• Admission
  • Visit the campus
  • Events
  • es_ES
    es_ES
Gafas frente a pantalla de computadora

Cómo se realiza una auditoría de seguridad informática en una empresa real

Tiempo de lectura:

8–12 minutes

Una auditoría de seguridad informática en una empresa real sirve para saber cuánto riesgo se asume de verdad con los sistemas y datos, más allá de la teoría. Bien hecha, conecta tecnología, procesos y negocio, y se apoya en marcos como ISO 27001 o el RGPD para tomar decisiones de inversión y priorizar acciones. 

Por qué una auditoría no es un trámite

Muchas empresas programan la auditoría por obligación contractual o regulatoria. El resultado suele ser un informe que se archiva y apenas modifica la forma de trabajar. Una auditoría que aporta valor arranca de preguntas claras: qué impacto tendría una parada del canal de ventas, una filtración de datos personales o un ataque al entorno cloud. A partir de ahí se diseña el trabajo, no al revés.

Una auditoría de seguridad informática es una revisión sistemática de cómo se protegen sistemas, redes y datos frente a amenazas internas y externas, comparando la situación real con políticas internas y estándares como ISO 27001. Incluye tanto aspectos técnicos (configuraciones, vulnerabilidades, monitorización) como organizativos (políticas, formación, respuesta a incidentes, proveedores). No se limita a la foto de TI: se analiza cómo afectaría un incidente a procesos críticos como facturación, producción o atención al cliente.

Tres confusiones habituales:

  • Identificar auditoría con un escaneo automático de vulnerabilidades o un pentest puntual, cuando eso es solo una parte del ejercicio.
  • Pensar que es un trabajo exclusivo del equipo de sistemas, sin implicación de negocio ni de otras áreas clave.
  • Reducirla a requisito documental para ISO 27001, sin usar los resultados para ajustar el plan de seguridad.

¿Qué hace un CISO antes de la auditoría?

Objetivos y alcance

Lo primero es acordar con dirección qué se quiere conseguir. Ejemplos habituales:

  • Prepararse para la certificación o recertificación ISO 27001 sobre el sistema de gestión de seguridad de la información.
  • Evaluar el riesgo de un entorno concreto, como el canal de comercio electrónico o una plataforma SaaS donde se concentra la facturación.
  • Responder a la exigencia de un cliente o regulador que pide garantías sobre la seguridad del servicio.

Con esos objetivos se define el alcance: qué sedes, redes, aplicaciones, entornos cloud, proveedores y procesos se van a revisar. Aquí se decide, por ejemplo, si se audita solo el entorno productivo o también desarrollo y preproducción, si se incluye el centro de datos propio y la infraestructura en la nube o solo una parte de ella.

Errores típicos en el alcance:

  • Intentar abarcar toda la organización en una sola auditoría sin profundidad, en lugar de empezar por los procesos más críticos.
  • Dejar fuera sistemas heredados, hojas de cálculo con datos sensibles o aplicaciones «temporales» que se han quedado años en producción.
  • Ignorar entornos cloud contratados por departamentos sin pasar por TI (shadow IT).

Inventario y contexto

Para auditar algo, primero hay que saber qué existe. El inventario mínimo incluye:

  • Activos de información: bases de datos con información de clientes, empleados o proveedores, documentación sensible, propiedad intelectual.
  • Activos tecnológicos: servidores, dispositivos de red, endpoints, contenedores, servicios cloud y aplicaciones internas y externas.
  • Procesos de negocio: cómo se factura, cómo se gestionan cobros, qué pasos sigue un pedido, qué sistemas intervienen.

Si el inventario está desactualizado o fragmentado por equipos, el análisis de riesgos se apoya en una imagen incompleta.

Selección del equipo auditor

En función del objetivo se decide si la auditoría será interna o externa:

  • Auditoría interna, dirigida por el área de seguridad o auditoría interna para evaluar controles y preparar auditorías formales.
  • Auditoría externa, ejecutada por una empresa especializada, necesaria cuando se busca una certificación como ISO 27001 o cuando un cliente clave lo exige.

En ambos casos conviene mezclar perfiles:

  • Técnicos: especialistas en redes, sistemas, cloud y pentesting capaces de verificar en detalle configuraciones, vulnerabilidades y evidencias.
  • GRC: personas con experiencia en gestión de riesgos, normativa y procesos de certificación que saben interpretar ISO 27001 o ENS.

En organizaciones medianas y grandes aparece además el SOC, interno o externalizado, que aporta información sobre monitorización y respuesta a incidentes.

Cómo se desarrolla una auditoría de seguridad informática paso a paso

Los nombres de las fases pueden variar según el proveedor, pero la lógica suele ser similar.

Plan de auditoría

El auditor documenta un plan que concreta:

  • Objetivos y alcance que se han acordado.
  • Normas de referencia, como ISO 27001 para el sistema de gestión de seguridad o el RGPD para datos personales.
  • Calendario de actividades, entrevistas y pruebas técnicas.
  • Personas de contacto en cada área y expectativas de disponibilidad.

Este plan se valida con el CISO y con las áreas implicadas para evitar sorpresas, sobre todo en épocas sensibles como cierres contables o migraciones.

Information gathering

La auditoría empieza por entender cómo se supone que funciona la seguridad:

  • Documentación: políticas de seguridad, procedimientos de control de accesos, gestión de cambios, gestión de incidentes, planes de contingencia, registros de formación.
  • Evidencias: listados de usuarios, matrices de permisos, informes de parches, registros de copias de seguridad, informes de incidentes previos.
  • Entrevistas: responsables de negocio, TI, seguridad, legal, RRHH y, si existe, responsables de SOC y proveedores clave.

El objetivo es comparar lo que está escrito con lo que se hace.

Errores que se repiten:

  • Políticas genéricas descargadas de internet, sin adaptación a la realidad de la empresa.
  • Procedimientos que nadie sigue porque no están integrados en las herramientas y flujos de trabajo.

Risk analysis

Con la información sobre la mesa, el auditor identifica riesgos en tres planos:

  • Técnico: sistemas sin parches, servicios innecesarios expuestos, contraseñas débiles, configuraciones por defecto.
  • Organizativo: falta de segregación de funciones, cambios en producción sin control, ausencia de revisiones de accesos o de logs.
  • Cumplimiento: gap respecto a los requisitos de ISO 27001, RGPD o políticas internas, por ejemplo, faltan registros de actividades de tratamiento o análisis de impacto.

Cada riesgo se evalúa por impacto (económico, operativo, reputacional o legal) y probabilidad, utilizando una escala definida, por ejemplo baja, media o alta. Esta valoración sirve para priorizar más adelante.

Trabajo de campo técnico

La parte técnica de la auditoría suele incluir:

  • Escaneos de vulnerabilidades sobre los sistemas del alcance, con revisión manual de los hallazgos relevantes.
  • Pruebas de intrusión sobre aplicaciones web, APIs, servicios accesibles desde Internet y sistemas internos críticos.
  • Revisión de configuración en firewalls, routers, servidores, plataformas cloud y servicios de autenticación.
  • Verificación de la protección de endpoints (antimalware, cifrado, control de dispositivos externos) y de la segmentación de redes.

Algunas auditorías incluyen ejercicios de phishing controlado para medir la exposición al error humano o revisiones específicas de acceso remoto y teletrabajo.

Evaluación de operación, SOC y plan de contingencia

La auditoría no se queda en las fotos puntuales. Analiza cómo se detectan y gestionan los problemas en el día a día:

  • Monitorización: qué registros se generan, qué se envía al SIEM, qué alertas se revisan y con qué frecuencia, cómo se documentan los incidentes.
  • Gestión de vulnerabilidades y parches: periodicidad de los escaneos, criterios de priorización, tiempos de cierre y evidencias de los cambios.
  • Continuidad y contingencia: existencia de plan de contingencia informática, pruebas de restauración de copias, simulacros de caída de servicios, objetivos de RPO y RTO.

Un plan de contingencia consistente incluye escenarios de fallo, responsables claros, procedimientos de actuación y calendario de pruebas, no solo un documento teórico.

Informe, priorización y plan de acción

El producto principal de la auditoría es el informe. Su estructura suele dividirse en:

  • Resumen para dirección, con los riesgos más relevantes, su impacto en negocio y un mapa de prioridades.
  • Detalle técnico para equipos de seguridad y sistemas, con descripción de hallazgos, evidencias, riesgos asociados y propuestas de corrección concretas.
  • Recomendaciones de mejora organizativa: políticas a revisar, procesos a ajustar, formación necesaria o cambios en la relación con proveedores.

La utilidad real del informe depende de cómo se traduzca en un plan de acción: acciones, responsables, fechas objetivo y criterios de cierre.

Seguimiento

Sin seguimiento, la auditoría se queda en diagnóstico. El ciclo se cierra cuando:

  • Se documenta la implementación de las acciones correctivas previstas.
  • Se actualiza el análisis de riesgos con la nueva situación.
  • Se planifican auditorías de seguimiento, internas o externas, que permitan comprobar si se mantiene el nivel de seguridad alcanzado.

En entornos con ISO 27001, las auditorías internas periódicas y las auditorías externas de vigilancia están integradas en el sistema de gestión.

Errores recurrentes en empresas

En la práctica, muchos problemas que detecta una auditoría se repiten de empresa en empresa:

  • Estrategia:
    • Falta de conexión entre la auditoría y el apetito de riesgo aprobado por la dirección, lo que complica justificar inversiones.
    • Hallazgos que se guardan en un repositorio sin asignar responsables ni plazos, de forma que vuelven a aparecer en la siguiente auditoría.
  • Personas:
    • Formación genérica en seguridad, sin adaptar el contenido a los roles (soporte, desarrollo, negocio).
    • Revisiones de accesos esporádicas o inexistentes, con usuarios que mantienen permisos que ya no necesitan.
  • Tecnología:
    • Sistemas sin parchear durante meses por miedo a impacto en producción.
    • Segmentación de red insuficiente que permite a un atacante moverse con facilidad una vez que entra.
  • Proveedores:
    • Contratos sin cláusulas detalladas de seguridad, notificación de incidentes y niveles de servicio en recuperación.
    • Falta de revisiones periódicas de los proveedores críticos, aunque manejen datos sensibles o funciones clave.
  • Operación:
    • Generación masiva de logs sin capacidad real para analizarlos y correlacionarlos.
    • Copias de seguridad que no se prueban con restauraciones periódicas, por lo que su fiabilidad es desconocida.

Cómo se prepara un CISO para sacarle partido

Un CISO que quiere obtener valor práctico de la auditoría suele trabajar en tres frentes:

Antes:

  • Revisar el inventario de activos y la clasificación de la información, al menos para los procesos que se van a auditar.
  • Actualizar políticas y procedimientos básicos, identificar lagunas frente a ISO 27001 o marcos similares y decidir qué se aborda antes de la auditoría y qué se dejará como hallazgo.
  • Explicar a los equipos el objetivo de la auditoría, el calendario y el tipo de colaboración que se espera.

Durante:

  • Facilitar la información y las decisiones que el auditor necesita para aclarar riesgos y priorizar.
  • Aportar contexto de negocio a los hallazgos técnicos, para que la prioridad no se base solo en criticidad técnica, sino también en impacto.

Después:

  • Convertir el informe en un plan de trabajo concreto, vinculado al plan estratégico de seguridad y a los presupuestos.
  • Usar los hallazgos como argumento ante dirección para justificar proyectos y recursos.

Formación para liderar auditorías de seguridad informática

Para dirigir auditorías con solvencia hacen falta conocimientos técnicos y de gestión. En la parte técnica, conviene dominar análisis de vulnerabilidades, pentesting, bastionado de sistemas, seguridad en redes y entornos cloud, monitorización y respuesta a incidentes. En el plano de gobierno, se necesita experiencia en gestión de riesgos, conocimiento de ISO 27001, ENS y RGPD, y práctica en procesos de certificación y relación con auditores externos.

The Master's Degree in Cybersecurity Online from IMMUNE Technology Institute se centra precisamente en ese perfil híbrido, con contenidos orientados a hacking ético, análisis de vulnerabilidades, gestión de incidentes, implantación de controles y preparación para marcos como ISO 27001, todo con casos prácticos y profesorado en activo. Es una vía razonable para profesionales que ya trabajan en TI o seguridad y quieren asumir responsabilidades de CISO o liderar auditorías de seguridad informática en empresas con un entorno técnico complejo.

Programas relacionados

Escrito por

Miguel Rego
Miguel Rego es el KDL del área de Ciberseguridad de IMMUNE y uno de los perfiles más destacados del ecosistema nacional e internacional en ciberseguridad, defensa e innovación.

Share: