jueves, 22 de agosto de 2013

¿Qué se debe tomar en cuenta para auditar la seguridad?

Para gestionar la seguridad de la información el aspecto más importante es realizar auditorías de seguridad.


Ciudad de México.- Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado actual de la protección de la información en una empresa.

Además, brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.
Con todas la implicaciones que tiene una auditoría de seguridad de la información es necesario tener claro cuáles son los puntos por los cuales se quiere empezar.

Para esto es recomendable analizar que en la política de seguridad se tenga en cuenta la clasificación de los activos de información al igual que las medidas de protección respectivas.
Con una auditoría se debe llegar a validar que los niveles de riesgo a los cuales está expuesta una organización realmente cumplen con sus políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y los estándares que apliquen según la industria. Este análisis debe ser transversal a la organización, revisando todos sus procesos.
Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden considerar dos opciones.

La primera es realizar una auditoría interna es decir, utilizando un equipo de trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las realizan personas que conocen los procesos y cómo funciona la empresa, por lo cual puede llegar a ser más rápida y realizarse con una mayor periodicidad.

La otra opción es hacer una auditoría externa, en la cual participa un experto ajeno a la empresa y se hace más independiente. La principal ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo de revisiones, que de otra forma parecerían obvias. Dentro de este tipo de auditorías es común que se realice algún Penetration Test para buscar las vulnerabilidades que puedan dar lugar a un incidente de seguridad.

En cualquier caso la necesidad de la revisión periódica de los riesgos en las empresas, lo cual se puede lograr a través de auditorías constantes, siguiendo un proceso juicioso y que esté incorporado como parte de la gestión de la seguridad.
Finalmente para que una auditoría genere realmente valor debe estar ligada a los objetivos estratégicos de tal forma que su cumplimiento no sea ajeno a garantizar la seguridad de la información.
 
 

No hay comentarios: