Auditoría interna de ISO 27001 para NIS2 y DORA
Es la primera reunión del comité de auditoría de 2026. Sarah, CISO de FinSecure, un proveedor SaaS y fintech en rápido crecimiento, tiene quince minutos en el orden del día. El consejo de administración plantea cinco preguntas.
¿Estamos preparados para nuestra auditoría de seguimiento de ISO/IEC 27001:2022? ¿Entramos en el alcance de NIS2 como proveedor de servicios gestionados? ¿Nos afecta DORA porque damos soporte a clientes del sector financiero? ¿Podemos demostrar que la notificación de incidentes, la diligencia debida de proveedores y la continuidad del negocio funcionan en la práctica? ¿Y por qué la revisión de accesos del trimestre pasado seguía detectando cuentas que deberían haberse eliminado?
Sarah tiene evidencias, pero están dispersas. Ingeniería dispone de exportaciones de escaneos de vulnerabilidades. Compras tiene cuestionarios de proveedores. Legal tiene cláusulas contractuales. El responsable de cumplimiento tiene un registro de seguimiento del RGPD de la UE. El SOC tiene tickets de incidentes. Nada parece claramente incorrecto, pero nada cuenta una historia de aseguramiento coherente.
Este es el momento en que un programa de auditoría interna de ISO 27001 se convierte en un motor estratégico de evidencias o sigue siendo una carrera anual de última hora.
Para las organizaciones afectadas por NIS2 y DORA, la auditoría interna ya no puede ser una lista de verificación ceremonial. Debe convertirse en un sistema de aseguramiento basado en riesgos que confirme si el alcance del SGSI es correcto, si los controles funcionan en la práctica, si los requisitos regulatorios están mapeados, si los hallazgos se clasifican de forma consistente y si las acciones correctivas llegan a la revisión por la dirección. En 2026, los programas más sólidos no preguntarán solo: «¿Hicimos una auditoría?». Preguntarán: «¿Podemos demostrar, mes a mes, que la gobernanza de la ciberseguridad, la resiliencia de las TIC, la seguridad de proveedores y la preparación ante incidentes están operando?».
Ese es el enfoque que Clarysec incorpora en Zenith Blueprint: hoja de ruta de 30 pasos para auditores, Zenith Controls: guía de cumplimiento cruzado y la suite de políticas de Clarysec. El objetivo no es crear proyectos ISO, NIS2 y DORA separados. El objetivo es enriquecer el SGSI para que un único programa de auditoría produzca evidencias reutilizables para múltiples necesidades de aseguramiento.
Por qué deben cambiar los programas de auditoría interna en 2026
NIS2 y DORA han desplazado la conversación de auditoría desde la documentación hacia la resiliencia gobernada.
NIS2 se aplica a muchas organizaciones medianas y grandes de sectores críticos e importantes, incluidas infraestructuras digitales, proveedores de servicios de computación en la nube, proveedores de centros de datos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Los Estados miembros comenzaron a aplicar medidas nacionales desde octubre de 2024 y, en 2026, muchas organizaciones operan ya en el primer año completo de expectativas NIS2 maduras.
DORA es aplicable desde el 17 de enero de 2025 a una amplia gama de entidades financieras, incluidas entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, proveedores de servicios de criptoactivos, empresas de seguros y reaseguros, proveedores de servicios de financiación participativa y proveedores terceros de servicios de TIC relevantes. DORA es el régimen sectorial de resiliencia operativa digital para las entidades financieras incluidas en su ámbito. Los proveedores de TIC que prestan servicios a entidades financieras también pueden verse afectados por DORA a través de contratos, derechos de auditoría, participación en pruebas, soporte ante incidentes, controles de subcontratación y requisitos de salida.
NIS2 y DORA elevan la responsabilidad proactiva. NIS2 Article 20 exige que los órganos de dirección aprueben y supervisen las medidas de gestión de riesgos de ciberseguridad y reciban formación en ciberseguridad. DORA Article 5 atribuye al órgano de dirección la responsabilidad última sobre el riesgo de las TIC, incluida la aprobación y supervisión de la estrategia de resiliencia operativa digital, las políticas de TIC, los acuerdos de continuidad y el riesgo de terceros.
ISO 27001 encaja bien en este entorno porque es un sistema de gestión. Exige que la organización comprenda su contexto, defina las partes interesadas y sus requisitos, establezca el alcance del SGSI, evalúe y trate los riesgos, supervise el desempeño, ejecute auditorías internas e impulse la mejora continua. La finalidad no es encajar NIS2 y DORA a la fuerza en un molde ISO. La finalidad es utilizar ISO 27001 como sistema operativo para un aseguramiento repetible.
Empezar por el alcance: auditar el sistema en el que se apoya el consejo
Un programa débil de auditoría interna empieza con un alcance vago como «seguridad de la información». Un programa sólido empieza por el perímetro operativo y regulatorio.
ISO 27001 exige que el alcance del SGSI considere las cuestiones internas y externas, los requisitos de las partes interesadas y las interfaces o dependencias con otras organizaciones. Esto importa porque las obligaciones de NIS2 y DORA suelen estar en los bordes de la organización: plataformas en la nube, SOC externalizados, detección y respuesta gestionadas (MDR), sistemas de pago, interfaces de programación de aplicaciones fintech, tratamiento de datos de clientes, servicios de copia de seguridad y socios de escalado de incidentes.
La Política de Auditoría y Supervisión del Cumplimiento para pymes de Clarysec establece la base de gobernanza:
El Director General (DG) debe aprobar un plan anual de auditoría.
De la sección «Requisitos de gobernanza», cláusula de política 5.1.1.
Para entornos de mayor tamaño, la Política de Auditoría y Supervisión del Cumplimiento de Clarysec eleva la expectativa:
Deberá desarrollarse y aprobarse anualmente un Plan de Auditoría basado en riesgos, teniendo en cuenta:
De la sección «Requisitos de gobernanza», cláusula de política 5.2.
Por tanto, el alcance no es una mera preferencia del auditor. Es un compromiso de aseguramiento aprobado por la dirección.
Un programa de auditoría interna de ISO 27001 para 2026 que respalde NIS2 y DORA debe incluir:
- Cláusulas y procesos del SGSI, incluidos contexto, liderazgo, gestión de riesgos, objetivos, soporte, operaciones, evaluación del desempeño y mejora.
- Áreas de control relevantes del Anexo A de ISO/IEC 27001:2022, incluidas relaciones con proveedores, gestión de incidentes, continuidad del negocio, obligaciones legales, privacidad, registro de eventos, monitorización, gestión de vulnerabilidades, control de acceso, criptografía, desarrollo seguro, gestión de cambios y gobernanza de la nube.
- Capas regulatorias, incluidos NIS2 Articles 20, 21 y 23, DORA Articles 5, 6, 8 to 14, 17 to 19, 24 to 27 y 28 to 30, además de los requisitos de seguridad y responsabilidad proactiva del RGPD de la UE.
- Servicios clave y procesos de la organización, especialmente funciones críticas o importantes, servicios esenciales, plataformas orientadas al cliente y sistemas que dan soporte a clientes regulados.
- Dependencias de terceros, incluidos proveedores de TIC, proveedores de servicios en la nube, desarrollo externalizado, SOC, MSSP, encargados del tratamiento de datos y subcontratistas críticos.
- Procesos que generan evidencias, incluidas evaluaciones de riesgos, revisiones de accesos, remediación de vulnerabilidades, ejercicios de incidentes, pruebas de restauración de copias de seguridad, revisiones de proveedores, pruebas de continuidad y revisiones por la dirección.
Zenith Blueprint refuerza este enfoque en la fase de Auditoría, revisión y mejora, Paso 25, Programa de auditoría interna:
Decida el alcance de su programa de auditoría interna. En última instancia, a lo largo de un año, debe cubrir todos los procesos y controles relevantes del SGSI.
De la fase de Auditoría, revisión y mejora, Paso 25: Programa de auditoría interna.
No es necesario auditarlo todo cada mes. Pero, durante el ciclo anual, debe cubrir todos los procesos y controles relevantes del SGSI, con trabajo más frecuente en las áreas reguladas y de mayor riesgo.
Construir el universo de auditoría en torno a los temas de control de NIS2 y DORA
NIS2 Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas. Su base incluye análisis de riesgos, políticas de seguridad, gestión de incidentes, continuidad del negocio, gestión de copias de seguridad, recuperación ante desastres, gestión de crisis, seguridad de la cadena de suministro, adquisición y desarrollo seguros, gestión de vulnerabilidades, evaluación de la eficacia, higiene cibernética, formación, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos, autenticación multifactor o autenticación continua cuando proceda, y comunicaciones seguras.
DORA tiene un ciclo de vida operativo similar. Exige que las entidades financieras identifiquen y clasifiquen las funciones de negocio soportadas por TIC, los activos de información, los activos de TIC, las dependencias y las interconexiones con terceros. También exige protección, detección, clasificación de incidentes, respuesta, recuperación, copia de seguridad, restauración, pruebas, aprendizaje posterior al incidente, comunicación y gestión del riesgo de terceros de TIC.
Un universo de auditoría unificado evita el error habitual de auditar ISO 27001 por separado de NIS2 y DORA.
| Dominio de auditoría | Anclaje de auditoría ISO 27001 | Relevancia para NIS2 y DORA | Evidencias habituales |
|---|---|---|---|
| Gobernanza y obligaciones legales | Contexto, liderazgo, tratamiento de riesgos, requisitos legales y contractuales | Supervisión del consejo en NIS2, responsabilidad del órgano de dirección en DORA, responsabilidad proactiva del RGPD de la UE | Registro legal, registro de partes interesadas, alcance del SGSI, apetito de riesgo, actas del consejo, revisión por la dirección |
| Evaluación y tratamiento de riesgos | Evaluación de riesgos, Declaración de Aplicabilidad, plan de tratamiento | Medidas adecuadas y proporcionadas de NIS2, marco de gestión del riesgo de las TIC de DORA | Registro de riesgos, criterios de riesgo, aprobaciones de tratamiento, aceptación del riesgo residual |
| Inventario de activos y dependencias | Gestión de activos, gobernanza de servicios en la nube, servicios de proveedores | Activos e interconexiones de TIC en DORA, sistemas de prestación del servicio en NIS2 | CMDB, mapas de flujo de datos, registro de proveedores, inventario de la nube, clasificación de criticidad |
| Control de acceso e identidad | Seguridad de recursos humanos, gestión de accesos, MFA, acceso privilegiado | Control de acceso y MFA en NIS2, mínimo privilegio y autenticación fuerte en DORA | Tickets de altas, cambios y bajas, revisiones de accesos, informes MFA, registros de cuentas privilegiadas |
| Registro de eventos, monitorización y detección | Registro de eventos, monitorización, evaluación de eventos | Detección de anomalías y clasificación de incidentes en DORA, preparación ante incidentes en NIS2 | Alertas SIEM, reglas de detección, registros de triaje de incidentes, paneles de monitorización |
| Gestión de incidentes | Planificación de incidentes, respuesta, recopilación de evidencias, lecciones aprendidas | Flujo de trabajo de notificación NIS2, ciclo de vida de incidentes de TIC en DORA | Registro de incidentes, matriz de severidad, plantillas de notificación, informes de causa raíz, registros de ejercicios |
| Continuidad del negocio y recuperación | Preparación de TIC, copias de seguridad, seguridad ante interrupciones | Copia de seguridad y gestión de crisis en NIS2, continuidad y recuperación en DORA | BIA, planes de continuidad, pruebas de copias de seguridad, registros de RTO y RPO, prueba de comunicación de crisis |
| Riesgo de proveedores y terceros de TIC | Acuerdos con proveedores, cadena de suministro de TIC, adquisición y salida de servicios en la nube | Seguridad de la cadena de suministro en NIS2, registro de terceros de TIC y cláusulas contractuales en DORA | Diligencia debida de proveedores, contratos, derechos de auditoría, planes de salida, análisis de riesgo de concentración |
| Desarrollo seguro y vulnerabilidades | Adquisición segura, desarrollo, cambios, gestión de vulnerabilidades | Gestión de vulnerabilidades en NIS2, aplicación de parches y pruebas en DORA | Escaneos de vulnerabilidades, SLA de remediación, tickets de cambio, revisión de código, informes de pruebas de penetración |
| Supervisión del cumplimiento y acciones correctivas | Supervisión, auditoría interna, no conformidad y acción correctiva | Medidas correctivas de NIS2, auditoría y seguimiento de remediación en DORA | Informes de auditoría, registro CAPA, panel de KPI, acciones de revisión por la dirección |
Esta estructura convierte cada dominio de auditoría en un objeto de aseguramiento compartido. El auditor interno prueba el requisito de ISO 27001 y después registra si la misma evidencia también respalda las expectativas de NIS2, DORA, el RGPD de la UE, NIST CSF y COBIT 2019.
Planificar el año en función del riesgo, no del papeleo
Zenith Blueprint ofrece a los equipos una secuencia práctica para convertir la auditoría en mejora:
- Paso 25, Programa de auditoría interna: planificar el alcance, la frecuencia, la independencia y las prioridades basadas en riesgos.
- Paso 26, Ejecución de auditoría: recopilar evidencias objetivas mediante entrevistas, revisión documental, observación y muestreo.
- Paso 27, Hallazgos de auditoría, análisis y causa raíz: clasificar los hallazgos e identificar la causa raíz.
- Paso 28, Revisión por la dirección: trasladar resultados de auditoría, incidentes, no conformidades, objetivos, riesgos y necesidades de recursos a la revisión de la alta dirección.
- Paso 29, Mejora continua: definir acciones correctivas que eliminen causas, no solo síntomas.
Zenith Blueprint es explícito sobre la independencia:
Idealmente, el auditor interno no debería auditar su propio trabajo.
De la fase de Auditoría, revisión y mejora, Paso 25: Programa de auditoría interna.
Para una empresa SaaS o fintech de menor tamaño, esto puede significar pedir a un responsable de otra función que audite procesos de seguridad, rotar propietarios de controles o utilizar un consultor externo. La clave es documentar la competencia y la independencia, especialmente cuando las evidencias de NIS2 y DORA puedan ser revisadas posteriormente por clientes, reguladores, órganos de supervisión o auditores externos.
La Política de Auditoría y Supervisión del Cumplimiento para pymes también define la estructura mínima de auditoría:
Cada auditoría debe incluir un alcance definido, objetivos, personal responsable y evidencias requeridas.
De la sección «Requisitos de gobernanza», cláusula de política 5.2.3.
Una estructura trimestral práctica para un proveedor SaaS o de TIC de alto crecimiento podría ser:
| Trimestre | Foco principal de auditoría | Énfasis regulatorio | Resultados principales |
|---|---|---|---|
| T1 | Gestión y notificación de incidentes | NIS2 Article 23, DORA Articles 17 to 19 | Informe de auditoría de incidentes, prueba del flujo de trabajo de notificación, revisión de la matriz de severidad |
| T2 | Gestión del riesgo de terceros de TIC | NIS2 Article 21, DORA Articles 28 to 30 | Muestra de proveedores, revisión contractual, evidencias de diligencia debida, revisión de planificación de salida |
| T3 | Continuidad del negocio y pruebas de resiliencia | NIS2 Article 21, DORA Articles 11, 12, 24 to 27 | Evidencias de restauración de copias de seguridad, ejercicio de continuidad, remediación de pruebas de resiliencia |
| T4 | Gobernanza, riesgo y cumplimiento | NIS2 Article 20, DORA Articles 5 and 6, ISO 27001 Clauses 5, 9 and 10 | Paquete de revisión por la dirección, estado de CAPA, decisiones sobre riesgo residual, plan de auditoría del año siguiente |
Esto no sustituye la recopilación mensual de evidencias. Aporta al año un ritmo de aseguramiento claro.
Muestreo: ¿cuánta evidencia es suficiente?
El muestreo es donde muchas auditorías internas se vuelven demasiado superficiales o demasiado costosas. En entornos de TIC regulados, el muestreo debe estar basado en riesgos, ser explicable y estar documentado.
Zenith Blueprint, Paso 26, aporta el principio práctico:
Muestree y realice comprobaciones aleatorias: no puede comprobarlo todo, por lo que debe utilizar muestreo.
De la fase de Auditoría, revisión y mejora, Paso 26: Ejecución de auditoría.
La política empresarial de Clarysec hace que esto sea auditable:
Documentación de la estrategia de muestreo, el alcance de la auditoría y las limitaciones
De la sección «Requisitos de gobernanza», cláusula de política 5.5.3.
Para NIS2 y DORA, el muestreo debe considerar criticidad, riesgo, importancia del proveedor, periodo temporal, historial de incidentes, geografía y si el proceso muestreado da soporte a funciones críticas o importantes.
| Área de control | Población | Muestra sugerida | Ajuste basado en riesgos |
|---|---|---|---|
| Aprovisionamiento de accesos | Todas las cuentas de usuario nuevas del trimestre | 10 cuentas o el 10 %, lo que sea mayor | Incluir todas las cuentas privilegiadas y administradores de aplicaciones críticas |
| Retirada de accesos por baja | Todos los usuarios cesados en el trimestre | 100 % de usuarios privilegiados, 10 usuarios estándar | Aumentar la muestra si cambió la integración de RR. HH. o IAM |
| Diligencia debida de proveedores | Proveedores de TIC activos | Todos los proveedores críticos, 5 proveedores de riesgo medio, 3 proveedores de bajo riesgo | Incluir proveedores que soporten clientes financieros o servicios esenciales |
| Remediación de vulnerabilidades | Hallazgos críticos y altos cerrados en el trimestre | 15 tickets entre sistemas | Incluir sistemas expuestos a internet y excepciones recurrentes |
| Gestión de incidentes | Todos los incidentes de seguridad del trimestre | Todos los incidentes graves, 5 incidentes menores, 3 ejemplos de triaje de falsos positivos | Incluir incidentes con datos personales, impacto en clientes o relevancia transfronteriza |
| Restauración de copias de seguridad | Pruebas de copias de seguridad realizadas en el trimestre | Todas las pruebas de sistemas críticos, 3 sistemas no críticos | Incluir sistemas que soporten funciones críticas o importantes |
| Gestión de cambios | Cambios en producción del trimestre | 15 cambios, incluidos cambios de emergencia | Incluir cambios que afecten a autenticación, registro de eventos, cifrado o datos de clientes |
| Formación en seguridad | Empleados y contratistas activos en el periodo | 20 usuarios entre departamentos | Incluir miembros del órgano de dirección y roles técnicos privilegiados |
En entornos afectados por DORA, las evidencias de pruebas merecen especial atención. DORA exige pruebas de resiliencia operativa digital para las entidades financieras, con pruebas más avanzadas, como pruebas de penetración guiadas por amenazas, para determinadas entidades al menos cada tres años. La muestra de auditoría debe incluir no solo informes de prueba, sino también evidencias de que los hallazgos se priorizaron, remediaron y volvieron a probarse.
Ejemplo práctico de auditoría: riesgo de terceros de TIC
La seguridad de proveedores suele ser la forma más rápida de exponer brechas entre la documentación y la realidad operativa. DORA Articles 28 to 30 exigen gestión del riesgo de terceros de TIC, contenido contractual y registros de información. NIS2 Article 21 exige seguridad de la cadena de suministro que considere las vulnerabilidades y prácticas de los proveedores directos.
Para una auditoría de T2, Sarah selecciona una muestra de cinco proveedores críticos, tres proveedores nuevos incorporados en los últimos seis meses y dos proveedores con contratos renovados recientemente. El auditor entrevista a compras, legal, propietarios de servicios y propietarios de controles de seguridad.
| Requisito DORA o NIS2 | Anclaje de control ISO 27001:2022 | Pregunta de auditoría | Evidencias a recopilar |
|---|---|---|---|
| DORA Article 28, registro de terceros de TIC | A.5.19 Seguridad de la información en las relaciones con proveedores | ¿Existe un registro completo y actualizado de acuerdos con proveedores terceros de TIC? | Registro de proveedores en vigor y registros de proveedores críticos muestreados |
| DORA Article 28, evaluación de riesgos precontractual | A.5.19 Seguridad de la información en las relaciones con proveedores | ¿Se realizó la diligencia debida antes de firmar o renovar contratos con proveedores? | Informes de diligencia debida, evaluaciones de riesgos y registros de aprobación |
| DORA Article 30, contenido contractual | A.5.20 Tratamiento de la seguridad de la información en los acuerdos con proveedores | ¿Los contratos incluyen medidas de seguridad, derechos de auditoría, asistencia ante incidentes y soporte de terminación cuando se requiere? | Contratos, anexos, calendarios de seguridad y notas de revisión legal |
| NIS2 Article 21, seguridad de la cadena de suministro | A.5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC | ¿Se comprenden las prácticas de seguridad de proveedores, la subcontratación y las dependencias del servicio? | Cuestionarios de proveedores, comunicaciones sobre subcontratistas y mapas de dependencias |
| Supervisión continua de proveedores | A.5.22 Supervisión, revisión y gestión de cambios de los servicios de proveedores | ¿Se revisan en el tiempo el desempeño y la seguridad de los proveedores? | Actas de revisiones trimestrales de negocio (QBR), informes SLA, informes de auditoría y registros de revisión anual |
Esta tabla no solo guía la recopilación de evidencias. Demuestra que la organización ha traducido el texto regulatorio en criterios de auditoría alineados con ISO y en evidencias concretas.
Hallazgos: redactarlos para que la dirección pueda actuar
Un hallazgo de auditoría no debe sonar como una queja vaga. Debe estar lo suficientemente estructurado para que la dirección comprenda el riesgo, asigne la titularidad y apruebe la acción correctiva.
La Política de Auditoría y Supervisión del Cumplimiento para pymes establece:
Todos los hallazgos de auditoría deben documentarse con calificaciones de riesgo y acciones propuestas.
De la sección «Requisitos de gobernanza», cláusula de política 5.4.1.
La Política de Auditoría y Supervisión del Cumplimiento empresarial añade la disciplina de la acción correctiva:
Todos los hallazgos deberán dar lugar a una CAPA documentada que incluya:
De la sección «Requisitos de implementación de la política», cláusula de política 6.2.1.
En Zenith Blueprint, Paso 27 recomienda categorizar los hallazgos como no conformidades mayores, no conformidades menores u observaciones, y después realizar un análisis de causa raíz. Una no conformidad mayor indica una brecha grave o un fallo sistemático. Una no conformidad menor es un incumplimiento aislado dentro de un proceso por lo demás conforme. Una observación es una oportunidad de mejora.
Un hallazgo sólido incluye:
- Requisito o expectativa de control.
- Condición observada.
- Evidencias muestreadas.
- Riesgo e impacto en las operaciones de la organización.
- Relevancia regulatoria.
- Clasificación y calificación del riesgo.
- Causa raíz.
- Propietario de la acción correctiva y fecha límite.
Ejemplo de hallazgo:
Hallazgo NC-2026-07, no conformidad menor, retraso en la revisión de seguridad de proveedores
Requisito: Las revisiones de seguridad de proveedores para proveedores críticos de TIC deben realizarse al menos una vez al año, respaldando los controles de proveedores de ISO 27001, las expectativas de cadena de suministro de NIS2 y las obligaciones de riesgo de terceros de TIC de DORA.
Condición: Dos de los doce proveedores críticos de TIC no tenían revisiones de seguridad de 2026 completadas en la fecha requerida.
Evidencia: Exportación del registro de proveedores fechada el 15 de junio de 2026, herramienta de seguimiento de revisiones de proveedores, entrevista con el responsable de Compras y dos registros de revisión ausentes.
Riesgo: El retraso en la revisión de proveedores puede impedir la identificación oportuna de vulnerabilidades, cambios de subcontratación, deficiencias de soporte ante incidentes o incumplimientos contractuales que afecten a servicios críticos.
Causa raíz: Compras no recibía notificaciones automáticas cuando se aproximaban las fechas de revisión de proveedores, y no se había asignado la titularidad de las evidencias de proveedores relacionadas con DORA.
Acción correctiva: Configurar recordatorios automatizados de revisión, asignar propietarios de controles nominales para todos los proveedores críticos de TIC, completar las revisiones vencidas antes del 31 de julio de 2026 y realizar comprobaciones muestrales trimestrales.
Para el análisis de causa raíz, la técnica de los «5 porqués» es útil. Si se omitió una evaluación precontractual, la causa real puede no ser un error individual. Puede ser que el flujo de compras permitiera que contratos de TIC de bajo importe eludieran la revisión de seguridad, aunque las expectativas de DORA y NIS2 se apliquen en función del riesgo y la dependencia, no solo del gasto.
El calendario de evidencias de 2026
Un calendario de evidencias de 2026 convierte la auditoría interna en un ritmo operativo. Distribuye la generación de evidencias a lo largo del año y evita la carrera de fin de ejercicio.
La Política de Seguridad de la Información de Clarysec espera la revisión de gobernanza de:
Revisión de indicadores clave de desempeño de seguridad (KPI), incidentes, hallazgos de auditoría y estado del riesgo
De la sección «Requisitos de gobernanza», cláusula de política 5.3.2.
Las evidencias no se recopilan solo para los auditores. Alimentan decisiones sobre riesgo, presupuesto, recursos, proveedores, herramientas, formación y acciones correctivas.
| Mes | Foco de auditoría y evidencias | Principales evidencias generadas |
|---|---|---|
| Enero | Confirmar el alcance regulatorio, el alcance del SGSI y el plan de auditoría de 2026 | Plan de auditoría aprobado, revisión del alcance del SGSI, evaluación de aplicabilidad de NIS2 y DORA, actualización del registro legal |
| Febrero | Gobernanza, apetito de riesgo y formación del órgano de dirección | Actas del consejo, registros de formación, criterios de riesgo, registro de riesgos actualizado |
| Marzo | Inventario de activos, datos y dependencias | Exportación de CMDB, mapas de flujo de datos, lista de servicios críticos, mapa de interconexiones con proveedores de TIC |
| Abril | Auditoría de control de acceso y MFA | Registros de revisión de accesos, muestra de acceso privilegiado, informe de cobertura MFA, prueba de bajas |
| Mayo | Vulnerabilidades, aplicación de parches y gestión segura de cambios | Métricas de vulnerabilidades, evidencias de remediación, muestra de tickets de cambio, aprobaciones de excepción |
| Junio | Gobernanza de proveedores y servicios en la nube | Muestra de diligencia debida de proveedores, revisión de cláusulas contractuales, derechos de auditoría, planes de salida, notas de riesgo de concentración |
| Julio | Ejercicio de gestión y notificación de incidentes | Simulación de incidente, clasificación de severidad, prueba del flujo de trabajo de notificación NIS2, prueba de escalado de incidentes DORA |
| Agosto | Registro de eventos, monitorización y detección | Casos de uso SIEM, ajuste de alertas, cobertura de monitorización, muestra de escalado |
| Septiembre | Copias de seguridad, restauración y continuidad del negocio | Registros de pruebas de copias de seguridad, evidencias de RTO y RPO, ejercicio de continuidad, prueba de comunicación de crisis |
| Octubre | Desarrollo seguro y seguridad de aplicaciones | Evidencias del SDLC, muestra de revisión de código, resultados de pruebas de seguridad, revisión de desarrollo externalizado |
| Noviembre | Auditoría interna completa del SGSI y revisión de cumplimiento cruzado | Informe de auditoría interna, registro de hallazgos, mapeo NIS2 y DORA, evidencias de responsabilidad proactiva del RGPD de la UE |
| Diciembre | Revisión por la dirección y cierre de acciones correctivas | Actas de revisión por la dirección, estado de CAPA, aceptación del riesgo residual, entradas para el plan de auditoría de 2027 |
Este calendario proporciona al comité de auditoría un plan de aseguramiento prospectivo y da a los propietarios de controles tiempo para crear evidencias mediante las operaciones normales.
La columna vertebral ISO 27002:2022: 5.31, 5.35 y 5.36
Zenith Controls es la guía de cumplimiento cruzado de Clarysec. Mapea áreas de control de ISO/IEC 27001:2022 e ISO/IEC 27002:2022 con otras normas, regulaciones, expectativas de auditoría y patrones de evidencia. Es especialmente útil para conectar la revisión interna, las obligaciones legales y el cumplimiento de políticas.
Tres áreas de control de ISO/IEC 27002:2022 forman la columna vertebral de un programa unificado de auditoría interna:
| Área ISO 27002:2022 destacada en Zenith Controls | Pregunta de auditoría | Valor para NIS2 y DORA |
|---|---|---|
| 5.31 Requisitos legales, estatutarios, regulatorios y contractuales | ¿Sabemos qué obligaciones aplican y las hemos mapeado con controles y evidencias? | Respalda la aplicabilidad de NIS2, las obligaciones de TIC de DORA, los contratos con clientes y la responsabilidad proactiva del RGPD de la UE |
| 5.35 Revisión independiente de la seguridad de la información | ¿Las revisiones son objetivas, planificadas, competentes y generan acciones? | Respalda el aseguramiento sobre medidas de ciberseguridad, pruebas de resiliencia de las TIC y supervisión de la dirección |
| 5.36 Cumplimiento de políticas, normas y estándares de seguridad de la información | ¿Las reglas internas se siguen en la práctica y se supervisan de forma continua? | Respalda la aplicación de políticas, la higiene cibernética, el control de acceso, la preparación ante incidentes y la acción correctiva |
El control 5.35 es la piedra angular del aseguramiento porque valida si el SGSI se está revisando de forma independiente. El control 5.36 confirma que las políticas no solo están aprobadas, sino que se cumplen realmente. El control 5.31 conecta el SGSI con las obligaciones legales, regulatorias y contractuales, incluidas NIS2, DORA, el RGPD de la UE y los requisitos de seguridad de clientes.
Mapeo de cumplimiento cruzado: una auditoría, muchas perspectivas de aseguramiento
Un papel de trabajo de auditoría interna maduro debe mostrar explícitamente cómo un mismo elemento de evidencia respalda varias expectativas de aseguramiento.
| Evidencia de auditoría | Aseguramiento ISO 27001 | Relevancia NIS2 | Relevancia DORA | Relevancia para el RGPD de la UE, NIST y COBIT |
|---|---|---|---|---|
| Registro legal y regulatorio | Contexto y obligaciones de cumplimiento | Alcance, condición de entidad, impulsores de Article 21 | Obligaciones sectoriales de resiliencia de las TIC | Responsabilidad proactiva del RGPD de la UE, NIST CSF GOVERN, cumplimiento externo COBIT |
| Registro de riesgos y plan de tratamiento | Evaluación de riesgos, tratamiento, Declaración de Aplicabilidad | Medidas adecuadas y proporcionadas | Marco de gestión del riesgo de las TIC y tolerancia | Gestión de riesgos NIST, optimización del riesgo COBIT |
| Informe de ejercicio de mesa de incidentes | Preparación ante incidentes y lecciones aprendidas | Preparación del flujo de trabajo de notificación | Clasificación, escalado, notificación y causa raíz | Preparación ante brechas de seguridad del RGPD de la UE, NIST CSF RESPOND, incidentes gestionados COBIT |
| Expediente de diligencia debida de proveedores | Relación con proveedores y cadena de suministro de TIC | Vulnerabilidades y prácticas de proveedores | Registro de terceros de TIC, diligencia debida, planificación de salida | NIST C-SCRM, gobernanza de proveedores COBIT |
| Prueba de restauración de copias de seguridad | Preparación de TIC y continuidad | Copia de seguridad, recuperación ante desastres, gestión de crisis | Objetivos de recuperación, restauración y comprobaciones de integridad | Disponibilidad del RGPD de la UE, NIST CSF RECOVER, continuidad COBIT |
| Revisión de accesos | Control de acceso y seguridad de recursos humanos | Expectativas de control de acceso y MFA | Mínimo privilegio y autenticación fuerte | Integridad y confidencialidad del RGPD de la UE, NIST CSF PROTECT |
Esto permite al CISO decir al consejo: «Nuestra auditoría de incidentes de julio produjo evidencias para ISO 27001, NIS2, aseguramiento DORA para clientes, preparación ante brechas de seguridad del RGPD de la UE, resultados de respuesta NIST CSF y gobernanza de incidentes COBIT».
Revisión por la dirección: donde la auditoría se convierte en responsabilidad proactiva
La auditoría interna tiene poco valor si los hallazgos no llegan a la dirección. La revisión por la dirección de ISO 27001 proporciona el mecanismo, y NIS2 y DORA hacen explícita la expectativa de gobernanza.
La Política de Auditoría y Supervisión del Cumplimiento para pymes exige:
Los hallazgos de auditoría y las actualizaciones de estado deben incluirse en el proceso de revisión por la dirección del SGSI.
De la sección «Requisitos de gobernanza», cláusula de política 5.4.3.
También establece:
El DG debe aprobar un plan de acciones correctivas y supervisar su implementación.
De la sección «Requisitos de gobernanza», cláusula de política 5.4.2.
La revisión por la dirección debe responder:
- ¿Siguen reflejándose correctamente las obligaciones de NIS2, DORA, el RGPD de la UE y contractuales en el alcance del SGSI?
- ¿Se auditan con suficiente frecuencia los controles de alto riesgo?
- ¿Qué hallazgos indican una debilidad sistémica en lugar de un error aislado?
- ¿Hay acciones correctivas vencidas?
- ¿Los propietarios del riesgo aceptan el riesgo residual de forma consciente?
- ¿Los proveedores, la notificación de incidentes, la continuidad y las pruebas cuentan con recursos adecuados?
- ¿Las tendencias de auditoría sugieren cambios en políticas, herramientas, presupuesto o formación?
Si estas respuestas no están documentadas, la organización puede tener evidencias de actividad, pero no evidencias de gobernanza.
Errores comunes que deben evitarse en 2026
El fallo más habitual es tratar la auditoría interna de ISO 27001 como algo separado del aseguramiento regulatorio. Esto crea duplicidades y puntos ciegos.
Otros errores incluyen:
- El alcance excluye proveedores críticos, plataformas en la nube o servicios SOC externalizados.
- La aplicabilidad de NIS2 o DORA no está documentada en el registro legal.
- El plan de auditoría no está aprobado por la dirección.
- Se realiza muestreo, pero no se documenta.
- Los auditores internos revisan su propio trabajo sin mitigación.
- Los hallazgos describen síntomas, pero no causas raíz.
- Las acciones correctivas actualizan documentos, pero no corrigen procesos.
- La revisión por la dirección recibe resultados de auditoría, pero no toma decisiones.
- Los ejercicios de incidentes prueban la respuesta técnica, pero no la notificación regulatoria.
- Las auditorías de proveedores revisan cuestionarios, pero no contratos, planes de salida ni riesgo de concentración.
- Las evidencias de copias de seguridad muestran trabajos completados correctamente, pero no integridad de la restauración.
- Se realizan revisiones de accesos, pero las excepciones no se siguen hasta su cierre.
Cada error puede convertirse en una no conformidad menor o mayor según su severidad e impacto sistémico. Más importante aún, cada uno debilita la capacidad de la organización para demostrar resiliencia ante NIS2, DORA y el escrutinio de los clientes.
Convertir su plan de auditoría de 2026 en un motor de evidencias
Si su programa de auditoría interna sigue siendo un único evento anual, ahora es el momento de rediseñarlo.
Empiece con un plan de auditoría aprobado por la dirección. Defina el alcance del SGSI en torno a servicios reales, obligaciones reguladas y dependencias de terceros. Construya un universo de auditoría basado en riesgos. Documente el muestreo. Clasifique los hallazgos de forma consistente. Utilice análisis de causa raíz. Haga seguimiento de CAPA. Traslade los resultados a la revisión por la dirección. Mantenga un calendario mensual de evidencias.
Clarysec puede ayudarle a avanzar más rápido con:
- Zenith Blueprint: hoja de ruta de 30 pasos para auditores para planificación de auditorías, ejecución, hallazgos, revisión por la dirección y mejora continua.
- Zenith Controls: guía de cumplimiento cruzado para mapear el aseguramiento ISO 27001 con las expectativas de NIS2, DORA, el RGPD de la UE, NIST CSF y COBIT.
- Política de Auditoría y Supervisión del Cumplimiento y Política de Auditoría y Supervisión del Cumplimiento para pymes para una planificación de auditorías y gestión de hallazgos preparadas para la gobernanza.
- Política de Seguridad de la Información para la revisión de KPI, incidentes, hallazgos de auditoría y estado del riesgo a nivel de dirección.
Elija un dominio de alto riesgo, como la notificación de incidentes o la gobernanza de proveedores de TIC, y ejecute una auditoría interna focalizada utilizando la estructura de alcance, muestreo y hallazgos de Clarysec. En un solo ciclo sabrá si sus evidencias están preparadas para auditorías, si sus controles están operando y si su órgano de dirección tiene la información que necesita para gobernar el riesgo cibernético.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
