Clausula 6: Realización de una auditoría
La Cláusula 6 describe, con orden lógico, cómo se ejecuta una auditoría desde el primer contacto hasta el seguimiento posterior. Aquí recorremos cada subcláusula con lenguaje práctico y ejemplos orientados a auditorías de ISO 27001.
6.1 Generalidades
El equipo auditor conduce la auditoría conforme al programa y plan aprobados, aplicando los principios (integridad, independencia, enfoque basado en evidencia y en riesgo), y asegurando comunicaciones efectivas, protección de la información y trazabilidad de evidencias.
Ejemplo (ISO 27001): Se planifica revisar “Gestión de accesos” con foco en cuentas privilegiadas y continuidad por su impacto en CIA.
6.2 Inicio de la auditoría
6.2.1 Generalidades
Se confirman propósito, alcance, criterios y método; se validan recursos, tiempos y accesos, y se alinean expectativas con el cliente.
Ejemplo: Alcance “accesos Q1–Q2”, criterios ISO 27001:2022 + política de accesos, método híbrido.
6.2.2 Establecimiento del contacto con el auditado
La líder contacta al auditado para presentar al equipo, acordar fechas, puntos de contacto, logística y información previa.
Ejemplo: Se solicita matriz de permisos, altas/bajas del periodo y evidencia de MFA antes de la visita.
6.2.3 Determinación de la viabilidad de la auditoría
Se verifica la existencia de condiciones mínimas (personal clave, evidencias, accesos, confidencialidad).
Ejemplo: Seguridad habilita cuentas de solo lectura a SIEM y consola cloud; sin esto, se reprograma.
6.3 Preparación de las actividades de auditoría
6.3.1 Revisión de la información documentada
El equipo analiza políticas, SoA, evaluación/tratamiento del riesgo, registros y cambios relevantes.
Ejemplo: Se detecta cambio reciente en IAM; se ajusta el muestreo a ese proceso.
6.3.2 Planificación de la auditoría
La líder elabora el plan: objetivos, alcance, criterios, agenda, entrevistas, técnicas, muestreo y controles clave.
Ejemplo: Muestreo de 20 bajas y 10 altas privilegiadas del semestre, verificación de MFA y segregación.
6.3.3 Asignación de tareas al equipo auditor
Se reparten entrevistas, revisión documental, pruebas técnicas, notas e integración de hallazgos.
Ejemplo: Auditor A toma entrevistas; Auditor B valida registros; experta técnica ejecuta pruebas en IAM.
6.3.4 Preparación de la información documentada
Se preparan checklists, plantillas, matriz criterio–evidencia–conclusión y repositorio seguro.
Ejemplo: Carpeta con control de acceso por rol y versionado para evidencias.
6.4 Realización de las actividades de auditoría
6.4.1 Generalidades
El equipo ejecuta el plan, ajusta según hallazgos y documenta con claridad, cuidando confidencialidad e imparcialidad.
Ejemplo: Al detectar un sistema nuevo, se añade una entrevista breve y se incorpora una muestra adicional.
6.4.2 Roles y responsabilidades de guías y observadores
Se aclara que los guías facilitan accesos y logística; los observadores no interfieren en el juicio auditor.
Ejemplo: Un guía del auditado coordina acceso a salas, personas y registros en cada franja horaria.
6.4.3 Reunión de apertura
Se presentan objetivos, alcance, criterios, agenda, método, reglas y canales de comunicación.
Ejemplo: Se acuerda “no sorpresas”: cualquier posible NC se discute tan pronto aparezca la evidencia.
6.4.4 Comunicación durante la auditoría
El equipo mantiene comunicación continua: solicita evidencias, aclara dudas y avisa cambios necesarios.
Ejemplo: Se pide evidencia adicional de desactivación de cuentas en ≤24 h tras desvinculación.
6.4.5 Disponibilidad y acceso de la información
Se garantizan accesos y oportunidad para revisar documentación, sistemas y registros.
Ejemplo: El auditado habilita temporalmente dashboards de IAM y exportes de logs (redactados si aplica).
6.4.6 Revisión de la información documentada
Se contrasta lo declarado (procedimiento) con lo evidenciado (registros, trazas, logs).
Ejemplo: Procedimiento exige baja en 24 h; un registro muestra 5 días de demora → foco de análisis.
6.4.7 Recopilación y verificación de la información
La evidencia resulta suficiente, pertinente y fiable; se aplica muestreo y verificación cruzada.
Ejemplo: Se triangula: ticket de baja, log de IAM y registro de HR para una misma persona.
6.4.8 Generación de hallazgos
Cada hallazgo se vincula a un criterio y puede ser conformidad, no conformidad, observación u oportunidad de mejora.
Ejemplo: NC: Baja tardía respecto a procedimiento interno y control ISO 27001 5.15 (gestión de identidad).
6.4.9 Determinación de las conclusiones
El equipo consolida hallazgos y concluye sobre idoneidad, adecuación y eficacia frente a criterios.
Ejemplo: El control es parcialmente eficaz; se recomiendan acciones para reducir riesgo de acceso indebido.
6.4.10 Reunión de cierre
La líder explica conclusiones, relaciona evidencias y criterios, recoge comentarios y acuerda siguientes pasos.
Ejemplo: Se pacta plan de acción en 10 días hábiles y verificación de eficacia en 60 días.
6.5 Preparación y distribución del informe
6.5.1 Preparación del informe
El informe refleja con veracidad y exactitud alcance, criterios, equipo, métodos, hallazgos con evidencia y conclusiones.
Ejemplo: Se adjunta matriz criterio–evidencia–conclusión y se marca la criticidad de cada hallazgo.
6.5.2 Distribución del informe
Se entrega al cliente de la auditoría y a partes relevantes según lo acordado, respetando confidencialidad.
Ejemplo: Distribución a Dirección de Seguridad y a Dueños de Proceso; copia controlada en repositorio seguro.
6.6 Finalización de la auditoría
El equipo cierra acciones administrativas, archiva registros y documenta desvíos o incidentes relevantes.
Ejemplo: Se registra que un acceso no estuvo disponible y se deja constancia del ajuste al muestreo.
6.7 Seguimiento de una auditoría
Se ejecutan seguimientos: revisión de acciones correctivas, verificación de eficacia y, si corresponde, auditoría de seguimiento.
Ejemplo: Se verifica que el nuevo flujo de bajas fuerza desactivación automática y genera evidencia en el SIEM.
Preguntas tipo examen
1) ¿Qué valida la viabilidad (6.2.3) antes de comenzar?
A. Solo la disponibilidad del auditor líder
B. Que existan condiciones mínimas: accesos, evidencias, personal clave y seguridad de la información
C. Que el informe tenga una plantilla actualizada
D. Que el cliente haya aprobado el presupuesto
Explicación: Sin condiciones mínimas, no se garantizan evidencias oportunas y fiables.
Respuesta correcta: B
2) ¿Qué asegura la reunión de apertura (6.4.3)?
A. La firma de todas las políticas
B. Una comprensión común de objetivos, alcance, criterios, agenda, método y canales de comunicación
C. La aceptación de todas las no conformidades
D. La distribución inmediata del informe
Explicación: La apertura alinea expectativas y reduce fricciones operativas.
Respuesta correcta: B
3) ¿Qué distingue un hallazgo bien redactado (6.4.8)?
A. Describe impresiones generales
B. Vincula criterio, evidencia suficiente/pertinente/fiable y conclusión clara
C. Solo cita conversación de pasillo
D. Evita mencionar el criterio para ser flexible
Explicación: La trazabilidad criterio–evidencia–conclusión garantiza objetividad y utilidad.
Respuesta correcta: B
Cierre
Esta cláusula convierte el plan en acción ordenada: prepara, ejecuta, comunica, evidencia, informa y cierra con seguimiento. Aplicada con rigor y sentido práctico, la auditoría agrega valor real al SGSI y a las decisiones de la dirección.
¿Quieres certificarte como auditor ISO 27001?
Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.
👉 Aquí puedes revisar toda la información del programa:
Curso Oficial ISO 27001 Internal Auditor / Lead Auditor
Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:
Kit oficial ISO 27001 Internal Auditor
Kit oficial ISO 27001 Lead Auditor
Nos vemos,
—
Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles
