ISMS Copilot
Casos de uso del Copilot para SGSI

Cómo verificar la consistencia de los documentos del SGSI y la preparación para auditorías usando ISMS Copilot

Esta guía ayuda a los implementadores de ISO 27001 a realizar comprobaciones integrales de consistencia en toda la documentación del SGSI, desafiar su trabajo de preparación y verificar la preparación para la auditoría antes de las auditorías de certificación inicial o de vigilancia.

A quién va dirigido

Implementadores de ISO 27001, responsables de seguridad de la información y oficiales de cumplimiento encargados de crear y mantener un SGSI y de prepararse para las auditorías de certificación.

Qué lograrás

Cargarás tu documentación completa del SGSI en ISMS Copilot, identificarás inconsistencias en políticas y procedimientos, verificarás la alineación con los requisitos de ISO 27001 y recibirás una evaluación realista de la preparación para la certificación con áreas de mejora específicas.

El desafío de la consistencia

La documentación del SGSI es creada a lo largo de meses por diferentes personas que hacen referencia a requisitos en evolución. El resultado: las políticas contradicen a los procedimientos, la Declaración de Aplicabilidad (SoA) no coincide con los controles implementados, los tratamientos de riesgos hacen referencia a procedimientos inexistentes y nadie se da cuenta hasta que el auditor lo señala.

ISMS Copilot analiza tu conjunto completo de documentación para identificar brechas, contradicciones y desalineaciones antes de que los auditores las encuentren.

Prerrequisitos

  • Documentación completa del SGSI que incluya políticas, procedimientos, Declaración de Aplicabilidad, evaluación de riesgos y plan de tratamiento de riesgos.

  • Cuenta en ISMS Copilot con un plan de pago (recomendado para límites de carga de archivos más altos — de 50 a 500 por mes, dependiendo del plan).

  • Todos los documentos en formato PDF o DOC.

Paso 1: Crea un espacio de trabajo dedicado a la preparación para la auditoría

Configura un espacio de trabajo específicamente para la revisión integral del SGSI y la preparación de la auditoría.

  1. Crea un nuevo espacio de trabajo llamado "Preparación Auditoría [Fecha]" o "Prep Certificación [Año]"

  2. Selecciona la persona de Implementador para un análisis enfocado en la implementación

  3. Mantén este espacio de trabajo separado del trabajo operativo diario del SGSI

Crea espacios de trabajo de preparación separados para la certificación inicial, las auditorías de vigilancia y la recertificación para rastrear la evolución de la madurez de tu SGSI a lo largo del tiempo.

Paso 2: Carga tu documentación completa del SGSI

Carga todos los documentos del SGSI para permitir un análisis integral entre documentos.

Documentos críticos para cargar:

  • Documentos obligatorios: Política de Seguridad de la Información, Declaración de Aplicabilidad (SoA), Evaluación de Riesgos y Plan de Tratamiento de Riesgos

  • Procedimientos principales: Control de acceso, gestión de cambios, respuesta a incidentes, continuidad del negocio, respaldo y recuperación

  • Documentos de apoyo: Inventario de activos, contratos con proveedores con cláusulas de seguridad, registros de capacitación, registros de auditoría

  • Informes de auditorías anteriores: Si están disponibles, para rastrear acciones correctivas

Asegúrate de que los documentos cargados representen las versiones actuales y aprobadas. Cargar borradores o documentos desactualizados producirá un análisis de consistencia inexacto.

Paso 3: Verifica la alineación de la Declaración de Aplicabilidad (SoA)

Comprueba que tu SoA refleje con precisión lo que realmente se ha implementado en tu SGSI.

Prompts para la verificación del SoA:

  • "Compara mi Declaración de Aplicabilidad con mis procedimientos cargados. ¿Qué controles están marcados como 'aplicables' pero no tienen un procedimiento correspondiente?"

  • "¿Hay algún control marcado como 'no aplicable' en mi SoA pero que se mencione en mi plan de tratamiento de riesgos?"

  • "Revisa mis justificaciones de exclusión en el SoA. ¿Son adecuadas según la norma ISO 27001:2022?"

  • "¿Qué controles del Anexo A se mencionan en los procedimientos pero faltan en mi SoA?"

Resuelve todas las inconsistencias del SoA antes de la auditoría. El SoA es la hoja de ruta del auditor; los errores aquí generan malas primeras impresiones y áreas de enfoque para la auditoría.

Paso 4: Identifica inconsistencias entre documentos

Encuentra contradicciones, brechas y desalineaciones en toda la documentación de tu SGSI.

Prompts para el chequeo de consistencia:

  • "Mi política de control de acceso dice revisiones trimestrales, pero mi procedimiento dice anuales. ¿Qué documentos se contradicen entre sí sobre la frecuencia de revisión?"

  • "¿Mi plan de tratamiento de riesgos hace referencia a algún procedimiento que no existe en los documentos cargados?"

  • "Compara los niveles de clasificación de datos entre mi política y el procedimiento de respaldo. ¿Son consistentes?"

  • "Mi procedimiento de respuesta a incidentes menciona un 'Equipo de Respuesta a Incidentes'. ¿Está definido este equipo en alguna parte de mi documentación?"

  • "Verifica si todos los roles y responsabilidades mencionados en los documentos están definidos en mis documentos organizacionales."

Paso 5: Verifica la cobertura de los requisitos de ISO 27001

Asegúrate de que tu documentación aborde todas las cláusulas obligatorias de ISO 27001:2022 y los controles aplicables del Anexo A.

Prompts para la verificación de cobertura:

  • "Verifica mis documentos cargados frente a la Cláusula 6 (Planificación) de ISO 27001:2022. ¿Qué falta?"

  • "¿Demuestran mis documentos cómo determinamos y abordamos los riesgos y oportunidades según la Cláusula 6.1?"

  • "Verifica el cumplimiento de los requisitos de auditoría interna de la Cláusula 9.2 en mis procedimientos"

  • "Para cada control marcado como 'aplicable' en mi SoA, ¿existe evidencia documentada de su implementación?"

  • "¿Qué requisitos de la Cláusula 7 (Apoyo) no están adecuadamente documentados?"

Enfócate primero en los requisitos obligatorios de las Cláusulas 4-10, luego verifica los controles del Anexo A marcados como aplicables en tu SoA. No pierdas tiempo en controles excluidos.

Paso 6: Desafía tu evaluación y tratamiento de riesgos

Valida que tu enfoque de gestión de riesgos cumpla con los requisitos de ISO 27001 y tenga sentido práctico.

Prompts para desafiar la evaluación de riesgos:

  • "Revisa mi evaluación de riesgos. ¿Están claramente definidos los criterios para la aceptación de riesgos y se aplican de manera consistente?"

  • "¿Los riesgos identificados se alinean con el alcance del SGSI y el inventario de activos?"

  • "¿Están debidamente justificadas las opciones de tratamiento de riesgos (evitar, transferir, aceptar, reducir)?"

  • "Comprueba si mi plan de tratamiento de riesgos incluye responsables, plazos y estado para cada riesgo. ¿Qué falta?"

  • "¿Hay algún riesgo residual que no haya sido aceptado formalmente por la dirección?"

Paso 7: Evalúa la evidencia de operación

Determina si tienes suficiente evidencia de que tu SGSI realmente está operando, no solo documentado.

Prompts para la evaluación de evidencia:

  • "¿Qué evidencia operativa esperaría un auditor para mi procedimiento de control de acceso? ¿La tengo?"

  • "Basado en mi procedimiento de respuesta a incidentes, ¿qué registros debería tener? ¿Se mencionan en mi documentación?"

  • "Revisa mi plan de continuidad del negocio. ¿Qué evidencia de pruebas esperarán los auditores?"

  • "¿Mis procedimientos especifican períodos y formatos de retención de registros? ¿Es esto consistente?"

La documentación por sí sola no prueba el cumplimiento. Los auditores solicitarán evidencia de operación: logs, registros, actas de reuniones, resultados de pruebas, asistencia a capacitaciones, etc.

Paso 8: Obten una evaluación de preparación

Solicita una evaluación general de la preparación para la certificación con prioridades de mejora específicas.

Prompts para la evaluación de preparación:

  • "Basado en todos los documentos cargados, evalúa mi preparación para la certificación inicial ISO 27001:2022. ¿Cuáles son los 5 principales riesgos para la certificación?"

  • "¿Qué resultaría probablemente en no conformidades mayores si fuera a auditoría hoy?"

  • "¿Qué áreas de mi SGSI son las más débiles según la documentación?"

  • "Crea una lista de verificación previa a la auditoría priorizada por nivel de riesgo"

  • "Si fueras un auditor revisando estos documentos, ¿qué cuestionarías o desafiarías?"

Paso 9: Realiza la preparación para la auditoría de vigilancia

Para las auditorías de vigilancia, verifica que los cambios desde la certificación no hayan introducido inconsistencias.

Prompts específicos para vigilancia:

  • "Compara mis procedimientos actuales con el informe de auditoría anterior. ¿Se han abordado todas las no conformidades?"

  • "¿Qué cambios se han realizado en mi documentación del SGSI desde la última auditoría? ¿Se reflejan de manera consistente?"

  • "Revisa las actas de mis reuniones de revisión por la dirección. ¿Demuestran una mejora continua?"

  • "¿Hay nuevos riesgos o controles que deberían estar en mi SoA pero no lo están?"

Inconsistencias comunes que identifica ISMS Copilot

  • Desajustes terminológicos: Uso indistinto de datos "Sensibles" vs. "Confidenciales" sin definición

  • Conflictos en frecuencia de revisión: La política dice trimestralmente, el procedimiento dice anualmente

  • Referencias huérfanas: Documentos que citan procedimientos, equipos o sistemas que no existen

  • Desviación del alcance (Scope creep): Procedimientos que hacen referencia a ubicaciones o sistemas fuera del alcance definido del SGSI

  • Problemas de control de versiones: Documentos que hacen referencia a versiones desactualizadas de otros documentos

  • Brechas de responsabilidad: Procedimientos que asignan tareas a roles no definidos o puestos vacantes

  • Desalineación del SoA: Controles marcados como "no aplicables" que claramente son necesarios basándose en la evaluación de riesgos

Mejores prácticas para la verificación de consistencia

  • Cárgalo todo a la vez: ISMS Copilot analiza las relaciones entre todos los documentos simultáneamente

  • Corrige sistemáticamente: Aborda los problemas fundamentales (terminología, roles, alcance) antes de las inconsistencias en los detalles

  • Verifica las correcciones: Después de corregir los problemas, vuelve a cargar los documentos actualizados y verifica de nuevo

  • Documenta la revisión: Guarda el historial del chat como evidencia de debida diligencia para los auditores

  • Involucra a los dueños de los documentos: Comparte los hallazgos de ISMS Copilot con las personas responsables de cada documento

  • No dependas excesivamente de la IA: La revisión manual por personas competentes sigue siendo esencial; ISMS Copilot ayuda pero no reemplaza la experiencia

Preparándote para las preguntas del auditor

Usa ISMS Copilot para anticipar las preguntas del auditor y preparar la evidencia:

  • "¿Qué preguntas haría un auditor sobre mi procedimiento de gestión de cambios?"

  • "Si un auditor toma una muestra de mis revisiones de acceso, ¿qué evidencia debería tener lista?"

  • "¿Qué documentos solicitará el auditor durante la revisión de documentación de la Etapa 1?"

  • "Genera una lista de probables preguntas de entrevista para nuestro gerente de TI basadas en nuestros controles documentados"

Realizar tu propia pre-auditoría usando ISMS Copilot ayuda a identificar áreas débiles, dándote tiempo para fortalecer la evidencia y la documentación antes de la auditoría real.

Lo que ISMS Copilot no puede verificar

Limitaciones importantes a entender:

  • Implementación real: ISMS Copilot revisa documentos, no tus sistemas, procesos o registros reales

  • Efectividad: La IA no puede determinar si tus controles realmente funcionan en la práctica

  • Factores culturales: Los auditores evalúan la cultura de seguridad, el compromiso de la dirección y la conciencia de los empleados, no solo los documentos

  • Configuraciones técnicas: ISMS Copilot no audita reglas de firewall, configuraciones de servidores o seguridad de aplicaciones

Recursos relacionados

  • ISMS Copilot para CISOs de Startups e implementadores de seguridad - Flujos de trabajo de implementación y análisis de brechas

  • Cómo realizar un análisis de brechas de ISO 27001 usando ISMS Copilot - Técnicas iniciales de identificación de brechas

  • Cómo prepararse para las auditorías internas de ISO 27001 usando IA - Preparación de auditoría interna para el cumplimiento continuo

Próximos pasos

Después de abordar los problemas de consistencia y verificar la preparación para la auditoría, realiza una auditoría interna formal utilizando tu documentación corregida para validar que tu SGSI opera según lo documentado antes de programar la auditoría de certificación.

¿Te fue útil?