0invader

Noticias

ISO/IEC 27001: planificar una recertificación limpia

28 de enero de 2026

La recertificación no fracasa por la tecnología: fracasa por los artefactos que nunca se mantuvieron entre auditorías. Aquí tiene lo que los auditores abren de verdad, y dónde las organizaciones pierden discretamente semanas de tiempo de preparación.

Su ciclo de certificación ISO/IEC 27001 de tres años se está cerrando, y la recertificación se aproxima. La buena noticia: si ha operado de verdad su sistema de gestión de seguridad de la información (SGSI) en lugar de representarlo una sola vez para el certificado, la recertificación es un ejercicio de confirmación y no una carrera contrarreloj. La mala noticia: la mayoría de las organizaciones tratan el SGSI como inactivo entre las visitas de seguimiento, y la brecha se nota.

Qué comprueban realmente los auditores

Un auditor está poniendo a prueba si su SGSI está vivo —operado, monitorizado y mejorado— y no solo si existen documentos. Los artefactos que abren de forma fiable son:

  • La Declaración de Aplicabilidad, contrastada con sus controles reales. Los auditores examinan con dureza cualquier control del Anexo A marcado como excluido y la justificación correspondiente.
  • Los registros de evaluación y tratamiento de riesgos, con evidencia de que se han revisado recientemente en lugar de copiarse hacia adelante sin cambios.
  • Los resultados de auditoría interna y las revisiones por la dirección: prueba de que la organización se inspecciona a sí misma y de que la dirección se implica.
  • Las acciones correctivas de hallazgos anteriores, con evidencia de que de verdad se cerraron.
  • Los registros del funcionamiento de los controles: revisiones de acceso, registros de incidentes, finalización de formaciones, evaluaciones de proveedores.

Dónde pierden tiempo las organizaciones

El patrón es predecible. El SGSI se queda en silencio tras la certificación y luego la actividad se dispara en las semanas previas a la auditoría. Se desempolvan las evaluaciones de riesgos y se retrodatan en espíritu. Las auditorías internas que deberían haberse ejecutado a lo largo del año se amontonan. La revisión por la dirección se celebra la semana antes de que llegue el auditor. Los auditores reconocen este ritmo de inmediato: una avalancha de fechas recientes frente a un año de silencio es, en sí misma, un hallazgo.

Una recertificación limpia se decide en los once meses entre auditorías, no en el mes anterior. Los documentos son fáciles; lo que no puede fabricar en el último minuto es la evidencia de un funcionamiento continuo.

Cómo planificarla correctamente

Trate el ciclo como continuo. Programe las auditorías internas a lo largo del año, no en un único bloque. Celebre las revisiones por la dirección con una cadencia regular, con asistencia real y decisiones registradas. Mantenga el registro de riesgos como un documento vivo ligado a los cambios reales del negocio. Cierre las acciones correctivas con prontitud y conserve la evidencia.

Si ya va con retraso, sea honesto consigo mismo respecto al alcance. Es mejor presentar un SGSI más pequeño y genuinamente operado que uno amplio con evidencia escasa. Priorice los artefactos anteriores, concentre el tiempo restante en demostrar que los controles funcionan de verdad y resista el impulso de generar papeleo que un auditor experimentado leerá de un vistazo. El certificado sigue a un sistema que funciona, no al revés.

Nuestros socios confían en nosotros

Ayuntamiento de Alhama de Murcia
Ayuntamiento de Totana
Garrigues Abogados
Grupo Sureste