La certificación ISO/IEC 27001:2022 marca un nuevo estándar en la gestión de la seguridad de la información. Refuerza el vínculo entre riesgos, controles y métricas, incorpora la planificación de cambios (6.3) y alinea el Anexo A con ISO/IEC 27002:2022. El objetivo es claro: que el Sistema de Gestión de Seguridad de la Información (SGSI) funcione en la realidad y no solo en el papel. En este artículo compartimos 8 movimientos clave para preparar una auditoría eficaz y sin sobresaltos.
1. Aclara el alcance y el contexto
Definir qué incluye (procesos, sedes, sistemas, terceros) y qué queda fuera es el primer paso. Un alcance bien establecido facilita el análisis de riesgos y evita malentendidos durante la auditoría. Documenta también partes interesadas y requisitos legales o contractuales aplicables.
2. Riesgos que llevan a decisiones
No existe la metodología perfecta, lo importante es que sea coherente y trazable. Explica cómo priorizas (probabilidad, impacto, criterios de aceptación), qué fuentes utilizas (incidentes, vulnerabilidades, cambios, inteligencia de amenazas) y cómo aterrizas planes de tratamiento con responsables, plazos y seguimiento.
3. SoA 2022 como mapa de la auditoría
La Declaración de Aplicabilidad (SoA) es el índice que guía al auditor. Cada control debe responder a un riesgo, con justificación, estado de implantación y evidencias verificables. Una SoA desalineada dispersa tiempo y foco.
4. Evidencias que demuestran eficacia (más allá de los documentos)
El auditor busca resultados, no solo papeles:
- Backups con pruebas de restauración exitosas.
- Vulnerabilidades y parches cerrados dentro de SLA.
- Revisiones de accesos y privilegios con MFA y segregación de funciones.
- Respuesta a incidentes documentada y con lecciones aprendidas.
- Pruebas de continuidad con resultados evaluados.
- Configuración segura y responsabilidad compartida en la nube.
5. Auditoría interna que descubre brechas (y las cierra)
La auditoría interna debe adelantarse a la certificación. Evalúa eficacia, no solo conformidad documental. Cierra hallazgos con planes de acción, responsables y fechas. Esa trazabilidad es prueba de madurez del SGSI.
6. Revisión por la dirección con decisiones visibles
La revisión no es un trámite: debe dejar evidencia de decisiones sobre recursos, priorización de riesgos, cambios y objetivos estratégicos. Sirve para ajustar el rumbo y asegurar apoyo real de la dirección.
7. Planificación de cambios (cláusula 6.3)
La norma 2022 exige gestionar cambios de forma controlada. Nuevas sedes, migraciones a cloud, proveedores críticos o reorganizaciones deben evaluarse por su impacto en riesgos, SoA y controles. Cada cambio debe generar evidencias y aprobación documentada.
8. Logística: menos fricción, más foco
Una agenda clara, entrevistados confirmados, accesos listos y repositorios organizados ahorran tiempo y reducen riesgos. En auditorías remotas o híbridas, acuerda de antemano herramientas seguras, control de versiones y screen-sharing con trazabilidad.
Errores frecuentes que conviene evitar
- SoA desactualizada o con controles sin justificar.
- Evidencias dispersas o difíciles de localizar.
- Falta de pruebas de restauración o parches fuera de SLA.
- Revisiones de accesos incompletas o usuarios heredados.
- Auditorías internas formales pero sin cierre efectivo de acciones.
Siguiente paso
Si estás preparando tu auditoría ISO/IEC 27001:2022, ponemos a tu disposición:
- Checklist de preparación 27001 con 40 puntos clave.
- Diagnóstico de 30 minutos para revisar tu SoA y las evidencias críticas.
👉 Descarga aquí el Checklist de preparación ISO 27001
