Saltar al contenido
CertENS
EN
Auditoría

La auditoría bienal: qué esperar el primer día

Cómo se desarrolla una auditoría de certificación ENS en el primer día: apertura, entrevistas, toma de evidencias y qué preparar para que fluya.

5 min de lectura Marta Ribó · Responsable de Certificación · CertENS

Llega el primer día de la auditoría de certificación ENS y siempre hay nervios. En este artículo te contamos, paso a paso, cómo se desarrolla ese primer día, qué tipo de preguntas se hacen y qué conviene tener preparado para que la jornada no se convierta en una carrera contra el reloj.

Antes del primer día

Lo que ocurre el día D depende mucho de lo que se haya hecho antes. En la semana previa deberías haber:

  • Recibido el plan de auditoría formal.
  • Confirmado los interlocutores y su disponibilidad.
  • Preparado la sala (wifi, pantalla, privacidad).
  • Compilado las evidencias principales en un repositorio.
  • Revisado la Declaración de Aplicabilidad con los responsables.

Un plan mal comunicado hace perder dos horas la primera mañana. Mejor evitar.

La reunión de apertura (9:00 – 9:45)

El auditor jefe abre la auditoría formalmente. En esa reunión se revisa:

  1. Objetivo y alcance (qué sistemas entran, qué no).
  2. Metodología (muestreo, criterios de no conformidad).
  3. Plan del día (qué se revisa primero, orden de entrevistas).
  4. Confidencialidad (acuerdos firmados).
  5. Contactos y vía de escalado.

Aprovecha esta reunión para aclarar dudas: qué información se espera por adelantado, si las evidencias se comparten en vivo o por correo, cómo se tratarán los hallazgos. Un buen auditor te dirá cómo trabaja y ajustará el plan si algo no cuadra.

Revisión documental (10:00 – 13:00)

Tras la apertura, el primer bloque suele ser documental. El auditor pide:

  • Política de seguridad aprobada.
  • Nombramientos de responsables.
  • Declaración de Aplicabilidad.
  • Análisis de riesgos.
  • Plan de continuidad.
  • Procedimientos operativos clave.
  • Registros de formación.
  • Informes de auditoría interna (si los hay).

Cada documento se revisa con lupa: fecha, versión, firma, coherencia con otros documentos. Si tu política menciona a un “Comité de Seguridad” pero no existen actas de reunión, lo detecta. Si tu AR tiene fecha de 2021 y estamos en 2024, también.

Consejo práctico: ten todos los documentos en una carpeta compartida con acceso temporal para el auditor. Evita enviar documentos por correo durante la auditoría: se pierden, se mezclan versiones, generan fricción.

Entrevistas (14:30 – 17:30)

Tras la comida empiezan las entrevistas. En el primer día suelen ser con:

  • Responsable de la Seguridad (preguntas organizativas, estructura, reporting).
  • Responsable del Sistema (explotación, operaciones, día a día técnico).
  • Responsable de la Información (si es distinta persona — dimensiones de seguridad, decisiones de negocio).

El auditor hace preguntas abiertas:

  • “Cuéntame cómo se detecta un incidente aquí.”
  • “Si un portátil se pierde esta tarde, ¿qué pasa?”
  • “¿Cuándo fue la última revisión del plan de continuidad y qué encontrasteis?”

No son preguntas trampa, pero sí evalúan si las respuestas coinciden con la documentación. Si en la política dice que hay un procedimiento de incidentes PR-OP-08 y el Responsable del Sistema no sabe qué es, hay un problema.

Cómo responder bien

1. Responde lo que sepas, no lo que creas que el auditor quiere oír. La honestidad facilita todo. Si algo no se hace o no está bien, mejor decirlo. Un hallazgo genuino y bien explicado se gestiona; una respuesta inventada que se desmorona en la siguiente pregunta es peor.

2. No añadas información de más. Responde a la pregunta y para. Un “sí, tenemos backup diario” no debe convertirse en un monólogo de 10 minutos que termine mencionando un problema que no preguntaba.

3. Apoya en evidencias. Cuando sea posible, apoya tu respuesta con una captura, un registro o un procedimiento. Hace la auditoría más fluida.

4. Toma notas. Anota las preguntas, las evidencias pedidas y lo que has prometido enviar. Al cierre del día se revisa todo.

Cierre del día (17:30 – 18:00)

El auditor hace una reunión de cierre diario breve:

  • Qué se ha revisado.
  • Qué ha quedado pendiente.
  • Qué evidencias se solicitan para el día siguiente.
  • Primeros indicios de hallazgos (no todavía “no conformidades” oficiales).

Es normal que en el primer día no haya ningún hallazgo formal: aún es pronto. Los hallazgos reales surgen en los días 2 y 3 cuando se cruzan evidencias.

Errores típicos del primer día

  • No tener los responsables físicamente disponibles. Si el auditor no puede hablar con el Responsable de la Seguridad porque está de viaje, mal empezamos.
  • Documentación en versiones distintas según quién la enseñe. Centraliza y verifica.
  • Descuidar el ambiente. Interrupciones constantes, reuniones cruzadas, salas sin espacio. Aísla al equipo auditor.
  • Estar a la defensiva. La auditoría no es una oposición: es una revisión. Colabora.

Qué pasa los días 2 y 3

En la categoría Media la auditoría suele durar 2–3 días; en Alta, 3–5. Los días siguientes son técnicos (revisión de configuraciones, evidencias de controles, pruebas de restauración, revisión de logs). El cierre es una reunión formal con el listado de hallazgos preliminares y el plan de acciones correctivas.

Recomendación final

Trata el primer día como lo que es: la puerta de entrada. Si empieza bien, el resto fluye. El auditor se va con una impresión clara de si la organización gestiona bien la seguridad o solo la documenta. Esa impresión condiciona toda la auditoría.

Sigue leyendo

Auditoría

Checklist de preparación para la auditoría de certificación

Lista de comprobación exhaustiva para llegar a la auditoría ENAC con la máxima solvencia: documentación, evidencias, equipo y sala.

7 min
Auditoría

Renovación bienal: preparando la segunda auditoría

Cómo preparar la renovación de la certificación ENS dos años después: qué revisará el auditor, qué suele fallar y cómo llegar sin sobresaltos.

6 min
Auditoría

No conformidades típicas en auditorías ENS y cómo evitarlas

Las 10 no conformidades que más veces detecta el auditor en una certificación ENS y qué hacer para que no aparezcan en tu informe.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu