Las 5 No Conformidades Mayores más comunes en Auditorías de ISO 27001

La norma ISO 27001 (Sistema de Gestión de Seguridad de la Información, SGSI) es el estándar de ciberseguridad más prestigioso del mundo. Sin embargo, su auditoría es implacable. En España, muchas empresas tecnológicas fracasan en su intento de certificación al recibir "No Conformidades Mayores" (NCM), lo que paraliza la emisión del certificado oficial. Analizamos las 5 NCM más habituales.

1. Falta de rigor en la Evaluación de Riesgos y el SoA (Statement of Applicability)

La esencia de la ISO 27001 no es implantar cortafuegos a ciegas, sino analizar riesgos. La NCM más frecuente es no disponer de una Declaración de Aplicabilidad (SoA) justificada adecuadamente, o que la metodología de evaluación de riesgos de ciberseguridad no sea consistente. Si excluyes un control del Anexo A sin una justificación sólida respaldada por el análisis de riesgos, la auditoría será suspendida de inmediato.

2. Controles de Acceso Lógico Deficientes e Inconsistentes

Los auditores externos verificarán tu gestión de identidades y accesos (IAM). Caerás en una NCM si el auditor descubre:

• Empleados que fueron despedidos o abandonaron la empresa hace semanas, y cuyos correos electrónicos o accesos a VPN/SaaS siguen activos.
• Ausencia de políticas forzosas de cambio de contraseñas robustas o falta de MFA (Autenticación Multifactor) en servicios en la nube críticos.
• Desarrolladores con acceso de administrador no justificado a entornos de producción.

3. Simulacros de Continuidad de Negocio (BCP) inexistentes

Tener un Plan de Continuidad de Negocio y Recuperación ante Desastres (Disaster Recovery) redactado en un PDF perfecto no sirve de nada si es pura teoría. La norma exige que estos planes se pongan a prueba periódicamente. Si no puedes mostrar el acta de un simulacro real (por ejemplo, restaurar una base de datos crítica desde un backup aislado) realizado en el último año, te enfrentas a una NCM de libro.

4. Gestión de Vulnerabilidades y Parches Obsoleta

El auditor pedirá pruebas de cómo gestionas las vulnerabilidades técnicas de servidores, aplicaciones y equipos de usuario. Si detecta sistemas operativos obsoletos, firewalls desactualizados o servidores críticos sin parches de seguridad (Common Vulnerabilities and Exposures) instalados después de 30 o 60 días desde su publicación oficial por el fabricante, la seguridad de la información estará comprometida formalmente.

5. Falta de evidencias de Formación y Concienciación (Awareness)

El eslabón más débil en ciberseguridad es el factor humano. La ISO 27001 exige planes anuales de concienciación. No basta con hacerles firmar un documento de confidencialidad (NDA) el día que entran a la empresa. Si no puedes demostrar mediante registros que el 100% de la plantilla ha recibido formación contra técnicas de Phishing, Ingeniería Social y ransomware, el auditor levantará acta.