La primera vez que participas en una auditoría ISO 27001, probablemente tienes una idea equivocada de lo que va a pasar.
Piensas que vendrá alguien con un portapapeles, hará preguntas técnicas complicadas y descubrirá todos tus secretos. Parcialmente cierto, pero no es así de simple.
He participado en dos auditorías ISO 27001 — una interna y otra externa — y quería compartir qué es lo que realmente ocurre, qué falla más y cómo prepararte sin que sea un drama.
¿Qué es realmente una auditoría ISO 27001?
ISO 27001 no es una prueba técnica. Es una verificación de que tu organización tiene establecidos procesos, políticas y controles documentados para proteger la información.
El auditor no va a pedirte que hackees una máquina o que resuelvas un puzzle de seguridad. Va a preguntar:
- ¿Tenéis política de contraseñas documentada?
- ¿Cómo gestionáis los accesos cuando alguien se va?
- ¿Quién revisa los logs de acceso?
- ¿Tenéis un plan de respuesta ante incidentes?
- ¿Está documentado?
Y lo más importante: ¿la realidad coincide con lo que habéis documentado?
Ahí es donde fallan casi todas las organizaciones.
Lo que nadie te cuenta: la brecha entre teoría y práctica
En mi experiencia, el 80% de los incumplimientos que encontramos en auditorías no eran por falta de medidas técnicas, sino por inconsistencia entre lo documentado y la realidad operativa.
Ejemplos reales:
La política de contraseñas que nadie sigue. Está documentada. Nadie la ha leído. Los usuarios usan contraseñas simples porque «es más fácil». El auditor pregunta, ves la cara del responsable de IT cambiar de color, y ahí está tu primer hallazgo.
Los accesos que nunca se revisan. Teoría: «Se realiza una revisión trimestral de accesos». Realidad: la última revisión fue hace 8 meses. El auditor busca las actas — no existen. Hallazgo número dos.
El empleado que se fue hace 6 meses y sigue teniendo acceso. Documentado: «Se desactivan cuentas en 24 horas». Realidad: se desactivan cuando alguien se acuerda. Hallazgo número tres.
Estos no son problemas técnicos. Son problemas de proceso, responsabilidad y documentación.
Cómo prepararte sin pánico
1. Antes de la auditoría: haz una auditoría interna
Dos semanas antes de que venga el auditor externo, haz una ronda interna. Comprueba:
- ¿Tenemos política escrita de X?
- ¿Se está cumpliendo? (entra en los sistemas, verifica)
- ¿Está documentado que se está cumpliendo?
Si la respuesta a cualquiera de esas tres es «no», arreglarlo antes es 100 veces mejor que que lo encuentre el auditor.
2. Centraliza la documentación
El auditor va a pedir evidencia. Tener todo en un repositorio compartido (SharePoint, Nextcloud, lo que sea) es crucial. Cuando dice «mostrarme la última revisión de accesos», necesitas tenerla en 30 segundos, no en 30 minutos.
3. Asigna responsables claros
Si nadie sabe quién es responsable de qué, el auditor lo va a detectar inmediatamente. Cada control debe tener asignado responsable, frecuencia de revisión y evidencia asociada.
4. No intentes esconder nada
Esto es importante: los auditores entienden que ninguna organización es perfecta. Lo que valoran es la transparencia y la voluntad de mejorar. Si dices «no tenemos esto documentado, pero lo vamos a hacer», es infinitamente mejor que fingir que lo tienes.
Qué esperar durante la auditoría
El auditor va a:
- Revisar tus políticas y procedimientos documentados
- Hacer preguntas — a diferentes niveles (dirección, operativo, técnico)
- Verificar que la realidad coincide con la documentación
- Hacer muestreo: coger algunos casos al azar y verificar
Va a ser incómodo en momentos. Pero no es personal. Es su trabajo.
Lo importante es que mantengas la calma, contestes con honestidad y tengas la documentación a mano.
Después de la auditoría: planes de acción
Si hay hallazgos (y seguro que los hay), no es el fin del mundo. Cada hallazgo genera un plan de acción:
- No conformidad mayor — algo que debe corregirse antes de la próxima auditoría
- No conformidad menor — algo que debería mejorarse
- Observación — sugerencia de mejora
El auditor vuelve en un período (típicamente 6-12 meses) a verificar que has corregido lo que se comprometiste.
Conclusión
Una auditoría ISO 27001 es una oportunidad para ver tu organización desde afuera y mejorar.
No es una prueba que se aprueba o se suspende. Es un proceso de verificación y mejora continua.
Si te toca participar en una pronto, prepárate bien, documenta lo que haces, sé honesto con el auditor y verás que no es tan traumático como parece.
Y si tienes dudas sobre cómo prepararte, aquí estoy.