Auditoría de seguimiento del Sistema de Gestión de Seguridad de la Información, bajo la norma ISO/IEC 27001:2013
6nov.
El viernes 27 de octubre de 2023 se llevó acabo la segunda auditoría de seguimiento del Sistema de Gestión de Seguridad de la Información, bajo la norma ISO 27001 al Prevalidador ANIQ, con el objetivo de verificar que el Sistema de Gestión se encuentre documentado e implantado de forma efectiva para demostrar la conformidad contra la Norma ISO/IEC 27001:2013, de igual manera, asegurar que se cuente con la capacidad de cumplir los requisitos legales, reglamentarios y contractuales aplicables, y con los propios objetivos, y si es aplicable, identificar oportunidades de mejora.
Un SGSI es un conjunto de políticas, procedimientos y controles que garantizan laseguridad de la información (confidencialidad, integridad y disponibilidad de la información). Para proteger los activos de información, los controles del SGSI detectanfallas (que pueden generar una violación a la seguridad de la información) y las resuelven.Para que funcionen los controles todo el personal de la organización debe conocer a detalle sus responsabilidades y cumplirlas. Los controles de seguridad del SGSI deben derivarse de una evaluación de riesgos y deben abarcar todas las capas de la organización.
En un SGSI debe de estar claramente definido el objetivo, deben de estar bien definidos los roles y responsabilidades, el personal debe conocer y poner en práctica sus roles y responsabilidades, el sistema debe ser permanentemente monitoreado, los controles deben ser eficientes (no desperdiciar recursos) y de igual manera, los controles deben ser eficaces (ayudar a alcanzar las metas) y el sistema debe de estar sujeto a la mejora continua.
Durante casi 10 horas, el auditor externo de manera remota revisó, evalúo y verificó la seguridad de la información que se recibe, almacena, transmite y procesa durante los diversos servicios que ofrece el Prevalidador ANIQ.
Puntualmente verificó controles a la dirección (Generar equipos de trabajo, auditorías y evaluaciones de riesgo), controles a los activos de información (inventario actualizado, información clasificada y etiquetada), controles a los equipos de cómputo (controles de acceso, mantenimiento preventivo, actualización continua), controles a los perímetros de seguridad (videovigilancia, registro de visitas, ubicación segura de equipos), controles a red informática (Antivirus, firewall, monitoreo de tráfico) y controles de incidentes (planes de contingencia de continuidad y de recuperación).
Finalmente, durante la junta de cierre, el auditor informó el resultado y se entregaron los informes de las observaciones menores, así como el informe de la auditoría en general. El Prevalidador ANIQ cumplió con los objetivos de la auditoría y seguirá manteniendo la certificación bajo la Norma ISO/IEC 27001:2013.
