CÓMO AFRONTAR UNA AUDITORÍA DEL ESQUEMA NACIONAL DE SEGURIDAD
Conoce a tu enemigo: Procura en la medida de lo posible conocer al auditor, su trabajo, conferencias,cursos… Si tienes posibilidad, pide referencias suyas e investiga como le gusta trabajar, y facilítaselo. Cuanto más fácil se lo pongas a él, más rápida será la auditoría. Y por supuesto, no lo subestimes, ya que, con total seguridad, es un grandísimo profesional especializado en la materia. Y no lo intentes engañar, ya que, si “te pilla”, habrás generado un clima de desconfianza que se repercutirá en el resto de la auditoría. Es mejor tenerlo como amigo que como enemigo, por lo que tu relación con él debe ser de respeto y cordialidad.
Conoce bien el alcance de tus servicios: Controla quién es el responsable de los servicios y de la información que manejan, dónde esta cada una de la documentación relacionada y por último, pero no menos importante, facilita al auditor esa lista de servicios y documentación que forman parte del alcance. Facilitar el trabajo al auditor hará que te vea como otro profesional con el que poder tratar de igual a igual.
Participación de la dirección: Resalta a la dirección la importancia de que al menos algún miembro participe en la auditoría, siendo exigible como mínimo en la reunión inicial y final de la auditoría. No solo por el hecho de ser un requisito del ENS, sino por la sensación que se transmite de compromiso por mejorar la seguridad. Una organización con una dirección implicada en mejorar la seguridad asegura que los planes de acción o tratamientos derivados de los análisis de riesgos y/o de los análisis diferenciales se lleven a cabo conforme se han formalizado, incluyendo las acciones correctivas derivadas de las auditorías.
Mejora continua de la seguridad: No dudes en poner en valor los trabajos previos realizados a la auditoría para lograr una madurez de cumplimiento de los controles. Comparte con el auditor las deficiencias detectadas en la consultoría/auditoría interna o externa, los trabajos realizados para cubrir esas deficiencias, los planes de acción terminados, en progreso o por iniciar relevantes para el ENS así como cualquier otro tipo de proyecto que mejore objetivamente la seguridad, incluso cuando esa mejora corresponda a controles que, por nivel del sistema, no aplique según el ENS.
Senior Consultant/Advisor en @govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
