Lista de verificación para la certificación ISO 27001 para empresas SaaS

La certificación ISO 27001 es un proyecto de múltiples fases — y las empresas SaaS que lo abordan como un esfuerzo estructurado y por fases son las que logran la certificación sin agotar a sus equipos ni exceder sus presupuestos. Tratar la certificación como una carrera en las semanas previas a la llegada del auditor genera brechas, no conformidades y retrasos que cuestan más que hacerlo bien desde el principio.

Esta lista de verificación cubre el ciclo completo de certificación: desde su análisis de brechas inicial hasta la implementación del SGSI, auditoría interna, revisión por la dirección y la auditoría de certificación en dos etapas — más la vigilancia continua. Cada sección enlaza a una guía detallada donde puede profundizar en temas específicos.

Si es nuevo en ISO 27001, comience con nuestra guía ¿Qué es ISO 27001? para los conceptos fundamentales antes de trabajar con esta lista de verificación.

Fase 1: Análisis de brechas y evaluación del estado actual

Antes de construir algo, necesita comprender dónde se encuentra. Un análisis de brechas compara sus prácticas actuales de seguridad de la información contra los requisitos de ISO 27001 e identifica exactamente qué necesita cambiar.

Evaluar sus prácticas de seguridad existentes

Mapee sus controles, políticas, procesos y documentación actuales contra los requisitos de ISO 27001 (Cláusulas 4-10) y los 93 controles de Annex A. Sea honesto sobre lo que existe versus lo que cree que existe — “lo hacemos informalmente” es una brecha, no un control.

Qué buscar:

• Políticas escritas versus convenciones no escritas
• Procedimientos documentados versus conocimiento tribal
• Controles formales con evidencia versus prácticas ad hoc
• Roles y responsabilidades asignados versus propiedad asumida
• Revisiones y mediciones regulares versus implementaciones de “configurar y olvidar”

Ejemplo SaaS: Su equipo de ingeniería usa control de acceso basado en roles en AWS, aplica MFA y rota credenciales — pero no hay una política de control de acceso escrita, no hay un calendario formal de revisión de accesos y no hay un proceso documentado para otorgar o revocar accesos. Técnicamente, tiene controles de acceso. Desde la perspectiva de ISO 27001, tiene una brecha de documentación significativa.

Identificar brechas contra los requisitos de ISO 27001

Para cada requisito de ISO 27001, documente si está completamente conforme, parcialmente conforme o no conforme. Esto produce una hoja de ruta de remediación clara con elementos específicos a abordar.

Para un recorrido detallado de cada requisito, consulte nuestra guía de requisitos de ISO 27001.

Brechas comunes que descubren las empresas SaaS:

• Sin definición formal del alcance del SGSI
• El proceso de evaluación de riesgos es informal o inconsistente
• La política de seguridad de la información existe pero no ha sido revisada o aprobada por la dirección
• Sin Declaración de Aplicabilidad que documente la justificación de la selección de controles
• Nunca se ha realizado una auditoría interna
• La revisión por la dirección de la seguridad de la información nunca ha ocurrido como un proceso formal
• Los procedimientos de gestión de incidentes existen en runbooks pero no están vinculados a un proceso formal del SGSI
• Las evaluaciones de seguridad de proveedores se realizan en la incorporación pero nunca se revisan

Priorizar la remediación

No todas las brechas tienen el mismo peso. Priorice según:

• Criticidad para la certificación: Las brechas que resultarían en no conformidades mayores durante la auditoría de certificación deben abordarse primero. La documentación obligatoria faltante (evaluación de riesgos, SoA, política de seguridad de la información) se encuentra aquí.
• Nivel de riesgo: Las brechas que exponen a la organización a un riesgo significativo de seguridad de la información deben priorizarse independientemente del momento de la auditoría.
• Esfuerzo de implementación: Las victorias rápidas (documentar una práctica existente) versus los trabajos pesados (implementar un nuevo control desde cero) deben secuenciarse para mantener el impulso.
• Dependencias: Algunos controles dependen de otros — por ejemplo, no puede completar su Declaración de Aplicabilidad hasta que se haya realizado su evaluación de riesgos.

Fase 2: Definición del alcance de su SGSI

El alcance de su SGSI define los límites de su certificación. Todo lo que está dentro del alcance se audita. Todo lo que está fuera no se audita. Hacerlo bien determina el costo, la complejidad y la relevancia de su certificación.

Definir el alcance organizacional

Identifique qué partes de su organización están incluidas. Para la mayoría de las empresas SaaS, esto significa los equipos que desarrollan, despliegan, operan y dan soporte a la plataforma de producción — ingeniería, DevOps/SRE, seguridad, TI y soporte al cliente.

Considere cuidadosamente:

• ¿Los empleados remotos están dentro del alcance? (Casi siempre sí, para empresas SaaS)
• ¿Los contratistas y equipos externalizados están dentro del alcance? (Si acceden a sistemas o datos, sí)
• ¿Su entorno de TI corporativo está dentro del alcance, o solo la plataforma de producción? (Generalmente ambos, ya que TI corporativo soporta a las personas que operan la plataforma)
• ¿Los entornos de desarrollo y staging están dentro del alcance? (Solo si contienen datos de producción o afectan directamente la seguridad de producción)

Definir el alcance de sistemas y tecnología

Identifique los sistemas, la infraestructura y los activos tecnológicos que caen dentro de su SGSI. Esto incluye la infraestructura de producción, los pipelines de CI/CD, los sistemas de monitoreo y alertas, los proveedores de identidad y las herramientas de comunicación que manejan información sensible.

Definir el alcance de activos de información

Identifique los activos de información que protege su SGSI — datos de clientes, código de aplicación, configuraciones de infraestructura, datos de empleados, registros empresariales y cualquier otra información que requiera controles de seguridad.

Documentar la declaración de alcance

Su declaración de alcance del SGSI es una definición de límites formal y documentada. Debe ser lo suficientemente específica para que un auditor pueda determinar claramente qué está dentro del alcance y qué no. Las declaraciones de alcance vagas generan confusión en la auditoría y expansión del alcance.

Fase 3: Construcción de los cimientos del SGSI

Con sus brechas identificadas y el alcance definido, construya la infraestructura central del SGSI — las políticas, procesos y estructuras de gobernanza sobre las que se apoya todo lo demás.

Establecer la política de seguridad de la información

Su política de seguridad de la información de nivel superior es el documento fundacional de su SGSI. Establece el compromiso de su organización con la seguridad de la información, fija la dirección del SGSI y debe ser aprobada por la alta dirección.

Este no es un documento técnico de 50 páginas. Es una declaración estratégica y concisa que establece el propósito y los objetivos de su SGSI, se compromete a satisfacer los requisitos aplicables y se compromete con la mejora continua. Las políticas detalladas y específicas por tema (control de acceso, gestión de incidentes, etc.) se encuentran debajo.

Consulte nuestra guía de políticas de ISO 27001 para la lista completa de políticas que necesitará y cómo estructurarlas.

Definir roles y responsabilidades

ISO 27001 requiere una asignación clara de roles y responsabilidades de seguridad de la información. Como mínimo, necesita:

• Alta dirección responsable del SGSI y comprometida con proporcionar recursos
• Gerente del SGSI o líder de seguridad de la información responsable de establecer, mantener y mejorar el SGSI
• Propietarios de riesgos responsables de gestionar los riesgos identificados dentro de sus áreas
• Propietarios de activos responsables de los activos de información y su seguridad
• Todos los empleados responsables de seguir las políticas de seguridad de la información y reportar incidentes

Ejemplo SaaS: Su CTO sirve como patrocinador ejecutivo. Su Director de Seguridad es el gerente del SGSI. Los gerentes de ingeniería son propietarios de riesgos para sus respectivos servicios. Cada empleado con acceso a los sistemas completa la capacitación de concientización en seguridad y reconoce sus responsabilidades en la política de uso aceptable.

Establecer el proceso de control de documentos

ISO 27001 requiere información documentada controlada — lo que significa que los documentos deben ser creados, revisados, aprobados, distribuidos y actualizados a través de un proceso gestionado. Necesita control de versiones, ciclos de revisión, flujos de trabajo de aprobación y una forma de asegurar que las personas trabajen con las versiones actuales.

Consejo SaaS: No lo complique demasiado. Si usa Confluence, Notion o Google Docs con versionado claro y un proceso de aprobación, eso funciona. Al auditor le importa que los documentos estén controlados, no que use una herramienta específica.

Fase 4: Evaluación de riesgos

La evaluación de riesgos es el motor analítico de su SGSI. Determina qué riesgos enfrenta su organización, qué tan graves son y cómo los tratará. Cada decisión de control en su SGSI debe rastrearse hasta un riesgo identificado en esta evaluación.

Para la metodología completa, consulte nuestra guía de evaluación de riesgos de ISO 27001.

Definir su metodología de evaluación de riesgos

Antes de evaluar riesgos, documente su enfoque. ISO 27001 requiere una metodología de evaluación de riesgos repetible y documentada que incluya:

• Criterios para identificar riesgos de seguridad de la información
• Criterios para analizar riesgos (escalas de probabilidad e impacto)
• Criterios para evaluar riesgos (umbral de aceptación de riesgos)
• Un proceso que produzca resultados consistentes, válidos y comparables

Ejemplo SaaS: Usted define una escala de probabilidad de 5 puntos (raro a casi seguro) y una escala de impacto de 5 puntos (insignificante a crítico), produciendo una matriz de riesgos de 25 celdas. Los riesgos con puntuación de 15 o superior requieren tratamiento. Los riesgos por debajo de 15 pueden ser aceptados con justificación documentada.

Identificar riesgos de seguridad de la información

Identifique sistemáticamente los riesgos para la confidencialidad, integridad y disponibilidad de los activos de información dentro del alcance de su SGSI. Considere:

• Fuentes de amenazas: Atacantes externos, internos maliciosos, empleados negligentes, desastres naturales, fallas tecnológicas, compromisos de la cadena de suministro
• Vulnerabilidades: Configuraciones incorrectas, software sin parches, autenticación débil, permisos excesivos, falta de monitoreo, capacitación insuficiente
• Escenarios de impacto: Brechas de datos, interrupciones del servicio, corrupción de datos, multas regulatorias, daño reputacional, robo de propiedad intelectual

Analizar y evaluar riesgos

Para cada riesgo identificado, evalúe la probabilidad de ocurrencia y el impacto si se materializa. Ubique los riesgos en su matriz de riesgos y compárelos con sus criterios de aceptación de riesgos. Esto produce una lista priorizada de riesgos que requieren tratamiento.

Crear el plan de tratamiento de riesgos

Para cada riesgo por encima de su umbral de aceptación, decida una opción de tratamiento:

• Mitigar: Implementar controles para reducir la probabilidad o el impacto
• Transferir: Compartir el riesgo a través de seguros o acuerdos contractuales
• Evitar: Eliminar la actividad que crea el riesgo
• Aceptar: Aceptar formalmente el riesgo (con justificación documentada y aprobación de la dirección)

Su plan de tratamiento de riesgos mapea cada riesgo a controles específicos y asigna propiedad, plazos y recursos para la implementación.

Fase 5: Selección e implementación de controles

Con su plan de tratamiento de riesgos en mano, seleccione e implemente los controles que mitigan sus riesgos identificados. ISO 27001 Annex A proporciona un conjunto de referencia de 93 controles, pero también puede implementar controles de otras fuentes.

Para un recorrido completo de los 93 controles, consulte nuestra guía de controles de Annex A.

Completar la Declaración de Aplicabilidad

La Declaración de Aplicabilidad (SoA) es uno de los documentos más importantes de su SGSI. Lista los 93 controles de Annex A, indica si cada uno es aplicable o no, proporciona justificación para la inclusión o exclusión y describe el estado de implementación.

Por qué esto importa: Su auditor revisará la SoA cuidadosamente. Excluir un control requiere una justificación arraigada en su evaluación de riesgos. “No creemos que aplique” no es suficiente — necesita demostrar que los riesgos que aborda el control no están presentes en su entorno o son abordados por controles alternativos.

Implementar controles organizacionales

Despliegue los controles de gobernanza, política y procesos que establecen su marco de seguridad:

• Políticas de seguridad de la información y políticas específicas por tema
• Segregación de funciones en procesos críticos
• Contacto con autoridades y grupos de interés especial
• Monitoreo de inteligencia de amenazas
• Seguridad de la información en la gestión de proyectos
• Clasificación y etiquetado de información
• Gestión de identidad y gobernanza de control de acceso

Implementar controles de personas

Establezca los controles del elemento humano que abordan su fuerza laboral:

• Verificación previa al empleo y verificación de antecedentes
• Términos y condiciones de empleo incluyendo responsabilidades de seguridad
• Programas de concientización, educación y capacitación en seguridad
• Proceso disciplinario por violaciones de seguridad de la información
• Responsabilidades después de la terminación o cambio de empleo
• Acuerdos de confidencialidad y no divulgación
• Requisitos de seguridad para trabajo remoto

Implementar controles físicos

Aborde la seguridad física de sus oficinas, equipos e instalaciones:

• Perímetros de seguridad física y controles de entrada
• Asegurar oficinas, salas y equipos
• Monitoreo de seguridad física (CCTV, tarjetas de acceso)
• Protección contra amenazas ambientales
• Eliminación o reutilización segura de equipos
• Políticas de escritorio limpio y pantalla limpia

Implementar controles tecnológicos

Despliegue los mecanismos de seguridad técnica que protegen sus sistemas y datos:

• Seguridad de dispositivos de punto final y gestión de dispositivos móviles
• Gestión de acceso privilegiado y aplicación de control de acceso
• Restricción de acceso a la información y mecanismos de autenticación
• Gestión de capacidad y protección contra malware
• Gestión de vulnerabilidades y gestión de parches
• Registro, monitoreo y alertas
• Seguridad de red, segregación y filtrado
• Cifrado y gestión de claves
• Ciclo de vida de desarrollo seguro y prácticas de codificación segura
• Respaldo de datos, redundancia y continuidad del negocio
• Herramientas de detección y respuesta de gestión de incidentes

Fase 6: Documentación

ISO 27001 requiere información documentada específica, y su auditor la revisará exhaustivamente. La documentación no es trabajo burocrático — es la evidencia de que su SGSI existe, opera y se mantiene.

Información documentada obligatoria

Como mínimo, debe tener:

• Declaración de alcance del SGSI (Cláusula 4.3)
• Política de seguridad de la información (Cláusula 5.2)
• Metodología de evaluación de riesgos (Cláusula 6.1.2)
• Resultados de la evaluación de riesgos (Cláusula 6.1.2)
• Plan de tratamiento de riesgos (Cláusula 6.1.3)
• Declaración de Aplicabilidad (Cláusula 6.1.3)
• Objetivos de seguridad de la información (Cláusula 6.2)
• Evidencia de competencia (Cláusula 7.2)
• Documentación de planificación y control operativo (Cláusula 8.1)
• Resultados de evaluaciones de riesgos periódicas (Cláusula 8.2)
• Resultados del tratamiento de riesgos (Cláusula 8.3)
• Resultados de monitoreo y medición (Cláusula 9.1)
• Programa y resultados de auditoría interna (Cláusula 9.2)
• Resultados de la revisión por la dirección (Cláusula 9.3)
• No conformidades y acciones correctivas (Cláusula 10.1)

Políticas y procedimientos específicos por tema

Además de los documentos obligatorios, necesitará políticas y procedimientos específicos por tema que respalden sus controles de Annex A. Consulte nuestra guía de políticas de ISO 27001 para la lista completa, incluyendo:

• Política de uso aceptable
• Política de control de acceso
• Procedimiento de gestión de cambios
• Procedimiento de gestión de incidentes
• Plan de continuidad del negocio
• Política de respaldo
• Política de cifrado
• Política de seguridad de proveedores
• Política de clasificación y manejo de datos
• Política de desarrollo seguro

Consejos de calidad de documentación para empresas SaaS

• Mantenga las políticas concisas y accionables. Los auditores no se impresionan con políticas de 80 páginas que nadie lee. Políticas claras y aplicables que los empleados realmente sigan son lo que importa.
• Use sus herramientas existentes. Si su equipo vive en Confluence, escriba sus políticas en Confluence. Si los procedimientos están en runbooks junto a su código de infraestructura, eso está bien — siempre que estén controlados y sean accesibles.
• Versione y apruebe todo. Cada documento necesita una versión, una fecha de revisión y un aprobador. Establezca ciclos de revisión (al menos anualmente) y cúmplalos.
• Vincule la documentación a los controles. Cada control de Annex A en su SoA debe hacer referencia a las políticas, procedimientos y evidencia que lo respaldan.

Fase 7: Concientización y capacitación

ISO 27001 requiere que todas las personas que trabajan bajo su SGSI estén al tanto de la política de seguridad de la información, su contribución al SGSI y las consecuencias de no cumplir. Más allá de la concientización general, las personas en roles específicos necesitan competencia relevante para esos roles.

Capacitación general de concientización en seguridad

Todos los empleados dentro del alcance de su SGSI deben recibir capacitación de concientización en seguridad de la información. Esto debe cubrir:

• Su política de seguridad de la información y lo que significa para el trabajo diario
• Amenazas comunes (phishing, ingeniería social, robo de credenciales)
• Requisitos de manejo y clasificación de datos
• Procedimientos de reporte de incidentes — qué reportar y cómo
• Uso aceptable de los sistemas y datos de la empresa
• Requisitos de seguridad para trabajo remoto

Consejo SaaS: Ejecute la capacitación de concientización durante la incorporación y al menos anualmente después. Rastree la finalización y mantenga registros — su auditor los solicitará.

Capacitación de competencia específica por rol

Las personas en roles críticos para la seguridad necesitan capacitación dirigida más allá de la concientización general:

• Desarrolladores: Prácticas de codificación segura, OWASP Top 10, expectativas de seguridad en revisiones de código
• Administradores de sistemas / SREs: Estándares de hardening, procedimientos de gestión de acceso, roles de respuesta a incidentes
• Gerente del SGSI: Requisitos de ISO 27001, gestión de auditorías, metodología de evaluación de riesgos
• Auditores internos: Técnicas de auditoría, evaluación de evidencia, clasificación de no conformidades
• Dirección: Su rol en el SGSI, responsabilidades de revisión por la dirección, decisiones de asignación de recursos

Medir la eficacia de la capacitación

No solo rastree la finalización — mida si la capacitación realmente cambia el comportamiento. Considere simulaciones de phishing, evaluaciones de conocimiento y seguimiento de tendencias de incidentes de seguridad que se correlacionen con brechas de concientización.

Fase 8: Auditoría interna

La auditoría interna es su verificación de realidad previa a la certificación. Verifica que su SGSI cumple con los requisitos de ISO 27001 y sus propias políticas, y que está efectivamente implementado y mantenido. Los auditores esperan ver al menos un ciclo completo de auditoría interna antes de la auditoría de certificación.

Para la metodología completa, consulte nuestra guía de auditoría interna de ISO 27001.

Planificar el programa de auditoría interna

Desarrolle un programa de auditoría que cubra todos los requisitos del SGSI y los controles de Annex A durante un ciclo definido. No tiene que auditar todo a la vez — puede distribuir las auditorías a lo largo del año — pero cada elemento debe ser cubierto antes de la auditoría de certificación.

Decisiones clave:

• Alcance de la auditoría: Qué cláusulas, controles y procesos auditar en cada ciclo
• Frecuencia de auditoría: Al menos anualmente para el SGSI completo, con áreas de mayor riesgo auditadas con mayor frecuencia
• Selección de auditores: Los auditores internos deben ser objetivos e imparciales — no pueden auditar su propio trabajo. Considere auditorías cruzadas entre funciones (ingeniería audita operaciones, operaciones audita ingeniería) o contratar a una parte externa para la auditoría interna.

Realizar la auditoría

Los auditores internos revisan documentación, entrevistan a los propietarios de procesos, examinan evidencia y prueban controles. Están buscando:

• Conformidad: ¿Sus prácticas coinciden con lo que dicen sus políticas y procedimientos?
• Eficacia: ¿Los controles realmente están reduciendo los riesgos que están diseñados para abordar?
• Completitud: ¿Están abordados todos los requisitos de ISO 27001?
• Documentación: ¿La información documentada es actual, controlada y accesible?

Reportar hallazgos y rastrear acciones correctivas

Documente los hallazgos de auditoría como conformidades, oportunidades de mejora, no conformidades menores o no conformidades mayores. Para cada no conformidad, inicie una acción correctiva:

1. Identifique la causa raíz (no solo el síntoma)
2. Defina la acción correctiva para eliminar la causa raíz
3. Implemente la acción correctiva
4. Verifique la eficacia después de la implementación

Rastree las acciones correctivas hasta su cierre. Las no conformidades abiertas de su auditoría interna serán revisadas durante la auditoría de certificación — tenerlas documentadas y resueltas demuestra un proceso de mejora funcional.

Fase 9: Revisión por la dirección

La revisión por la dirección es una actividad obligatoria del SGSI donde la alta dirección evalúa el rendimiento, idoneidad y eficacia del SGSI. Asegura que el liderazgo permanezca comprometido y tome decisiones informadas sobre la dirección del SGSI.

Preparar los insumos de la revisión por la dirección

ISO 27001 especifica qué debe considerarse durante la revisión por la dirección:

• Estado de las acciones de revisiones por la dirección anteriores
• Cambios en temas externos e internos relevantes para el SGSI
• Retroalimentación sobre el rendimiento de seguridad de la información (no conformidades, resultados de monitoreo, hallazgos de auditoría, logro de objetivos)
• Retroalimentación de las partes interesadas
• Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos
• Oportunidades de mejora continua

Realizar la revisión

Presente los insumos a la alta dirección y discuta:

• ¿El SGSI sigue alineado con los objetivos empresariales?
• ¿Se asignan recursos adecuados?
• ¿Hay cambios en el contexto interno o externo que requieran cambios en el SGSI?
• ¿Qué mejoras deben priorizarse?

Documentar las salidas y decisiones

Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con oportunidades de mejora continua y cualquier cambio necesario en el SGSI. Documente las actas de la reunión, las decisiones tomadas y las acciones asignadas. Estos registros son información documentada obligatoria que su auditor revisará.

Consejo SaaS: Integre la revisión por la dirección en una cadencia de reuniones de liderazgo existente — trimestralmente funciona bien. No necesita ser un evento separado y formal siempre que se cubran los insumos requeridos y se documenten las salidas.

Fase 10: Auditoría de certificación

La auditoría de certificación es realizada por un organismo de certificación acreditado (una organización independiente y externa — no la misma que la firma consultora que le ayudó a implementar su SGSI). La auditoría ocurre en dos etapas.

Auditoría de Etapa 1: Revisión de documentación

La auditoría de Etapa 1 es principalmente una revisión de documentación. El auditor evalúa si la documentación de su SGSI está completa y es adecuada. Revisan:

• Alcance, políticas y objetivos del SGSI
• Metodología y resultados de la evaluación de riesgos
• Declaración de Aplicabilidad
• Resultados de auditoría interna
• Registros de revisión por la dirección
• Procedimientos clave y documentación operativa

Qué esperar: La Etapa 1 típicamente toma 1-2 días (dependiendo del tamaño de la organización) y puede realizarse de forma remota. El auditor identifica cualquier área que necesite atención antes de la Etapa 2 y confirma que la organización está lista para proceder.

Problemas comunes en la Etapa 1:

• Documentación obligatoria faltante
• Metodología de evaluación de riesgos no definida claramente
• Declaración de Aplicabilidad incompleta o sin justificación para las exclusiones
• Auditoría interna aún no completada
• Revisión por la dirección no realizada o no documentada

Si se encuentran problemas significativos, el organismo de certificación puede retrasar la Etapa 2 hasta que se resuelvan.

Auditoría de Etapa 2: Evaluación de la implementación

La Etapa 2 es la auditoría principal. El auditor verifica que su SGSI está efectivamente implementado y operando. Ellos:

• Entrevistarán a propietarios de procesos, administradores de sistemas, desarrolladores y la dirección
• Revisarán evidencia de la operación de controles (registros, configuraciones, capturas de pantalla)
• Probarán controles para verificar que funcionan como se describe
• Evaluarán la eficacia de su tratamiento de riesgos
• Evaluarán la competencia y concientización de su equipo
• Revisarán registros de incidentes y acciones correctivas
• Verificarán que el SGSI está impulsando la mejora continua

Qué esperar: La Etapa 2 se realiza presencialmente (o por video para organizaciones remotas) y típicamente toma 3-5 días para una empresa SaaS de tamaño mediano. Pueden participar múltiples auditores.

Consejo SaaS: Prepare a su equipo. Los ingenieros, SREs y personal de seguridad serán entrevistados. Necesitan entender el contexto del SGSI — no solo su trabajo técnico, sino cómo se conecta con las políticas y controles que están implementando. Una sesión informativa de 30 minutos antes de la auditoría explicando qué preguntarán los auditores es muy útil.

Abordar las no conformidades

Si el auditor identifica no conformidades:

• Las no conformidades menores deben abordarse con un plan de acción correctiva. Típicamente tiene 90 días para resolverlas antes de que se emita el certificado.
• Las no conformidades mayores deben resolverse antes de que se pueda otorgar el certificado. Esto puede requerir una auditoría de seguimiento para verificar la resolución.
• Las observaciones / oportunidades de mejora se notan pero no impiden la certificación. Abórdelas de manera proactiva para demostrar compromiso con la mejora.

Recibir su certificado

Una vez que se resuelven todas las no conformidades, el organismo de certificación emite su certificado ISO 27001. El certificado es típicamente válido por tres años, sujeto a auditorías de vigilancia anuales.

Fase 11: Vigilancia y mejora continua

La certificación es el comienzo, no el final. Su SGSI debe mantenerse y mejorarse continuamente durante el ciclo de certificación de tres años.

Auditorías de vigilancia anuales

El organismo de certificación realiza auditorías de vigilancia — típicamente anuales — para verificar que su SGSI continúa operando de manera efectiva. Las auditorías de vigilancia son de menor alcance que la auditoría de certificación inicial pero cubren áreas clave y cualquier problema de auditorías anteriores.

Qué buscan los auditores de vigilancia:

• Evidencia de que el SGSI se mantiene activamente (no es un estante de documentos)
• Las acciones correctivas de auditorías anteriores están implementadas y son efectivas
• Las auditorías internas y las revisiones por la dirección continúan según lo programado
• Los cambios en la organización, el alcance o el panorama de riesgos se reflejan en el SGSI
• La mejora continua es demostrable

Auditoría de recertificación

Antes de que expire su certificado de tres años, se somete a una auditoría de recertificación — similar en alcance a la auditoría inicial de Etapa 2. Planifique esto con suficiente antelación. Comenzar la preparación para la recertificación 6 meses antes del vencimiento le da tiempo adecuado para abordar cualquier brecha.

Impulsar la mejora continua

La mejora continua no es una fase — es el motor permanente de su SGSI. Alimente las mejoras desde:

• Hallazgos de auditoría interna
• Observaciones de auditorías de vigilancia
• Análisis post-mortem de incidentes y lecciones aprendidas
• Actualizaciones de evaluación de riesgos provocadas por cambios en el negocio o en el panorama de amenazas
• Retroalimentación de empleados y mediciones de eficacia de capacitación
• Desarrollos de la industria, nuevas amenazas y mejores prácticas emergentes

Rastree las mejoras en un registro estructurado, asigne propiedad y revise el progreso durante las revisiones por la dirección.

Cómo ayuda GRCTrail

GRCTrail brinda a los equipos SaaS una plataforma única para gestionar cada fase de la certificación ISO 27001 — desde el análisis de brechas inicial hasta la vigilancia continua y la mejora continua.

• Análisis de brechas y evaluación de preparación que mapea su estado actual contra cada requisito de ISO 27001 y genera un plan de remediación priorizado
• Flujos de trabajo de evaluación de riesgos con identificación estructurada de amenazas, matrices de puntuación y seguimiento de tratamiento que producen documentación lista para auditoría
• Generador de Declaración de Aplicabilidad que mapea sus decisiones de tratamiento de riesgos a los controles de Annex A y produce una SoA formateada que su auditor aceptará
• Plantillas de políticas y procedimientos diseñadas para empresas SaaS, cubriendo cada documento requerido con un lenguaje claro y accionable
• Gestión de auditorías internas para planificar ciclos de auditoría, documentar hallazgos y rastrear acciones correctivas hasta su cierre
• Paneles de monitoreo continuo que rastrean la eficacia de los controles, señalan desviaciones y mantienen su SGSI listo para auditoría durante todo el año

Comience con GRCTrail →

Guías relacionadas

• ¿Qué es ISO 27001? Una guía práctica para empresas SaaS
• ISO 27001 vs SOC 2: ¿Qué marco necesita su empresa SaaS?
• Requisitos de ISO 27001: Cláusulas 4-10 explicadas
• Guía de evaluación de riesgos de ISO 27001
• Controles de Annex A de ISO 27001 explicados
• Guía de la Declaración de Aplicabilidad de ISO 27001
• Guía de políticas de seguridad de la información de ISO 27001
• Guía de control de acceso de ISO 27001
• Guía de gestión de incidentes de ISO 27001
• Guía de gestión de proveedores de ISO 27001
• Guía de auditoría interna de ISO 27001
• Guía de mejora continua de ISO 27001
• Costos y cronograma de ISO 27001 para empresas SaaS
• ¿Qué es SOC 2? Una guía práctica para empresas SaaS
• Lista de verificación de cumplimiento SOC 2 para empresas SaaS