Saltar al contenido
CertENS
EN
Auditoría

Checklist de preparación para la auditoría de certificación

Lista de comprobación exhaustiva para llegar a la auditoría ENAC con la máxima solvencia: documentación, evidencias, equipo y sala.

7 min de lectura Marta Ribó · Responsable de Certificación · CertENS

Llegar bien a la auditoría ENS no es cuestión de suerte: es la consecuencia de un trabajo metódico en las 4–6 semanas previas. Este artículo recoge la checklist que usamos en CertENS cuando acompañamos a clientes en la preparación final. Úsala como punto de control antes del día D.

6 semanas antes

Documentación base

  • Política de seguridad aprobada, firmada y versionada.
  • Nombramientos formales de los cuatro roles (RSI, RdI, RdSv, RdS).
  • Actas de constitución del Comité de Seguridad y de sus reuniones del último año.
  • Normativa interna (procedimientos) revisada y vigente.
  • Declaración de Aplicabilidad actualizada.
  • Análisis de riesgos actualizado (revisión reciente documentada).
  • Plan de Tratamiento de Riesgos aprobado.

Inventarios

  • Inventario de activos revisado y actualizado.
  • Inventario de proveedores con clasificación de criticidad.
  • Inventario de sistemas con su categorización formal.

Registros históricos

  • Registros de formación y concienciación (últimos 12 meses).
  • Registros de incidentes y de su tratamiento.
  • Registros de pruebas de continuidad.
  • Registros de pruebas de restauración de backup.
  • Informes de auditoría interna realizada.
  • Tickets de vulnerabilidades cerradas con evidencia.

4 semanas antes

Preauditoría interna

  • Ejecutar preauditoría interna o externa independiente.
  • Revisar hallazgos y priorizar acciones correctivas.
  • Cerrar hallazgos críticos.
  • Documentar hallazgos con plan claro (los menores pueden quedar en curso, con cronograma).

Revisión contractual

  • Cláusulas ENS presentes en contratos con proveedores críticos.
  • Cuestionarios de seguridad respondidos por los críticos.
  • Plan alternativo ante fallo de proveedor crítico documentado.

Técnica

  • Escaneo de vulnerabilidades reciente.
  • Test TLS de servicios expuestos (A o A+ en SSLLabs).
  • Revisión de configuración de firewalls y perímetro.
  • Revisión de accesos privilegiados.
  • Revisión de cuentas inactivas y exempleados.

2 semanas antes

Logística

  • Plan de auditoría recibido de la entidad ENAC.
  • Confirmación de disponibilidad de todos los interlocutores.
  • Sala reservada con buena conectividad, pizarra/pantalla y privacidad.
  • Contacto alternativo del responsable de la auditoría interna.

Acceso a evidencias

  • Repositorio documental organizado y accesible.
  • Índice de evidencias por medida del Anexo II.
  • Accesos temporales preparados para el auditor (solo lectura).
  • Copia offline de seguridad de la documentación principal.

Preparación del equipo

  • Briefing al equipo implicado: cómo responder, qué no decir, cómo manejar dudas.
  • Repaso de la DA con los responsables que vayan a entrevistarse.
  • Simulacro de entrevistas con roles clave.
  • Recordatorio de plazos de respuesta a preguntas post-entrevista.

Materiales

  • Copia impresa o PDF maqueta de la DA.
  • Agenda del día impresa.
  • Portátiles con documentación preparada.
  • Agua, café y snacks para la jornada (no es trivial, mejora ambiente).

1 semana antes

Ensayos finales

  • Verificar que toda la documentación está en su versión final.
  • Ejecutar una última prueba de restauración.
  • Revisar logs recientes y tener listas consultas rápidas.
  • Probar que los accesos preparados para el auditor funcionan.

Comunicación interna

  • Mensaje a toda la plantilla: “esta semana vendrá un auditor”.
  • Instrucciones para posibles entrevistados adicionales (aleatorios).
  • Canal habilitado para cualquier duda durante la auditoría.

Cierre emocional

  • Asumir que van a aparecer hallazgos. Es lo normal. No es drama.
  • Mentalidad: auditoría = oportunidad de mejora, no examen.

El día D

Por la mañana (antes de que llegue el auditor)

  • Sala preparada: pantalla, wifi, pizarra.
  • Documentos abiertos y clasificados.
  • Cafés listos.
  • Interlocutores disponibles.
  • Responsable de la Seguridad 15 minutos antes para ajustes de último momento.

Reunión de apertura

  • Bienvenida y presentaciones.
  • Revisión conjunta del plan de auditoría.
  • Confirmación de canales de comunicación durante la auditoría.
  • Acuerdos sobre ritmo y pausas.

Durante el día

  • Una persona dedicada a toma de notas del lado del cliente.
  • Evitar respuestas improvisadas: “te lo confirmo en 30 minutos” es mejor que inventar.
  • Documentar cada evidencia solicitada y cada compromiso adquirido.
  • Al final del día, reunión de cierre breve con hallazgos preliminares.

Tras la auditoría

Gestión inmediata (primera semana)

  • Revisión del borrador del informe en cuanto llegue.
  • Alegaciones o aclaraciones si hay hallazgos mal interpretados.
  • Planificación de acciones correctivas.
  • Designación de responsables por hallazgo.

Durante el plazo de acciones correctivas

  • Análisis causa-raíz por hallazgo.
  • Acción inmediata y acción preventiva.
  • Evidencia del cierre.
  • Envío formal al auditor.

Tras la certificación

  • Comunicación interna del logro.
  • Publicación del certificado (si aplica).
  • Inicio del plan de mejora continua.
  • Calendarización de la siguiente revisión.

Errores típicos en la recta final

  • Dejar tareas para el fin de semana anterior. Desgasta al equipo y se improvisa.
  • No avisar a la plantilla. Entrevistas sorpresa a personas no preparadas.
  • Ocultar hallazgos conocidos. El auditor los detecta igual y con peor forma.
  • Presentar documentación con fecha modificada artificialmente. Es detectable y lesiona credibilidad.
  • Enfrentarse al auditor. La actitud defensiva complica todo. Colaboración.
  • Fiarlo todo a última hora. La preparación realista son 4–6 semanas.

Recomendación final

Esta checklist no es un adorno: marca la diferencia entre una auditoría tranquila y una tensa. En los proyectos donde se sigue punto por punto, el informe de auditoría raramente tiene no conformidades mayores. Y el equipo, cuando llega el día D, llega confiado, que es la mitad del trabajo.

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.