Auditoria ISO 27001 — Sistema de Gestion de Seguridad de la Informacion
Evaluacion integral del SGSI segun ISO/IEC 27001:2022 con enfoque en controles criticos y riesgo residual.
ISO/IEC 27001:2022 reemplazo la estructura de 114 controles en 14 dominios por 93 controles en 4 categorias (organizacionales, de personas, fisicos y tecnologicos). Este cambio no es cosmetico: implica redisenar la Declaracion de Aplicabilidad (SoA), recalibrar la evaluacion de riesgos y generar evidencia operativa nueva. Lo que la mayoria de las organizaciones subestima es que la transicion no es solo mapear controles viejos a nuevos — hay 11 controles completamente nuevos (como inteligencia de amenazas, seguridad en la nube y prevencion de fuga de datos) que requieren puesta en marcha desde cero. Las organizaciones que tratan la transicion como un ejercicio documental llegan a la auditoria de certificacion con brechas operativas que resultan en no conformidades mayores.
Entregables
Evaluacion de 93 controles
Revision sistematica del Anexo A contra la operacion real de la organizacion.
Analisis de riesgo residual
Identificacion de brechas criticas y riesgo no mitigado.
Roadmap de transicion 2022
Plan de migracion desde la version 2013 con cronograma priorizado.
Informe para directorio
Traduccion ejecutiva de hallazgos tecnicos en lenguaje de negocio.
Flujo de Intervención
Scoping
Definicion del alcance del SGSI y activos criticos.
Auditoria de campo
Revision documental, entrevistas y pruebas de controles.
Informe y cierre
Entrega de informe ejecutivo y sesion de cierre con la direccion.
Consultas Técnicas
Un diagnostico inicial con gap analysis toma entre 5 y 10 dias habiles dependiendo del alcance (numero de sedes, empleados en alcance y complejidad tecnologica). Una auditoria de campo completa requiere entre 15 y 30 dias. El factor que mas impacta los plazos no es el tamano de la organizacion sino la madurez documental: si los registros de riesgo, la SoA y las evidencias de controles estan desactualizados, el proceso de relevamiento se extiende. Recomendamos iniciar con el diagnostico de 72 horas para dimensionar el esfuerzo real.
Un proveedor de cumplimiento tipicamente opera con checklists genericos y entrega un informe de estado. Una evaluacion con rigor de auditor lider ISO aplica muestreo basado en riesgo, verifica la evidencia operativa contra los requisitos de cada clausula y simula los criterios que usara el organismo certificador. La diferencia esta en la profundidad del hallazgo: no reportamos 'cumple/no cumple' sino que clasificamos cada no conformidad por impacto en el negocio y probabilidad de deteccion en auditoria formal.
Fernando Arrieta ofrece servicios de evaluacion, diagnostico y orientacion metodologica para sistemas de gestion. Estas actividades son independientes del proceso de certificacion, el cual es realizado exclusivamente por organismos de certificacion acreditados.