Segunda fase del ciclo

Preparación de la auditoría

Alistamiento logístico completo: plan detallado, checklists por framework, notificación formal a auditados y recopilación de documentación previa.

🗂️
Estructura
Diagrama y campos
📋
Plan de auditoría
Fechas, áreas, entrevistados
Checklists
Por framework, reutilizables
📨
Notif. apertura
Email formal a auditados
📁
Documentación previa
Políticas, evidencias anteriores
🤝
Confirmaciones
Acuses y disponibilidad

Estructura interna de la Fase 2

La preparación arranca automáticamente al aprobarse el programa anual. Cada auditoría del programa genera su propio proceso de preparación independiente.

✓ Disparador: Programa anual aprobado (Fase 1)
FASE 2 · PREPARACIÓN
2A
Plan detallado
Fechas · Áreas · Entrevistados
2B
Checklists
Por framework · Versionables
2C
Notificación apertura
Email formal · Acuse
2D
Documentación previa
Políticas · Evidencias ant.
¿Todos los auditados confirmaron disponibilidad?
Plan aprobado y distribuido
Checklists asignados
Fase 3 habilitada ✓
📋

Campos del plan de auditoría

CampoTipoReq.
Objetivo específico de la auditoríaTexto largoRequerido
Fechas de ejecución (inicio y fin)Fecha y horaRequerido
Áreas y procesos a auditarCatálogo múltipleRequerido
Entrevistados por sesiónUsuarios + horarioRequerido
Lugar / modalidad (pres. / remota)SelecciónRequerido
Checklist asignadoReferenciaRequerido
Documentos solicitados a auditadoLista de textoRequerido
Criterios de auditoría (cláusulas)Catálogo frameworkRequerido
Herramientas / sistemas a revisarTextoOpcional
Notas de coordinación logísticaTextoOpcional

Estados de la fase de preparación

En preparación Plan en borrador, no distribuido
Notificación enviada Email de apertura enviado, esperando acuses
Parcialmente confirmada Algunos auditados confirmaron
Lista para ejecución Todos confirmados · Fase 3 habilitada

Línea de tiempo de la preparación

Auditoría: Controles NIST CSF · Preparación
Programa anual aprobado — preparación iniciada
15 Mar 2025 · 09:14 · Sistema automático
El sistema creó esta auditoría en estado "En preparación" y notificó al auditor líder Ana García.
Plan de auditoría elaborado
17 Mar 2025 · 11:30 · Ana García
Plan detallado creado: 3 sesiones programadas, 5 entrevistados, checklist NIST CSF v2.0 asignado.
Notificación formal de apertura enviada
18 Mar 2025 · 08:00 · Sistema automático
Email enviado a 5 auditados y 2 auditores. 3 de 5 auditados han confirmado disponibilidad.
Esperando confirmación de 2 auditados
En curso · Recordatorio automático en 2 días
Pendientes: J. Morales (Infraestructura) y P. Ruiz (Operaciones TI). Recordatorio programado: 20 Mar.
Documentación previa recopilada
Pendiente · Fecha límite: 25 Mar 2025
Se solicitaron 6 documentos. Recibidos: 2 de 6.
Preparación completa → Fase 3 habilitada
Pendiente · Inicio de ejecución: 05 May 2025

Pantalla: Plan de auditoría detallado

Vista del auditor líder para construir y distribuir el plan de cada auditoría programada.

Preparación · Controles de seguridad NIST CSF · Plan de auditoría
3
Sesiones programadas
5
Entrevistados
3/5
Confirmaron disponibilidad
2/6
Docs. recibidos

Plan de auditoría · NIST CSF 2.0

Fase 2 · Preparación · Estado: Parcialmente confirmada
Agenda de sesiones
Sesión Fecha y hora Área / Proceso Controles NIST Entrevistado Modalidad Confirmación
Sesión 1 05 May · 09:00–11:00 Gestión de identidades ID.AM, PR.AC
JP
J. Peña
Presencial Confirmado
Sesión 2 07 May · 10:00–12:00 Gestión de vulnerabilidades ID.RA, DE.CM
MT
M. Torres
Remota (Teams) Confirmado
Sesión 3 09 May · 14:00–16:00 Respuesta a incidentes RS.RP, RC.RP
JM
J. Morales
Presencial Sin confirmar

Formulario: crear plan de auditoría

Nuevo plan · NIST CSF 2.0
1
Datos generales
2
Agenda de sesiones
3
Documentos requeridos
4
Distribución
Paso 2 · Agenda de sesiones
+ Nueva sesión
Puedes escribir los identificadores separados por coma o seleccionar del catálogo

Módulo 2B · Checklists de auditoría

Los checklists son el instrumento de campo del auditor. Se crean por framework, son reutilizables, versionables y se asignan a cada auditoría desde el plan.

Biblioteca de checklists

Checklists disponibles

8 checklists · 3 frameworks
NombreFrameworkVersiónPreguntasÚltima modificaciónUsos
Seguridad de la información – Completo ISO 27001:2022 v3.1 87 12 Feb 2025 4 veces
Controles NIST CSF – Funciones GV, ID, PR NIST CSF 2.0 v1.0 54 05 Mar 2025 2 veces
CIS Controls – Grupo de implementación 2 CIS v8 v2.0 63 20 Ene 2025 1 vez
Controles NIST CSF – Funciones DE, RS, RC NIST CSF 2.0 v1.0 48 05 Mar 2025 1 vez

Constructor de checklist

Cada pregunta del checklist se vincula a una cláusula o control específico del framework. En ejecución, el auditor marca cumplimiento, no cumplimiento u observación por cada ítem.

Checklist: Controles NIST CSF – Funciones GV, ID, PR · v1.0
NIST CSF 2.0 54 preguntas · 3 secciones Activo
GV · Gobernar — 12 preguntas
GV.OC-01
¿Está documentada la misión, objetivos y contexto organizacional relacionados con ciberseguridad?
Tipo: Sí / No / Parcial · Evidencia: Documento requerido
GV.OC-02
¿Se han identificado y documentado los requisitos legales y regulatorios aplicables?
Tipo: Sí / No / Parcial · Evidencia: Documento requerido
···
+ 10 preguntas más en esta sección
ID · Identificar — 18 preguntas
ID.AM-01
¿Existe un inventario actualizado de los activos de hardware de la organización?
Tipo: Sí / No / Parcial · Evidencia: Archivo adjunto
ID.AM-02
¿Existe un inventario actualizado de los activos de software y plataformas?
Tipo: Sí / No / Parcial · Evidencia: Archivo adjunto
···
+ 16 preguntas más en esta sección
💡
En la Fase 3 · Ejecución, el auditor responde cada pregunta marcando: Cumple / No cumple / Cumple parcialmente / No aplica, adjunta evidencias y registra observaciones por ítem. Los ítems "No cumple" generan hallazgos automáticamente.

Módulo 2C · Notificación formal de apertura

La notificación de apertura es el documento formal que inicia oficialmente la auditoría. Se envía automáticamente al publicar el plan, o manualmente desde el panel.

Flujo de la notificación
Auditor líder
Finaliza y publica el plan de auditoría
Revisa sesiones, entrevistados y documentos solicitados
Sistema automático
Envía notificación de apertura
Email personalizado por rol a cada destinatario
¿El auditado confirma disponibilidad?
No responde
Recordatorio en 3 días
Confirma
Estado: Confirmado ✓
Sistema
Todos confirmados → Fase 3 habilitada
Notificación final al equipo auditor
Vista previa del email de apertura
De: Sistema Auditorías Internas · Para: j.pena@empresa.com · 18 Mar 2025
Apertura formal de auditoría: Controles NIST CSF — 05 May 2025
Estimado Jorge Peña,

Por este medio se le notifica formalmente la apertura de la siguiente auditoría interna:

Auditoría:Controles de seguridad NIST CSF Framework:NIST CSF 2.0 Su sesión:05 May 2025 · 09:00–11:00 Modalidad:Presencial · Sala de juntas A Auditora:Ana García Controles:ID.AM, PR.AC, PR.IP
Documentos que se le solicitan antes del 25 de abril:
  • Inventario actualizado de activos de TI
  • Política de gestión de identidades vigente
  • Evidencia de última revisión de accesos privilegiados
Por favor confirme su disponibilidad haciendo clic en el botón:
✓ Confirmar disponibilidad

Si tiene alguna pregunta, puede responder directamente a este correo.

Atentamente,
Ana García · Auditora líder
Sistema de Gestión de Auditorías Internas

Módulo 2D · Documentación previa

El auditor solicita documentos al auditado antes de la ejecución. El sistema hace seguimiento de qué se solicitó, qué se recibió y qué está pendiente.

Documentación previa · Controles NIST CSF

Documentos solicitados

6 solicitados · 2 recibidos · 4 pendientes · Vence: 25 Abr 2025
Recibidos (2)
📄
Política de Seguridad de la Información v4.2
Recibido: 20 Mar 2025 · PDF · 1.2 MB · Por: J. Peña
Recibido
📊
Inventario de activos TI – Mar 2025
Recibido: 21 Mar 2025 · XLSX · 345 KB · Por: M. Torres
Recibido
Pendientes (4)
📋
Evidencia de última revisión de accesos privilegiados
Solicitado: 18 Mar · Responsable: J. Peña · Vence: 25 Abr
Pendiente
📋
Registros de últimos 3 escaneos de vulnerabilidades
Solicitado: 18 Mar · Responsable: M. Torres · Vence: 25 Abr
Pendiente
📋
Plan de respuesta a incidentes vigente
Solicitado: 18 Mar · Responsable: J. Morales · Vence: 25 Abr
Pendiente
📋
Informe de auditoría anterior (NIST CSF 2023)
Solicitado: 18 Mar · Responsable: A. García · Vence: 25 Abr
En el sistema

Vista del auditado: subir documento

Portal auditado · J. Peña · Documentos solicitados

Sus documentos pendientes

Auditoría: Controles NIST CSF · Vence: 25 Abr 2025
Política de Seguridad de la Información
Enviado: 20 Mar 2025 · Política_SI_v4.2.pdf
Evidencia de última revisión de accesos privilegiados *
Pendiente · Vence: 25 Abr 2025
📎 Adjuntar archivo

Confirmaciones de disponibilidad y acuses

El sistema registra cada confirmación. Si un auditado no responde en 3 días, se envía un recordatorio automático. Si no responde al segundo recordatorio, escala al auditor líder.

Panel de confirmaciones · NIST CSF

Estado de confirmaciones

3 confirmados · 2 pendientes de 5 auditados
Progreso de confirmaciones 3 / 5
JP
Jorge Peña · Seguridad TI
Confirmó disponibilidad: 18 Mar 2025 · 10:32
Confirmado ✓
MT
María Torres · Infraestructura
Confirmó disponibilidad: 19 Mar 2025 · 08:15
Confirmado ✓
PR
Pedro Ruiz · Operaciones TI
Confirmó con nota: "Disponible, pero prefiero la sesión en la tarde"
Confirmado ✓
JM
Juan Morales · Infraestructura
Sin respuesta · Notificación enviada: 18 Mar · Recordatorio enviado: 21 Mar
Sin confirmar
LC
Laura Castro · Cumplimiento
Sin respuesta · Notificación enviada: 18 Mar
Sin confirmar
La Fase 3 · Ejecución se habilitará cuando todos los auditados hayan confirmado, o cuando el auditor líder decida forzar el avance con los confirmados.
⚠️
Escalamiento automático: si un auditado no confirma después del segundo recordatorio (6 días desde la notificación inicial), el sistema notifica al auditor líder con el detalle del auditado sin respuesta para que tome acción directa.