Cómo verificar la consistencia de los documentos del SGSI y la preparación para la auditoría con ISMS Copilot

Esta guía ayuda a los implementadores de ISO 27001 a realizar verificaciones integrales de consistencia en toda la documentación del SGSI, a desafiar su trabajo de preparación y a verificar la preparación para la auditoría antes de la certificación inicial o las auditorías de vigilancia.

A quién va dirigido

Implementadores de ISO 27001, responsables de seguridad de la información y oficiales de cumplimiento encargados de crear y mantener un SGSI y prepararse para las auditorías de certificación.

Qué lograrás

Subirás tu documentación completa del SGSI a ISMS Copilot, identificarás inconsistencias entre políticas y procedimientos, verificarás la alineación con los requisitos de ISO 27001 y recibirás una evaluación realista de la preparación para la certificación con áreas de mejora específicas.

El desafío de la consistencia

La documentación del SGSI se crea a lo largo de meses por diferentes personas que hacen referencia a requisitos en evolución. El resultado: las políticas contradicen los procedimientos, la Declaración de Aplicabilidad no coincide con los controles implementados, los tratamientos de riesgos mencionan procedimientos inexistentes y nadie se da cuenta hasta que el auditor lo señala.

Prerrequisitos

• Documentación completa del SGSI que incluya políticas, procedimientos, Declaración de Aplicabilidad, evaluación de riesgos y plan de tratamiento de riesgos

• Cuenta de ISMS Copilot con acceso Premium (recomendado para la subida ilimitada de archivos)

• Todos los documentos en formato PDF o DOC

Paso 1: Crear un espacio de trabajo dedicado a la preparación de la auditoría

Configura un espacio de trabajo específicamente para la revisión integral del SGSI y la preparación de la auditoría.

1. Crea un nuevo espacio de trabajo llamado "Preparación para Auditoría [Fecha]" o "Preparación Certificación [Año]"

2. Selecciona el perfil de Implementador para un análisis centrado en la implementación

3. Mantén este espacio de trabajo separado del trabajo operativo diario del SGSI

Paso 2: Sube tu documentación completa del SGSI

Sube todos los documentos del SGSI para permitir un análisis integral entre documentos.

Documentos críticos para subir:

• Documentos obligatorios: Política de Seguridad de la Información, Declaración de Aplicabilidad (SoA), Evaluación de Riesgos, Plan de Tratamiento de Riesgos

• Procedimientos principales: Control de acceso, gestión de cambios, respuesta a incidentes, continuidad del negocio, copia de seguridad y recuperación

• Documentos de apoyo: Inventario de activos, contratos de proveedores con cláusulas de seguridad, registros de capacitación, registros de auditoría

• Informes de auditorías anteriores: Si están disponibles, para el seguimiento de acciones correctivas

Paso 3: Verificar la alineación de la Declaración de Aplicabilidad

Comprueba que tu SoA refleje con exactitud lo que realmente se ha implementado en tu SGSI.

Instrucciones (prompts) para la verificación de la SoA:

• "Compara mi Declaración de Aplicabilidad con mis procedimientos subidos. ¿Qué controles están marcados como 'aplicables' pero no tienen un procedimiento correspondiente?"

• "¿Hay algún control marcado como 'no aplicable' en mi SoA pero que se mencione en mi plan de tratamiento de riesgos?"

• "Revisa mis justificaciones del SoA para las exclusiones. ¿Son adecuadas según la norma ISO 27001:2022?"

• "¿Qué controles del Anexo A se mencionan en los procedimientos pero faltan en mi SoA?"

Paso 4: Identificar inconsistencias entre documentos

Busca contradicciones, lagunas y desalineaciones en toda la documentación de tu SGSI.

Instrucciones para la verificación de consistencia:

• "Mi política de控制de acceso dice que las revisiones son trimestrales, pero mi procedimiento dice que son anuales. ¿Qué documentos se contradicen entre sí sobre la frecuencia de revisión?"

• "¿Mi plan de tratamiento de riesgos hace referencia a algún procedimiento que no existe en los documentos subidos?"

• "Compara los niveles de clasificación de datos entre mi política y el procedimiento de copia de seguridad. ¿Son consistentes?"

• "Mi procedimiento de respuesta a incidentes menciona un 'Equipo de Respuesta a Incidentes'. ¿Está definido este equipo en alguna parte de mi documentación?"

• "Comprueba si todos los roles y responsabilidades mencionados en los documentos están definidos en mis documentos organizativos."

Paso 5: Verificar la cobertura de los requisitos de ISO 27001

Asegúrate de que tu documentación aborde todas las cláusulas obligatorias de ISO 27001:2022 y los controles aplicables del Anexo A.

Instrucciones para la verificación de cobertura:

• "Comprueba mis documentos subidos con la Cláusula 6 (Planificación) de la norma ISO 27001:2022. ¿Qué falta?"

• "¿Mis documentos demuestran cómo determinamos y abordamos los riesgos y oportunidades según la Cláusula 6.1?"

• "Verifica la cobertura de los requisitos de auditoría interna de la Cláusula 9.2 en mi procedimientos"

• "Para cada control marcado como 'aplicable' en mi SoA, ¿existe evidencia documentada de su implementación?"

• "¿Qué requisitos de la Cláusula 7 (Soporte) no están suficientemente documentados?"

Paso 6: Desafiar tu evaluación y tratamiento de riesgos

Valida que tu enfoque de gestión de riesgos cumpla con los requisitos de la norma ISO 27001 y tenga sentido práctico.

Instrucciones para desafiar la evaluación de riesgos:

• "Revisa mi evaluación de riesgos. ¿Están claramente definidos los criterios para la aceptación de riesgos y se aplican de forma consistente?"

• "¿Los riesgos identificados coinciden con el alcance del SGSI y el inventario de activos?"

• "¿Están debidamente justificadas las opciones de tratamiento del riesgo (evitar, transferir, aceptar, reducir)?"

• "Comprueba si mi plan de tratamiento de riesgos incluye responsables, plazos y el estado de cada riesgo. ¿Qué falta?"

• "¿Hay algún riesgo residual que no haya sido aceptado formalmente por la dirección?"

Paso 7: Evaluar la evidencia de funcionamiento

Determina si tienes pruebas suficientes de que tu SGSI está funcionando realmente, no solo documentado.

Instrucciones para la evaluación de evidencias:

• "¿Qué evidencia operativa esperaría un auditor para mi procedimiento de control de acceso? ¿Cuento con ella?"

• "Según mi procedimiento de respuesta a incidentes, ¿qué registros debería tener? ¿Se mencionan en mis documentos?"

• "Revisa mi plan de continuidad del negocio. ¿Qué evidencia de pruebas esperarán los auditores?"

• "¿Especifican mis procedimientos los periodos y formatos de retención de registros? ¿Es consistente?"

Paso 8: Obtener una evaluación de preparación

Solicita una evaluación general de la preparación para la certificación con prioridades de mejora específicas.

Instrucciones para la evaluación de preparación:

• "Basándote en todos los documentos subidos, evalúa mi preparación para la certificación inicial ISO 27001:2022. ¿Cuáles son los 5 principales riesgos para la certificación?"

• "¿Qué resultaría probablemente en no conformidades mayores si me sometiera a una auditoría hoy mismo?"

• "¿Qué áreas de mi SGSI son más débiles según la documentación?"

• "Crea una lista de verificación previa a la auditoría priorizada por nivel de riesgo"

• "Si fueras un auditor revisando estos documentos, ¿qué cuestionarías o pondrías en duda?"

Paso 9: Realizar la preparación para la auditoría de vigilancia

En el caso de las auditorías de vigilancia, verifica que los cambios realizados desde la certificación no hayan introducido inconsistencias.

Instrucciones específicas para vigilancia:

• "Compara mis procedimientos actuales con el informe de auditoría anterior. ¿Se han abordado todas las no conformidades?"

• "¿Qué cambios se han realizado en la documentación de mi SGSI desde la última auditoría? ¿Se reflejan de forma consistente?"

• "Revisa las actas de las reuniones de revisión por la dirección. ¿Demuestran una mejora continua?"

• "¿Hay nuevos riesgos o controles que deberían estar en mi SoA pero no lo están?"

Inconsistencias comunes que identifica ISMS Copilot

• Desajustes terminológicos: Uso intercambiable de datos "Sensibles" vs. "Confidenciales" sin definición

• Conflictos en la frecuencia de revisión: La política dice trimestral, el procedimiento dice anual

• Referencias huérfanas: Los documentos citan procedimientos, equipos o sistemas que no existen

• Extensión del alcance (Scope creep): Los procedimientos mencionan ubicaciones o sistemas fuera del alcance definido del SGSI

• Problemas de control de versiones: Los documentos hacen referencia a versiones obsoletas de otros documentos

• Lagunas de responsabilidad: Los procedimientos asignan tareas a funciones no definidas o a puestos vacantes

• Desalineación del SoA: Controles marcados como "no aplicables" que son claramente necesarios según la evaluación de riesgos

Buenas prácticas para la verificación de consistencia

• Sube todo a la vez: ISMS Copilot analiza las relaciones entre todos los documentos simultáneamente

• Corrige sistemáticamente: Aborda los problemas fundamentales (terminología, funciones, alcance) antes que las inconsistencias de detalle

• Verifica las correcciones: Tras solucionar los problemas, vuelve a subir los documentos actualizados y compruébalos de nuevo

• Documenta la revisión: Guarda el historial del chat como prueba de diligencia debida para los auditores

• Involucra a los propietarios de los documentos: Comparte los hallazgos de ISMS Copilot con las personas responsables de cada documento

• No dependas exclusivamente de la IA: La revisión manual por parte de personas competentes sigue siendo esencial; ISMS Copilot ayuda pero no sustituye la experiencia

Prepararse para las preguntas del auditor

Utiliza ISMS Copilot para anticipar las preguntas de los auditores y preparar las evidencias:

• "¿Qué preguntas haría un auditor sobre mi procedimiento de gestión de cambios?"

• "Si un auditor toma una muestra de mis revisiones de acceso, ¿qué evidencia debería tener preparada?"

• "¿Qué documentos solicitará el auditor durante la revisión de la documentación de la Etapa 1?"

• "Genera una lista de posibles preguntas de entrevista para nuestro responsable de TI basándote en nuestros controles documentados"

Lo que ISMS Copilot no puede verificar

Limitaciones importantes que hay que entender:

• Implementación real: ISMS Copilot revisa documentos, no tus sistemas, procesos o registros reales

• Eficacia: La IA no puede determinar si tus controles funcionan realmente en la práctica

• Factores culturales: Los auditores evalúan la cultura de seguridad, el compromiso de la dirección y la concienciación de los empleados, no solo los documentos

• Configuraciones técnicas: ISMS Copilot no audita reglas de firewall, configuraciones de servidores o seguridad de aplicaciones

Recursos relacionados

• ISMS Copilot para CISO de startups e implementadores de seguridad - Flujos de trabajo de implementación y análisis de brechas

• Cómo realizar un análisis de brechas ISO 27001 con ISMS Copilot - Técnicas iniciales de identificación de brechas

• Cómo prepararse para las auditorías internas ISO 27001 utilizando IA - Preparación de auditorías internas para el cumplimiento continuo

Próximos pasos

Tras solucionar los problemas de consistencia y verificar la preparación para la auditoría, realiza una auditoría interna formal utilizando tu documentación corregida para validar que tu SGSI funciona según lo documentado antes de programar la auditoría de certificación.