La certificación en ISO/IEC 27001 es un hito de madurez para cualquier organización, pero el camino hacia el cumplimiento suele estar lleno de hallazgos recurrentes.
Este artículo sintetiza puntos críticos, ofreciendo soluciones prácticas para fortalecer su Sistema de Gestión de Seguridad de la Información (SGSI).
Fundamentos del Hallazgo: Más allá del cumplimiento
Para navegar con éxito una auditoría, es vital entender que el auditor busca confirmar si el SGSI es eficaz y cumple tanto con la norma como con las definiciones internas de la organización. Los resultados pueden variar desde el Cumplimiento total hasta las Oportunidades de Mejora (OM), las No Conformidades Menores (deficiencias aisladas) y la temida No Conformidad Mayor, que representa una falla sistémica que impide la certificación.
Tras nuestra reciente Masterclass, hemos consolidado las fallas más recurrentes detectadas por nuestros auditores en una herramienta de consulta rápida.
Esta matriz no solo identifica el error, sino que te brinda ejemplos claros y la acción técnica necesaria para corregirlo antes de que el auditor externo lo documente.
Las No conformidades más comunes en ISO/IEC 27001
| # | Requisito / Control | La No Conformidad (NC) | Ejemplos Reales (¿Qué buscar?) | Acción para evitar la NC |
| 1 | 4.1 Contexto de la Organización | Análisis superficial o desactualizado. | Ignorar el impacto de la Inteligencia Artificial en la operación, no considerar la enmienda de Cambio Climático, o no documentar el riesgo de inestabilidad sociopolítica en la región. | Realizar un análisis PESTEL/FODA detallado que incluya tecnología emergente y factores ambientales obligatorios. |
| 2 | 4.2 Partes Interesadas | Requisitos legales o contractuales omitidos. | Olvidar que un contrato con un cliente específico exige un tiempo de respuesta a incidentes (SLA) menor al que la empresa tiene definido. | Crear una matriz que vincule a cada interesado (SAT, Clientes, Empleados) con sus requisitos técnicos y legales específicos. |
| 3 | 5.2 Política de Seguridad | Desconexión entre la política y el personal. | Un empleado sabe que existe una política pero no sabe cómo su trabajo (ej. cerrar sesión) ayuda a cumplirla. | Difundir la política no solo por correo, sino con ejemplos prácticos aplicados a cada rol de la empresa. |
| 4 | 6.1 Gestión de Riesgos | Falta de rigor en la evaluación. | Evaluar un riesgo como «Bajo» cuando ha habido 3 incidentes reales en el último mes (inconsistencia con la realidad). | Validar que la puntuación de riesgo coincida con la metodología documentada y con el histórico de incidentes. |
| 5 | 6.2 Objetivos del SGSI | Metas que no se pueden medir. | Objetivos ambiguos como «Garantizar la seguridad». No hay un indicador que diga si se logró o no. | Definir KPIs claros: «Mantener la disponibilidad de servidores en 99.9%» o «Cero fugas de información sensible por error humano». |
| 6 | 7.2 Competencia | Brechas de conocimiento en puestos clave. | El encargado de TI no tiene evidencia de capacitación en la norma o en las herramientas de seguridad que administra. | Mantener expedientes con diplomas, certificaciones o evaluaciones de desempeño que avalen la competencia técnica. |
| 7 | 7.5 Info. Documentada | Desorden en el control de registros. | Encontrar tres versiones distintas del mismo procedimiento circulando en diferentes áreas. | Centralizar la documentación en una «Lista Maestra» y asegurar que los formatos obsoletos sean inaccesibles. |
| 8 | 9.2 Auditoría Interna | Falta de objetividad e independencia. | El CISO o el dueño del proceso se audita a sí mismo («Juez y Parte»). | Designar a un auditor interno de otra área o contratar a un consultor externo para garantizar imparcialidad. |
| 9 | 9.3 Revisión por la Dirección | Acta de revisión incompleta. | La minuta de la reunión con el Director General no menciona la retroalimentación de las partes interesadas o el estado de riesgos. | Seguir estrictamente los incisos del 9.3 de la norma como orden del día para asegurar que nada quede fuera del acta. |
| 10 | A.5.9 Inventario de Activos | Activos no identificados o sin dueño. | Laptops nuevas que no se han registrado o suscripciones de software (SaaS) que nadie supervisa. | Implementar un flujo donde cada compra de tecnología genere automáticamente un registro en el inventario de activos. |
| 11 | A.5.12 Clasificación de Info. | Tratamiento uniforme de la información. | Un listado de salarios de empleados no tiene ninguna marca de «Confidencial», tratándose igual que un folleto público. | Establecer reglas de etiquetado (Público, Interno, Confidencial) y aplicarlas en archivos físicos y digitales. |
| 12 | A.7.4 Seguridad Física | Falta de control en áreas críticas. | El centro de datos (site) permanece abierto o sin bitácora de quién entra y a qué hora. | Reforzar el control de acceso físico y mantener bitácoras de mantenimiento y acceso a infraestructura crítica. |
| 13 | A.8.2 Control de Acceso | «Amnestía» en privilegios de usuario. | Empleados que cambiaron de puesto hace un año pero conservan los permisos de su cargo anterior. | Ejecutar revisiones periódicas (mínimo semestrales) para dar de baja accesos no necesarios (Principio de Menor Privilegio). |
| 14 | A.5.24 Gestión de Incidentes | Cierre técnico sin análisis de fondo. | Se restaura un backup tras un ataque, pero no se investiga cómo entró el virus para evitar que pase de nuevo. | Documentar formalmente la «Causa Raíz» y las acciones correctivas en cada reporte de incidente. |
| 15 | A.5.29 Continuidad | Planes teóricos pero no probados. | Tener un manual de continuidad o recuperación ante desastres (BCP/DRP) que nunca se ha puesto a prueba en un simulacro real. | Realizar al menos un simulacro de continuidad al año y generar un reporte de resultados y mejoras detectadas. |
Consejos del Experto para enfrentar al Auditor
Para que una auditoría sea un éxito, en ISM GRC recomendamos:
- Gestión de Evidencia Inmediata: El auditor basa sus hallazgos en muestreos. Si la evidencia (documentos, logs, entrevistas) no está disponible durante la auditoría, se registrará como un hallazgo; no se acepta evidencia posterior al cierre de la sesión.
- Entrevistas Preparadas: El personal debe saber dónde encontrar las políticas y entender cómo sus actividades diarias protegen la información de la empresa.
- Auditoría Interna como «Partido Amistoso»: Utilice la auditoría interna para detectar y corregir fallas antes de la evaluación de certificación. Es el momento de ser autocríticos y rigurosos.
Identificar una No Conformidad durante la preparación es una oportunidad; identificarla durante la certificación es un riesgo. En ISM GRC, transformamos estas debilidades en fortalezas operativas. Si su organización necesita una evaluación diagnóstica antes de su auditoría externa, nuestro equipo de expertos está listo para acompañarlos.
Te invitamos a ver nuestro masterclass completo “Las No Conformidades más comunes en ISO/IEC 27001 y cómo evitarlas”, donde abordamos este tema desde un enfoque práctico, con ejemplos reales y recomendaciones clave.
🎥 Míralo en nuestro canal de YouTube: https://youtu.be/pNO8HW-hkc8?si=evuyAR7YmHV5HVSv
