Auditoria interna de seguretat informàtica aplicable a qualsevol organització

Abstract

Actualment qualsevol organització manipula tant sistemes informàtics com informació per tal de desenvolupar les seves activitats de forma eficient i eficaç, aprofitant els constants avenços de les tecnologies de la comunicació i la informació. Però això comporta uns riscos davant les amenaces a les que s'exposen aquests actius diàriament, la seguretat dels quals es pot veure compromesa pel continu creixement d’intrusions i ciberatacs, tant interns com externs. Per evitar-los o reduir-los al màxim, és molt recomanable que les organitzacions es conscienciïn de la necessitat d'efectuar auditories internes de forma periòdica ja que les ajudaran a descobrir vulnerabilitats i males pràctiques, que han passat desapercebudes però que constitueixen una porta oberta a atacants, i establir així el punt de partida per planificar les mesures conduents a la seva correcció. El model d'auditoria interna que s'exposa es basa en les normes estàndards ISO 27001:2017 i norma ISO/IEC 27002:2022. Com a avantatge, presenta la seva adaptació a qualsevol tipus d'activitat empresarial i serà de molta utilitat per dificultar les accions d'intrusos, així com per sensibilitzar a tots els integrants de l’organització de la importància de desenvolupar unes bones pràctiques per enfortir la seguretat informàtica. Tot això, en conjunt, permetrà tant prevenir la destrucció o modificació de la informació i garantir la continuïtat del negoci, com evitar problemes legals deguts a la pèrdua de confidencialitat de les dades, entre d’altres incidències, i al mateix temps, beneficiarà la competitivitat i la imatge de l’organització a l'oferir un producte o servei de major qualitat i fiabilitat.

Nowadays, any organization operates both computer systems and information in order to develop its activities efficiently and effectively, taking advantage of the constant advances in communication and information technologies. But this means risks in the face of the threats to which these assets are exposed on daily, the security of which can be compromised by the continuous growth of intrusions and cyber attacks, both internal and external. To avoid them or reduce them as much as possible, it’s highly recommended that organizations become aware of the need to carry out internal audits periodically as they will help them to discover vulnerabilities and bad practices, which have gone unnoticed although they constitute a open door to attackers, and in this way establish the starting point for planning the measures leading to its correction. The internal audit model presented is based on the ISO 27001:2017 and ISO/IEC 27002:2022 standard rules. As an advantage, it presents its adaptation to any type of business activity and will be very useful to difficult the actions of intruders, as well as to sensitize all members of the organization to the importance of developing good practices to strengthen IT security. All of this, altogether, will both prevent the destruction or the modification of information and guarantee business continuity, as well as avoid legal problems due to the loss of data confidentiality, among other incidents, and at the same time, it will benefit the competitiveness and the image of the organization by offering a product or service of better quality and reliability.

En la actualidad, cualquier organización manipula tanto sistemas informáticos como información para desarrollar sus actividades de forma eficiente y eficaz, aprovechando los constantes avances de las tecnologías de la comunicación y la información. Pero esto comporta unos riesgos ante las amenazas a las que diariamente se exponen estos activos, cuya seguridad puede verse comprometida por el continuo crecimiento de intrusiones y ciberataques, tanto internos como externos. Para evitarlos o reducirlos al máximo, es muy recomendable que las organizaciones se conciencien de la necesidad de efectuar auditorías internas de forma periódica ya que les ayudarán a descubrir vulnerabilidades y malas prácticas que han pasado desapercibidas pero que constituyen una puerta abierta a atacantes, estableciendo así el punto de partida para planificar las medidas conducentes a su corrección. El modelo de auditoría interna que se expone se basa en las normas estándar ISO 27001:2017 e ISO/IEC 27002:2022. Como ventaja, presenta su adaptación a cualquier tipo de actividad empresarial y será de mucha utilidad para dificultar las acciones de intrusos, así como para sensibilizar a todos los integrantes de la organización de la importancia de desarrollar unas buenas prácticas para fortalecer la seguridad informática. Todo esto, en conjunto, permitirá tanto prevenir la destrucción o modificación de la información y garantizar la continuidad del negocio, como evitar problemas legales debidos a la pérdida de confidencialidad de los datos, entre otras incidencias, y al mismo tiempo, beneficiará a la competitividad y la imagen de la organización al ofrecer un producto o servicio de mayor calidad y fiabilidad.