Quartz 4

Fases De Auditoria

4 min read

Fases de una auditoría de seguridad de la información (expandidas)

Relacionado: Alcance. COBIT. Controles. 12 Introduccion a la Criptografiaseguridad.

1. Inicio

  • Establecimiento del objetivo de la auditoría

  • Designación del equipo auditor y auditado

  • Confirmación del alcance y criterios (por ejemplo, ENS, ISO 27001, políticas internas)

  • Planificación general de tiempos y recursos

  • Comunicación inicial entre las partes

Salida: acta o plan de inicio, acuerdo sobre calendario y alcance.

2. Revisión de documentación

  • Recogida y análisis de documentación clave:

    • Política de seguridad

    • Declaración de aplicabilidad (SoA)

    • Análisis de riesgos

    • Inventario de activos

    • Procedimientos, planes de continuidad, evidencias, etc.

  • Permite preparar las entrevistas y localizar puntos críticos

Salida: lista de documentación validada, dudas previas o evidencias preliminares.

3. Preparación de la auditoría

  • Elaboración del plan de auditoría detallado

  • Selección de muestras, controles y áreas a revisar

  • Programación de entrevistas y pruebas técnicas

  • Notificación a los responsables de cada proceso

Salida: agenda, cuestionarios previos, metodología de muestreo y pruebas.

4. Trabajo de auditoría

  • Entrevistas con personal clave

  • Ejecución de pruebas: técnicas, documentales y operativas

  • Toma de evidencias objetivas (screenshots, logs, registros firmados)

  • Detección de no conformidades, observaciones y buenas prácticas

Salida: matriz de hallazgos, clasificación preliminar y validación con auditados.

5. Realización del informe

  • Redacción del informe técnico o ejecutivo

  • Clasificación de hallazgos:

    • No conformidades (graves o leves)

    • Observaciones (mejorables)

    • Conformidades

  • Recomendaciones específicas y plazo de corrección

  • Presentación final y reunión de cierre

Salida: informe oficial firmado, base para plan de acciones correctivas.

Conclusión

Las fases descritas en la diapositiva estructuran todo el proceso de auditoría en una cadena lógica y profesional, que permite obtener evidencias claras, trazables y accionables, ya sea para cumplimiento normativo (ENS, ISO), mejora continua, o certificación.

Excelente. Vamos a desarrollar de forma clara y profesional las fases de una auditoría de seguridad de la información, tanto si es interna como externa, alineada con normas como ISO/IEC 27001, ENS, NIST, COBIT o el enfoque de ISACA (CISA).

¿Qué es una auditoría de seguridad?

Una auditoría de seguridad es un proceso estructurado para:

  • Evaluar la eficacia de los controles aplicados

  • Verificar el cumplimiento de normativas, políticas o estándares

  • Identificar brechas o áreas de mejora

  • Aportar evidencia objetiva y trazable

Fases clásicas de una auditoría de seguridad

1. Planificación y alcance (Plan)

Objetivo: definir el qué, cómo y hasta dónde se audita.

Incluye:

  • Definición del alcance: sistemas, áreas, sedes, fechas

  • Revisión documental preliminar (SGSI, políticas, controles)

  • Establecimiento de objetivos de auditoría

  • Designación del equipo auditor

  • Calendario de entrevistas y actividades

Resultado → Plan de auditoría aprobado

2. Trabajo de campo o ejecución (Do)

Objetivo: recoger evidencias para evaluar el sistema auditado.

Tareas clave:

  • Entrevistas con responsables de procesos y seguridad

  • Análisis documental (políticas, procedimientos, registros, informes)

  • Inspección técnica (logs, configuraciones, controles aplicados)

  • Pruebas sustantivas y de cumplimiento

  • Escaneo, pentest o revisiones técnicas (si aplica)

Resultado → Evidencias recopiladas y no conformidades preliminares

3. Análisis y evaluación (Check)

Objetivo: valorar si se cumplen los requisitos definidos.

Incluye:

  • Comparar los hallazgos con la norma o política de referencia (ENS, ISO, DORA…)

  • Clasificar hallazgos: cumplimiento, desviaciones, observaciones, buenas prácticas

  • Evaluar el impacto y riesgo de las no conformidades

  • Validar las evidencias con los auditados

Resultado → Informe técnico preliminar

4. Informe final y cierre (Act)

Objetivo: emitir el informe oficial y cerrar el proceso con acciones concretas.

Incluye:

  • Presentación del informe final de auditoría

  • Clasificación de hallazgos (conforme, NC leve, NC grave, observaciones)

  • Recomendaciones de mejora

  • Plazo para plan de acción correctiva

  • Reunión de cierre y aceptación del informe

Resultado → Informe firmado y aceptado

5. (Opcional) Seguimiento de acciones correctivas

  • Verificación de que las medidas correctoras propuestas se han implementado

  • Revisión del cierre de no conformidades

  • Preparación para auditorías futuras o recertificación

Enfoques normativos compatibles

NormaEnfoque o guía de auditoría
ISO 27001Cláusula 9.2 – Auditoría interna del SGSI
ENSRequiere auditoría bienal por tercero independiente
CISA (ISACA)Define planificación, ejecución, comunicación y seguimiento
NIST 800-53AEvaluación de controles: procedimientos, entrevistas, evidencias

Conclusión

Toda auditoría de seguridad profesional sigue un proceso estructurado que va del diseño y la revisión documental, a la recogida de evidencias, el análisis riguroso y la entrega de un informe con valor práctico.
Este enfoque no solo busca “cumplir”, sino mejorar de forma continua la seguridad y madurez de la organización.

¿Quieres que te prepare una plantilla de cronograma y checklist para una auditoría tipo ENS o ISO 27001? ¿O un esquema visual de las fases para una presentación profesional o informe?

Graph View

Backlinks