidencias, generalmente en forma de registros, de que hemos estado realizando las actividades que afirmamos que realizamos y que pide la norma.

El auditor revisará el informe de la primera auditoría de certificación y comprobará que el plan de acciones correctivas elaborado se ha llevado a cabo o comprobará las razones de que no se hayan realizado las acciones si así fuera. Si no se han tratado las no conformidades y oportunidades de mejora de la auditoría de certificación inicial mejor será que dispongamos de una buena justificación y una pila de evidencias que la respalden.

La auditoría interna y la revisión por la dirección son dos procesos fundamentales. Al menos anualmente deben realizarse y deben existir evidencias de su realización. De la auditoría interna debería existir evidencias de quién ha realizado la auditoría, su formación e independencia del SGSI, un plan de auditoría y un informe de auditoría. Las no conformidades y oportunidades de mejora identificadas deberían estar registradas en nuestro sistema (el que sea: papel, una aplicación…) y debe existir un tratamiento planificado. Si estos procesos se han realizado y existen evidencias de ello, parte de la mejora continua del SGSI está evidenciada.

La gestión de las incidencias y de las acciones correctivas y preventivas es fundamental en general. La gestión de incidencias debe estar asimilada por la empresa para que funcione y acciones correctivas y preventivas deben ser abiertas por la empresa frente a las no conformidades y oportunidades de mejora que identifique internamente, no es lógico que solo existan no conformidades y oportunidades de mejora de las auditorías internas y de las auditorías de tercera parte. La empresa debe identificar y registrar las no conformidades y las oportunidades de mejora internamente cuando las detecte.

Más allá de estos procesos, el auditor revisará que los controles seleccionados en la declaración de aplicabilidad siguen estando implantados, que se mide su eficiencia y eficacia y que se actúa en consecuencia. La mejora continua del sistema implica que debemos medir como los controles son efectivos para reducir el riesgo. ¿Debemos tener 133 indicadores para medir la efectividad de los 133 controles? Un exceso de indicadores complicaría innecesariamente el mantenimiento del sistema pero debemos intentar agrupar controles e implantar indicadores generales. Una gran parte del valor que podemos extraer de tener un SGSI implantado es precisamente esta medición de la efectividad de los controles. Es donde podemos poner objetivos y mejorar como empresa. Incluso pueden (y deben) utilizarse estos indicadores como argumento comercial. Siempre que podamos, si los indicadores estás enlazados con objetivos de negocio, mucho mejor.

En general, el auditor comprobará que toda la documentación del SGSI está revisada, actualizada y controlada y que existen evidencias de ello (cambios en los mismos, actas de aprobación de los cambios, registro de cambios, etc.). Especial énfasis existe, además de en lo comentado anteriormente, en la política de seguridad y del SGSI, el inventario de activos, el análisis de riesgos y los riesgos residuales aprobados. Apartados estos fundamentales en un SGSI.

Por último comentar, que los auditores de certificación también se fijan en que el uso del logo, del sello, es el correcto y no se está utilizando incorrectamente. La ISO 27001 no certifica productos, certifica un SGSI que afecta a un alcance determinado. Hacer un uso inadecuado del logo puede traernos problemas.

Como conclusión decir que si tras la auditoría de certificación, nos hemos olvidado del SGSI, es muy difícil que superemos la auditoría de seguimiento. Es imprescindible que mantengamos el sistema vivo durante su ciclo de vida. Disponer de un SGSI en nuestra organización puede mejorar de manera extraordinaria nuestra manera de trabajar. Si la implantación ha sido correcta, mantener el sistema no debe acarrearnos excesivo trabajo, los procesos deben estar asimilados, los registros automatizados en su mayor parte y los sistemas trabajando a nuestro favor, no al contrario. Inventar registros una semana antes de la auditoría obligará al auditor a sacarnos los colores y el trabajo después para solucionar las no conformidades va a ser el mismo.