Después de meses implantando el SGSI llega el momento que todo el mundo mitifica: la auditoría de certificación. La mala noticia: no se puede improvisar. La buena: es el proceso más predecible de todo el proyecto. El auditor no viene a suspenderte ni a jugar al gato y al ratón; viene a verificar evidencias contra requisitos conocidos de antemano. Si el sistema ha funcionado de verdad, la auditoría es un examen del que ya conoces las preguntas.
Quinto capítulo de nuestra guía completa de certificación ISO 27001. Aquí encontrarás cómo funciona el ecosistema de certificación en España, cómo elegir entidad, qué ocurre exactamente en la fase 1 y la fase 2, cómo se clasifican y gestionan los hallazgos, y cómo preparar al equipo para que el día D sea un trámite y no un drama.
1. El ecosistema: quién certifica y qué vale un certificado
Conviene entender los actores. Tu empresa implanta el SGSI (sola o con consultora). Una entidad de certificación independiente lo audita y emite el certificado. Y una entidad de acreditación —en España, ENAC— supervisa a las certificadoras para que auditen con rigor. Este último eslabón importa más de lo que parece: un certificado emitido por una entidad acreditada (por ENAC o por acreditadores equivalentes del sistema internacional IAF) tiene reconocimiento global; uno de un «sello» sin acreditación puede no valer nada ante un cliente exigente o una licitación.
Entre las certificadoras habituales en España: AENOR, Bureau Veritas, SGS, TÜV Rheinland/SÜD, Applus+ y DNV. Todas auditan contra la misma norma; cambian el estilo, la experiencia sectorial del auditor asignado y el precio.
2. Elegir entidad de certificación: criterios reales
- Acreditación verificable — que el alcance ISO/IEC 27001 aparezca en su acreditación ENAC (o equivalente IAF). Es lo primero y no negociable.
- Experiencia en tu sector — un auditor que conoce SaaS, cloud y desarrollo entiende tus controles a la primera; uno de perfil industrial puede convertir la fase 2 en un ejercicio de traducción.
- Coste del ciclo completo — pide presupuesto de los tres años (certificación + 2 vigilancias), no solo del primero. Las diferencias reales aparecen ahí.
- Reconocimiento entre tus clientes — si tus clientes enterprise valoran una marca concreta, tenlo en cuenta: el certificado es en parte una herramienta comercial.
- Agenda — las buenas certificadoras tienen espera de 2-3 meses. Contrata en cuanto tengas fecha realista de auditoría interna.
El tamaño de la auditoría se calcula en días de auditor y depende del número de personas dentro del alcance y de la complejidad. Para una empresa tecnológica de 20-80 empleados, hablar de 3 a 6 jornadas entre fase 1 y fase 2 es lo habitual.
3. Fase 1: la revisión documental (y de preparación)
La fase 1 suele durar 1-2 días, cada vez más en remoto. El auditor revisa que el sistema esté diseñado correctamente y que estés listo para la fase 2:
- Alcance del SGSI coherente y bien delimitado.
- Política, análisis de riesgos, plan de tratamiento y Declaración de Aplicabilidad consistentes entre sí — es el eje de la revisión.
- Auditoría interna y revisión por dirección realizadas (sin ellas no hay fase 2).
- Objetivos de seguridad definidos y con seguimiento.
- Documentación obligatoria completa y controlada.
El resultado es un informe con las áreas de preocupación: cosas que, si no corriges, serán no conformidades en fase 2. Es oro puro: tómalo como una lista de deberes con ventaja. Entre fase 1 y fase 2 suelen mediar de 2 a 6 semanas — tiempo suficiente para cerrar lo señalado.
Las áreas de preocupación más repetidas en fase 1 de empresas tecnológicas: la SoA desalineada con el análisis de riesgos (controles activados sin riesgo asociado, o al revés), objetivos de seguridad sin métrica ni seguimiento, la revisión por dirección hecha «de oídas» sin acta con las entradas que exige la cláusula 9.3, y alcances redactados con ambigüedad («los servicios de la empresa» en lugar de nombrar plataformas, sedes y equipos concretos). Todas se corrigen en días si se detectan a tiempo — que es exactamente para lo que sirve la fase 1.
4. Fase 2: la auditoría de implantación
La fase 2 verifica que el sistema funciona. El auditor combina tres técnicas: revisión de evidencias (registros, actas, configuraciones), entrevistas al equipo (de dirección a desarrollo, a menudo sin el responsable de seguridad delante) y observación directa (que te enseñen la pantalla: el MFA del panel cloud, los logs de ayer, el último despliegue con su PR revisado).
Un día típico en una empresa de software: apertura y repaso del plan; sesión con dirección (liderazgo, contexto, objetivos); recorrido por el análisis de riesgos y la SoA; bloque organizativo con RRHH y operaciones (altas/bajas, formación, proveedores, incidentes — los controles organizativos del capítulo 3); bloque técnico con el equipo de plataforma (accesos, backups con su restauración probada, parcheo, monitorización, pipeline — los controles técnicos del capítulo 4); y cierre con lectura de hallazgos preliminares.
El auditor trabaja por muestreo: no revisa todos los registros, elige. «Dame la lista de bajas del año» y comprueba dos al azar; «el listado de despliegues de marzo» y sigue el rastro de uno. La consecuencia práctica es que no puedes preparar solo los ejemplos bonitos — la consistencia general es lo único que sobrevive al muestreo. Y toma notas de todo: lo que el auditor mira, lo que pregunta y lo que le preocupa; ese conocimiento vale su peso en oro para la vigilancia del año siguiente.
Tres consejos de comportamiento que valen una no conformidad cada uno: responde a lo que se pregunta (no des explicaciones espontáneas que abran frentes), di «no lo sé, lo consulto» antes que inventar, y nunca discutas un hallazgo en caliente — se gestiona después, con evidencias.

5. Los hallazgos: mayores, menores y observaciones
Todo lo que el auditor encuentra se clasifica en tres niveles, y entender la diferencia desactiva la mayor parte del miedo:
- No conformidad mayor: incumplimiento sistémico de un requisito — un proceso obligatorio que no existe o que se ignora de forma generalizada (no hay auditoría interna, el análisis de riesgos es de hace tres años, nadie aplica la política de accesos). Consecuencia: bloquea el certificado hasta que corrijas y el auditor verifique la corrección (a veces con visita extra).
- No conformidad menor: desviación puntual que no tumba el sistema — una revisión de accesos que se saltó un trimestre, un proveedor crítico sin evaluación documentada, dos portátiles sin cifrar. Consecuencia: plan de acciones correctivas con plazos; el certificado se emite y el cierre se verifica en la siguiente vigilancia.
- Observación / oportunidad de mejora: sugerencias sin efecto sobre el certificado, pero que conviene atender: suelen ser las menores del año siguiente.
Un resultado normal en una primera certificación bien preparada: cero mayores, dos a cinco menores y varias observaciones. Que te saquen menores no es un fracaso; es el sistema de mejora continua funcionando delante de un testigo.
5.1 Cómo se redacta (y se responde) una no conformidad
Una no conformidad bien formulada tiene tres partes: el requisito incumplido (cláusula de la norma o control de tu SoA), la evidencia observada y la declaración del incumplimiento. Ejemplo real de menor: «Requisito: control A.5.18 y política de accesos v2.1 (revisión trimestral). Evidencia: no existe registro de la revisión del Q1. Declaración: la revisión de derechos de acceso no se realiza con la periodicidad definida.»
La respuesta correcta también tiene estructura: corrección inmediata (ejecutar la revisión pendiente), análisis de causa raíz (¿por qué se saltó? — no había recordatorio ni responsable claro) y acción correctiva que ataque la causa (issue recurrente con dueño y alerta de vencimiento). Las certificadoras valoran mucho más una causa raíz honesta que una corrección cosmética: es la diferencia entre cerrar el hallazgo y verlo reaparecer en la vigilancia siguiente.
6. Certificado en mano: vigilancias y recertificación
El certificado vale tres años, con condiciones. Cada año (aprox. en el aniversario) hay una auditoría de vigilancia de 1-2 días que muestrea el sistema: cierre de las no conformidades anteriores, cambios relevantes, y una selección rotatoria de controles. Al tercer año, la recertificación repite una auditoría completa estilo fase 2.
El error clásico post-certificado es la desconexión: el SGSI se congela hasta un mes antes de la vigilancia, y entonces toca «reflotar» — actas fabricadas deprisa, revisiones acumuladas, estrés. Además de arriesgado (las mayores en vigilancia existen y pueden suspender el certificado), es más caro que mantener el ritmo: el mantenimiento real son un puñado de horas al mes si las evidencias se generan solas, como vimos en los capítulos anteriores. La vigilancia entonces se convierte en lo que debe ser: una visita rutinaria.
7. Preparar al equipo: el ensayo general
La mejor preparación para la fase 2 es haber hecho una auditoría interna seria — no un checklist autocumplimentado, sino un ejercicio con la misma mecánica: evidencias, entrevistas, hallazgos por escrito. Si nadie del equipo puede hacerla con independencia (quien implanta no debe auditarse a sí mismo), un tercero técnico es la opción sana; en Keliam la combinamos con validación ofensiva, porque un pentest que rompe lo que el papel decía proteger es el hallazgo interno más útil que existe — mejor descubrirlo tú que el auditor, y mucho mejor que un atacante, en la línea del hacking ético que defendemos siempre.
Además del ensayo, tres preparativos de la semana previa: la carpeta de evidencias con enlaces vivos a cada registro (acelera la auditoría y transmite control), un briefing de 30 minutos al equipo (qué es la auditoría, cómo responder, que nadie se juegue una épica), y la logística resuelta: agenda, sala o videollamadas, accesos de solo lectura que el auditor pueda necesitar y las personas clave disponibles.

8. El calendario completo, semana a semana
Visto de principio a fin, así se encadena el tramo final del proyecto para una empresa tecnológica mediana:
- Semana -12: solicitud de ofertas a 2-3 certificadoras con el alcance definido. Comparación por ciclo de 3 años y experiencia sectorial.
- Semana -10: contratación y fechas reservadas. La agenda del auditor manda: reserva antes de tener todo perfecto.
- Semanas -8 a -6: auditoría interna completa + pentest de validación. Plan de acciones correctivas en marcha.
- Semana -5: revisión por dirección documentada, con entradas y salidas según la cláusula 9.3.
- Semana -4: fase 1. Informe de áreas de preocupación.
- Semanas -3 a -1: cierre de lo señalado en fase 1. Carpeta de evidencias y briefing al equipo.
- Semana 0: fase 2 (2-4 días según tamaño). Lectura de hallazgos en el cierre.
- Semanas +1 a +4: plan de acciones correctivas para las menores; verificación documental por el auditor; decisión de certificación y emisión del certificado.
Total del tramo final: unos tres meses. Sumados a los 6-9 de implantación, encaja con el horizonte de 9-12 meses que planteamos en la guía central.
9. Lo que de verdad hace fracasar auditorías
- La disonancia papel-realidad. Causa número uno de mayores: procesos documentados que las entrevistas desmienten. El auditor triangula siempre — documento, registro, persona.
- Auditoría interna de cartón. Un Excel con «OK» en todas las filas, sin hallazgos ni evidencia de trabajo. Ninguna organización real tiene cero hallazgos; presentarlos es señal de madurez, no de debilidad.
- Evidencias fabricadas la semana antes. Actas con fechas sospechosamente agrupadas, registros sin historial. Se detecta con una mirada a los metadatos y compromete toda tu credibilidad.
- El alcance trampa. Excluir del alcance justo lo que el cliente compra («certificamos oficinas, pero la plataforma SaaS no entra»). El auditor lo señalará, y tus clientes también.
- Dirección desaparecida. Si el CEO no puede dedicar una hora a la sesión de liderazgo, el mensaje sobre el compromiso de dirección es inequívoco — y es un requisito de la norma, no un detalle.
- Discutir cada hallazgo. Convertir la reunión de cierre en un litigio agota al auditor y no cambia nada. Los hallazgos con base se aceptan y se corrigen; los discutibles se apelan después, por escrito y con evidencias.
10. Mini-FAQ de la auditoría
¿Auditoría presencial o en remoto?
Hoy conviven ambas. La fase 1 es habitualmente remota; para la fase 2, muchas certificadoras combinan remoto con al menos una parte presencial si hay instalaciones relevantes en el alcance. Para empresas cloud-first con teletrabajo, la auditoría 100% remota es cada vez más común — pero prepárala igual de bien: compartir pantalla con soltura y tener las evidencias a un clic se vuelve aún más importante.
¿Puede el auditor pedir acceso a nuestros sistemas?
Pide que le muestres evidencias en pantalla; no opera tus sistemas ni se lleva datos sensibles. Todo bajo el acuerdo de confidencialidad que firma la certificadora.
¿En qué idioma y formato es el informe?
En España, normalmente en castellano (confírmalo si tus clientes necesitan versión en inglés). Recibirás informe de cada fase con hallazgos clasificados y, tras el cierre, el certificado con tu alcance literal — revisa esa redacción: es lo que verán tus clientes.
¿Qué pasa si cambiamos mucho (oficina, cloud, adquisición)?
Los cambios significativos se comunican a la certificadora; pueden ajustar la siguiente vigilancia o, en casos grandes, requerir una auditoría extraordinaria. Un SGSI vivo los gestiona con su proceso de cambios y no les teme.
¿Cuánto cuesta todo esto?
Los rangos completos (certificadora, consultoría, coste interno) los desglosamos en la guía central de la serie; como referencia rápida, la certificación inicial de una pyme tecnológica se mueve entre 4.000 y 10.000 € y cada vigilancia entre 2.000 y 5.000 €.
Conclusión: un examen con las preguntas publicadas
La auditoría de certificación premia exactamente lo mismo que un buen sistema de seguridad: coherencia, evidencias y honestidad. Si el SGSI ha rodado unos meses de verdad, la fase 2 confirma lo que ya sabes; si es una fachada, ningún sprint final la salva. Prepara el ensayo general, ordena las evidencias, tranquiliza al equipo y trata al auditor como lo que es: un verificador profesional con un checklist público.
En el próximo capítulo cerramos el sub-cluster ISO con la pregunta del millón para empresas pequeñas: ¿cuánto cuesta de verdad la ISO 27001 en una pyme y cómo empezar sin morir en el intento?
¿Quieres llegar a la fase 2 sin sorpresas?
Hacemos de auditor incómodo antes de que llegue el de verdad: auditoría técnica independiente y pentesting sobre el alcance de tu SGSI, con hallazgos accionables para tu plan de tratamiento.



