Instrucciones para la preparación de la auditoría ISO 27001

Descripción general

Aquí encontrará instrucciones probadas para prepararse para la certificación ISO 27001 y las auditorías de vigilancia utilizando ISMS Copilot, desde la realización de análisis de brechas y la recopilación de evidencias hasta la generación de documentación lista para la auditoría y la respuesta con confianza a las preguntas de los auditores.

A quién va dirigido

Estas instrucciones están diseñadas para:

• Organizaciones que se preparan para su primera auditoría de certificación ISO 27001

• Equipos de seguridad que realizan evaluaciones de preparación previas a la auditoría

• Gerentes de cumplimiento que se preparan para auditorías de vigilancia o recertificación

• Consultores que apoyan a clientes durante el proceso de auditoría

Antes de comenzar

Instrucciones para el análisis de brechas

Realizar un análisis de brechas exhaustivo de la ISO 27001

"Realice un análisis de brechas exhaustivo de nuestro programa de seguridad de la información actual frente a los requisitos de ISO 27001:2022. Para cada cláusula (4-10) y cada uno de los 93 controles del Anexo A: evalúe nuestro estado actual (Totalmente implementado, Parcialmente implementado, No implementado, No aplicable), identifique brechas o debilidades específicas, evalúe la disponibilidad de evidencias para la auditoría, califique la gravedad de la brecha (Crítica, Alta, Media, Baja), estime el esfuerzo para cerrar la brecha (horas/días), recomiende acciones de remediación y asigne prioridad. Preséntelo como un informe de análisis de brechas con un resumen ejecutivo".

Analizar la integridad de la documentación

"Revise nuestra documentación ISO 27001 para verificar su integridad y preparación para la auditoría. Verifique: ¿Tenemos toda la información documentada obligatoria requerida por las Cláusulas 4-10? ¿Nuestra evaluación de riesgos cumple con los requisitos de la Cláusula 6.1.2? ¿Es nuestra Declaración de Aplicabilidad completa y está justificada? ¿Las políticas hacen referencia a las cláusulas ISO apropiadas? ¿Son los procedimientos lo suficientemente detallados como para demostrar su implementación? ¿Está documentado el control de versiones y la aprobación? ¿Existen brechas en nuestro inventario de documentos? Cree una lista de verificación de documentación con el estado y las brechas".

Evaluar la evidencia de implementación del control

"Para cada control del Anexo A marcado como 'Implementado' en nuestra Declaración de Aplicabilidad, identifique qué evidencia solicitarán los auditores para verificar la implementación. Para el control [número y nombre del control]: enumere los tipos de evidencia necesarios (políticas, procedimientos, registros, capturas de pantalla, informes, actas), indique dónde existe la evidencia (sistema, ubicación, propietario), señale las brechas de evidencia que requieran creación, evalúe la calidad de la evidencia (completa, parcial, débil) y recomiende evidencia adicional para fortalecer la demostración del cumplimiento".

Evaluar el nivel de madurez del SGSI

"Evalúe la madurez de nuestro SGSI en relación con los requisitos de ISO 27001 utilizando un modelo de madurez de 5 niveles: Nivel 1 (Inicial/Ad-hoc), Nivel 2 (Gestionado), Nivel 3 (Definido), Nivel 4 (Gestionado cuantitativamente), Nivel 5 (Optimizado). Para cada área principal (gestión de riesgos, control de accesos, respuesta a incidentes, gestión de cambios, continuidad de negocio, gestión de proveedores): califique la madurez actual con una justificación, identifique oportunidades de mejora para alcanzar el siguiente nivel y recomiende acciones prioritarias para la preparación de la auditoría".

Instrucciones para la recopilación de evidencias

Crear una lista de verificación para la recopilación de evidencias

"Genere una lista de verificación integral para la recopilación de evidencias para la auditoría de certificación ISO 27001:2022. Organícela por número de control del Anexo A e incluya para cada control: tipo de evidencia (documento, registro, captura de pantalla, configuración, informe), descripción de la evidencia, propietario responsable de la recopilación, ubicación de la evidencia (sistema/carpeta), fecha límite de recopilación (semanas antes de la auditoría) y estado de verificación. Priorice la evidencia para los controles de alto riesgo y las áreas comúnmente auditadas (control de acceso, respuesta a incidentes, copias de seguridad)".

Documentar la implementación del control

"Cree un paquete de evidencia de implementación para el control del Anexo A [número y nombre del control]. Incluya: descripción escrita de cómo implementamos el control, referencias a políticas y procedimientos, detalles técnicos de la implementación (configuraciones, herramientas, flujos de trabajo), artefactos de evidencia (muestras de registros, capturas de pantalla, informes), resultados de las pruebas de control, propietario del control y responsabilidades, cronograma de implementación y limitaciones o excepciones conocidas con controles compensatorios".

Ejemplo: "Cree un paquete de evidencia de implementación para el control A.8.5 del Anexo A, Autenticación segura. Documente nuestra implementación de Azure AD con MFA, políticas de contraseñas, gestión de accesos privilegiados y rotación de cuentas de servicio".

Preparar evidencia de control de acceso

"Recopile evidencias que demuestren la implementación de nuestro programa de control de acceso para los controles ISO 27001 A.5.15-A.5.18. Incluya: procedimientos de aprovisionamiento de acceso de usuarios y registros de aprobación de muestra, evidencia de revisión de acceso (últimas 3 revisiones con resultados), inventario de acceso privilegiado y proceso de gestión, política de autenticación y estadísticas de inscripción en MFA, capturas de pantalla de la configuración de la política de contraseñas, registros de desaprovisionamiento de cuentas para las últimas 10 bajas, incidentes de violación de acceso y remediación, y matriz de control de acceso basado en roles".

Documentar la capacidad de respuesta ante incidentes

"Prepare el paquete de evidencias para los controles de respuesta ante incidentes A.5.24-A.5.28. Incluya: plan y procedimientos de respuesta ante incidentes, estructura del equipo de respuesta ante incidentes e información de contacto, registro de incidentes de los últimos 12 meses (anonimizado si es necesario), registros de incidentes de muestra que muestren el flujo de trabajo de respuesta, categorización de incidentes y definiciones de gravedad, evidencia de pruebas de respuesta ante incidentes o ejercicios de simulacro (tabletop), informes de revisión posincidente y métricas de incidentes de seguridad reportadas a la dirección".

Recopilar evidencias de copia de seguridad y recuperación

"Recopile evidencias de copia de seguridad y recuperación para el control A.8.13. Incluya: política y procedimientos de copia de seguridad, cronograma y alcance de la copia de seguridad (qué sistemas/datos), registros de éxito/error de las copias de seguridad de los últimos 30 días, ubicaciones de almacenamiento de las copias de seguridad y medidas de seguridad, resultados de las pruebas de restauración de copias de seguridad (prueba más reciente), objetivos de tiempo y punto de recuperación por sistema, verificación del cifrado de las copias de seguridad y configuraciones de monitoreo y alertas de las copias de seguridad".

Instrucciones para la auditoría interna

Desarrollar un plan de auditoría interna

"Cree un plan de auditoría interna para el cumplimiento de ISO 27001:2022 que cubra todas las cláusulas y los controles aplicables del Anexo A. Incluya: objetivos y alcance de la auditoría, cronograma de auditoría durante 12 meses (qué controles/áreas en cada trimestre), criterios de auditoría (requisitos de ISO 27001:2022), asignaciones de auditores garantizando su independencia, metodología de auditoría (entrevistas, revisión de documentos, pruebas técnicas), tiempo estimado por área de auditoría y revisión por parte de la dirección del plan de auditoría. Priorice las áreas de alto riesgo y los controles con evidencia débil".

Generar lista de verificación de auditoría interna

"Cree una lista de verificación detallada para la auditoría interna de [área específica, p. ej., 'control de acceso' o 'gestión de incidentes']. Para cada requisito relevante de la norma ISO 27001:2022: enumere el requisito específico, cree preguntas de auditoría para evaluar el cumplimiento, identifique los documentos a revisar, especifique la evidencia a examinar, incluya procedimientos de prueba de muestra (p. ej., 'seleccionar 10 cuentas de usuario y verificar la aprobación de acceso'), defina los criterios de aprobado/reprobado y proporcione espacio para los hallazgos y observaciones".

Ejemplo: "Cree una lista de verificación detallada de auditoría interna para el control de acceso que cubra los controles ISO 27001:2022 A.5.15-A.5.18. Incluya preguntas sobre provisión de usuarios, revisiones de acceso, MFA, acceso privilegiado y desaprovisionamiento".

Documentar hallazgos de auditoría y acciones correctivas

"Documente este hallazgo de auditoría interna: [describa el hallazgo]. Cree un informe de no conformidad que incluya: descripción del hallazgo y evidencia, qué requisito de la ISO 27001 no se cumple, impacto y riesgo de la no conformidad, clasificación de gravedad (mayor, menor, observación), análisis de causa raíz, plan de acción correctiva propuesto con pasos específicos, propietario responsable de la remediación, fecha objetivo de finalización y método de verificación. Formatee para su presentación a la dirección y a los auditores externos".

Realizar la preparación para el simulacro de auditoría

"Diseñe un escenario de simulacro de auditoría para preparar a nuestro equipo para la auditoría de certificación. Incluya: agenda del simulacro de auditoría (día 1 reunión de apertura, revisión de documentos, entrevistas; día 2 verificación técnica, inspección del sitio, reunión de clausura), preguntas de muestra de los auditores para cada área principal del SGSI, documentos que los auditores solicitarán revisar, sistemas que querrán ver, personal al que entrevistarán (roles y preparación necesaria) y criterios de evaluación para valorar nuestra preparación basándose en los resultados del simulacro de auditoría".

Instrucciones para la preparación de respuestas en la auditoría

Prepararse para preguntas comunes de los auditores

"Genere una lista de preguntas comunes que los auditores de ISO 27001 hacen sobre [área específica, p. ej., 'metodología de evaluación de riesgos' o 'respuesta a incidentes']. Para cada pregunta, proporcione: la pregunta que los auditores suelen hacer, qué están evaluando realmente (preocupación subyacente), estructura de respuesta recomendada, evidencia a la que hacer referencia en la respuesta y señales de alerta a evitar en las respuestas. Cubra tanto la revisión por la dirección como las preguntas sobre implementación técnica".

Crear guía de preparación para entrevistas con auditores

"Cree una guía de preparación de entrevistas para el personal que será entrevistado durante la auditoría ISO 27001. Para roles que incluyen [enumerar roles: CISO, gerente de TI, desarrolladores, RR. HH., etc.], proporcione: descripción general de lo que los auditores les preguntarán, sus responsabilidades en el SGSI, controles que poseen u operan, evidencias con las que deben estar familiarizados, preguntas de muestra que podrían recibir, qué hacer y qué no hacer durante las entrevistas, proceso de escalamiento si no conocen una respuesta y consejos para el manejo del estrés".

Desarrollar la presentación de la reunión de apertura

"Cree una presentación para la reunión de apertura de la auditoría ISO 27001. Incluya diapositivas que cubran: descripción general de la empresa y contexto empresarial, alcance y límites del SGSI, estructura organizacional y gobernanza de la seguridad, descripción general del enfoque de evaluación de riesgos y hallazgos clave, aspectos destacados de la implementación de controles y logros, cambios significativos desde la última auditoría (si es de vigilancia), logística de la auditoría (cronograma, participantes, instalaciones) y preguntas/aclaraciones. El objetivo es una presentación de 20 minutos".

Preparar la estrategia de respuesta para la reunión de clausura

"Desarrolle una estrategia de respuesta para la reunión de clausura de la auditoría donde se presentarán los hallazgos. Incluya: cómo recibir y documentar los hallazgos de manera profesional, preguntas que se deben hacer para aclarar los hallazgos, cómo refutar los hallazgos con los que no estamos de acuerdo (con respeto), proceso inicial de planificación de acciones correctivas, estrategias de negociación de plazos para la remediación, declaraciones de compromiso de la dirección para proporcionar, plantilla de plan de acción posauditoría y protocolo de comunicación de seguimiento con los auditores".

Instrucciones para la preparación de evidencias técnicas

Preparar evidencia de configuración del sistema

"Cree un paquete de evidencia técnica que demuestre la configuración segura de [nombre del sistema]. Incluya: estándar de endurecimiento (hardening) aplicado, capturas de pantalla de la configuración de los ajustes de seguridad (autenticación, cifrado, registro, control de acceso), desviaciones de la línea base con justificación, resultados del escaneo de vulnerabilidades que no muestren hallazgos críticos/altos, informe de cumplimiento de parches, cobertura del monitoreo de seguridad y registros de control de cambios para cambios relevantes para la seguridad".

Documentar evidencia de registro y monitoreo

"Recopile evidencia de registro (logging) y monitoreo para el control ISO 27001 A.8.15-A.8.16. Incluya: inventario de sistemas con registro habilitado, tipos de registros recopilados (autenticación, acceso, cambios, eventos de seguridad), períodos de retención de registros por tipo, medidas de protección de registros (integridad, control de acceso), configuraciones de herramientas SIEM o de análisis de registros, procedimientos y frecuencia de revisión de registros, informes de revisión de registros de muestra, reglas de alerta de eventos de seguridad y ejemplos de investigación de incidentes utilizando registros".

Preparar evidencia de gestión de vulnerabilidades

"Reúna evidencia de gestión de vulnerabilidades para el control A.8.8. Incluya: cronograma y cobertura del escaneo de vulnerabilidades (qué sistemas, con qué frecuencia), resultados más recientes de escaneo de vulnerabilidades con distribución de gravedad, plazos de remediación de vulnerabilidades críticas y altas, procedimientos de gestión de parches y SLA, panel o informe de cumplimiento de parches, excepciones de vulnerabilidades con controles compensatorios, proceso de divulgación de vulnerabilidades de terceros y tendencia de métricas de vulnerabilidades en los últimos 6 meses".

Documentar implementación de cifrado

"Cree un paquete de evidencias para los controles criptográficos A.8.24. Documente: cifrado de datos en reposo (qué sistemas, métodos de cifrado, gestión de claves), cifrado de datos en tránsito (configuraciones TLS, conjuntos de cifrado, gestión de certificados), cifrado para copias de seguridad y archivos, estado de cifrado de dispositivos móviles y portátiles, procedimientos de gestión de claves de cifrado, estándares de algoritmos criptográficos, excepciones de cifrado con aceptación de riesgos y resultados de las pruebas de verificación de cifrado".

Instrucciones para la evidencia del sistema de gestión

Preparar evidencia de revisión por la dirección

"Recopile evidencias para las reuniones de revisión por la dirección según la cláusula 9.3 de la norma ISO 27001. Incluya: actas de las reuniones de revisión por la dirección de los últimos 12 meses, agenda que cubra todas las entradas obligatorias (resultados de auditorías, cambios en los riesgos, incidentes, métricas de desempeño, oportunidades de mejora), informes de métricas de seguridad y KPI presentados, decisiones de la dirección y acciones tomadas, decisiones de asignación de recursos, evaluación de la eficacia del SGSI, iniciativas estratégicas de seguridad aprobadas y evidencia del compromiso y liderazgo de la dirección".

Documentar métricas de desempeño del SGSI

"Cree un panel de monitoreo del desempeño para la eficacia del SGSI según la cláusula 9.1. Incluya métricas para: tendencias de incidentes de seguridad (volumen, gravedad, tiempo de resolución), gestión de vulnerabilidades (frecuencia de escaneo, tiempo de remediación, pendientes), control de acceso (tiempo de provisión, finalización de revisiones, violaciones), concientización sobre seguridad (finalización de capacitación, resultados de pruebas de phishing), tasas de éxito de copias de seguridad, tasas de cumplimiento de políticas, tasas de cierre de hallazgos de auditoría y progreso del tratamiento de riesgos. Muestre datos de los últimos 12 meses con análisis de tendencias".

Preparar evidencia de mejora continua

"Documente las actividades de mejora continua según la cláusula 10. Incluya: acciones correctivas de auditorías anteriores (hallazgos y resolución), acciones preventivas tomadas para abordar problemas potenciales, iniciativas de mejora del SGSI implementadas, lecciones aprendidas de incidentes de seguridad, cambios en la metodología o alcance de la evaluación de riesgos, actualizaciones de políticas y procedimientos con su justificación, comentarios de los empleados sobre la eficacia del SGSI y oportunidades de mejora identificadas para el próximo período".

Recopilar evidencia de capacitación y concienciación

"Reúna evidencia de concientización sobre seguridad para el control A.6.3. Incluya: descripción del programa de capacitación en concientización sobre seguridad, currículo y materiales de capacitación, registros y estadísticas de finalización de capacitación, proceso de orientación de seguridad para nuevas contrataciones, capacitación basada en roles (usuarios privilegiados, desarrolladores, gerentes), resultados de simulaciones de phishing y tendencias de mejora, comunicaciones de seguridad enviadas a los empleados, materiales de campañas de concientización sobre seguridad, medición de la efectividad de la capacitación y capacitación correctiva para el personal que no cumple".

Instrucciones para evidencia de proveedores y terceros

Preparar evidencia de gestión de proveedores

"Recopile evidencia de gestión de terceros para los controles A.5.19-A.5.23. Incluya: inventario de proveedores y categorización de riesgos, proceso de evaluación de seguridad de proveedores y cuestionario, requisitos de seguridad en los contratos con proveedores (contratos de muestra), evidencia de diligencia debida de proveedores (informes SOC 2, certificados ISO, evaluaciones), controles de acceso y monitoreo de proveedores, revisiones del desempeño de los proveedores y verificación del cumplimiento, procedimientos de respuesta a incidentes de proveedores y lista de verificación de baja de proveedores".

Documentar requisitos de seguridad para proveedores

"Cree una plantilla que muestre cómo incorporamos los requisitos de seguridad de la información en los contratos con los proveedores según el control A.5.20. Incluya: cláusulas de seguridad estándar (protección de datos, control de acceso, notificación de incidentes, derechos de auditoría, cumplimiento, confidencialidad), acuerdos de nivel de servicio para la seguridad (tiempos de respuesta, disponibilidad, plazos de notificación de brechas), términos del acuerdo de procesamiento de datos (cumplimiento del RGPD), requisitos de aprobación de subcontratistas, disposiciones de terminación y devolución de datos, y responsabilidad e indemnización por fallos de seguridad".

Escenarios de auditoría especializados

Preparación para consideraciones de auditoría remota/cloud

"Prepárese para la auditoría ISO 27001 de nuestra infraestructura basada en la nube en [proveedor de la nube]. Aborde: cómo demostrar los controles de seguridad en la nube (modelo de responsabilidad compartida), evidencia del proveedor de la nube (SOC 2, ISO 27001, documentación de funciones de seguridad), nuestra configuración y gestión de la seguridad en la nube (IAM, cifrado, registro, monitoreo), demostración de la ubicación y soberanía de los datos, controles de acceso a la nube y gestión de accesos privilegiados, respuesta ante incidentes específica de la nube, copia de seguridad y recuperación ante desastres en la nube, y pantalla compartida o acceso remoto para la revisión de las consolas de la nube por parte del auditor".

Preparación para la auditoría del entorno de trabajo remoto

"Prepare la evidencia para la auditoría ISO 27001 considerando nuestro [porcentaje] de fuerza de trabajo remota. Aborde: seguridad del acceso remoto (VPN, Zero Trust, MFA), protección de endpoints para dispositivos remotos (EDR, cifrado, gestión de parches), herramientas de colaboración segura e intercambio de datos, orientación de seguridad para la red doméstica, seguridad física de los lugares de trabajo remotos, capacitación y concientización de empleados remotos, monitoreo del acceso y las actividades remotas, respuesta ante incidentes para trabajadores remotos y aprovisionamiento/desaprovisionamiento de equipos para el personal remoto".

Preparación para la certificación multisitio

"Prepárese para la auditoría ISO 27001 que cubre múltiples sitios/ubicaciones: [lista de ubicaciones]. Aborde: cómo el alcance del SGSI cubre todas las ubicaciones, riesgos y controles específicos del sitio, implementación coherente de políticas en todos los sitios, consideraciones de cumplimiento normativo local, responsabilidades de gestión centralizada frente a local, evidencia de cada ubicación, logística de auditoría de sitios remotos, comunicación y coordinación entre sitios, y demostración de la integración del SGSI en toda la organización".

Instrucciones posauditoría

Desarrollar un plan de acción correctiva

"Cree un plan de acción correctiva para los hallazgos de la auditoría. Para el hallazgo: [describa el hallazgo], incluya: detalles del hallazgo y referencia de la no conformidad, análisis de la causa raíz (¿por qué existía esta brecha?), acción correctiva inmediata (solucionar el problema específico), acción correctiva sistemática (evitar que se repita), pasos de implementación con cronograma, propietario responsable y recursos necesarios, método de verificación (¿cómo demostraremos que se ha solucionado?), fecha objetivo de finalización, seguimiento del estado y evidencia a presentar a los auditores para el cierre".

Preparar evidencia de cierre de hallazgos

"Prepare el paquete de evidencias para cerrar el hallazgo de auditoría [número de hallazgo]. Incluya: descripción original del hallazgo y el requisito, plan de acción correctiva que fue aprobado, evidencia de la implementación de la acción correctiva (comparación antes/después, documentos actualizados, cambios en el sistema), resultados de las pruebas de verificación que muestran que el problema se ha resuelto, medidas preventivas implementadas para evitar que se repita, comunicación de los cambios al personal relevante y solicitud de verificación del auditor y cierre del hallazgo".

Realizar lecciones aprendidas posauditoría

"Facilite una sesión de lecciones aprendidas posauditoría. Cree una guía de discusión que cubra: qué fue bien durante la auditoría, qué desafíos enfrentamos, qué tan efectiva fue nuestra preparación, qué evidencia fue sólida frente a cuál fue débil, qué tan bien manejó el equipo las preguntas del auditor, sorpresas o hallazgos inesperados, comentarios del auditor sobre nuestro SGSI, mejoras para el próximo ciclo de auditoría, brechas de habilidades o conocimientos identificadas y elementos de acción para fortalecer el SGSI antes de la próxima auditoría de vigilancia".

Instrucciones de autoevaluación de preparación para la auditoría

Realizar comprobación de preparación previa a la auditoría

"Realice una comprobación final de preparación 2 semanas antes de nuestra auditoría de certificación ISO 27001. Evalúe: ¿Está toda la documentación obligatoria completa y aprobada? ¿Está la evidencia organizada y accesible? ¿Se han completado las auditorías internas con los hallazgos cerrados? ¿Está el personal capacitado y preparado para las entrevistas? ¿Están los sistemas técnicos configurados correctamente para la demostración? ¿Están las instalaciones listas para la inspección del sitio? ¿Está confirmado el cronograma de auditoría con los participantes? ¿Existen planes de respaldo para la semana de la auditoría? Califique la preparación como Rojo/Amarillo/Verde con una justificación e identifique cualquier acción de último minuto necesaria".

Evaluar la preparación para la auditoría por rol

"Evalúe la preparación para la auditoría de cada rol participante en la misma. Para los roles [enumerar roles: alta dirección, equipo de TI, equipo de seguridad, RR. HH., operaciones, etc.]: evalúe su comprensión del SGSI, el conocimiento de sus responsabilidades, la familiaridad con los controles relevantes, la disponibilidad durante la auditoría, la disposición para responder preguntas, el acceso a las evidencias necesarias, la cobertura de respaldo si no están disponibles y las necesidades de capacitación antes de la auditoría. Identifique cualquier brecha que requiera atención inmediata".

Revisar la logística y coordinación de la auditoría

"Cree un plan y una lista de verificación logística para la semana de la auditoría. Incluya: cronograma de la auditoría con horarios y participantes, reserva y configuración de salas de conferencias (proyector, pizarra, Wi-Fi para invitados), arreglos para almuerzos y descansos, estacionamiento y acceso al edificio para los auditores, paquete de bienvenida y materiales de orientación, acceso al repositorio de documentos para los auditores, acceso a sistemas técnicos o entornos de demostración, instalaciones para impresión y fotocopiado, espacio privado para la deliberación de los auditores, contacto de soporte de TI para problemas técnicos y planes de contingencia para interrupciones comunes".

Consejos para utilizar estas instrucciones de manera eficaz

Bibliotecas de instrucciones relacionadas

Complete su implementación de ISO 27001 con estas colecciones de instrucciones relacionadas:

• Instrucciones para la evaluación de riesgos ISO 27001

• Instrucciones para políticas y procedimientos ISO 27001

• Instrucciones para el análisis de brechas ISO 27001 (próximamente)

• Biblioteca de instrucciones SOC 2

Obtener ayuda

Para obtener asistencia con la preparación de la auditoría:

• Conozca el proceso de auditoría: Revise Cómo prepararse para las auditorías internas ISO 27001 utilizando IA

• Prepárese para la certificación: Consulte Cómo prepararse para la auditoría de certificación ISO 27001 utilizando IA

• Utilice la IA de forma responsable: Lea Cómo utilizar ISMS Copilot de forma responsable para la preparación de auditorías