Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Anexo A - ISO 19011 - Parte 2

iso27001

En esta entrada continuamos con el Anexo A de ISO 19011, explicando de forma clara seis bloques que el auditor debe dominar: cumplimiento, contexto, liderazgo y compromiso, riesgos y oportunidades, perspectiva de ciclo de vida y cadena de suministro. Mantengo la estructura y el lenguaje de la norma (con apartados a), b), etc.), pero lo explico en clave práctica y con un ejemplo al final de cada sección.

A.7 Auditoría del cumplimiento dentro de un sistema de gestión

La auditoría del cumplimiento verifica si la organización:
a) identifica sus requisitos legales, reglamentarios y otros requisitos con los que se ha comprometido;
b) gestiona actividades, productos y servicios para cumplir esos requisitos;
c) evalúa periódicamente su estado de cumplimiento.

Además, el equipo auditor valora si la organización:

  1. identifica cambios en requisitos y los integra en la gestión de cambios;

  2. cuenta con personas competentes para gestionar el cumplimiento;

  3. mantiene información documentada suficiente sobre el estado de cumplimiento;

  4. incluye cumplimiento en su programa de auditoría interna;

  5. trata todas las no conformidades de cumplimiento;

  6. considera el desempeño del cumplimiento en la revisión por la dirección.

Ejemplo: en un SGSI, el auditor contrasta el registro de requisitos de protección de datos (ley local y contratos) con evidencias de controles, reportes de cumplimiento, auditorías internas y minutas de revisión por la dirección donde se analizaron brechas y acciones.

A.8 Auditoría del contexto

Muchas normas exigen determinar el contexto (partes interesadas, cuestiones internas/externas). El auditor confirma procesos eficaces y resultados útiles para fijar el alcance y desarrollar el sistema:

a) Procesos/métodos usados (p. ej., análisis PESTEL, mapeo de stakeholders).
b) Idoneidad/competencia de quienes participan.
c) Resultados obtenidos (matriz de partes interesadas, factores clave).
d) Aplicación de esos resultados al alcance y al diseño del sistema.
e) Revisiones periódicas del contexto.

Ejemplo: el auditor revisa el análisis de partes interesadas y ve cómo derivó requisitos de clientes y reguladores que se reflejan en el alcance del SGSI y en los objetivos de seguridad.

A.9 Auditoría del liderazgo y el compromiso

El auditor busca evidencia objetiva de la implicación real de la alta dirección (y otros niveles según aplique):

  • Políticas y objetivos coherentes con la dirección estratégica.

  • Recursos disponibles para el sistema.

  • Comunicación y ejemplo visible de liderazgo.

  • Comprensión del contexto y de los resultados previstos del sistema.

Ejemplo: entrevistas con alta dirección y mandos, revisión de objetivos, planificación de recursos y comunicaciones; se confirma que la dirección toma decisiones sobre riesgos, prioriza controles y revisa desempeño.

A.10 Auditoría de riesgos y oportunidades

Esta auditoría no se aísla: se integra en toda la auditoría del sistema. El auditor recopila evidencias sobre:

a) Entradas usadas para determinar riesgos y oportunidades (cuestiones internas/externas, dirección estratégica, partes interesadas, fuentes de riesgo).
b) Método de evaluación (puede variar por disciplina/sector) y tratamiento adoptado, nivel de riesgo aceptado y cómo se controla.

El juicio profesional es clave para valorar la razonabilidad del enfoque y el riesgo residual.

Ejemplo: el auditor revisa el marco de gestión de riesgos del SGSI, ve criterios, matrices, resultados y cómo se tradujeron en controles (técnicos/organizativos) y planes con responsables y plazos.

A.11 Ciclo de vida

Cuando la disciplina lo requiere, se considera la perspectiva de ciclo de vida de productos/servicios (materias primas, diseño, producción, entrega, uso, fin de vida). El auditor usa juicio profesional para valorar:

a) Vida del producto/servicio;
b) Influencia de la organización sobre la cadena de suministro;
c) Longitud de la cadena;
d) Complejidad tecnológica.

En sistemas integrados, se vigilan solapamientos en la consideración del ciclo de vida.

Ejemplo: en un proveedor SaaS, el auditor verifica controles desde diseño seguro y pruebas, hasta despliegue, operación, soporte y baja segura de datos.

A.12 Auditoría de la cadena de suministro

Puede requerirse auditar a proveedores. El programa de auditoría debe usar criterios aplicables al tipo de proveedor y ajustar el alcance (sistema completo, proceso, producto, configuración).

Ejemplo: para un proveedor de hosting, el auditor confirma criterios (p. ej., seguridad física, continuidad, controles lógicos), evidencia de auditoría del proveedor, hallazgos y seguimiento; el alcance podría ser el data center y los procesos de cambios y backups.

Preguntas tipo examen

1) Al auditar el contexto (A.8), ¿qué evidencia muestra que el análisis se usa eficazmente?

A) Un organigrama actualizado
B) Resultados del contexto aplicados al alcance y al desarrollo del sistema, con revisiones periódicas
C) Un procedimiento de calidad genérico
D) Un listado de activos TI

Explicación: A.8 indica comprobar métodos, competencia, resultados y su aplicación al alcance, además de revisiones del contexto.

Respuesta correcta: B

2) En una auditoría del cumplimiento (A.7), ¿qué debe verificar el equipo auditor además de identificar requisitos?

A) Que la organización gestiona para cumplirlos y evalúa su estado de cumplimiento de forma periódica
B) Únicamente la existencia de un responsable de cumplimiento
C) Solo el registro de requisitos sin evidencias operativas
D) La frecuencia de las auditorías externas

Explicación: A.7 pide evidencias de identificación, gestión para el cumplimiento y evaluación del estado de cumplimiento, incluyendo cambios, competencia y documentación.

Respuesta correcta: A

3) En A.10, ¿qué revisa el auditor sobre riesgos y oportunidades?

A) Preferencias del auditor para priorizar controles
B) Entradas consideradas, método de evaluación y tratamiento adoptado, con valoración del riesgo residual
C) Únicamente el presupuesto del área de seguridad
D) La cantidad de procedimientos existentes

Explicación: A.10 exige revisar entradas (contexto, estrategia, partes interesadas), método de evaluación y tratamiento de riesgos/oportunidades, aplicando juicio profesional.

Respuesta correcta: B

Cierre

Respetar la letra y el espíritu de estos apartados del Anexo A garantiza auditorías más consistentes, enfocadas en evidencia y resultados, y alineadas con el riesgo real del negocio. Con esta base, podrás planificar y ejecutar auditorías que soporten decisiones de dirección y mejora continua.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

๐Ÿ‘‰ Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,


Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing