Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Conceptos base de auditoría

iso27001

Antes de planificar o ejecutar una auditoría ISO 27001, necesitas un lenguaje común. En esta entrada fijamos los conceptos que usarás en todo el proceso: qué es una auditoría, qué tipos existen, qué entendemos por criterios y evidencia, y cómo se plasman resultados (hallazgos) y conclusiones conforme a ISO 19011.

¿Qué es una auditoría?

Una auditoría es un proceso sistemático, independiente y documentado para obtener evidencia y evaluarla objetivamente con el fin de determinar el grado de cumplimiento respecto de criterios definidos.

  • Palancas clave: independencia, evidencia suficiente/pertinente/fiable, comparación frente a criterios.

  • En ISO 27001: sirve para verificar conformidad del SGSI (cláusulas 4–10) y controles aplicables.

Tipos de auditoría

  • Primera parte (interna): realizada por la propia organización o en su nombre (requisito 9.2 de ISO 27001).

  • Segunda parte: realizada por un cliente a su proveedor/tercero (evaluar cumplimiento contractual y regulatorio).

  • Tercera parte: realizada por un organismo independiente para fines de certificación.

ISO 19011 es aplicable a auditorías de sistemas de gestión en general; el lenguaje y métodos son comunes a los tres tipos.

Criterios de auditoría

Los criterios son las referencias frente a las cuales se evalúa la evidencia. Pueden incluir:

  • ISO 27001 (cláusulas 4–10 y, cuando aplique, controles del Anexo A).

  • Requisitos legales/contractuales relevantes.

  • Políticas, procesos y procedimientos internos.

  • Objetivos de seguridad, SoA y plan de tratamiento del riesgo.

Evidencia de auditoría

Información verificable que respalda los hallazgos: documental, observable o por entrevista.

  • Debe ser suficiente, pertinente y fiable.

  • Fuentes: entrevistas, revisión documental/registros, observación directa, muestreo (preferentemente dirigido por riesgo).

  • Registro: notas claras (qué documento, versión, fecha, código, ubicación), capturas controladas, lista de muestras.

Resultados de la auditoría

Los resultados de la auditoría son las salidas del proceso de auditoría obtenidas al evaluar la evidencia frente a los criterios. Incluyen los hallazgos (conformidades, observaciones/oportunidades de mejora y no conformidades) y cualquier otra información relevante que sustente las conclusiones del equipo auditor (p. ej., procesos auditados, muestras revisadas, aclaraciones y limitaciones).

Componentes típicos

  • Hallazgos clasificados:

    • Conformidad (se cumple el criterio).

    • Observación / Oportunidad de mejora (riesgo potencial o desviación incipiente).

    • No conformidad (NC) (incumplimiento objetivo del criterio).

Buenas prácticas de presentación

  • Redactar con claridad y trazabilidad (qué se vio, contra qué criterio, con qué evidencia).

  • Cuantificar magnitud cuando sea posible (p. ej., “2 de 5 muestras”).

  • Usar lenguaje objetivo y verificable; mantener coherencia con conclusiones e informe.

Conclusiones de la auditoría

Juicio profesional del equipo auditor sobre el grado de cumplimiento con los criterios, sustentado en el conjunto de resultados y evidencia.

  • Deben ser claras, equilibradas y trazables al informe.

  • Alimentan la revisión por la dirección, acciones correctivas y la mejora del SGSI.

Preguntas tipo examen

1) ¿Qué son los criterios de auditoría?

A. El listado de entrevistas
B. Las referencias frente a las cuales se compara la evidencia (p. ej., ISO 27001, legales, procedimientos)
C. El conjunto de muestras seleccionadas
D. Las no conformidades históricas

Explicación: Los criterios definen el marco de comparación para evaluar evidencia.

Respuesta correcta: B

2) La evidencia de auditoría debe ser:

A. Abundante, sin importar su pertinencia
B. Suficiente, pertinente y fiable
C. Solo documental
D. Exclusivamente observacional

Explicación: ISO 19011 exige calidad de evidencia (suficiencia, pertinencia, fiabilidad), no solo cantidad.

Respuesta correcta: B

3) Diferencia entre resultado y conclusión de auditoría:

A. Son lo mismo
B. El resultado es el hallazgo puntual; la conclusión es el juicio global del equipo
C. El resultado es global y la conclusión es puntual
D. El resultado solo aparece en auditorías externas

Explicación: Los resultados alimentan la conclusión; no se confunden.

Respuesta correcta: B

Cierre

Ya tienes el marco conceptual que sostiene cualquier auditoría ISO 27001: tipos, criterios, evidencia, resultados y conclusiones. Con este lenguaje común, el siguiente paso es entender quién hace qué: los roles y su interacción para que el programa y la auditoría funcionen sin fricciones.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing