Auditoría de sistemas de gestión
Auditamos internamente tus sistemas de gestión: ISO 27001 como caso más frecuente, y también ISO 22301 de continuidad, ISO 42001 de gestión de la IA, el ENS y la autoevaluación VDA ISA que prepara tu TISAX en automoción. La auditoría interna no es un trámite: es el requisito de la propia norma que comprueba, antes de que lo haga nadie de fuera, que el sistema cumple y funciona. Externalizarla te da las dos cosas que más cuestan: independencia real y ojo de auditor jefe, con hallazgos que llegan cuando aún estás a tiempo de corregirlos.
Auditores jefe certificados (CISA, CISSP, CISM) con experiencia en ISO 27001, 22301, 42001, ENS y TISAX.
Por qué externalizar
La norma exige objetividad, y nadie puede auditar su propio trabajo. Externalizar rompe el círculo de quien opera y revisa el sistema.
Auditamos con la metodología de las entidades de certificación: evidencia objetiva, muestreo y hallazgos que citan el requisito y el hecho.
No dedica semanas a preparar y ejecutar la auditoría: la recibe, la entiende y se queda con un plan de acciones claro.
Una auditoría seria encuentra los problemas antes que la Etapa 2 o el seguimiento de la entidad. Ese es exactamente su trabajo.
Servicio
Programa y plan de auditoría: objetivos, criterios, alcance y agenda acordados contigo.
Revisión documental del SGSI: cláusulas de la norma y declaración de aplicabilidad.
Trabajo de campo: entrevistas por rol, observación y muestreo de evidencias y registros.
Verificación de los controles del Anexo A aplicables según tu declaración de aplicabilidad, con la justificación de las exclusiones.
Informe de auditoría: no conformidades mayores y menores, observaciones y mejoras, cada hallazgo con evidencia y requisito.
Reunión de cierre con dirección y apoyo en el plan de acciones correctivas.
Verificación de cierre de los hallazgos, si la quieres incluir.
Cadena de suministro
La seguridad ya no termina en tu perímetro. NIS2 obliga a gestionar el riesgo de toda la cadena de suministro, incluso de proveedores con los que no contratas directamente, y los controles 5.19 a 5.22 de ISO 27001 piden lo mismo: conocer, evaluar y vigilar a quien tiene acceso a tus sistemas y a tus datos.
Auditamos a tus proveedores críticos con la misma metodología de auditor jefe: evaluación de su seguridad, verificación de evidencias y un informe por proveedor que te dice en quién confiar y qué exigir. Si operas en automoción, evaluamos a tus proveedores también contra los criterios del VDA ISA que sustentan TISAX. Los ataques que entran por un proveedor son hoy de los que más crecen, y la diligencia debida es tuya aunque el fallo sea de otro.
Método
Alcance, criterios, plan de auditoría y solicitud de documentación, en una semana.
Entrevistas, observación y muestreo de evidencias, de dos a cinco días de campo según alcance, en remoto, en tus instalaciones o en ambos.
Hallazgos con evidencia, reunión de cierre y plan de acciones listo para la revisión por dirección, en una semana.
Cuándo
Siempre: es requisito previo y la entidad pedirá su informe en la Etapa 2.
La norma lo exige. El intervalo lo fija tu programa según riesgos, cambios y resultados anteriores, y te ayudamos a definirlo y defenderlo.
Fuera de calendario, cuando cambian el alcance, la tecnología o la organización, o después de un incidente relevante.
También auditamos sistemas integrados, continuidad con ISO 22301 y gestión de la IA con ISO 42001, en la misma visita, y preparamos la autoevaluación VDA ISA previa a tu evaluación TISAX si trabajas para la industria del automóvil. Y si tu marco es el ENS, una revisión interna previa a la auditoría ordinaria evita sustos en el peor momento.
Dudas
Sí. La norma la exige a intervalos planificados como parte de la evaluación del desempeño del SGSI, y la entidad de certificación comprobará que existe, que es independiente y que sus hallazgos se gestionan.
Puede, si es competente en auditoría y es independiente de lo que audita. Ahí está el problema práctico: en organizaciones medianas, quien sabe de seguridad es quien opera el sistema, y auditar el propio trabajo no vale. Por eso la externalización es la vía más limpia.
Solo con independencia real: el auditor es siempre una persona del equipo que no participó en la implantación, y si el encargo no permite garantizarlo, te lo decimos abiertamente y te ayudamos a resolverlo con un tercero. Preferimos perder una auditoría a firmar una que no defenderíamos.
Sí, y es de los servicios con más demanda ahora mismo. Auditamos a tus proveedores críticos con metodología de auditor jefe y te entregamos un informe por proveedor. NIS2 y los controles 5.19 a 5.22 de ISO 27001 te hacen responsable del riesgo de tu cadena de suministro, incluso de proveedores indirectos, así que esa diligencia es tuya aunque el fallo sea de otro.
Que la auditoría ha funcionado. Cada hallazgo llega con su evidencia, su requisito y su gravedad, y el informe termina en un plan de acciones correctivas. Es infinitamente mejor encontrarlas nosotros que la entidad de certificación.
Sí. TISAX se apoya en el cuestionario VDA ISA, que adapta ISO 27001 a la industria del automóvil, y su preparación pasa por una autoevaluación interna que hacemos contigo antes de la evaluación oficial. Conviene saber que TISAX no da un certificado sino una etiqueta, válida tres años, reconocida por los fabricantes; nosotros te dejamos listo para obtenerla y, si lo necesitas, evaluamos también a tus proveedores con los mismos criterios.
El ENS se audita en externo por una entidad acreditada, pero una revisión interna previa con metodología de auditor detecta las no conformidades antes de la auditoría ordinaria, cuando corregir todavía es barato.
¿Hablamos?
Dinos en qué punto está tu SGSI, camino de la certificación o en mantenimiento, o si lo que necesitas es auditar a tus proveedores, y te proponemos el plan de auditoría.
Ponte en contacto