Volver al blog
ISO 27001auditoría internaSGSIChilecumplimientoseguridad de la información

Auditoría interna ISO 27001: cómo hacerla sin contratar consultores

Guía completa para ejecutar tu propia auditoría interna ISO 27001 en Chile: planificación, checklist por cláusula y por control del Anexo A, técnicas de muestreo, redacción de hallazgos y errores frecuentes que el certificador detecta de inmediato.

Equipo FideliNorm
Auditoría interna ISO 27001: cómo hacerla sin contratar consultores

La auditoría interna es uno de los requisitos explícitos de ISO 27001:2022 (cláusula 9.2) y, junto con la revisión por la dirección, es la pieza que demuestra que el SGSI está vivo y mejorando. La práctica común en Chile es contratar a un consultor externo para hacerla: cómodo, pero costoso (entre MM$ 1,5 y MM$ 4 por ciclo) y, sobre todo, una oportunidad perdida para que el equipo interno entienda en profundidad cómo opera su propio sistema. Esta guía explica paso a paso cómo planear y ejecutar una auditoría interna creíble, técnica y útil sin depender de consultores, manteniendo además la objetividad que el certificador exigirá.

🎯 Para qué sirve realmente la auditoría interna

La cláusula 9.2 de ISO 27001 exige que la organización conduzca auditorías internas a intervalos planificados para determinar si el SGSI:

  • Cumple los requisitos propios que la organización ha definido (políticas, procedimientos, controles seleccionados).
  • Cumple los requisitos de la norma ISO 27001:2022.
  • Está implementado y mantenido eficazmente.

La auditoría interna no es un trámite: es la principal herramienta para detectar problemas antes del organismo certificador. Una auditoría interna bien hecha encuentra entre 10 y 30 hallazgos en una empresa típica; los corrige a tiempo y permite enfrentar la auditoría externa con confianza.

👤 ¿Quién puede ser el auditor interno?

ISO 27001 exige objetividad e imparcialidad: el auditor no puede auditar su propio trabajo. Esto significa, en la práctica:

  • No puede auditar el responsable del SGSI (es el auditado).
  • Idealmente no es alguien del área de TI o seguridad si esa área concentra la mayoría de los controles.
  • Sí puede ser personal interno con formación demostrable: un curso de auditor interno ISO 27001 (entre 16 y 24 horas) cuesta menos de $ 350.000 por persona en Chile y entrega la competencia mínima exigible.

Una práctica que funciona muy bien en PYMEs: auditorías cruzadas. Si tu empresa ya certifica ISO 9001 o ISO 50001, capacita a tu auditor interno de Calidad o Energía en ISO 27001 y haz que audite el SGSI mientras tu responsable de TI audita el SGC o SGEn. Reciprocidad, costo cero y objetividad garantizada.

🗓️ Planificación: el documento que el certificador siempre pide

El Programa Anual de Auditorías es un documento corto pero crítico. Debe incluir:

  1. Áreas y procesos a auditar y su frecuencia (los procesos de mayor riesgo se auditan al menos una vez al año; los demás pueden alternarse).
  2. Objetivos de cada auditoría.
  3. Criterios de auditoría (ISO 27001:2022, políticas internas, requisitos legales aplicables como Ley 21.719 y Ley 21.663).
  4. Calendario con fechas tentativas.
  5. Auditores asignados y verificación de su independencia respecto del área auditada.

Antes de cada auditoría puntual, se prepara el Plan de Auditoría (más específico): horario hora a hora, personas a entrevistar, controles a muestrear y documentos a revisar.

📋 Checklist por cláusula (la columna vertebral)

Una auditoría sólida cubre las cláusulas 4 a 10 de la norma. Estas son las preguntas mínimas que tu checklist debe contestar con evidencia:

Cláusula 4 — Contexto

  • ¿Existe un análisis del contexto interno y externo? ¿Está actualizado?
  • ¿Las partes interesadas y sus expectativas están identificadas?
  • ¿El alcance del SGSI está documentado, es coherente y está disponible?

Cláusula 5 — Liderazgo

  • ¿La política de seguridad está aprobada por la dirección, comunicada y disponible?
  • ¿Roles y responsabilidades del SGSI están asignados y conocidos?
  • ¿Hay evidencia de compromiso visible de la dirección (asistencia a revisiones, asignación de recursos)?

Cláusula 6 — Planificación

  • ¿Existe metodología documentada de análisis de riesgos y se aplica de forma consistente?
  • ¿La Declaración de Aplicabilidad (SoA) está actualizada y justifica controles incluidos y excluidos?
  • ¿El plan de tratamiento de riesgos define responsables, plazos y estado?
  • ¿Los objetivos de seguridad son medibles?

Cláusula 7 — Soporte

  • ¿La concientización es continua y hay evidencia (capacitaciones, simulacros, comunicados)?
  • ¿Los registros documentales están bajo control de versiones, con responsable y fecha?

Cláusula 8 — Operación

  • ¿Los controles operan como están descritos? (Aquí entra el muestreo en terreno).
  • ¿Los cambios significativos pasan por análisis de riesgos previo?

Cláusula 9 — Evaluación del desempeño

  • ¿Hay indicadores definidos y se reportan?
  • ¿Se ejecutan auditorías internas según el programa?
  • ¿La revisión por la dirección se hace al menos una vez al año con todas las entradas mínimas exigidas?

Cláusula 10 — Mejora

  • ¿Las no conformidades se tratan con análisis de causa raíz, no solo con corrección inmediata?
  • ¿Las acciones correctivas se verifican y se cierra el ciclo?

🔍 Muestreo de los controles del Anexo A

No es viable auditar los 93 controles en cada ciclo; el principio es muestreo basado en riesgo. Como mínimo, audita en cada ciclo los controles ligados a los riesgos más altos del análisis y aquellos donde hayan ocurrido incidentes en los últimos 12 meses.

Los controles que siempre conviene incluir en cualquier auditoría interna:

  • A.5.15 Control de acceso y A.8.2 Privilegios de acceso: ¿quién tiene acceso a qué? ¿Cómo se da de baja a un colaborador desvinculado?
  • A.5.23 Servicios cloud: ¿hay cláusulas de seguridad en los contratos con proveedores SaaS? ¿Se evalúan los proveedores críticos?
  • A.6.3 Concientización: muestrear 5 a 8 empleados aleatorios; preguntarles qué hacen ante un correo sospechoso.
  • A.8.13 Respaldo: pedir evidencia de la última prueba de restauración exitosa (no del último respaldo).
  • A.8.16 Monitoreo: muestrear tickets de incidentes y verificar tiempo de detección y respuesta.
  • A.5.30 Continuidad TIC: pedir evidencia del último simulacro.

✍️ Cómo redactar hallazgos que sirvan

Un hallazgo mal redactado genera discusión y termina cerrándose sin aprender nada. Un hallazgo bien redactado tiene cuatro partes:

  1. Requisito: cláusula o control concreto (ej: "ISO 27001:2022 9.1").
  2. Evidencia objetiva: lo que efectivamente se observó ("La política de respaldos exige prueba de restauración trimestral. La última prueba documentada es del 14 de septiembre de 2025").
  3. No conformidad o desviación: la brecha entre el requisito y la realidad.
  4. Categoría: no conformidad mayor, menor u observación.

Un buen criterio para distinguir: una no conformidad mayor es la ausencia total o la falla sistémica de un requisito (ej: no existe SoA, o no se hace análisis de riesgos). Una no conformidad menor es un incumplimiento puntual que no compromete el sistema. Una observación señala un riesgo que aún no se materializa en incumplimiento.

⚠️ Errores frecuentes que el certificador detecta

Los auditores externos llevan años viendo los mismos patrones. Estos son los más comunes en Chile:

  1. Auditoría interna que copia exactamente las cláusulas de la norma como checklist sin aterrizar a la realidad de la empresa: el certificador la descarta.
  2. Solo "no conformidades menores" o solo "observaciones", nunca un hallazgo mayor en años. Es señal de auditoría complaciente.
  3. No conformidades sin análisis de causa raíz ("se capacitó al personal y se cerró"). El cierre debe atacar la causa, no el síntoma.
  4. Auditoría hecha por el mismo responsable del SGSI. Falta de independencia: hallazgo mayor casi seguro.
  5. No hay evidencia de la auditoría más allá del informe final: faltan agendas, listas de personas entrevistadas, documentos revisados.

📌 Conclusión

Hacer la auditoría interna con personal propio no solo ahorra millones por ciclo: te obliga a entender tu propio SGSI mejor que cualquier consultor externo. La curva de aprendizaje del primer año es real, pero al segundo ciclo el equipo audita con soltura, detecta más rápido y mejora el sistema con un nivel de propiedad que un consultor externo difícilmente replica.

La clave está en cuatro cosas: un programa anual realista, auditores formados e independientes, un checklist propio (no copiado) y hallazgos bien redactados con causa raíz. Con eso, la auditoría interna pasa de ser un trámite incómodo a la mejor herramienta de mejora continua del SGSI.

🚀 ¿Quieres apoyo para tu primera auditoría interna ISO 27001?

En FideliNorm acompañamos a empresas chilenas en la formación de auditores internos y en la sistematización del SGSI: programa anual de auditorías, checklists adaptados, gestión de no conformidades y trazabilidad documental que el certificador puede revisar en minutos. Si quieres dejar de depender de consultores externos para tu auditoría interna, conversemos.

📚 Sigue leyendo

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →