Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 5: Gestión de un programa de auditoría

iso27001

En la Cláusula 5, ISO 19011 convierte la auditoría en una función gestionada: el programa define qué se audita y por qué, asigna recursos competentes, establece métodos, controla el desempeño y aprende de cada ciclo. A continuación, recorremos cada subcláusula con una explicación clara y ejemplos orientados a auditorías ISO 27001.

5.1 Generalidades

La organización gobierna la función de auditoría mediante un programa que conecta objetivos del negocio y del SGSI con prioridades, calendario, métodos y recursos, de modo que las auditorías no sean eventos aislados sino un ciclo coherente alineado al riesgo.

Ejemplo (ISO 27001): Se priorizan “Gestión de accesos”, “Continuidad”, “Seguridad en nube” e “Incidentes” por su impacto en confidencialidad, integridad y disponibilidad.

5.2 Establecimiento de los objetivos del programa de auditoría

El programa nace con objetivos claros y medibles (eficacia de controles, reducción de reincidencias, tiempos de informe y de cierre de no conformidades), que luego guían el alcance global, las prioridades por riesgo, las competencias necesarias y los indicadores.

Ejemplo: La dirección fija “90% de NC cerradas en ≤60 días” y “100% de cobertura anual en procesos críticos”.

5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría

La organización identifica y trata los riesgos del propio programa (rotación de auditores, accesos limitados, cambios de sistemas) y aprovecha oportunidades (automatizar muestreo, repositorios seguros, apoyo de expertos), para priorizar mejor, dimensionar muestras y asegurar la logística.

Ejemplo: Ante riesgo de acceso a logs en nube, se acuerdan cuentas de solo lectura y se incorpora un experto IAM/KMS.

5.4 Establecimiento del programa de auditoría

Con objetivos y riesgos definidos, la organización diseña el programa: fija alcance global, criterios, métodos, recursos y métricas; formaliza roles y competencias; dimensiona la extensión del programa y asegura que todo ello sea proporcional al riesgo.

5.4.1 Roles y responsabilidades de las personas responsables de la gestión del programa de auditoría

La dirección nombra a quienes gestionan el programa y les encarga priorizar por riesgo, asignar equipos, aprobar planes, monitorear indicadores, gestionar cambios y reportar a la alta dirección.

Ejemplo: El dueño del programa reordena prioridades tras un incidente y autoriza un seguimiento extraordinario.

5.4.2 Competencia de las personas responsables de la gestión del programa de auditoría

Quien dirige el programa demuestra competencia en auditoría, gestión de riesgos, criterios aplicables (ISO 27001) y liderazgo, de forma acorde a la complejidad de lo auditado.

Ejemplo: La persona responsable acredita formación en ISO 19011/ISO 27001 y experiencia conduciendo programas.

5.4.3 Establecimiento de la extensión del programa de auditoría

La organización define qué sedes, procesos, servicios y proveedores cubre el programa, junto con la profundidad (muestreo, técnicas y combinación in situ/remoto) que corresponde a la exposición al riesgo.

Ejemplo: El programa incluye sedes Lima–Bogotá, data centers externos y proveedores críticos de nube.

5.4.4 Determinación de los recursos del programa de auditoría

El programa reserva auditores y expertos técnicos, tiempo, presupuesto, herramientas y repositorios de evidencia, garantizando confidencialidad y trazabilidad.

Ejemplo: Se contrata un experto en cifrado (KMS/HSM) y se habilita un repositorio con control de acceso por rol.

5.5 Implementación del programa de auditoría

La organización pone en marcha el programa: calendariza, coordina con auditados, prepara planes de auditoría, asegura la calidad de los papeles de trabajo y protege la información.

5.5.1 Generalidades

El responsable del programa coordina agendas, confirma accesos y canaliza comunicaciones para que cada auditoría fluya con orden y confidencialidad.

Ejemplo: Se convoca una reunión de inicio de ciclo con dueños de proceso y TI para acordar ventanas y puntos de contacto.

5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual

Cada auditoría concreta cuenta con objetivos, alcance (procesos/ubicaciones/periodos) y criterios (ISO 27001, políticas internas, contratos) claramente definidos y comunicados.

Ejemplo: La auditoría “Gestión de accesos Q1–Q2” usa como criterios ISO 27001:2022, política de accesos y acuerdos de proveedor cloud.

5.5.3 Selección y determinación de los métodos de auditoría

El equipo elige métodos (in situ, remoto o híbrido) y técnicas (entrevistas, revisión documental, observación, pruebas técnicas, análisis de datos) acordes al riesgo y a la naturaleza de la evidencia.

Ejemplo: Auditoría híbrida con entrevistas remotas, observación asistida y evidencias depositadas en repositorio seguro.

5.5.4 Selección de los miembros del equipo auditor

La organización compone equipos con competencia e independencia adecuadas y suma expertos cuando la materia lo exige.

Ejemplo: Auditor líder + auditor de procesos + experto IAM para revisar altas/bajas y controles MFA.

5.5.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual

La persona líder coordina actividades, gestiona el tiempo, asegura la calidad de la evidencia, modera apertura/cierre y valida el informe final.

Ejemplo: La lideresa verifica que cada hallazgo relacione criterio, evidencia suficiente y conclusión consistente.

5.5.6 Gestión de los resultados del programa de auditoría

El responsable consolida avances, hallazgos y tendencias, informa a la dirección y activa seguimientos cuando corresponde, usando indicadores que reflejan eficacia y oportunidad.

Ejemplo: Un tablero trimestral muestra % auditorías en fecha, tiempo a informe, % de NC cerradas y reincidencias.

5.5.7 Gestión y conservación de los registros del programa de auditoría

La organización mantiene y protege planes, notas, muestras, matrices de hallazgos, informes y evidencias, conforme a requisitos de confidencialidad, legales y contractuales.

Ejemplo: El repositorio aplica control de acceso por rol, versionado y retenciones definidas.

5.6 Seguimiento del programa de auditoría

La dirección y el responsable del programa monitorizan el progreso, los desvíos y los riesgos, ajustan prioridades cuando el contexto cambia y ordenan auditorías de seguimiento si es necesario.

Ejemplo (ISO 27001): Tras un incidente de disponibilidad, se adelanta “Continuidad” y se amplía el muestreo de restauraciones.

5.7 Revisión y mejora del programa de auditoría

La organización revisa la eficacia del programa con evidencias (KPIs, utilidad de hallazgos, reincidencias, tiempos) y mejora el siguiente ciclo ajustando priorización, métodos, plantillas, formación y competencias.

Ejemplo: Si las NC de “Gestión de proveedores” tardan en cerrarse, el nuevo ciclo añade seguimientos específicos y sesiones de clarificación de criterios.

Preguntas tipo examen

1) ¿Qué diferencia al programa de auditoría del plan de auditoría?

A. El programa es un checklist y el plan es estratégico
B. El programa es para auditorías internas y el plan para externas
C. El programa gobierna el ciclo completo (prioridades, recursos, KPIs); el plan concreta una auditoría individual (objetivos, alcance, criterios y agenda)
D. No existe diferencia

Explicación: El programa es el marco macro; el plan aplica a una auditoría específica.

Respuesta correcta: C

2) ¿Qué elemento de la Cláusula 5 impacta directamente la priorización del programa?

A. La ubicación del auditado
B. La plantilla del informe
C. La determinación y evaluación de riesgos y oportunidades del programa (5.3)
D. El tamaño del equipo de TI

Explicación: El enfoque basado en riesgos guía qué auditar primero, con qué profundidad y método.

Respuesta correcta: C

3) ¿Qué persigue la gestión y conservación de los registros del programa (5.5.7)?

A. Reunir solo las no conformidades
B. Conservar y proteger planes, papeles de trabajo, evidencias e informes con controles adecuados
C. Eliminar evidencias una vez emitido el informe
D. Publicar los registros a toda la organización

Explicación: Los registros deben ser completos, trazables y protegidos según confidencialidad y requisitos aplicables.

Respuesta correcta: B

Cierre

Con la Cláusula 5, tu función de auditoría pasa de operar por tareas sueltas a trabajar con gobierno, riesgo, competencia y mejora continua. Así, cada auditoría de ISO 27001 aporta evidencia útil, decisiones oportunas y resultados que elevan la madurez del SGSI.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,


Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing