Módulo 8 de 14

Módulo 8: Auditoría y certificación ISO 27001

Módulo 8: Auditoría y certificación ISO 27001

Un SGSI que nunca se audita no es un sistema de gestión: es una carpeta de políticas bien escritas que nadie ha comprobado que se cumplan. La auditoría es el mecanismo que convierte una declaración de intenciones («aquí gestionamos el riesgo de forma sistemática») en una afirmación verificable con evidencia objetiva. Y la certificación es el paso siguiente: que un tercero independiente, acreditado para ello, dé fe pública de que esa verificación es fiable. Este módulo cubre ambos mundos —la auditoría interna que la organización se hace a sí misma y la auditoría externa que un organismo de certificación le hace a la organización— con el rigor metodológico de la norma que gobierna cualquier auditoría de sistemas de gestión: ISO 19011:2018.

Quien ha pasado por una auditoría de certificación sabe que el resultado no se decide el día de la visita: se decide en los doce meses anteriores, en si el SGSI se ha operado de verdad o solo se ha documentado. Este módulo te da el marco para preparar esa auditoría desde dentro —como auditor interno o como responsable del SGSI— y para entender exactamente qué va a evaluar el auditor externo y por qué.

Qué aprenderás

  • Los tres tipos de auditoría de un sistema de gestión —1ª, 2ª y 3ª parte— y en qué se diferencia una auditoría de certificación de una auditoría interna.
  • Los siete principios de auditoría de ISO 19011:2018 y cómo se traducen en decisiones concretas durante una auditoría real.
  • Cómo se planifica y ejecuta una auditoría interna del SGSI de principio a fin: programa anual, plan de auditoría, checklist, apertura, evidencias, hallazgos, cierre e informe.
  • A distinguir con criterio una no conformidad mayor de una menor y de una observación, y a redactar un hallazgo con el rigor que exige un auditor de certificación.
  • La diferencia real entre corrección y acción correctiva, y cómo aplicar un análisis de causa raíz con la técnica de los 5 porqués.
  • Cómo funciona la certificación por una entidad acreditada por ENAC bajo ISO/IEC 17021-1: la Fase 1, la Fase 2, la decisión de certificación y el ciclo de tres años.
  • Qué hace fracasar una certificación y cómo evitarlo con una preparación basada en auditoría interna real, no simulada.

Los tres tipos de auditoría de un sistema de gestión

ISO 19011:2018 no distingue los tipos de auditoría por su contenido técnico, sino por la relación entre quien audita y quien es auditado. Esa distinción —que parece administrativa— determina el nivel de independencia exigible y, por tanto, el valor probatorio del resultado.

Auditoría de primera parte (interna)

Es la que la propia organización realiza sobre sí misma, o encarga a un tercero en su nombre, con fines internos: verificar que el SGSI cumple los requisitos de ISO/IEC 27001, que se ha implantado conforme a lo planificado y que se mantiene eficaz. ISO/IEC 27001:2022 la exige explícitamente en su cláusula 9.2 («Auditoría interna»), a intervalos planificados. Es la auditoría de la que trata la mayor parte de este módulo, porque es la que tú vas a planificar, ejecutar o coordinar con más frecuencia como profesional de GRC.

Auditoría de segunda parte

La realizan partes con interés en la organización: un cliente que audita a su proveedor antes de firmar un contrato, o la propia organización auditando a sus proveedores críticos. No hay acreditación de por medio —el cliente no necesita estar acreditado por nadie para auditar a su proveedor—, pero sí hay un interés directo en el resultado, lo que la sitúa en un punto intermedio de independencia entre la auditoría interna y la de certificación. Es habitual en el marco de la gestión del riesgo de terceros y adquiere especial relevancia con las obligaciones de diligencia debida sobre la cadena de suministro que impone la Directiva NIS2.

Auditoría de tercera parte (certificación)

La realiza una entidad de certificación independiente, sin ningún interés comercial o contractual directo con la organización auditada más allá del propio contrato de certificación, y acreditada por un organismo nacional de acreditación —en España, ENAC— para dar fe pública del resultado. Es la única de las tres que produce un certificado con reconocimiento formal frente a terceros: clientes, licitaciones, reguladores. El resto de este módulo dedica una sección específica a este tipo de auditoría porque su metodología, aunque parte de los mismos principios de ISO 19011, añade requisitos propios de ISO/IEC 17021-1 que no aplican a la auditoría interna.

Aspecto Auditoría de 1ª parte (interna) Auditoría de 3ª parte (certificación)
Quién la realiza Personal propio formado, o un tercero contratado en nombre de la organización Auditores de una entidad de certificación acreditada por ENAC
Finalidad principal Verificación interna, mejora continua, preparación para la certificación Emitir o mantener un certificado con validez frente a terceros
Norma que la rige ISO 19011:2018 (directrices) + cláusula 9.2 de ISO/IEC 27001 ISO 19011:2018 + ISO/IEC 17021-1 (requisitos del organismo certificador)
Resultado formal Informe de auditoría interna, de uso interno Certificado ISO/IEC 27001, público y verificable
Independencia exigida Objetividad respecto al proceso auditado (el auditor no audita su propio trabajo) Independencia total: la entidad certificadora no puede haber consultado o implantado el SGSI que certifica
Consecuencia de una no conformidad mayor Se abre una acción correctiva interna; no hay pérdida de certificado porque no existe certificado en juego Puede bloquear la certificación inicial o suspender/retirar un certificado ya emitido

ISO 19011:2018: la norma que rige cualquier auditoría de sistemas de gestión

ISO 19011:2018, «Directrices para la auditoría de los sistemas de gestión», es la tercera edición de esta norma (las anteriores son de 2002 y 2011) y es la referencia metodológica común a cualquier auditoría de un sistema de gestión, sea de calidad (ISO 9001), ambiental (ISO 14001) o de seguridad de la información (ISO/IEC 27001). No es una norma certificable en sí misma: es una guía de buenas prácticas para quien gestiona programas de auditoría, para quien audita y, en menor medida, para quien es auditado. Su estructura cubre cuatro bloques: los principios de auditoría (cláusula 4), la gestión de un programa de auditoría (cláusula 5), la realización de una auditoría (cláusula 6) y la competencia y evaluación de los auditores (cláusula 7).

Los siete principios de auditoría

La edición de 2018 introdujo un séptimo principio —el enfoque basado en riesgos— que no existía en la edición de 2011, reforzando la orientación de toda la familia ISO hacia la gestión de riesgos. Estos principios no son declaraciones de buenas intenciones: cada uno tiene una traducción operativa directa en cómo se planifica y ejecuta una auditoría real.

Principio Qué exige Traducción práctica en una auditoría del SGSI
Integridad Actuar con honestidad, diligencia y responsabilidad; respetar los requisitos legales aplicables; ser imparcial y sensible a cualquier influencia que pueda ejercerse sobre el juicio del auditor El auditor no acepta hallazgos «suavizados» a petición del auditado ni oculta una no conformidad para no generar conflicto
Presentación imparcial Informar con veracidad y exactitud; los hallazgos, conclusiones e informes reflejan de forma veraz y exacta las actividades de auditoría El informe recoge tanto lo que funciona como lo que no, sin inflar fortalezas para compensar debilidades ni viceversa
Debido cuidado profesional Aplicar diligencia y juicio razonable en toda circunstancia de auditoría, acorde a la importancia de la tarea y a la confianza depositada por el cliente de la auditoría El auditor no da por válida una evidencia documental sin contrastarla; distingue entre lo que parece razonable y lo que está efectivamente demostrado
Confidencialidad Proteger la información obtenida durante la auditoría; no usarla de forma indebida en beneficio propio del auditor o del cliente de la auditoría, ni de forma que perjudique el interés legítimo del auditado El auditor externo no comparte hallazgos de una organización con un competidor; el auditor interno no filtra hallazgos sensibles fuera del canal formal del informe
Independencia Ser la base de la imparcialidad y objetividad de las conclusiones; el auditor se mantiene libre de sesgos y conflictos de interés Quien redactó una política no debería ser quien la audita; en la certificación, la entidad certificadora no puede haber prestado consultoría sobre el SGSI que certifica
Enfoque basado en la evidencia Las conclusiones de auditoría se basan en evidencia de auditoría verificable, obtenida mediante un muestreo apropiado, dado que la auditoría se realiza en un tiempo finito y con recursos limitados «Me han dicho que se hace» no es evidencia; un registro, un ticket, una captura de pantalla con fecha, un correo, sí lo son
Enfoque basado en riesgos El enfoque de riesgo influye sustancialmente en la planificación, ejecución y presentación de informes, para que la auditoría se concentre en lo significativo para el programa de auditoría y para el cliente Se dedica más tiempo de muestreo a la gestión de accesos privilegiados que al procedimiento de compra de material de oficina, porque el riesgo asociado no es comparable

El principio que con más frecuencia se pasa por alto en la práctica española es la independencia dentro de la propia auditoría interna. No es infrecuente ver a un responsable de TI auditando su propio departamento porque «es quien más sabe del tema». Eso no es una auditoría conforme a ISO 19011: es una autoevaluación con otro nombre. La cláusula 9.2.2 c) de ISO/IEC 27001:2022 lo dice de forma expresa: la organización debe asegurar que los resultados de las auditorías se informan a la dirección pertinente, y el propio anexo informativo de la norma insiste en que los auditores no deben auditar su propio trabajo.

El programa de auditoría

ISO 19011:2018 dedica su cláusula 5 a la gestión del programa de auditoría: el conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico. En la práctica de un SGSI, el programa de auditoría interna es el documento —normalmente anual— que decide qué procesos y qué cláusulas se auditan, con qué frecuencia y con qué criterio de priorización. La propia norma recomienda que ese criterio de priorización sea el riesgo: los procesos que gestionan información más crítica, los que han tenido incidentes o no conformidades previas, o los que han cambiado significativamente desde la última auditoría, se auditan con más frecuencia que los procesos estables y de bajo riesgo. Un programa de auditoría que audita todas las cláusulas y controles con la misma frecuencia, sin ninguna priorización por riesgo, incumple el espíritu —y en la práctica, el criterio de un auditor de certificación exigente lo señalará como debilidad— del enfoque basado en riesgos de la propia ISO 19011.

Competencia y evaluación de los auditores

La cláusula 7 de ISO 19011:2018 establece que la competencia de un auditor combina conocimientos y habilidades —genéricos, comunes a cualquier auditoría de sistemas de gestión, y específicos de la disciplina, en este caso seguridad de la información— con atributos personales: integridad, mentalidad abierta, diplomacia, capacidad de observación, perspicacia, versatilidad, tenacidad, capacidad de decisión y autoconfianza basada en criterio propio. No exige una certificación concreta como requisito obligatorio —ISO 19011 es una guía, no una norma de certificación de personas—, pero en la práctica del mercado la competencia de un auditor interno de SGSI se demuestra habitualmente mediante formación específica en ISO/IEC 27001 (por ejemplo, cursos de auditor interno o «Lead Auditor» impartidos por organismos de formación acreditados) y experiencia demostrable auditando o implantando sistemas de gestión. La organización debe evaluar y mantener registros de la competencia de sus auditores internos, y ese mismo registro suele ser, además, una de las primeras evidencias que solicita un auditor de certificación al revisar el proceso de auditoría interna.

La auditoría interna del SGSI, paso a paso

Esta es la secuencia operativa completa, desde la planificación hasta el seguimiento, tal y como la aplicará cualquier equipo de GRC responsable de mantener vivo el SGSI entre certificaciones.

1. Planificación: el programa anual basado en riesgos

El punto de partida no es «vamos a auditar el control de acceso este trimestre», sino el análisis de qué procesos, controles y ubicaciones representan mayor riesgo para el SGSI y, por tanto, merecen mayor frecuencia o profundidad de auditoría. Un programa anual razonable para una organización mediana suele cubrir, a lo largo del año, la totalidad de las cláusulas de gestión (4 a 10) y una muestra representativa de los controles del Anexo A recogidos en la Declaración de Aplicabilidad, de forma que en un ciclo de tres años —coincidiendo, no por casualidad, con el ciclo de certificación— se haya auditado todo el alcance del SGSI al menos una vez, con los procesos de mayor riesgo revisados más de una vez en ese periodo.

2. Plan de auditoría

Para cada auditoría concreta dentro del programa, se elabora un plan de auditoría: objetivos, alcance (qué cláusulas, controles, procesos, ubicaciones o departamentos entran), criterios de auditoría (contra qué se compara: la propia norma, la política interna, procedimientos, contratos), fechas, duración, equipo auditor asignado y, cuando aplica, el idioma y la logística de la auditoría. El plan se comunica al auditado con antelación razonable para que pueda organizar la disponibilidad de personal y evidencias, salvo en auditorías deliberadamente no anunciadas, que también tienen cabida como técnica de muestreo cuando el riesgo lo justifica.

3. Lista de verificación (checklist)

El auditor traduce los criterios de auditoría en preguntas concretas y verificables: no «¿tenéis gestión de accesos?» sino «muéstreme el registro de altas y bajas de accesos con privilegios administrativos de los últimos tres meses y contrástelo con el listado actual de empleados en nómina». Un checklist bien construido referencia explícitamente la cláusula o el control de ISO/IEC 27001/27002 que verifica cada pregunta, de forma que el hallazgo, si lo hay, se pueda anclar sin ambigüedad al requisito incumplido.

4. Reunión de apertura

Breve, formal y con las personas clave del área auditada presentes: se confirma el alcance, los objetivos, el plan de horarios, el método de trabajo (entrevistas, observación, revisión documental), el canal de comunicación de hallazgos durante la auditoría y se resuelven dudas antes de empezar. En auditorías de certificación, esta reunión suele incluir también la presentación formal del equipo auditor y la confirmación de la disponibilidad de la alta dirección para la reunión de cierre.

5. Recogida de evidencias por muestreo

El núcleo del trabajo de campo. ISO 19011:2018 reconoce tres técnicas principales, que se combinan entre sí:

  • Entrevistas a los responsables y ejecutores del proceso, formuladas de forma abierta para no inducir la respuesta, y siempre que sea posible corroboradas con evidencia documental o de observación.
  • Observación directa de actividades y del entorno de trabajo: cómo se gestiona físicamente el acceso a una sala de servidores, si las pantallas quedan bloqueadas al ausentarse el puesto, si existe control de visitantes real más allá del procedimiento escrito.
  • Revisión documental de registros, políticas, procedimientos, actas, tickets, logs y cualquier evidencia que demuestre que lo que dice el procedimiento se ejecuta realmente. Dado que ninguna auditoría puede revisar el 100% de los registros de un año, el muestreo se diseña con criterio de riesgo: se prioriza revisar los periodos, ubicaciones o casos con mayor probabilidad de desviación, no una muestra puramente aleatoria sin ningún criterio.

6. Redacción de hallazgos

Cada hallazgo se contrasta con el auditado en el momento de detectarlo, antes de darlo por cerrado, para evitar errores de interpretación. Un hallazgo bien redactado —se desarrolla con detalle en la siguiente sección— ancla siempre tres elementos: el requisito de referencia, la evidencia objetiva encontrada y la declaración del hallazgo (la brecha entre uno y otra).

7. Reunión de cierre

Se presentan a la dirección y a los responsables del área auditada las conclusiones: fortalezas observadas, no conformidades (mayores y menores) y observaciones u oportunidades de mejora. El auditado tiene la oportunidad de manifestar su desacuerdo motivado con un hallazgo antes de que el informe se dé por definitivo, aunque la decisión final sobre mantener o retirar un hallazgo corresponde al equipo auditor, no al auditado.

8. Informe de auditoría

Documento formal que recoge el alcance, los criterios, el equipo auditor, las fechas, un resumen del proceso seguido, los hallazgos clasificados por tipo y las conclusiones generales sobre la conformidad y eficacia del SGSI en el ámbito auditado. Es un registro obligatorio conforme a la cláusula 9.2 de ISO/IEC 27001 y una de las primeras evidencias que un auditor de certificación solicitará revisar.

9. Seguimiento

Ninguna auditoría interna está completa sin el cierre efectivo de las no conformidades detectadas: verificar que la acción correctiva propuesta se ha implantado y que ha sido eficaz, no solo que se ha «marcado como cerrada» en una hoja de cálculo. Esta es, en la experiencia de auditores de certificación, una de las debilidades más frecuentes: programas de auditoría interna que generan hallazgos pero cuyo seguimiento se diluye porque nadie con autoridad suficiente exige el cierre real.

Hallazgos: no conformidad mayor, menor y observación

No todo lo que un auditor encuentra tiene la misma gravedad, y tratarlo como si la tuviera —o, en sentido contrario, restar importancia sistemáticamente a cualquier hallazgo— es uno de los errores de calibración más habituales tanto en auditoría interna como en la relación con el auditor de certificación.

Tipo de hallazgo Criterio Ejemplo Consecuencia típica
No conformidad mayor Ausencia o fallo total de un requisito del sistema de gestión que compromete su capacidad de lograr los resultados previstos; también la acumulación de varias no conformidades menores relacionadas que, en conjunto, representan un fallo sistémico; o una no conformidad menor no resuelta de una auditoría anterior No se ha realizado ninguna auditoría interna en el periodo exigido; el análisis de riesgos no se ha actualizado en más de dos años pese a cambios significativos en los sistemas; la alta dirección no puede demostrar ninguna evidencia de revisión del SGSI En auditoría de certificación, bloquea la emisión o el mantenimiento del certificado hasta que se resuelve; requiere una acción correctiva verificada, en ocasiones con una visita de seguimiento específica
No conformidad menor Incumplimiento puntual, aislado, que no compromete la capacidad global del sistema para lograr los resultados previstos ni indica un fallo sistémico Un registro de formación de un empleado concreto no está actualizado; un procedimiento documentado no se ha revisado en la fecha prevista, aunque el proceso en sí se ejecuta correctamente; una política menor no se ha comunicado a un colectivo reducido de nuevas incorporaciones No bloquea la certificación; se exige un plan de acción correctiva con plazo, cuyo cierre se suele verificar en la siguiente auditoría de seguimiento
Observación / oportunidad de mejora No constituye un incumplimiento de ningún requisito, pero el auditor detecta un riesgo potencial de convertirse en no conformidad si no se atiende, o una posibilidad clara de mejorar la eficacia del sistema Un procedimiento es conforme pero está redactado de forma ambigua y podría generar interpretaciones distintas entre turnos; un control es eficaz pero depende en exceso de una única persona sin plan de contingencia No requiere respuesta formal obligatoria, aunque una organización madura la trata igualmente como entrada de mejora continua

Cómo se redacta bien una no conformidad

La estructura que exige cualquier auditor riguroso —y la que se enseña en formación de auditor líder de ISO/IEC 27001— combina siempre tres elementos, sin excepción:

  • El requisito de referencia: la cláusula exacta de ISO/IEC 27001, el control del Anexo A, o el procedimiento interno de la propia organización que se está incumpliendo. No basta con «falta control de accesos»: hay que citar el punto exacto.
  • La evidencia objetiva: el hecho concreto, verificable y fechado que demuestra el incumplimiento. Un registro que falta, una fecha que no coincide, una respuesta contrastada en entrevista y confirmada documentalmente. Sin evidencia objetiva no hay no conformidad: hay una sospecha, y una sospecha no se redacta como hallazgo.
  • La declaración del hallazgo: la frase que conecta lo anterior, describiendo con precisión la brecha entre lo que el requisito exige y lo que la evidencia demuestra, sin opiniones, sin nombrar a personas concretas (se nombra el proceso, no al responsable) y sin ambigüedad sobre qué se incumple.

Un hallazgo mal redactado —«la gestión de accesos no es buena»— es inútil: no orienta la acción correctiva, es discutible en la reunión de cierre y no resiste una auditoría de certificación posterior. Un hallazgo bien redactado permite a cualquier tercero, sin haber estado presente en la auditoría, entender exactamente qué falló y contra qué requisito.

Corrección, acción correctiva y análisis de causa raíz

Es, con diferencia, la confusión más habitual entre organizaciones que llevan poco tiempo con un SGSI operativo, y una de las primeras cosas que un auditor de certificación experimentado comprueba: si la organización distingue de verdad entre corregir un síntoma y corregir una causa.

Corrección

Es la acción inmediata para eliminar la no conformidad detectada, sin necesariamente atacar su origen. Si el hallazgo es «el registro de altas de accesos de marzo está incompleto», la corrección es completar ese registro concreto. Resuelve el caso puntual, no evita que vuelva a ocurrir el mes siguiente.

Acción correctiva

Es la acción dirigida a eliminar la causa de la no conformidad, de forma que no vuelva a producirse. Exige, como paso previo obligatorio, identificar por qué ocurrió realmente el fallo, no solo qué falló. La cláusula 10.2 de ISO/IEC 27001:2022 exige explícitamente que la organización, ante una no conformidad, reaccione (corrija y afronte las consecuencias), evalúe la necesidad de eliminar la causa —para que no vuelva a ocurrir, ni allí ni en ningún otro lugar donde pueda producirse una situación similar—, implante la acción necesaria, revise su eficacia y, si es necesario, modifique el propio SGSI.

Análisis de causa raíz: la técnica de los 5 porqués

La técnica más extendida y accesible para llegar a la causa raíz es preguntar «¿por qué?» de forma sucesiva —habitualmente cinco veces, aunque el número no es una regla fija sino una guía— hasta llegar a una respuesta que ya no admite un porqué adicional útil y que apunta a una condición de fondo, no a un síntoma. Aplicada al ejemplo anterior:

Pregunta Respuesta
¿Por qué el registro de altas de accesos de marzo está incompleto? Porque el administrador de sistemas no registró dos altas de accesos privilegiados ese mes
¿Por qué no las registró? Porque las gestionó de forma urgente, fuera del procedimiento habitual, ante una incidencia
¿Por qué gestionar una incidencia le hizo saltarse el registro? Porque el procedimiento de gestión de accesos no contempla un circuito específico para altas urgentes: solo describe el circuito ordinario
¿Por qué el procedimiento no contempla ese circuito, si las urgencias son previsibles? Porque el procedimiento se redactó copiando una plantilla genérica y no se validó contra los escenarios reales del área de sistemas
¿Por qué no se validó contra escenarios reales? Porque no hubo participación del equipo de sistemas en la revisión del procedimiento antes de su aprobación

La causa raíz no es «el administrador se olvidó»: es que el procedimiento se diseñó sin la validación de quien lo iba a ejecutar y no cubre un escenario previsible. La acción correctiva eficaz, por tanto, no es «recordar al administrador que rellene el registro» —eso es, en el mejor de los casos, una corrección de comportamiento con caducidad—, sino rediseñar el procedimiento incluyendo un circuito de altas urgentes con registro simplificado a posteriori, y validarlo con el equipo que lo ejecuta. Otras técnicas de análisis de causa raíz habituales en un SGSI maduro son el diagrama de Ishikawa (causa-efecto o «espina de pescado»), útil cuando confluyen varias causas de naturaleza distinta (personas, procesos, tecnología, entorno), y el análisis de modos de fallo (AMFE/FMEA) para procesos críticos con múltiples puntos de fallo posibles.

La certificación por una entidad acreditada

Certificarse en ISO/IEC 27001 significa que una entidad de certificación independiente, tras auditar el SGSI, emite un certificado que declara que el sistema de gestión cumple los requisitos de la norma. Ese certificado solo tiene el valor de mercado que la mayoría de organizaciones busca —reconocimiento en licitaciones, confianza de clientes, cumplimiento de requisitos contractuales— si la entidad que lo emite está acreditada para hacerlo.

Acreditación: el papel de ENAC

En España, ENAC (Entidad Nacional de Acreditación) es, conforme al Real Decreto 1715/2010, el único organismo con potestad pública para conceder acreditaciones de acuerdo con el Reglamento (CE) n.º 765/2008. La acreditación es la declaración formal de ENAC de que una entidad de certificación ha demostrado disponer de la competencia técnica, la imparcialidad y la consistencia necesarias para certificar sistemas de gestión conforme a una norma concreta —en este caso, ISO/IEC 27001— cumpliendo a su vez los requisitos de ISO/IEC 17021-1, la norma internacional que regula precisamente cómo deben operar los organismos que certifican sistemas de gestión. En España operan varias entidades de certificación acreditadas por ENAC para ISO/IEC 27001 —entre ellas AENOR, Bureau Veritas, TÜV Rheinland, LRQA, DNV, SGS o Applus+—, y el listado oficial y actualizado puede consultarse en el buscador de entidades acreditadas de ENAC. Contratar una certificación con una entidad no acreditada no es ilegal, pero el certificado resultante carece del reconocimiento formal que sí tiene uno emitido por una entidad acreditada, y en la práctica muchas licitaciones y clientes corporativos exigen expresamente que la certificación provenga de una entidad acreditada por un organismo miembro de la red internacional de acreditación (IAF).

La auditoría de certificación en dos fases

ISO/IEC 17021-1 exige que la auditoría de certificación inicial se desarrolle en dos fases diferenciadas, con objetivos distintos y, habitualmente, separadas en el tiempo.

Aspecto Fase 1 Fase 2
Objetivo principal Revisar la documentación del SGSI y evaluar si la organización está preparada para la Fase 2; identificar áreas de preocupación que podrían clasificarse como no conformidad en la siguiente fase Evaluar la implantación y eficacia real del SGSI: si funciona en la práctica, no solo sobre el papel
Qué revisa Alcance del SGSI, política de seguridad, análisis de riesgos, Declaración de Aplicabilidad (SoA), documentación obligatoria de las cláusulas 4 a 10, estado de la auditoría interna y de la revisión por la dirección Aplicación real de los controles del Anexo A recogidos en la SoA, evidencias de operación (registros, tickets, logs), entrevistas al personal, eficacia de la gestión de incidentes y de las acciones correctivas abiertas
Modalidad habitual Puede realizarse in situ o de forma remota, y con frecuencia con menor presencia de personal que la Fase 2 Se realiza in situ (presencial), salvo excepciones justificadas y documentadas por la propia entidad certificadora
Resultado Informe de Fase 1 con hallazgos y recomendación sobre si procede continuar a Fase 2, y en qué plazo Informe de Fase 2 con la clasificación final de hallazgos (mayores, menores, observaciones) y la recomendación de certificar o no
Consecuencia de una no conformidad mayor Puede retrasar el paso a Fase 2 hasta su resolución Bloquea la decisión de certificación hasta que se verifica la acción correctiva, habitualmente con evidencia documental remitida al auditor, sin necesidad de repetir toda la visita

La decisión de certificación

Un principio estructural de ISO/IEC 17021-1 es que la decisión de certificar no la toma el mismo auditor o equipo auditor que ha realizado la auditoría: la entidad de certificación designa a una persona o comité de decisión, independiente del proceso de auditoría, que revisa el informe completo y decide si se emite el certificado. Esta segregación de funciones dentro de la propia entidad certificadora replica, a otro nivel, el mismo principio de independencia que ISO 19011 exige dentro de la auditoría interna: quien ejecuta no es quien decide sobre su propio trabajo.

El ciclo de certificación de tres años

Un certificado ISO/IEC 27001 tiene una validez de tres años, durante los cuales la entidad certificadora no se limita a emitir el certificado y desaparecer: mantiene una supervisión activa mediante auditorías de seguimiento.

Año Tipo de auditoría Alcance y profundidad
Año 1 Auditoría de certificación inicial (Fase 1 + Fase 2) Cobertura completa del sistema de gestión y muestra representativa de los controles del Anexo A según la SoA
Año 2 Auditoría de seguimiento (vigilancia) Alcance más reducido que la inicial: verifica que el SGSI se mantiene, revisa el cierre de no conformidades previas y muestrea una selección de controles y de cambios significativos desde la última visita
Año 3 Auditoría de seguimiento (vigilancia) Similar a la del año 2, con atención reforzada a los controles no muestreados en la vigilancia anterior
Año 3 (fin de ciclo) Auditoría de recertificación Cobertura equivalente a la certificación inicial —todas las cláusulas de gestión y una muestra representativa renovada del Anexo A—, aunque en la práctica suele ser más eficiente porque el equipo auditor ya conoce la organización; si se supera, abre un nuevo ciclo de tres años

Una no conformidad mayor detectada en una auditoría de seguimiento no espera al ciclo de recertificación: la entidad certificadora fija un plazo —habitualmente entre uno y tres meses, según su propio procedimiento acreditado— para que la organización implante y demuestre la acción correctiva; si no se resuelve en plazo, el certificado puede quedar suspendido y, si la situación persiste, retirado.

Qué hace fallar una certificación

En la experiencia de auditores de certificación, los motivos de fracaso rara vez son sorpresas técnicas: son señales que ya estaban presentes meses antes de la visita.

  • No conformidades mayores sin resolver en el plazo fijado por la entidad certificadora, típicamente porque la acción correctiva propuesta ataca el síntoma y no la causa raíz, y el problema reaparece en la verificación.
  • Un SGSI documentado pero no operado: políticas y procedimientos bien redactados, pero sin evidencia de que se ejecuten en el día a día —el patrón más frecuente y más fácil de detectar para un auditor experimentado, porque basta con pedir evidencia de un periodo concreto y comprobar que no existe.
  • Falta de evidencias, incluso cuando el control sí se aplica en la práctica: un SGSI que funciona pero no deja rastro verificable es, a efectos de auditoría, indistinguible de uno que no funciona. La máxima operativa que resume esto es tan repetida como cierta: lo que no está documentado y evidenciado, no existe para el auditor.
  • Compromiso insuficiente de la alta dirección: revisiones por la dirección (cláusula 9.3) que se celebran de forma nominal, sin decisiones ni asignación real de recursos, o un apetito de riesgo que nunca se aprobó formalmente.
  • Auditoría interna inexistente o meramente formal: si el propio programa de auditoría interna de la organización no detecta nada nunca, es una señal de alarma para el auditor externo, no un signo de buena salud del SGSI.

Caso práctico: redactar dos no conformidades

A partir de dos situaciones detectadas durante una auditoría interna del SGSI de una empresa de desarrollo de software, redactamos los dos hallazgos con la estructura de tres elementos —requisito, evidencia objetiva, declaración del hallazgo— y su clasificación.

Situación 1: revisión por la dirección

Durante la auditoría, se solicita el acta de la última revisión por la dirección del SGSI. El responsable de calidad informa de que la última revisión formal documentada data de hace 22 meses, pese a que el procedimiento interno establece una periodicidad anual. No existe evidencia de que en ese periodo la dirección haya recibido información sobre el estado de las no conformidades, los resultados de auditorías previas, el desempeño de los objetivos de seguridad o los cambios en el contexto de riesgo. Se trata de una ausencia prolongada y sin ninguna evidencia compensatoria, que afecta a un elemento nuclear del ciclo PDCA del sistema de gestión.

NO CONFORMIDAD MAYOR — N.º [XX]

Cláusula/requisito de referencia:
ISO/IEC 27001:2022, cláusula 9.3 (Revisión por la dirección) y
procedimiento interno PSGSI-04 "Revisión por la dirección",
apartado 3.1, que establece periodicidad anual obligatoria.

Evidencia objetiva:
El acta de revisión por la dirección disponible en el gestor
documental (ref. ACT-RD-2024-01) está fechada el [fecha, hace
22 meses]. No existe ningún acta posterior. Entrevistado el
responsable de calidad, confirma que no se ha convocado ni
celebrado ninguna revisión por la dirección desde esa fecha.
No hay evidencia de que la dirección haya recibido información
sobre no conformidades abiertas, resultados de auditoría interna,
desempeño de objetivos de seguridad ni cambios de contexto en
dicho periodo.

Declaración del hallazgo:
La organización no ha realizado la revisión por la dirección del
SGSI en el plazo exigido por su propio procedimiento (periodicidad
anual), acumulando un incumplimiento de 22 meses sin ninguna
evidencia de supervisión equivalente por parte de la alta dirección
durante ese periodo. Esta ausencia compromete la capacidad del
SGSI para asegurar su idoneidad, adecuación y eficacia continuas,
constituyendo un fallo sistémico y no un incidente puntual.

Clasificación: NO CONFORMIDAD MAYOR

Situación 2: registro de formación en concienciación

Se revisa el registro de formación anual en concienciación de seguridad de la información. De una plantilla de 48 empleados, 45 tienen constancia de haber completado la formación del año en curso; a 3 empleados de reciente incorporación (menos de dos meses en la empresa) no se les ha asignado todavía la formación, aunque el procedimiento de onboarding sí la contempla como tarea pendiente asignada a RR.HH. dentro del primer mes.

NO CONFORMIDAD MENOR — N.º [XX]

Cláusula/requisito de referencia:
ISO/IEC 27001:2022, cláusula 7.3 (Toma de conciencia) y
procedimiento interno PSGSI-07 "Onboarding y formación en
seguridad", que exige asignar la formación de concienciación
dentro del primer mes desde la incorporación.

Evidencia objetiva:
El registro de formación (hoja "Formación-2026" del gestor de
RR.HH.) muestra 45 de 48 empleados con la formación anual
completada. Los 3 empleados restantes —[iniciales o referencia
de puesto, sin nombre propio]— se incorporaron hace menos de
dos meses y no tienen la formación asignada en el sistema,
pese a que el procedimiento de onboarding la marca como tarea
obligatoria de RR.HH. dentro del primer mes.

Declaración del hallazgo:
Tres empleados de reciente incorporación no tienen asignada la
formación de concienciación en seguridad de la información dentro
del plazo de un mes que establece el procedimiento interno de
onboarding, si bien el proceso de formación en su conjunto se
aplica de forma correcta al 94% de la plantilla. Se trata de una
desviación puntual y acotada, sin indicios de fallo sistémico del
proceso de concienciación.

Clasificación: NO CONFORMIDAD MENOR

Nótese la diferencia de fondo entre ambos casos: en la Situación 1, el fallo afecta a un elemento nuclear del sistema de gestión durante un periodo prolongado y sin ninguna evidencia compensatoria —criterio de no conformidad mayor—; en la Situación 2, el proceso funciona en conjunto (94% de cobertura) y el incumplimiento es puntual, acotado a un colectivo pequeño y con causa identificable de forma inmediata —criterio de no conformidad menor—. Ese es exactamente el tipo de juicio que un auditor de certificación aplicará sobre cualquier hallazgo que le presentes, y el mismo criterio que debes aplicar en tu propia auditoría interna si quieres que sea creíble ante ese auditor externo.

Para profundizar en cómo se traduce un hallazgo de auditoría en una respuesta técnica real cuando lo que falla es la contención de un incidente, este curso conecta con el módulo de DFIR y respuesta a incidentes. Y si la no conformidad detectada afecta a controles técnicos sobre el directorio corporativo —gestión de privilegios, segmentación, hardening—, el curso de defensa de Active Directory desarrolla en profundidad los controles que con más frecuencia generan hallazgos en auditorías reales de SGSI.

Errores comunes

  • Auditoría interna «de cumplido»: se celebra porque la cláusula 9.2 lo exige, con checklist genérico, sin muestreo real de evidencia y sin generar jamás un hallazgo. Es la señal de alarma más clara para cualquier auditor de certificación mínimamente experimentado: un SGSI real, operado por personas, genera desviaciones; si la auditoría interna nunca encuentra ninguna, lo más probable es que no esté mirando de verdad.
  • Confundir corrección con acción correctiva: cerrar el registro concreto que faltaba y dar el hallazgo por resuelto, sin preguntarse por qué faltaba ni sin modificar nada que evite que vuelva a faltar el mes siguiente.
  • Ir a la auditoría de certificación sin haber pasado antes una auditoría interna real —o habiéndola pasado, pero meses antes de que el SGSI llevara tiempo suficiente operando con evidencia acumulada—: el auditor de certificación no evalúa la intención, evalúa el histórico de operación real.
  • Que el mismo perfil redacte, implante y audite un control, rompiendo el principio de independencia y objetividad exigido tanto por ISO 19011 como por la cláusula 9.2 de ISO/IEC 27001.
  • Tratar toda no conformidad como si fuera de la misma gravedad, ya sea inflando observaciones menores a mayores por exceso de celo, ya sea, en sentido contrario, rebajando sistemáticamente hallazgos serios a «observaciones» para no generar ruido con dirección.
  • No verificar la eficacia de la acción correctiva, dando el hallazgo por cerrado en cuanto se implanta un cambio, sin comprobar en una fecha posterior que el problema no ha reaparecido.
  • Contratar una entidad de certificación sin comprobar que está acreditada por ENAC (o por el organismo de acreditación equivalente en otro país de la UE, reconocido dentro de la red EA/IAF) para el alcance concreto que se necesita certificar.

Ejercicio

Durante una auditoría interna del SGSI de una empresa de comercio electrónico, se detectan las siguientes cuatro situaciones. Para cada una, indica si corresponde a no conformidad mayor, no conformidad menor u observación/oportunidad de mejora, y justifica tu respuesta:

  1. El análisis de riesgos del SGSI no se ha revisado desde su aprobación inicial hace 3 años, pese a que en ese periodo la empresa ha migrado toda su infraestructura a la nube, ha lanzado dos nuevas líneas de negocio digitales y ha sufrido un incidente de seguridad relevante; no existe ninguna evidencia de reevaluación del riesgo asociada a ninguno de esos cambios.
  2. El procedimiento de copias de seguridad exige verificar mensualmente la restaurabilidad de una copia de prueba. El registro muestra que en 11 de los últimos 12 meses la verificación se realizó y quedó documentada; en el mes de diciembre, coincidiendo con vacaciones del responsable, no hay evidencia de que se realizara, aunque las copias en sí se generaron con normalidad según los logs del sistema de backup.
  3. El procedimiento de gestión de incidentes es conforme y se aplica correctamente, pero el auditor observa que depende en su totalidad de una única persona (el responsable de seguridad), sin ningún suplente formado ni documentación suficiente para que otra persona pudiera ejecutarlo en su ausencia.
  4. No existe ningún registro de que se haya realizado nunca una auditoría interna del SGSI desde su implantación hace 18 meses, pese a que el procedimiento interno exige una auditoría anual y el SGSI ya lleva tiempo operativo suficiente para haber completado al menos un ciclo.

Pista de corrección: la situación 1 es no conformidad mayor —ausencia prolongada de reevaluación del riesgo pese a cambios sustanciales y a un incidente relevante, que compromete un elemento nuclear del ciclo de gestión de riesgos—; la situación 2 es no conformidad menor —incumplimiento puntual y acotado a un mes, con causa identificable, sobre un proceso que en conjunto se ejecuta correctamente (11 de 12 meses) y sin que las copias en sí se hayan visto comprometidas—; la situación 3 es una observación/oportunidad de mejora —el control es conforme y eficaz, no hay incumplimiento de ningún requisito, pero existe un riesgo claro de continuidad que conviene atender antes de que se materialice—; la situación 4 es no conformidad mayor —ausencia total de un requisito nuclear del sistema de gestión (la propia auditoría interna que exige la cláusula 9.2) durante todo el tiempo que el SGSI lleva operativo, lo que además compromete la fiabilidad de cualquier otra evidencia de conformidad presentada, al no haber existido ningún mecanismo interno de verificación—.

Preguntas frecuentes

¿Puede la misma persona hacer de auditor interno del SGSI y haber participado en su implantación?

Puede participar en la implantación general del SGSI, pero no puede auditar los procesos o controles concretos que ella misma diseñó, implantó o gestiona de forma directa, porque rompería el principio de independencia y objetividad de ISO 19011 y el requisito explícito de la cláusula 9.2 de ISO/IEC 27001 de que los auditores no evalúen su propio trabajo. En organizaciones pequeñas con pocos perfiles disponibles, la solución habitual es la auditoría cruzada: dos responsables de áreas distintas se auditan mutuamente sus respectivos procesos, o se subcontrata la auditoría interna —total o parcialmente— a un consultor externo independiente, especialmente para los procesos donde la segregación interna no es posible.

¿Cuánto dura una auditoría de certificación ISO/IEC 27001 (Fase 1 + Fase 2)?

No existe una cifra única: ISO/IEC 17021-1 exige que cada entidad certificadora calcule el tiempo de auditoría (habitualmente en días-persona auditora) según criterios objetivos —número de empleados dentro del alcance del SGSI, número de ubicaciones, complejidad técnica, número de controles aplicables según la Declaración de Aplicabilidad— siguiendo sus propios procedimientos acreditados, alineados con las directrices del IAF (International Accreditation Forum) para el cálculo de duración de auditorías de sistemas de gestión. Para una pyme de alcance acotado, es habitual que la suma de Fase 1 y Fase 2 se sitúe en el rango de 2 a 5 días-persona auditora; organizaciones grandes o con varias ubicaciones requieren considerablemente más. La cifra exacta la fija la entidad certificadora elegida al revisar la solicitud, no es una cifra libre que la organización pueda negociar a la baja sin justificación técnica.

¿Qué ocurre si se detecta una no conformidad mayor en la Fase 2 de la certificación inicial?

No implica automáticamente el fracaso definitivo del proceso, pero sí bloquea la emisión del certificado hasta que se resuelve. La organización debe implantar una acción correctiva —con análisis de causa raíz, no solo corrección del síntoma— y remitir a la entidad certificadora evidencia objetiva de que se ha implantado y es eficaz, dentro del plazo que fije el procedimiento de la propia entidad. Dependiendo de la naturaleza del hallazgo, la verificación puede hacerse mediante revisión documental remota o, si el hallazgo lo justifica, mediante una visita de seguimiento adicional in situ. Solo cuando el comité de decisión de la entidad certificadora —independiente del equipo auditor— da por verificada la resolución, se emite el certificado.

¿La auditoría de seguimiento anual es tan exhaustiva como la certificación inicial?

No. Las auditorías de seguimiento (años 1 y 2 tras la certificación inicial, dentro del ciclo de tres años) tienen un alcance más reducido: verifican que el SGSI se mantiene y opera con eficacia, revisan el cierre de no conformidades de la visita anterior, muestrean cambios significativos ocurridos desde entonces y suelen rotar la muestra de controles del Anexo A revisados, de forma que a lo largo del ciclo completo de tres años se acabe cubriendo una representación amplia del alcance certificado. La auditoría de recertificación, al final del ciclo, sí recupera una cobertura equivalente a la certificación inicial.

¿Qué diferencia hay entre estar «acreditado» y estar «certificado»?

Se acredita a organismos —en el caso de ISO/IEC 27001, a las entidades de certificación, por parte de ENAC en España, conforme a ISO/IEC 17021-1—; se certifica a organizaciones, que reciben el certificado ISO/IEC 27001 emitido por una de esas entidades acreditadas. Son conceptos en cascada: ENAC acredita a AENOR (o a cualquier otra entidad certificadora), y AENOR certifica a la empresa que ha auditado. Una organización nunca «se acredita» a sí misma en ISO/IEC 27001; se certifica frente a una entidad, y esa entidad es la que, idealmente, está acreditada.

«Auditing is characterised by reliance on a number of principles. These should help to make the audit an effective and reliable tool in support of management policies and controls, by providing information on which an organization can act in order to improve its performance.» — International Organization for Standardization (ISO), ISO 19011:2018 — Guidelines for auditing management systems, cláusula 4.