Cómo en cualquier otro marco de gestión del cumplimiento, las auditorías son una parte esencial de los procesos de revisión y mejora continua.

En cuanto a seguridad de la Información, destacamos dos tipos de auditorías:

• Auditorias de buena prácticas en Seguridad de la Información
• Auditorias de cumplimiento legal y regulatorio en Seguridad de la Información

En la realización de las auditorías de buenas prácticas es habitual el uso de marcas de referencia o frameworks, mediante los cuales contrastaremos el estado de nuestra organización respecto a los controles de seguridad definidos. Estas marcas se caracterizan por cubrir cada aspecto que pueda comprometer los activos de la entidad. Algunas de las marcas de referencia son:

• International Organization for Standarization (ISO 27000)
• National Institue of Standards and Technology (NIST)
• Esquema Nacional de Seguridad

En la realización de las auditorías de cumplimiento legal y regulatorio, se evalúa el cumplimiento de las leyes y reglamentos relacionados con la seguridad. Algunas de las más importantes son:

• Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
• Reglamento General de Protección de Datos (RGPD)
• Ley de Servicios de la Seguridad de la Información (LSSICE)
• Esquema Nacional de Seguridad
• Ley de Protección de Infraestructuras Críticas (PIC)
• Ley de Prevención de Riesgos Laborales (LPRL)

Los dos tipos de auditoría se abordan desde la vertiente legal pero también desde la vertiente técnica. Por este motivo contamos con un equipo multidisciplinar formado por profesionales especializados en derecho y en tecnologías de la información.