Auditoría interna ISO 27001: cómo hacerla sin contratar consultores

La auditoría interna es uno de los requisitos explícitos de la ISO 27001:2022 (cláusula 9.2). Junto con la revisión por la dirección, es la pieza que demuestra que el SGSI está vivo y mejorando.

Lo común en Chile es contratar un consultor externo. Es cómodo, pero cuesta entre $1,5 y $4 millones por ciclo y, sobre todo, le quita a tu equipo la oportunidad de entender en profundidad cómo funciona su propio sistema.

Acá te explicamos cómo planear y ejecutar una auditoría interna creíble y técnica con personal propio, sin perder la objetividad que el certificador va a exigir.

Para qué sirve realmente la auditoría interna

La cláusula 9.2 obliga a auditar el SGSI a intervalos planificados para verificar tres cosas: que cumple los requisitos que tú definiste (políticas, procedimientos, controles), que cumple los requisitos de la norma, y que está implementado y mantenido eficazmente.

La auditoría interna no es un trámite. Es la principal herramienta para detectar problemas antes de que los detecte el organismo certificador. Una auditoría bien hecha encuentra entre 10 y 30 hallazgos en una empresa típica, los corrige a tiempo y permite enfrentar la auditoría externa con confianza.

Quién puede ser el auditor interno

ISO 27001 exige objetividad e imparcialidad: el auditor no puede auditar su propio trabajo. En la práctica, eso significa que el responsable del SGSI queda fuera (es el auditado), y que idealmente tampoco la haga alguien de TI o seguridad si esa área concentra la mayoría de los controles.

Sí puede ser personal interno con formación demostrable. Un curso de auditor interno ISO 27001 (16 a 24 horas) cuesta menos de $350.000 por persona en Chile y entrega la competencia mínima exigible.

El truco de las auditorías cruzadas

Esto funciona muy bien en pymes. Si tu empresa ya certifica ISO 9001 o ISO 50001, capacita a tu auditor interno de Calidad o Energía en ISO 27001 y haz que audite el SGSI. Mientras tanto, tu responsable de TI audita el SGC o el SGEn.

Es reciprocidad pura: costo cero, objetividad garantizada y aprendizaje cruzado entre áreas.

El programa anual de auditorías

Es el documento que el certificador siempre pide. No tiene que ser largo, pero sí completo. Debe incluir:

1. Áreas y procesos a auditar, con su frecuencia. Los procesos de mayor riesgo se auditan al menos una vez al año; los demás pueden alternarse.
2. Objetivos de cada auditoría.
3. Criterios: ISO 27001:2022, políticas internas y requisitos legales aplicables como la Ley 21.719 y la Ley 21.663.
4. Calendario con fechas tentativas.
5. Auditores asignados y verificación de su independencia respecto del área auditada.

Antes de cada auditoría puntual se prepara un Plan de Auditoría más específico: horario hora a hora, personas a entrevistar, controles a muestrear y documentos a revisar.

Checklist por cláusula

Una auditoría sólida cubre las cláusulas 4 a 10. Estas son las preguntas mínimas que tu checklist debe contestar con evidencia.

Cláusula 4: contexto

¿Existe análisis del contexto interno y externo y está actualizado? ¿Las partes interesadas y sus expectativas están identificadas? ¿El alcance del SGSI está documentado, es coherente y está disponible?

Cláusula 5: liderazgo

¿La política de seguridad está aprobada por la dirección, comunicada y disponible? ¿Roles y responsabilidades del SGSI están asignados y conocidos? ¿Hay evidencia de compromiso visible de la dirección, como asistencia a revisiones o asignación de recursos?

Cláusula 6: planificación

¿Existe metodología documentada de análisis de riesgos y se aplica de forma consistente? ¿La SoA está actualizada y justifica los controles incluidos y excluidos? ¿El plan de tratamiento define responsables, plazos y estado? ¿Los objetivos de seguridad son medibles?

Cláusula 7: soporte

¿La concientización es continua y hay evidencia (capacitaciones, simulacros, comunicados)? ¿Los registros documentales están bajo control de versiones, con responsable y fecha?

Cláusula 8: operación

¿Los controles operan como están descritos? Acá entra el muestreo en terreno. ¿Los cambios significativos pasan por análisis de riesgos previo?

Cláusula 9: evaluación del desempeño

¿Hay indicadores definidos y se reportan? ¿Se ejecutan auditorías internas según el programa? ¿La revisión por la dirección se hace al menos una vez al año con todas las entradas mínimas exigidas?

Cláusula 10: mejora

¿Las no conformidades se tratan con análisis de causa raíz, no solo con corrección inmediata? ¿Las acciones correctivas se verifican y se cierra el ciclo?

Muestreo de los controles del Anexo A

No es viable auditar los 93 controles en cada ciclo. El principio es muestreo basado en riesgo: audita los controles ligados a los riesgos más altos del análisis y aquellos donde hayan ocurrido incidentes en los últimos 12 meses.

Los que siempre conviene incluir:

• A.5.15 Control de acceso y A.8.2 Privilegios: ¿quién tiene acceso a qué? ¿Cómo se da de baja a un colaborador desvinculado?
• A.5.23 Servicios cloud: ¿hay cláusulas de seguridad en los contratos con proveedores SaaS? ¿Se evalúan los proveedores críticos?
• A.6.3 Concientización: muestrea 5 a 8 empleados al azar y pregúntales qué hacen ante un correo sospechoso.
• A.8.13 Respaldo: pide evidencia de la última prueba de restauración exitosa, no del último respaldo.
• A.8.16 Monitoreo: muestrea tickets de incidentes y verifica tiempo de detección y respuesta.
• A.5.30 Continuidad TIC: pide evidencia del último simulacro.

Cómo redactar hallazgos que sirvan

Un hallazgo mal redactado genera discusión y termina cerrándose sin aprender nada. Uno bien redactado tiene cuatro partes:

1. Requisito: cláusula o control concreto. Ej: "ISO 27001:2022 9.1".
2. Evidencia objetiva: lo que efectivamente se observó. Ej: "La política de respaldos exige prueba de restauración trimestral. La última prueba documentada es del 14 de septiembre de 2025".
3. No conformidad o desviación: la brecha entre el requisito y la realidad.
4. Categoría: no conformidad mayor, menor u observación.

Para distinguir categorías: una no conformidad mayor es la ausencia total o la falla sistémica de un requisito (no existe SoA, no se hace análisis de riesgos). Una no conformidad menor es un incumplimiento puntual que no compromete el sistema. Una observación señala un riesgo que aún no se materializa en incumplimiento.

Errores frecuentes que el certificador detecta

Los auditores externos llevan años viendo los mismos patrones. Los más comunes en Chile:

1. Checklist copiado tal cual de la norma, sin aterrizar a la realidad de la empresa. El certificador la descarta.
2. Solo "no conformidades menores" o solo "observaciones" y nunca un hallazgo mayor en años. Es señal de auditoría complaciente.
3. No conformidades sin análisis de causa raíz ("se capacitó al personal y se cerró"). El cierre debe atacar la causa, no el síntoma.
4. Auditoría hecha por el mismo responsable del SGSI. Falta de independencia: hallazgo mayor casi seguro.
5. No hay evidencia de la auditoría más allá del informe final: faltan agendas, listas de personas entrevistadas, documentos revisados.

La curva de aprendizaje vale la pena

Hacer la auditoría interna con personal propio no solo te ahorra millones por ciclo. Te obliga a entender tu propio SGSI mejor que cualquier consultor externo. La curva del primer año es real, pero al segundo ciclo el equipo audita con soltura, detecta más rápido y mejora el sistema con un nivel de propiedad que un consultor difícilmente replica.

La clave está en cuatro cosas: un programa anual realista, auditores formados e independientes, un checklist propio (no copiado) y hallazgos bien redactados con causa raíz. Con eso, la auditoría interna pasa de ser un trámite incómodo a la mejor herramienta de mejora continua.

¿Quieres apoyo para tu primera auditoría interna ISO 27001? Conversemos y dimensionamos el plan según tu realidad.