Plan de recuperación tras una auditoría ISO 27001:2022 fallida
El correo que nadie quería recibir
El correo llega tarde un viernes con un asunto que parece inofensivo: “Resultado de la auditoría de transición.”
El contenido no es inofensivo. El organismo de certificación ha levantado una no conformidad mayor. El certificado ISO/IEC 27001 queda suspendido o la decisión de transición no puede cerrarse. La nota del auditor es directa: la Declaración de Aplicabilidad no justifica los controles excluidos, la evaluación de riesgos no refleja el contexto actual y no hay evidencias suficientes de que se hayan considerado las nuevas obligaciones regulatorias.
En menos de una hora, el problema deja de ser solo una cuestión de cumplimiento. Ventas pregunta si una licitación del sector público está ahora en riesgo. Legal revisa las cláusulas contractuales con clientes. El CISO explica por qué la SoA no cuadra con el Plan de Tratamiento de Riesgos. El Director General formula la única pregunta que importa: “¿En cuánto tiempo podemos corregirlo?”
Para muchas organizaciones, el vencimiento del plazo de transición a ISO 27001:2022 no generó una brecha teórica. Generó un problema activo de continuidad del negocio. Una auditoría de transición a ISO 27001:2022 omitida o fallida puede afectar a la elegibilidad en licitaciones, la incorporación de proveedores, los seguros de ciberriesgo, el aseguramiento frente a clientes, la preparación ante NIS2, las expectativas de DORA, la responsabilidad proactiva en GDPR y la confianza del Consejo de Administración.
La buena noticia es que la recuperación es posible. La mala noticia es que maquillar documentos no funciona. La recuperación debe tratarse como un programa disciplinado de acciones correctivas del SGSI, no como una reescritura apresurada de políticas.
En Clarysec, organizamos esta recuperación en torno a tres activos conectados:
- Zenith Blueprint: hoja de ruta de 30 pasos para auditores, especialmente la fase de auditoría, revisión y mejora.
- La biblioteca de políticas empresariales y para pymes de Clarysec, que convierte los hallazgos de auditoría en obligaciones gobernadas.
- Zenith Controls: la guía de cumplimiento cruzado, que ayuda a conectar las expectativas de controles de ISO/IEC 27002:2022 con NIS2, DORA, GDPR, el enfoque de aseguramiento tipo NIST y las perspectivas de gobernanza de COBIT 2019.
Este es el plan práctico de recuperación para CISOs, responsables de cumplimiento, auditores, fundadores y propietarios de negocio que incumplieron el plazo de transición a ISO 27001:2022 o no superaron la auditoría de transición.
Primero, diagnostica el modo de fallo
Antes de editar una sola política, clasifica la situación. No todas las transiciones fallidas u omitidas tienen el mismo impacto en la organización ni la misma vía de recuperación. Las primeras 24 horas deben centrarse en obtener el informe de auditoría, la decisión del organismo de certificación, la redacción de la no conformidad, las solicitudes de evidencias, los plazos y el estado actual del certificado.
| Situación | Impacto en la organización | Acción inmediata |
|---|---|---|
| Auditoría de transición fallida con no conformidad mayor | La decisión de certificación puede bloquearse o el certificado puede quedar suspendido hasta que se corrija el problema | Abrir CAPA, realizar análisis de causa raíz y confirmar las expectativas de evidencias con el organismo de certificación |
| Auditoría de transición superada con no conformidades menores | La certificación puede continuar si se aceptan las acciones correctivas | Cerrar rápidamente las CAPA menores y actualizar el paquete de evidencias del SGSI |
| Transición no completada antes del plazo | El certificado puede dejar de ser válido o reconocido | Confirmar el estado con el organismo de certificación y planificar la vía de transición o recertificación |
| Auditoría de seguimiento reveló evidencias débiles de transición | La certificación puede estar en riesgo en el siguiente punto de decisión | Ejecutar una auditoría simulada y actualizar la SoA, el tratamiento de riesgos, la revisión por la dirección y los registros de auditoría interna |
| Un cliente rechazó tu certificado o tus evidencias de transición | Riesgo comercial, riesgo en licitaciones e impacto en la confianza | Preparar un paquete de aseguramiento para clientes con estado de auditoría, plan CAPA, fechas objetivo y aprobación de gobernanza |
El plan de recuperación depende del modo de fallo. Una decisión de certificación bloqueada requiere remediación dirigida. Un certificado suspendido exige una reparación urgente de gobernanza y evidencias. Un certificado retirado o caducado puede requerir una vía de recertificación más amplia.
En todos los casos, mapea cada problema con la cláusula pertinente del SGSI, el control del Anexo A, el registro de riesgos, el propietario de la política, la obligación legal o contractual y la fuente de evidencias.
Aquí es donde ISO/IEC 27001:2022 importa como sistema de gestión, no simplemente como catálogo de controles. Las cláusulas 4 a 10 exigen que el SGSI comprenda el contexto, las partes interesadas, el alcance, el liderazgo, la planificación de riesgos, el soporte, la operación, la evaluación del desempeño y la mejora continua. Si la transición falló, normalmente se ha roto uno de esos vínculos del sistema de gestión.
Por qué fallan las auditorías de transición a ISO 27001:2022
Las auditorías de transición fallidas suelen agruparse en patrones repetidos. Muchos no son profundamente técnicos. Son fallos de gobernanza, trazabilidad, propiedad y evidencias.
| Patrón de hallazgo | Qué ve el auditor | Qué suele significar |
|---|---|---|
| Declaración de Aplicabilidad no actualizada o no justificada | Los controles se marcan como aplicables sin justificación, o se excluyen sin evidencias | La selección de controles no es trazable al riesgo, la regulación o una necesidad de negocio |
| La evaluación de riesgos no refleja las obligaciones actuales | Faltan NIS2, DORA, GDPR, contratos con clientes, dependencias de servicios en la nube o riesgo de proveedores | El contexto y los criterios de riesgo no se actualizaron |
| La revisión por la dirección es superficial | Existen actas, pero no se tratan decisiones, recursos, objetivos, resultados de auditoría ni cambios de riesgo | La responsabilidad proactiva del liderazgo no está operando |
| La auditoría interna no probó el alcance de transición | La lista de verificación de auditoría es genérica y no cubre controles actualizados, proveedores, nube, resiliencia u obligaciones legales | La evaluación del desempeño no es suficiente |
| Los controles de proveedores y de nube son débiles | No hay diligencia debida, revisión contractual, planificación de salida ni supervisión continua | El control operativo sobre servicios prestados externamente está incompleto |
| La respuesta a incidentes no está alineada con la notificación regulatoria | No hay lógica de escalado de 24 o 72 horas, árbol de decisión de DORA o GDPR ni evidencias de ejercicios | La gestión de incidentes no está conectada con la notificación legal |
| El proceso CAPA es débil | Los hallazgos se cierran solo con ediciones documentales | La causa raíz no se eliminó |
La auditoría fallida es una señal de que el SGSI no se adaptó con la rapidez suficiente al entorno operativo real de la organización.
ISO/IEC 27005:2022 es útil en la recuperación porque refuerza la importancia de establecer el contexto mediante requisitos legales, regulatorios, sectoriales, contractuales, internos y de controles existentes. También respalda criterios de riesgo que tienen en cuenta obligaciones legales, proveedores, privacidad, factores humanos, objetivos de negocio y apetito de riesgo aprobado por la dirección.
En términos prácticos, la recuperación de la transición comienza con el contexto y los criterios de riesgo actualizados, no con un nuevo número de versión en un documento antiguo.
Paso 1: Congelar el registro de auditoría y crear un centro de mando de recuperación
El primer error operativo tras una auditoría fallida es el caos de evidencias. Los equipos empiezan a buscar en bandejas de correo, unidades compartidas, sistemas de tickets, mensajes de chat, carpetas personales y paquetes de auditoría antiguos. Los auditores interpretan esto como una señal de que el SGSI no está bajo control.
La Política de Auditoría y Supervisión del Cumplimiento - Pyme de Clarysec es explícita sobre el control de evidencias:
“Todas las evidencias deben almacenarse en una carpeta de auditoría centralizada.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.2.1.
Esa carpeta de auditoría centralizada se convierte en el puesto de mando de la recuperación. Debe incluir:
- Informe y correspondencia del organismo de certificación.
- Confirmación del estado del certificado.
- Registro de no conformidades.
- Registro CAPA.
- Evaluación de riesgos actualizada.
- Plan de Tratamiento de Riesgos actualizado.
- Declaración de Aplicabilidad actualizada.
- Informe de auditoría interna.
- Actas de revisión por la dirección.
- Registros de aprobación de políticas.
- Evidencias para cada control aplicable del Anexo A.
- Paquete de aseguramiento para clientes, si los compromisos comerciales se ven afectados.
Para entornos empresariales, la Política de Auditoría y Supervisión del Cumplimiento de Clarysec establece la misma expectativa de gobernanza:
“Todos los hallazgos deberán dar lugar a una CAPA documentada que incluya:”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.2.1.
La redacción introduce una expectativa estructurada de acción correctiva. El punto esencial es simple: cada hallazgo de auditoría debe convertirse en un elemento CAPA gobernado, no en una tarea informal en la libreta de alguien.
Para las pymes, la participación de la dirección es igualmente importante:
“El Director General debe aprobar un plan de acción correctiva y supervisar su implantación.”
De Política de Auditoría y Supervisión del Cumplimiento - Pyme, sección “Requisitos de gobernanza”, cláusula de política 5.4.2.
Esto importa porque ISO 27001:2022 no trata el liderazgo como algo simbólico. La Alta Dirección debe establecer la política, alinear los objetivos con la estrategia de negocio, proporcionar recursos, comunicar la importancia de la seguridad de la información, asignar responsabilidades y promover la mejora continua.
Si la transición fallida se trata como “el problema de la persona de cumplimiento”, la siguiente auditoría volverá a exponer una responsabilidad proactiva débil del liderazgo.
Paso 2: Reconstruir contexto, obligaciones y riesgo
Una auditoría de transición fallida suele significar que el contexto del SGSI ya no refleja la realidad de la organización. La organización puede haberse trasladado a plataformas en la nube, incorporado nuevos proveedores, entrado en mercados regulados, tratado más datos personales o pasado a ser relevante para clientes sujetos a NIS2 o DORA. Si esos cambios no están en el SGSI, la evaluación de riesgos y la SoA estarán incompletas.
La Política de Cumplimiento Legal y Normativo de Clarysec establece la base:
“Todas las obligaciones legales y regulatorias deben mapearse con políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.2.1.
Esta cláusula es crítica tras una transición fallida. Las cláusulas 4.1 a 4.3 de ISO 27001:2022 exigen que las organizaciones consideren cuestiones internas y externas, partes interesadas, requisitos, interfaces, dependencias y alcance. Las obligaciones legales, regulatorias y contractuales no son notas al margen. Dan forma al SGSI.
El Artículo 21 de NIS2 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluido el análisis de riesgos, políticas, gestión de incidentes, copias de seguridad, recuperación ante desastres, gestión de crisis, seguridad de la cadena de suministro, desarrollo seguro, gestión de vulnerabilidades, evaluaciones de eficacia, higiene cibernética, formación, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y comunicaciones seguras. El Artículo 20 sitúa la responsabilidad en el órgano de dirección. El Artículo 23 crea una notificación escalonada de incidentes significativos, que incluye alerta temprana, notificación del incidente, actualizaciones e informe final.
DORA se aplica directamente a las entidades financieras desde el 17 de enero de 2025 y cubre gestión del riesgo de las TIC, notificación de incidentes graves, pruebas de resiliencia, riesgo de terceros TIC, requisitos contractuales y supervisión de proveedores terceros críticos de servicios TIC. Para las entidades financieras incluidas en el alcance, DORA se convierte en un impulsor central de la gobernanza TIC, el control de proveedores, las pruebas, la clasificación de incidentes y la responsabilidad de la dirección.
GDPR añade responsabilidad proactiva sobre los datos personales. El Artículo 5 exige un tratamiento lícito, leal, transparente, limitado, exacto, consciente de la conservación y seguro, con cumplimiento demostrable. El Artículo 4 define la brecha de seguridad de los datos personales de una forma que afecta directamente a la clasificación de incidentes. El Artículo 6 exige mapear la base jurídica, y el Artículo 9 añade requisitos reforzados para categorías especiales de datos.
Esto no significa crear universos de cumplimiento separados. Significa utilizar ISO 27001:2022 como sistema de gestión integrado y mapear las obligaciones en una única arquitectura de riesgos y controles.
La Política de gestión de riesgos de Clarysec conecta directamente el tratamiento de riesgos con la selección de controles:
“Las decisiones de control resultantes del proceso de tratamiento de riesgos deberán reflejarse en la SoA.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.5.1.
Una auditoría fallida también es motivo para revisar el propio proceso de gestión de riesgos. La Política de gestión de riesgos - Pyme de Clarysec identifica este desencadenante:
“Un incidente grave o un hallazgo de auditoría revela deficiencias en la gestión de riesgos”
De la sección “Requisitos de revisión y actualización”, cláusula de política 9.2.1.1.
En modo recuperación, esto significa que el registro de riesgos, los criterios de riesgo, el plan de tratamiento y la SoA deben reconstruirse conjuntamente.
Paso 3: Reparar la SoA como eje de trazabilidad
En la mayoría de las transiciones fallidas, la Declaración de Aplicabilidad es el primer documento que se inspecciona. También es uno de los primeros documentos que muestrean los auditores. Una SoA débil indica al auditor que la selección de controles no está basada en riesgos.
Zenith Blueprint ofrece una instrucción práctica en la fase de auditoría, revisión y mejora, paso 24, auditoría, revisión y mejora:
“Tu SoA debe ser coherente con tu Registro de Riesgos y tu Plan de Tratamiento de Riesgos. Comprueba que cada control elegido como tratamiento de riesgo esté marcado como ‘Aplicable’ en la SoA. A la inversa, si un control está marcado como ‘Aplicable’ en la SoA, debes tener una justificación para ello, normalmente un riesgo mapeado, un requisito legal/regulatorio o una necesidad de negocio.”
De Zenith Blueprint: hoja de ruta de 30 pasos para auditores, fase de auditoría, revisión y mejora, paso 24.
Ese es el principio de recuperación. La SoA no es una formalidad. Es el eje de trazabilidad entre riesgos, obligaciones, controles, evidencias de implantación y conclusiones de auditoría.
Un ejercicio práctico de corrección de la SoA debe seguir esta secuencia:
- Exportar la SoA actual.
- Añadir columnas para ID de riesgo, obligación regulatoria, requisito de negocio, referencia de política, ubicación de evidencias, propietario, estado de implantación y fecha de la última prueba.
- Para cada control aplicable, mapear al menos una justificación defendible.
- Para cada control excluido, redactar un motivo de exclusión específico.
- Conciliar la SoA con el Plan de Tratamiento de Riesgos.
- Conciliar la SoA con los resultados de auditoría interna.
- Hacer la pregunta difícil: si un auditor muestrea esta fila, ¿podemos demostrarla en cinco minutos?
Una fila defendible de la SoA debería tener este aspecto:
| Campo de la SoA | Ejemplo de entrada de recuperación |
|---|---|
| Justificación del control | Aplicable debido al alojamiento en la nube, procesador de pagos, soporte externalizado y compromisos contractuales de seguridad con clientes |
| Vínculo de riesgo | R-014 interrupción de servicio de tercero, R-021 exposición de datos de proveedor, R-027 brecha regulatoria por fallo del encargado |
| Vínculo de obligación | Seguridad de la cadena de suministro NIS2, riesgo de terceros TIC DORA cuando aplique, responsabilidad proactiva del encargado en GDPR |
| Vínculo de política | Política de seguridad de terceros y proveedores, procedimiento de revisión contractual, lista de verificación de evaluación de proveedores |
| Evidencias | Registro de proveedores, calificaciones de riesgo, cuestionario de diligencia debida, contrato de encargo de tratamiento firmado, revisión del informe SOC, plan de salida, registro de revisión anual |
| Propietario | responsable de proveedores, CISO, Legal |
| Pruebas | Muestra de auditoría interna de los cinco proveedores críticos principales completada, excepciones registradas en CAPA |
| Estado | Implantado con dos acciones correctivas abiertas para actualizaciones contractuales |
Esta fila cuenta una historia de recuperación. Muestra contexto de negocio, lógica de riesgo, relevancia regulatoria, propiedad, implantación, pruebas y acción pendiente.
Para las exclusiones, se aplica la misma disciplina. Por ejemplo, si la organización no realiza desarrollo de software internamente, una exclusión del control 8.25 Secure development life cycle de ISO/IEC 27002:2022 y del control 8.28 Secure coding puede ser defendible, pero solo si es cierto, está documentado y se respalda con evidencias de que el software es comercial listo para usar o está totalmente externalizado con controles de proveedores establecidos.
Paso 4: Realizar análisis de causa raíz, no maquillaje documental
Una auditoría de transición fallida rara vez se debe a un único archivo ausente. Normalmente se debe a un proceso roto.
Zenith Blueprint, fase de auditoría, revisión y mejora, paso 27, hallazgos de auditoría: análisis y causa raíz, establece:
“Para cada no conformidad identificada, ya sea mayor o menor, piensa por qué ocurrió; esto es crítico para una corrección eficaz.”
De Zenith Blueprint, fase de auditoría, revisión y mejora, paso 27.
Si el hallazgo dice “faltan justificaciones de la SoA”, la corrección puede ser actualizar la SoA. Pero la causa raíz puede ser que los propietarios de activos no participaron en la evaluación de riesgos, que las obligaciones legales no se mapearon o que el equipo de cumplimiento mantenía la SoA de forma aislada.
Una tabla útil de recuperación separa las correcciones débiles de la verdadera acción correctiva:
| Hallazgo de auditoría | Mala corrección | Pregunta adecuada de causa raíz | Mejor acción correctiva |
|---|---|---|---|
| SoA no alineada con el tratamiento de riesgos | Actualizar la redacción de la SoA | ¿Por qué no se concilió la SoA con el tratamiento de riesgos? | Añadir conciliación trimestral SoA-riesgo bajo responsabilidad del Responsable del SGSI |
| Sin evaluaciones de proveedores | Cargar un cuestionario | ¿Por qué no se revisaron los proveedores? | Asignar propietario de proveedor, definir niveles de riesgo, completar revisiones y supervisar anualmente |
| Revisión por la dirección incompleta | Añadir un punto del orden del día de forma retroactiva | ¿Por qué la revisión por la dirección no cubrió el estado de transición? | Actualizar la plantilla de revisión por la dirección y programar una revisión trimestral de gobernanza |
| Notificación de incidentes no probada | Editar el procedimiento de incidentes | ¿Por qué no se ejercitó la notificación? | Ejecutar un ejercicio de mesa con puntos de decisión NIS2, DORA y GDPR y conservar evidencias |
| Auditoría interna demasiado limitada | Ampliar la lista de verificación | ¿Por qué la planificación de auditoría omitió el alcance de transición? | Aprobar un plan de auditoría basado en riesgos que cubra regulación, proveedores, nube y resiliencia |
Aquí es donde vuelve la credibilidad. Los auditores no esperan perfección. Esperan un sistema controlado que detecta, corrige, aprende y mejora.
Paso 5: Construir CAPA en la que un auditor pueda confiar
Las acciones correctivas y preventivas son el punto en el que muchas organizaciones recuperan el control. El registro CAPA debe convertirse en la hoja de ruta de recuperación y en la evidencia principal de que la auditoría fallida se gestionó de forma sistemática.
Zenith Blueprint, fase de auditoría, revisión y mejora, paso 29, mejora continua, explica la estructura:
“Asegúrate de que cada acción correctiva sea específica, asignable y limitada en el tiempo. En esencia, estás creando un mini proyecto para cada problema.”
De Zenith Blueprint, fase de auditoría, revisión y mejora, paso 29.
Tu registro CAPA debe incluir:
- ID del hallazgo.
- Auditoría de origen.
- Referencia de cláusula o control.
- Severidad.
- Descripción del problema.
- Corrección inmediata.
- Causa raíz.
- Acción correctiva.
- Acción preventiva, cuando proceda.
- Propietario.
- Fecha límite.
- Evidencias requeridas.
- Estado.
- Comprobación de eficacia.
- Aprobación por la dirección.
La Política de Auditoría y Supervisión del Cumplimiento - Pyme de Clarysec también identifica una no conformidad mayor como desencadenante de revisión:
“Una auditoría de certificación o auditoría de seguimiento da lugar a una no conformidad mayor”
De la sección “Requisitos de revisión y actualización”, cláusula de política 9.2.2.
Si la auditoría de transición produjo una no conformidad mayor, revisa el propio proceso de auditoría y supervisión del cumplimiento. ¿Por qué la auditoría interna no detectó primero el problema? ¿Por qué la revisión por la dirección no lo escaló? ¿Por qué la SoA no reveló la deficiencia de evidencias?
Así es como una auditoría fallida se convierte en un SGSI más sólido.
Paso 6: Usar Zenith Controls para conectar evidencias ISO con cumplimiento cruzado
Una reauditación no se produce de forma aislada. Clientes, reguladores, aseguradoras y equipos internos de gobernanza pueden mirar las mismas evidencias desde ángulos distintos. Aquí es donde Zenith Controls aporta valor como guía de cumplimiento cruzado. Ayuda a los equipos a dejar de tratar ISO 27001, NIS2, DORA, GDPR, el aseguramiento tipo NIST y la gobernanza COBIT 2019 como listas de verificación separadas.
Tres controles de ISO/IEC 27002:2022 son especialmente relevantes en la recuperación de la transición.
| Control ISO/IEC 27002:2022 | Relevancia para la recuperación | Evidencias que preparar |
|---|---|---|
| 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales | Confirma que las obligaciones están identificadas, documentadas y vinculadas al SGSI | Registro legal, obligaciones contractuales, mapa regulatorio, matriz política-propietario, justificación de la SoA |
| 5.35 Revisión independiente de la seguridad de la información | Confirma que la actividad de revisión es objetiva, tiene alcance definido, es competente y se actúa sobre ella | Plan de auditoría interna, informe de revisión independiente, competencia del auditor, registros CAPA, informes a la dirección |
| 5.36 Cumplimiento de políticas, reglas y normas de seguridad de la información | Confirma que las políticas no solo están publicadas, sino supervisadas y aplicadas | Atestación de políticas, registros de excepciones, informes de supervisión, flujo disciplinario, pruebas de cumplimiento |
En Zenith Controls, el control 5.31 de ISO/IEC 27002:2022 está vinculado directamente con la privacidad y la información de identificación personal (PII):
“5.34 cubre el cumplimiento de las leyes de protección de datos, por ejemplo GDPR, que es una categoría de requisitos legales dentro de 5.31.”
De Zenith Controls, control 5.31, vínculos con otros controles.
Para la recuperación, esto significa que el registro legal no debe quedar fuera del SGSI. Debe impulsar la SoA, el Plan de Tratamiento de Riesgos, el conjunto de políticas, la propiedad de controles y las evidencias de auditoría.
Para el control 5.35 de ISO/IEC 27002:2022, Zenith Controls destaca que la revisión independiente suele extenderse a evidencias operativas:
“Las revisiones independientes bajo 5.35 evalúan con frecuencia la adecuación de las actividades de registro de eventos y supervisión.”
De Zenith Controls, control 5.35, vínculos con otros controles.
Esto es práctico. Un auditor puede empezar por la gobernanza y después muestrear registros, alertas, registros de supervisión, revisiones de acceso, tickets de incidentes, pruebas de copias de seguridad, revisiones de proveedores y decisiones de la dirección.
Para el control 5.36 de ISO/IEC 27002:2022, Zenith Controls explica la relación con la gobernanza interna de políticas:
“El control 5.36 actúa como mecanismo de aplicación de las reglas definidas en 5.1.”
De Zenith Controls, control 5.36, vínculos con otros controles.
Aquí es donde muchos programas de transición fallan. Las políticas existen, pero su cumplimiento no se supervisa. Los procedimientos existen, pero las excepciones no se registran. Los controles se declaran, pero no se prueban.
Paso 7: Prepararse para distintas perspectivas de auditoría
Un paquete de recuperación sólido debe resistir más de una perspectiva de auditoría. Los auditores de certificación ISO, supervisores DORA, revisores NIS2, partes interesadas en GDPR, equipos de aseguramiento de clientes, evaluadores orientados a NIST y revisores de gobernanza COBIT 2019 pueden plantear preguntas distintas sobre las mismas evidencias.
| Perspectiva del auditor | Pregunta probable | Evidencias que ayudan |
|---|---|---|
| Auditor ISO 27001:2022 | ¿El SGSI es eficaz, está basado en riesgos, tiene el alcance correctamente definido, ha sido revisado por el liderazgo y mejora continuamente? | Alcance, contexto, partes interesadas, evaluación de riesgos, SoA, plan de tratamiento, auditoría interna, revisión por la dirección, CAPA |
| Evaluador orientado a NIST | ¿Las actividades de gobernanza, identificación de riesgos, protección, detección, respuesta y recuperación operan de forma coherente? | Inventario de activos, registro de riesgos, controles de acceso, registro de eventos, supervisión, playbooks de incidentes, pruebas de recuperación |
| Auditor COBIT 2019 o de estilo ISACA | ¿Los objetivos de gobernanza, la propiedad, la supervisión del desempeño, la gestión de riesgos y el aseguramiento del cumplimiento están integrados? | RACI, objetivos aprobados, métricas, plan de auditoría, informes a la dirección, propiedad de controles, seguimiento de incidencias |
| Revisor de cumplimiento NIS2 | ¿La dirección ha aprobado y supervisado medidas proporcionadas de gestión del riesgo de ciberseguridad y flujos de notificación de incidentes? | Actas del Consejo de Administración, medidas de riesgo, controles de proveedores, escalado de incidentes, formación, evidencias de continuidad y crisis |
| Revisor DORA | ¿La gestión del riesgo de las TIC está documentada, probada, tiene en cuenta a los proveedores y está integrada en la gobernanza? | Marco de riesgo TIC, pruebas de resiliencia, clasificación de incidentes, registro contractual TIC, planes de salida, derechos de auditoría |
| Revisor GDPR | ¿Puede la organización demostrar responsabilidad proactiva sobre protección de datos personales y respuesta ante brechas? | RoPA, mapeo de base jurídica, EIPD cuando proceda, contratos con encargados, registros de brechas, medidas técnicas y organizativas |
El objetivo no es duplicar evidencias. Una sola fila de la SoA sobre registro de eventos y supervisión puede respaldar evidencias ISO, expectativas de detección tipo NIST, gestión de incidentes DORA, evaluación de eficacia NIS2 y detección de brechas GDPR. Un único expediente de riesgo de proveedor puede respaldar controles de proveedores ISO, riesgo de terceros TIC DORA, seguridad de la cadena de suministro NIS2 y responsabilidad proactiva del encargado en GDPR.
Este es el valor práctico del cumplimiento cruzado.
Paso 8: Ejecutar una revisión documental final y una auditoría simulada
Antes de volver al organismo de certificación, ejecuta un cuestionamiento interno riguroso. Zenith Blueprint, fase de auditoría, revisión y mejora, paso 30, preparación para la certificación: revisión final y auditoría simulada, recomienda comprobar una por una las cláusulas 4 a 10 de ISO 27001:2022 y validar las evidencias de cada control aplicable del Anexo A.
Aconseja:
“Comprueba los controles del Anexo A: asegúrate de que para cada control que marcaste como ‘Aplicable’ en la SoA tienes algo que mostrar.”
De Zenith Blueprint, fase de auditoría, revisión y mejora, paso 30.
La revisión final debe ser directa:
- ¿Puede explicarse cada control aplicable?
- ¿Puede justificarse cada control excluido?
- ¿Puede mostrarse la aceptación del riesgo residual?
- ¿La dirección revisó el fallo de transición, los recursos, los objetivos, los resultados de auditoría y las acciones correctivas?
- ¿La auditoría interna probó la SoA actualizada y el Plan de Tratamiento de Riesgos?
- ¿Están evidenciados los controles de proveedores, nube, continuidad, incidentes, privacidad, acceso, vulnerabilidades, registro de eventos y supervisión?
- ¿Las políticas están aprobadas, vigentes, comunicadas y sujetas a control de versiones?
- ¿Las CAPA están vinculadas a causas raíz y comprobaciones de eficacia?
- ¿Las evidencias pueden encontrarse rápidamente en la carpeta de auditoría centralizada?
La Política de Seguridad de la Información de Clarysec proporciona la base de gobernanza:
“La organización deberá implantar y mantener un Sistema de Gestión de la Seguridad de la Información (SGSI) de conformidad con las cláusulas 4 a 10 de ISO/IEC 27001:2022.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.1.1.
Para las pymes, la revisión también debe hacer seguimiento de los requisitos de certificación y del cambio regulatorio. La Política de Seguridad de la Información - Pyme de Clarysec establece:
“Esta política debe ser revisada por el Director General (DG) al menos una vez al año para asegurar el cumplimiento continuado de los requisitos de certificación ISO/IEC 27001, los cambios regulatorios, como GDPR, NIS2 y DORA, y la evolución de las necesidades de negocio.”
De la sección “Requisitos de revisión y actualización”, cláusula de política 9.1.1.
Eso es exactamente lo que muchos programas de transición pasaron por alto: ISO, regulación y cambio de negocio avanzan juntos.
Qué decir a los clientes durante la recuperación
Si una transición fallida u omitida afecta a contratos con clientes, el silencio es peligroso. No necesitas revelar cada detalle de auditoría interna, pero sí debes proporcionar un aseguramiento controlado.
Un paquete de comunicación para clientes debe incluir:
- Estado actual de certificación confirmado por el organismo de certificación.
- Estado de la auditoría de transición y plan de remediación de alto nivel.
- Confirmación de que existe un proceso CAPA activo y aprobado por la dirección.
- Fechas objetivo para acciones correctivas y cierre de auditoría.
- Declaración de que el SGSI sigue operativo.
- Punto de contacto de aseguramiento de seguridad.
- Declaración de política de seguridad actualizada, si procede.
- Evidencias de controles compensatorios para cualquier área de alto riesgo.
Evita afirmaciones vagas como “cumplimos plenamente” mientras la auditoría no esté resuelta. Di lo que es cierto: el SGSI está operativo, la acción correctiva está aprobada, las evidencias se están consolidando y se ha programado una revisión de cierre o una reauditación.
Esto es especialmente importante si los clientes dependen de ti como proveedor en sectores relevantes para NIS2, como infraestructura digital, nube, centros de datos, redes de distribución de contenidos, DNS, servicios de confianza, comunicaciones electrónicas públicas, servicios gestionados o servicios de seguridad gestionados. Si tu estado de auditoría afecta a su riesgo de la cadena de suministro, necesitan un aseguramiento creíble.
Un sprint práctico de recuperación de 10 días
Los plazos varían según el organismo de certificación, la severidad, el alcance y la madurez de las evidencias. Pero la secuencia de recuperación es fiable.
| Día | Actividad | Resultado |
|---|---|---|
| 1 | Recopilar el informe de auditoría, confirmar el estado del certificado y abrir la carpeta de auditoría centralizada | Centro de mando de recuperación |
| 2 | Clasificar hallazgos, asignar propietarios e informar a la dirección | Gobernanza de recuperación aprobada |
| 3 | Actualizar contexto, obligaciones, partes interesadas y supuestos de alcance | Contexto y mapa de cumplimiento actualizados |
| 4 | Conciliar evaluación de riesgos y Plan de Tratamiento de Riesgos | Registro de riesgos y plan de tratamiento actualizados |
| 5 | Corregir la SoA con justificación, exclusiones, evidencias y propietarios | SoA preparada para auditoría |
| 6 | Ejecutar análisis de causa raíz para todos los hallazgos | Registro de causa raíz |
| 7 | Construir plan CAPA con fechas objetivo y requisitos de evidencias | Registro CAPA |
| 8 | Recopilar y probar evidencias para controles prioritarios | Paquete de evidencias |
| 9 | Realizar revisión por la dirección y aprobar riesgos residuales | Actas de revisión por la dirección |
| 10 | Ejecutar auditoría simulada y preparar respuesta al organismo de certificación | Paquete de preparación para reauditación |
No envíes la respuesta hasta que cuente una historia coherente. El auditor debe poder seguir la cadena desde el hallazgo hasta la causa raíz, desde la causa raíz hasta la acción correctiva, desde la acción correctiva hasta las evidencias y desde las evidencias hasta la revisión por la dirección.
El flujo de trabajo de recuperación de Clarysec
Cuando Clarysec apoya una transición a ISO 27001:2022 omitida o fallida, organizamos el trabajo en un flujo de recuperación enfocado.
| Fase de recuperación | Activo de Clarysec | Resultado |
|---|---|---|
| Clasificación inicial de auditoría | Zenith Blueprint pasos 24, 27, 29, 30 | Clasificación de hallazgos, mapa de evidencias, plan de cierre de auditoría |
| Restablecimiento de gobernanza | Política de Seguridad de la Información, Política de Auditoría y Supervisión del Cumplimiento | Responsabilidades aprobadas, participación de la dirección, carpeta de evidencias centralizada |
| Actualización de riesgos | Política de gestión de riesgos, método ISO/IEC 27005:2022 | Contexto, criterios, registro de riesgos y plan de tratamiento actualizados |
| Corrección de la SoA | Zenith Blueprint paso 24, Política de gestión de riesgos | SoA trazable con riesgo, obligación, propietario, evidencias y estado |
| Mapeo de cumplimiento cruzado | Zenith Controls | Alineamiento de aseguramiento con NIS2, DORA, GDPR, enfoque NIST y COBIT 2019 |
| Ejecución de CAPA | Zenith Blueprint paso 29, políticas de auditoría | Causa raíz, acción correctiva, propietario, plazo, comprobación de eficacia |
| Auditoría simulada | Zenith Blueprint paso 30 | Paquete de preparación para reauditación y paquete de aseguramiento para clientes |
No se trata de fabricar documentación. Se trata de restablecer la confianza en que el SGSI está gobernado, basado en riesgos, evidenciado y en mejora.
Consejo final: trata la transición fallida como una prueba de estrés
Incumplir el plazo de transición a ISO 27001:2022 o fallar la auditoría de transición se percibe como una crisis, pero también es una oportunidad diagnóstica. Muestra si tu SGSI puede absorber cambios, integrar obligaciones legales, gestionar proveedores, demostrar la operación de los controles y aprender del fallo.
Las organizaciones que se recuperan más rápido hacen bien tres cosas:
- Centralizan las evidencias y detienen el caos.
- Reconstruyen la trazabilidad entre riesgo, SoA, controles, políticas y obligaciones.
- Gestionan los hallazgos de auditoría mediante CAPA disciplinadas y revisión por la dirección.
Las organizaciones que tienen dificultades intentan resolver el problema editando documentos sin corregir propiedad, supervisión, evidencias o causa raíz.
Si incumpliste el plazo o fallaste la auditoría de transición, el siguiente paso no es entrar en pánico. Es iniciar una recuperación estructurada.
Clarysec puede ayudarte a ejecutar la clasificación inicial de la auditoría de transición, reconstruir tu SoA, mapear expectativas de NIS2, DORA, GDPR, enfoque NIST y COBIT 2019 mediante Zenith Controls, ejecutar acciones correctivas con Zenith Blueprint y alinear evidencias de políticas usando Política de Seguridad de la Información, Política de Auditoría y Supervisión del Cumplimiento, Política de gestión de riesgos y Política de Cumplimiento Legal y Normativo.
El problema de tu certificado puede repararse. Tu SGSI puede volverse más sólido que antes de la auditoría. Si tu auditoría de transición sigue sin resolverse, inicia ahora la evaluación de recuperación, consolida tus evidencias y prepara un paquete de reauditación que demuestre que tu SGSI no solo está documentado, sino que funciona.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
