Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Preguntas examen certificación ISO 27001 Auditor - Parte 3

iso27001

En este tercer bloque practicarás criterio auditor con escenarios reales: independencia, elección de métodos (in situ/remoto), muestreo, entrevistas, suficiencia de evidencia, SoA, redacción de no conformidades, reunión de cierre e informe, y verificación de eficacia en el seguimiento. La idea es que no memorices, sino que razones como auditor/a ISO 19011 en auditorías a ISO 27001.

1) Durante una auditoría interna te asignan evaluar un proceso en el que trabajaste hace dos meses. ¿Qué decide un auditor competente respecto a la independencia?

A) Aceptar la auditoría porque ya no perteneces al proceso
B) Aceptar, pero omitir entrevistas para evitar sesgos
C) Declarar el potencial conflicto de interés y solicitar reasignación o controles para salvaguardar la objetividad
D) Rechazar toda auditoría interna futura para evitar conflictos

2) Debes auditar controles críticos de continuidad y seguridad física en un CPD remoto con alta criticidad. ¿Qué combinación de métodos es más adecuada?

A) Solo revisión documental a distancia
B) Solo entrevistas virtuales al responsable del CPD
C) Observación por cámaras sin interacción humana
D) Enfoque híbrido: revisión remota + verificación in situ para los controles de mayor riesgo

3) Vas a verificar si 60 actas de revisión de accesos cumplen con el procedimiento (apto/no apto). ¿Qué muestreo aplica mejor?

A) Muestreo por conveniencia
B) Muestreo estadístico basado en atributos
C) Muestreo estadístico basado en variables
D) Muestreo dirigido exclusivamente por juicio

4) En una entrevista clave, la jefatura responde evasivamente y recorta el tiempo. ¿Qué haces primero?

A) Suspender la auditoría y reportar incumplimiento grave
B) Reenfocar a preguntas críticas del alcance, registrar el obstáculo y acordar entrega de evidencia complementaria
C) Cambiar de proceso para no retrasar el plan
D) Aceptar respuestas generales si hay política vigente

5) Encuentras una política de clasificación aprobada, pero no hay registros de aplicación (etiquetas ni evidencias en repositorios). ¿Cuál es la conclusión adecuada?

A) Conformidad, porque la política existe
B) Observación, porque los registros son opcionales
C) No conformidad, citando el criterio que exige implementación/evidencia objetiva
D) Oportunidad de mejora sin registro formal

6) La SoA excluye controles del Anexo A sin justificar el motivo. ¿Qué corresponde como auditor/a?

A) Requerir justificación documentada y trazabilidad al riesgo; de no existir, registrar hallazgo
B) Aceptar la exclusión si hay política de alto nivel
C) Aceptar la exclusión si el CISO lo aprueba verbalmente
D) Tratarlo como recomendación no vinculante

7) Para redactar una no conformidad correctamente, ¿qué elementos mínimos incluyes?

A) Evidencia fotográfica y nombre del entrevistado
B) Criterio de auditoría, evidencia objetiva y declaración clara de la no conformidad
C) Impacto financiero estimado
D) Opinión del auditor y propuesta de solución

8) En la reunión de cierre, el auditado mantiene una opinión divergente sin resolver sobre un hallazgo. ¿Cómo procedes?

A) Eliminas el hallazgo para preservar la relación
B) Mantienes el hallazgo con su fundamento y registras la opinión divergente en el informe
C) Elevas a dirección y detienes la emisión del informe
D) Negocias un “compromiso” y rebajas el hallazgo a observación

9) En el seguimiento de acciones correctivas, ¿qué verifica principalmente un auditor?

A) Que se cerró el ticket en la herramienta
B) Que se implementó un documento nuevo
C) Que la causa fue eliminada y la acción es eficaz, con evidencia objetiva (resultados)
D) Que el proveedor participó en una reunión

10) Debes definir tamaño de muestra para expedientes de incidentes de seguridad en una sede con alta variabilidad. ¿Qué enfoque es más sólido?

A) Ajustar tamaño de muestra según riesgo, variabilidad y población, y considerar diseño estadístico para confianza adecuada
B) Tomar siempre 10 casos por norma interna
C) Muestrear solo los expedientes más recientes
D) Usar únicamente juicio del auditor sin criterios

Soluciones

1) Respuesta correcta: C

Explicación: ISO 19011 exige independencia e imparcialidad. Ante un potencial sesgo, se declara y se mitiga (reasignación o salvaguardas).

2) Respuesta correcta: D

Explicación: Para controles críticos de alto riesgo, el enfoque híbrido (remoto + in situ) aumenta la confianza en la evidencia.

3) Respuesta correcta: B

Explicación: La verificación “apto/no apto” encaja con muestreo por atributos para inferir conformidad sobre la población.

4) Respuesta correcta: B

Explicación: Se prioriza el logro de objetivos: preguntas críticas del alcance, registro del obstáculo y acuerdo de evidencia adicional.

5) Respuesta correcta: C

Explicación: La existencia de política sin implementación/evidencia no demuestra conformidad. Se cita el criterio y se declara no conformidad.

6) Respuesta correcta: A

Explicación: La SoA debe justificar exclusiones y mostrar trazabilidad al riesgo. Sin ello, corresponde hallazgo.

7) Respuesta correcta: B

Explicación: Estructura mínima: criterio (referencia), evidencia objetiva y declaración de no conformidad.

8) Respuesta correcta: D

Explicación: Las opiniones divergentes se registran; no se negocia la evidencia ni se elimina el hallazgo sin fundamento.

9) Respuesta correcta: B

Explicación: En seguimiento, se verifica la eficacia: que la causa se eliminó y hay resultados medibles (no solo “papel”).

10) Respuesta correcta: A

Explicación: Riesgo, variabilidad y tamaño de población guían el tamaño muestral; el enfoque estadístico aporta nivel de confianza.

Cierre

Estos escenarios ponen a prueba la aplicación práctica de ISO 19011 en auditorías a ISO 27001: independencia, selección de métodos, muestreo, entrevistas, evidencia suficiente, SoA, redacción de no conformidades, cierre y seguimiento eficaz. Si te sentiste retado/a, vas por buen camino: el valor del auditor/a está en el juicio profesional sustentado por evidencia objetiva.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,


Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing