Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Roles en la auditoría

iso27001

Una auditoría ISO 27001 funciona cuando cada rol sabe qué hacer, cuándo y cómo. En esta entrada mapeamos los roles clave de ISO 19011 y su gobierno (comunicación, independencia, decisiones), con ejemplos aplicados a un SGSI.

Cliente de la auditoría

Quién es. Persona/área que solicita o financia la auditoría y usa los resultados (p. ej., Dirección, Compliance, Comité de Seguridad).

Responsabilidades clave

  • Define objetivos del programa/auditoría y prioridades por riesgo.

  • Aprueba alcance, criterios, métodos (in situ/remoto/híbrido) y recursos.

  • Recibe informe y decide acciones (planes, responsables, plazos).

Puntos de control

  • No dirigir hallazgos; sí garantizar independencia del equipo y acceso a la evidencia.

Auditado

Quién es. La organización/proceso que será auditado (dueños de proceso, custodios de evidencia).

Responsabilidades clave

  • Asegurar disponibilidad de información, personal y registros.

  • Facilitar entrevistas y recorridos; validar cuestiones logísticas.

  • Atender no conformidades y acciones correctivas tras el informe.

Puntos de control

  • Nombrar un punto focal por proceso; preparar evidencias y flujos de revisión.

Equipo auditor

Quiénes son. Auditor líder y auditores. Conducen la auditoría conforme a ISO 19011 y criterios definidos.

Responsabilidades clave

  • Elaborar plan de auditoría, rutas de muestreo por riesgo y agenda.

  • Obtener evidencia suficiente, pertinente y fiable (entrevista, documento, observación).

  • Emitir hallazgos bien sustentados y conclusiones claras.

  • Redactar informe y proponer seguimiento.

Puntos de control

  • Independencia e imparcialidad (evitar auditar su propio trabajo).

  • Competencia demostrable (Cl.7 de ISO 19011).

Experto técnico

Quién es. Especialista que aporta conocimiento profundo (p. ej., criptografía, nube, OT), sin funciones propias de auditor.

Responsabilidades clave

  • Asesorar sobre técnica y contexto (controles, riesgos, límites razonables).

  • Apoyar en muestreo y lectura técnica de evidencia.

Puntos de control

  • No emite hallazgos en solitario ni conclusiones; siempre bajo liderazgo del auditor líder.

  • Declarar conflictos de interés.

Observador

Quién es. Persona que observa la auditoría (formación, testigo del cliente) sin intervenir en decisiones.

Responsabilidades clave

  • Respetar confidencialidad, no interrumpir.

  • Solicitudes de aclaración vía auditor líder.

Puntos de control

  • Pactar su presencia en el plan y en la apertura.

Guía

Quién es. Acompaña al equipo auditor dentro del auditado (logística, accesos, coordinación de entrevistas).

Responsabilidades clave

  • Coordinar accesos a áreas, sistemas y personas.

  • Velar por que se entiendan preguntas y respuestas en entrevistas.

  • Gestionar documentos y registros solicitados.

Puntos de control

  • No responde por el auditado en temas técnicos; conduce a la persona responsable.

Preguntas tipo examen

1) ¿Qué rol aprueba objetivos y alcance del programa de auditoría y usa los resultados para decidir acciones?

A. Auditado
B. Cliente de la auditoría
C. Observador
D. Guía

Explicación: El cliente define expectativas, aprueba alcance y utiliza el informe para decisiones.

Respuesta correcta: B

2) ¿Cuál es el límite del experto técnico en una auditoría?

A. Puede emitir conclusiones en nombre del equipo
B. Puede redactar no conformidades sin revisión
C. Aporta conocimiento técnico; no sustituye funciones del auditor ni decide hallazgos
D. Dirige la reunión de apertura

Explicación: El experto apoya técnicamente; las decisiones de auditoría son del equipo y su líder.

Respuesta correcta: C

3) ¿Qué función principal cumple la guía del auditado?

A. Redactar el informe final
B. Aprobar el plan de auditoría
C. Facilitar accesos, coordinar entrevistas y ayudar con la logística y documentación
D. Definir los criterios de auditoría

Explicación: La guía acompaña y facilita la ejecución; no toma decisiones técnicas de auditoría.

Respuesta correcta: C

Cierre

Con roles y gobierno claros, la auditoría fluye: el cliente marca dirección, el equipo auditor ejecuta con independencia y evidencia, el auditado aporta información, el experto aclara lo técnico, el observador aprende sin interferir y la guía hace que todo ocurra a tiempo. En la siguiente entrada pasaremos del programa al plan: alcance, métodos, muestreo, pruebas y cómo decidir conformidad/no conformidad con trazabilidad.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing