Ir al contenido
SGSI.online

A.5.35 Revisión independiente de la seguridad de la información – Auditorías internas del MSP

Los MSP suelen considerar el Anexo A.5.35 como trabajo extra, pero las revisiones de seguridad independientes pueden convertirse en una prueba convincente. Al realizar auditorías rutinarias y basadas en evidencia, protege la confianza del cliente, simplifica el cumplimiento normativo y demuestra a sus clientes empresariales que sus controles funcionan en la práctica. Con el enfoque adecuado, las auditorías internas se convierten en una ventaja, no en una carga, para su equipo y su empresa.

Autor
Marcos Sharron
Actualizado diciembre 1, 2025
Estrellas 4 / 5

Por qué el Anexo A.5.35 perjudica a los MSP cuando las auditorías internas parecen trabajo extra

El Anexo A.5.35 perjudica a los MSP cuando las auditorías internas se convierten en proyectos sorpresa y puntuales en lugar de ser parte normal de la prestación de servicios. Cuando las revisiones se realizan a última hora sobre los ingenieros, se perciben como un trabajo burocrático adicional, a pesar de que el mismo control puede convertirse en uno de sus activos comerciales más importantes. La revisión independiente de la seguridad de la información a menudo parece un lujo para las grandes empresas, pero el Anexo A.5.35 la integra de lleno en la realidad diaria de su MSP: se espera que demuestre que sus propios controles de seguridad funcionan, no solo que están documentados. El comentario estándar sobre el Anexo A.5.35 de la norma ISO/IEC 27001:2022 subraya esto al enfatizar la revisión periódica y objetiva de la idoneidad, adecuación y eficacia de sus medidas de seguridad de la información, no solo de la existencia de políticas.

La revisión independiente redefine sus obligaciones, ya que debe demostrar que su enfoque sigue siendo eficaz en la práctica y que alguien debidamente independiente lo ha revisado. Si la convierte en una rutina predecible y sin fricciones, protege la seguridad de sus clientes y de su equipo, a la vez que refuerza su posición ante los auditores de certificación y los clientes empresariales, que ahora buscan habitualmente evidencia concreta del A.5.35. Las directrices sobre la presentación de informes a las organizaciones de servicios, como el material del AICPA sobre la presentación de informes SOC, reflejan la misma expectativa: las entidades usuarias y sus auditores esperan cada vez más evidencia de que los controles funcionan eficazmente, no solo documentos de políticas bien redactados.

La encuesta de 2025 indica que los clientes esperan cada vez más que sus proveedores se alineen con marcos formales como ISO 27001, ISO 27701, GDPR o SOC 2, en lugar de confiar en afirmaciones genéricas de "buenas prácticas".

Las buenas revisiones de seguridad parecen justas y convierten los buenos hábitos cotidianos en evidencia visible.

El verdadero problema empresarial que A.5.35 expone para los MSP

A.5.35 expone la brecha entre "decimos que somos seguros" y "podemos demostrar que nuestra seguridad realmente funciona en la práctica". La revisión independiente es importante porque los clientes, reguladores, aseguradoras y socios ya no se conforman con las declaraciones de políticas; cada vez más, preguntan cómo se verifica que la seguridad realmente funciona. Las comunicaciones regulatorias sobre ciberseguridad, como los materiales destacados de ciberseguridad de la Comisión de Bolsa y Valores de EE. UU., enfatizan constantemente la necesidad de una eficacia de control demostrable en lugar de basarse únicamente en las políticas, y este razonamiento se refleja en la forma en que evalúan a los proveedores.

Cuando un posible cliente empresarial envía un cuestionario detallado o su auditor lo visita, en realidad está probando si el Anexo A.5.35 existe en la práctica: ¿hay alguien objetivo revisando su enfoque de seguridad a intervalos planificados y después de cambios importantes, y esa revisión conduce a una mejora real?

Si la respuesta es vaga o está oculta en documentos improvisados, el acuerdo y su credibilidad están en riesgo. Tras la redacción de la norma se esconde una pregunta sencilla: ¿puede demostrar que sus prácticas de seguridad van más allá de las heroicidades individuales y los paneles de control de herramientas? Si la única garantía que puede ofrecer es «nuestro ingeniero sénior supervisa todo», se basa en la confianza, no en las pruebas. La revisión independiente le obliga a tratar su sistema de gestión de seguridad como un producto que debe probarse e inspeccionarse como cualquier otro servicio que venda. Esto puede resultar incómodo, pero también es donde puede empezar a diferenciar a su MSP.

Por qué las auditorías internas tradicionales resultan dolorosas para los ingenieros

Las auditorías internas tradicionales resultan tediosas para los ingenieros porque interrumpen el trabajo de entrega sin ofrecer beneficios visibles. A menudo, se ejecutan como proyectos puntuales, que se suman a las colas de tickets y plazos de entrega habituales. Alguien distribuye una hoja de cálculo, programa una serie de entrevistas, solicita capturas de pantalla y exportaciones de registros, y desaparece durante meses hasta el siguiente ciclo de certificación. Desde la perspectiva del equipo técnico, la mayor parte del esfuerzo se basa en las interrupciones: detener lo que se está haciendo, explicar un proceso que ya funciona, buscar evidencia disponible en múltiples herramientas y repetir el proceso cuando un cliente plantea preguntas similares.

Este patrón es agotador y genera resentimiento. Los ingenieros empiezan a ver las auditorías como burocracia en lugar de una forma de mejorar la seguridad. Peor aún, dado que las revisiones se tratan como eventos poco frecuentes, a menudo se centran en la documentación en lugar de en la operación real del control; una política que parece clara en teoría puede aprobarse, incluso si la aplicación de parches, las revisiones de acceso o el seguimiento de incidentes son inconsistentes. La guía de apoyo para el control 5.35 de la norma ISO/IEC 27002:2022 enfatiza las revisiones independientes periódicas y proporcionadas en lugar de prescribir proyectos grandes y poco frecuentes, lo que permite diseñar un enfoque más ágil que aún cumpla con el objetivo.

El Anexo A.5.35 no le pide que ejecute proyectos masivos y poco frecuentes que paralicen la entrega. Le pide que cree un método manejable y recurrente para verificar que sus medidas de seguridad sigan siendo adecuadas y eficaces, de forma que su equipo pueda aceptarlas. Si diseña el proyecto con sensatez, no debería tener que detener el trabajo de entrega durante días para respaldar una revisión.

Convertir las auditorías de lujo en una ventaja práctica para MSP

Puede convertir las auditorías de lujo en una ventaja para su MSP al considerar la revisión independiente como prueba de que su entorno multiinquilino está realmente bajo control. Ese mismo control, que parece una sobrecarga, puede convertirse en una palanca para impulsar ventas más sólidas, auditorías de clientes más fluidas y menos sorpresas desagradables si lo diseña teniendo en cuenta su modelo de MSP. La revisión independiente es uno de los pocos lugares donde puede demostrar, con evidencia estructurada, que sus herramientas, procesos y personal funcionan de forma fiable con numerosos clientes.

Al entregar a un cliente potencial un resumen reciente de una revisión independiente, mostrar cómo los hallazgos impulsaron mejoras específicas y explicar la frecuencia con la que se repite este ciclo, se percibe inmediatamente una mayor madurez que los proveedores que responden con PDF genéricos de políticas. Una plataforma como ISMS.online puede ser de gran ayuda, ya que ofrece un único lugar para planificar revisiones, asignar revisores independientes, recopilar referencias de evidencia de sus herramientas existentes y realizar el seguimiento de los hallazgos hasta su cierre. En lugar de tener que revisar correos electrónicos y hojas de cálculo cada vez que se menciona el Anexo A.5.35, puede indicar un programa de auditoría interna en marcha. Esta transición —de comprobaciones reactivas y puntuales a un ritmo constante de verificación— es fundamental para que este control se perciba como parte de las operaciones normales del MSP, en lugar de una tarea de cumplimiento adicional.

Contacto


Lo que el Anexo A.5.35 realmente exige en la práctica para los MSP

El Anexo A.5.35 exige planificar y documentar comprobaciones objetivas para comprobar si su enfoque general de seguridad sigue funcionando, no solo si existen políticas. Las explicaciones del Anexo A.5.35 destacan sistemáticamente que las organizaciones deben revisar de forma periódica e independiente la idoneidad, adecuación y eficacia de sus mecanismos de seguridad de la información, lo que va más allá de la simple confirmación de la existencia de la documentación. Para un MSP, esto implica definir qué abarca su enfoque de seguridad de la información, decidir cuándo y cómo se realizarán las revisiones independientes y demostrar que los resultados de las revisiones conducen a mejoras. El control espera que su enfoque de seguridad de la información, y su implementación en el personal, los procesos y la tecnología, sea revisado por una persona independiente a intervalos planificados y cuando se produzcan cambios significativos. Al traducir ese lenguaje formal a términos accesibles para el MSP y explicitar esas decisiones, el control se vuelve mucho más claro, manejable y fácil de percibir para auditores y clientes como una práctica gestionada activamente, en lugar de algo dejado al azar.

Aproximadamente dos tercios de las organizaciones que participaron en la encuesta ISMS.online de 2025 dijeron que la velocidad y el volumen de los cambios regulatorios están haciendo que el cumplimiento sea más difícil de mantener.

En términos sencillos, el Anexo A.5.35 le pide que decida qué revisará, con qué frecuencia, quién realizará el trabajo y qué hará con los resultados. En primer lugar, decida qué abarca su enfoque para la gestión de la seguridad de la información; para un MSP, esto suele incluir el alcance de su SGSI, las principales líneas de servicio, las plataformas compartidas y los sistemas corporativos internos que respaldan la prestación de servicios. En segundo lugar, planifique revisiones independientes con una frecuencia razonable, en lugar de esperar a que un organismo de certificación o un cliente lo exija. En tercer lugar, asegúrese de que quienes realizan la revisión no sean los mismos que ejecutan los controles que se están verificando, para evitar conflictos de intereses.

En cuarto lugar, acuerde los criterios y métodos con antelación: por ejemplo, podría decidir revisar una muestra de tickets de cambio con su procedimiento de gestión de cambios o comprobar que las revisiones de acceso para cuentas privilegiadas se realizaron según lo previsto. Finalmente, registre los resultados y actúe en consecuencia. Esto implica elaborar un informe breve que indique qué se revisó, qué se encontró, qué acciones son necesarias y a quién pertenecen. La norma no dicta un formato exacto, pero las directrices sobre la documentación y las evidencias de auditoría de la ISO 27001, como el material de consultorías especializadas, dejan claro que los auditores suelen buscar planes documentados, registros de revisiones y evidencia de que las revisiones se realizan cuando usted afirma que se realizan, en lugar de basarse en prácticas no documentadas.

Qué significa realmente “independiente” para un MSP

Para un MSP, "independiente" significa que el revisor puede formarse una opinión objetiva sin ser quien creó u operó los controles bajo prueba. El término "independiente" es una preocupación para muchos MSP pequeños, especialmente cuando el equipo de seguridad está compuesto por una sola persona o un grupo pequeño. La independencia no implica que deba contar con un departamento de auditoría interna completamente independiente. El comentario sobre el Anexo A.5.35 y la guía ISO 27001 relacionada enfatiza la separación de roles y la objetividad como el núcleo de la independencia, particularmente para organizaciones más pequeñas, en lugar de insistir en una función de auditoría dedicada; esto se puede lograr mediante una gobernanza proporcionada y responsabilidades claras. Significa que las personas que realizan la revisión no son responsables del diseño, implementación u operación de los controles bajo examen y no están sujetas a influencia indebida de quienes sí lo son. En un MSP pequeño, esto se puede lograr mediante la separación de roles y la gobernanza, incluso si el número de personas es limitado.

Puede utilizar la rotación de roles, revisores interfuncionales y una estructura jerárquica clara para visibilizar dicha independencia. Por ejemplo, un director de prestación de servicios, un gerente de operaciones o un responsable financiero pueden supervisar las revisiones de los controles de seguridad mediante listas de verificación estructuradas, mientras que el personal técnico proporciona evidencia y responde preguntas aclaratorias. Cuando la separación total sea imposible, puede utilizar medidas compensatorias, como validar los hallazgos en reuniones de revisión de la gerencia o contratar periódicamente a un consultor externo para las áreas de mayor riesgo. Posteriormente, al diseñar patrones de independencia con más detalle, estos principios se convertirán en la base de su enfoque.

Revisión independiente vs auditoría interna vs monitoreo BAU

La revisión independiente, la auditoría interna y la monitorización diaria respaldan la garantía, pero resuelven problemas diferentes. Muchos MSP ya realizan revisiones de cambios, comprobaciones de calidad de tickets, monitorización de registros y otras actividades rutinarias; estas son valiosas, pero no son lo mismo que una revisión independiente formal. La monitorización diaria o semanal se centra en mantener los servicios en funcionamiento y detectar incidentes rápidamente. Las auditorías internas, como se describe en la cláusula 9.2 de la norma ISO 27001, buscan verificar si su SGSI cumple con la norma y con sus propios requisitos. La cláusula 9.2 establece explícitamente que las auditorías internas se utilizan para determinar si el SGSI cumple tanto con los requisitos de la organización como con la norma ISO 27001, y el comentario de la norma sobre el Anexo A.5.35 se basa en esto al fomentar la evaluación periódica y objetiva de sus medidas de seguridad en su conjunto.

La revisión independiente del Anexo A.5.35 se suma a estas y enfatiza la evaluación objetiva de todo su enfoque de seguridad, no solo de incidentes o documentos específicos.

Esta distinción es importante porque los auditores y clientes suelen preguntar "¿Cómo se supervisa la seguridad?" y "¿Cómo se revisa de forma independiente si la gestión de la seguridad sigue siendo eficaz?". La primera pregunta se puede responder con herramientas y procesos: paneles de control de seguridad, políticas de gestión remota y flujos de trabajo de cambio. La segunda se responde con la revisión independiente o el programa de auditoría interna. Los MSP más eficientes diseñan estos elementos de forma que se refuercen mutuamente: la supervisión aporta evidencia a las auditorías, y las revisiones independientes comprueban si la supervisión y otros controles funcionan según lo previsto.

Una comparación sencilla te ayudará a posicionar cada actividad:

Tipo de actividad Enfoque primario Frecuencia típica
Monitoreo BAU Detectar y responder a problemas en tiempo real Continuo o diario
Auditoría interna del SGSI Compruebe que el SGSI cumple con la norma ISO 27001 y sus propios requisitos Programa anual con ciclos
Revisión independiente (A.5.35) Evaluar si el enfoque de seguridad sigue siendo adecuado y eficaz A intervalos planificados y después de un cambio importante

Tener esta imagen preparada facilita enormemente la explicación a auditores y clientes sobre cómo se integran las diferentes capas de aseguramiento y dónde se ubica el Anexo A.5.35 en dicha imagen. Visual: diagrama apilado que muestra la supervisión del BAU, la auditoría interna y la revisión independiente como tres capas de aseguramiento.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Diseñando la independencia en una MSP pequeña o mediana

Diseñar la independencia en una MSP pequeña o mediana implica separar las decisiones de revisión de las operaciones de control diarias, incluso con un número limitado de personas. La independencia es fácil de imaginar en una gran empresa con un departamento de auditoría interna y un director de seguridad de la información independiente. Es mucho más difícil cuando se gestiona una MSP de veinte personas, donde el mismo ingeniero sénior diseña los controles, los opera y responde a los cuestionarios de seguridad. La buena noticia es que el Anexo A.5.35 y las expectativas típicas de los auditores permiten una independencia proporcional: se pueden diseñar estructuras que se adapten a una MSP de 10, 50 o 150 personas separando funciones y derechos de decisión, en lugar de esperar a contratar un equipo de auditoría interna de la noche a la mañana.

Patrones de independencia para diferentes tamaños de MSP

El patrón de independencia adecuado para su MSP depende del tamaño, pero el principio de que nadie aprueba su propio trabajo se mantiene constante. Para un MSP muy pequeño, la independencia podría significar que el director general o el responsable de operaciones encargue y apruebe las revisiones, mientras que un colega de confianza de otra función realiza las pruebas según los procedimientos acordados. La persona que supervisa los controles de respaldo no debe ser la misma que creó la plataforma de respaldo; sin embargo, puede solicitar e inspeccionar las pruebas de dicho ingeniero. Para un MSP mediano, puede designar a un responsable de seguridad y cumplimiento como coordinador de las auditorías internas y las revisiones independientes, con revisores de finanzas, RR. HH., operaciones u otros equipos que no sean responsables de los controles que se están revisando.

En MSPs más grandes, podría acercarse al modelo clásico de tres líneas de defensa: los equipos de servicio gestionan los controles, una función central de riesgo y cumplimiento diseña el marco, y un equipo de auditoría interna o control de calidad realiza pruebas independientes e informa a la alta dirección o al consejo de administración. Independientemente del tamaño de su empresa, el principio sigue siendo el mismo: los revisores deben ser capaces de formarse una opinión objetiva, escalar las inquietudes sin temor y evitar aprobar su propio trabajo. Documentar estos patrones en una política de independencia o en una sección de su procedimiento de auditoría interna les garantizará a los auditores que ha considerado esto detenidamente y que puede escalar el modelo a medida que crece.

Estructuras de gobernanza que demuestran independencia

La gobernanza es lo que transforma la independencia, de una promesa informal, en algo visible y comprobable. Un patrón simple y eficaz es asegurarse de que la persona responsable del programa de revisión informe, al menos para este propósito, a alguien distinto del responsable de prestación de servicios o del responsable técnico. Por ejemplo, su procedimiento de revisión independiente podría estipular que el coordinador de la revisión informe sus hallazgos directamente al director general o a un comité de riesgos, incluso si forma parte del equipo de seguridad diariamente. Las actas de la revisión por la dirección pueden entonces demostrar que dichos hallazgos se discutieron, cuestionaron y se tomaron medidas al respecto.

Puede reforzar esto con una matriz RACI (Responsable, Rendir Cuentas, Consultado, Informado) clara. Los responsables de los controles son responsables de operar los controles; los revisores son responsables de las pruebas y la presentación de informes; y la alta dirección es responsable de garantizar que las revisiones se realicen y que se aborden los hallazgos. El personal consultado o informado no debería poder vetar ni editar los hallazgos para proteger su propia área. Cuando su RACI y sus líneas jerárquicas hacen evidente esta separación, es más probable que los auditores se sientan seguros de que sus revisiones son verdaderamente independientes dentro de las limitaciones de su tamaño. Visual: diagrama RACI simple que muestra la separación entre responsables de los controles, revisores y directivos.

Combinación de revisores internos y externos sin externalizar la responsabilidad

Combinar revisores internos y externos permite fortalecer la independencia sin perder el control de las decisiones. Muchos MSP se ven tentados a confiar completamente en un consultor externo una vez al año para garantizar su independencia. La experiencia externa es sumamente útil, especialmente para el diseño inicial, las áreas de alto riesgo o la validación de la objetividad. Sin embargo, si solo se incorpora a alguien anualmente y no se hace nada internamente entre visitas, el programa de revisión será frágil y podría pasar por alto cambios importantes. El patrón más sólido suele ser una combinación: se ejecuta un ciclo de revisión interna basado en el riesgo a lo largo del año y luego se invita a un especialista externo para que muestree y cuestione un subconjunto o se centre en servicios especialmente sensibles.

Es fundamental que no se pueda externalizar la rendición de cuentas. Incluso cuando un tercero realiza las pruebas, su organización sigue siendo responsable de decidir qué hallazgos aceptar, qué medidas tomar y con qué rapidez abordarlos. Indíquelo explícitamente en su gobernanza: los revisores externos aportan información y garantías, pero la revisión por la dirección decide y asume la responsabilidad de la respuesta. Cuando los clientes o los organismos de certificación pregunten sobre el Anexo A.5.35, puede explicar que cuenta con un programa interno vigente con revisiones periódicas independientes, en lugar de una visita anual de un consultor. Esto le permitirá debatir cómo priorizar el trabajo, lo que conduce naturalmente a la cuestión de la planificación basada en riesgos.



Un programa de auditoría interna basado en riesgos que no abruma a los ingenieros

Un programa de auditoría interna basado en riesgos le permite cumplir con el Anexo A.5.35 sin saturar a los ingenieros con incesantes comprobaciones. La idea central es simple: centrar los esfuerzos de revisión donde un fallo podría perjudicar más a usted y a sus clientes, y muestrear el resto a lo largo del tiempo. El Anexo A.5.35 exige que planifique revisiones independientes a intervalos razonables y después de grandes cambios; la norma ISO 27001, cláusula 9.2, exige un programa de auditoría interna para el SGSI. Los comentarios sobre estos requisitos indican que tanto el control de revisión independiente como la cláusula de auditoría interna se refieren a intervalos planificados y una cobertura basada en el riesgo, en lugar de plazos fijos y rígidos, lo que le brinda flexibilidad en el diseño del programa.

Aproximadamente el 41% de las organizaciones encuestadas afirmaron que mantener la resiliencia digital y adaptarse a las disrupciones cibernéticas era uno de sus principales desafíos en materia de seguridad de la información.

Las auditorías parecen más livianas cuando siguen su mapa de riesgos, no su bandeja de entrada.

Comience con un modelo de riesgo de MSP simple

Un modelo de riesgo simple para sus servicios y controles es suficiente para implementar un programa sensato. Enumere sus principales líneas de servicio (como redes administradas, administración de endpoints, copias de seguridad y recuperación, administración de identidades y accesos, monitoreo de seguridad administrada y alojamiento en la nube) y, para cada una, evalúe el impacto potencial de un fallo en la confidencialidad, integridad y disponibilidad para sus clientes. Considere factores como la sensibilidad de los datos procesados, la exposición regulatoria, los compromisos contractuales y el historial de incidentes. No necesita un sistema de puntuación complejo; niveles altos, medios y bajos pueden ser suficientes, siempre que se apliquen de manera consistente.

Una vez que tenga esta visión, asigne los controles de seguridad a esos servicios y decida con qué frecuencia cada combinación requiere una revisión independiente. Por ejemplo, muchas organizaciones optan por revisar las áreas de mayor riesgo trimestral o semestralmente, las de riesgo medio anualmente y las de menor riesgo en un ciclo plurianual continuo o mediante un muestreo oportunista. El objetivo no es imponer una cadencia específica, sino usar el riesgo para justificar la inversión de tiempo. Cuando los auditores le pregunten por qué audita algunas cosas con más frecuencia que otras, puede señalar este modelo de riesgo en lugar de ignorarlo y, basándose en él, crear su calendario anual.

Construir un calendario de auditoría que respete el trabajo de entrega

Un calendario de auditoría que respete las entregas permite que las revisiones se sientan parte del trabajo, no como una interrupción. Con su modelo de riesgos en la mano, conviértalo en un calendario de auditoría anual o plurianual. Por ejemplo, podría decidir que en el primer trimestre revisará la gestión de acceso privilegiado para sistemas internos y plataformas de clientes clave; en el segundo, la gestión de parches y la gestión de vulnerabilidades; en el tercero, su proceso de respuesta a incidentes; y en el cuarto, una revisión transversal de la documentación de su SGSI y el proceso de revisión de la gestión. Dentro de cada trimestre, programe semanas o días específicos para la recopilación de evidencias y las entrevistas, teniendo en cuenta los períodos de mayor actividad, las versiones principales y las congelaciones de cambios conocidas.

Involucre a los líderes de operaciones e ingeniería en esta planificación para que puedan detectar posibles conflictos. Si su equipo de desarrollo realiza una actualización importante de la plataforma en un mes determinado, trasladar las pruebas de auditoría de esa área a un período más tranquilo reducirá la fricción sin reducir la seguridad. Actividades de límite de tiempo: defina cuántas horas se espera que dediquen los revisores y responsables de los controles durante un ciclo y cúmplalas a menos que detecte algo grave. Esta disciplina le ayuda a evitar auditorías indefinidas que se extienden hasta ocupar todo el tiempo disponible. También demuestra a los auditores que usted trata la seguridad como un proceso planificado y no como un apuro de última hora. Visual: calendario trimestral de auditoría simple con niveles de riesgo y bloques de esfuerzo indicativos.

Defina un procedimiento de auditoría sencillo que su equipo pueda seguir

Un procedimiento escrito sencillo convierte las buenas intenciones en una práctica repetible que cualquier revisor puede seguir. Como mínimo, su procedimiento de auditoría interna o revisión independiente debe describir cómo se seleccionan los alcances, cómo se definen los criterios, cómo funciona el muestreo y cómo se registran las evidencias y los hallazgos. Para cada revisión, el responsable debe elaborar un plan sencillo que establezca los objetivos, el alcance (sistemas, equipos, plazo), los criterios (políticas, procedimientos, estándares) y los métodos (entrevistas, muestreo de tickets, inspección de registros, comprobaciones de configuración). Estos siete pasos representan el patrón típico de un ciclo de revisión independiente.

Paso 1 – Confirmar el alcance y los objetivos

Acordar qué se revisará, por qué es importante y qué políticas, servicios y período de tiempo están incluidos en el alcance.

Paso 2: Identificar políticas, procedimientos y registros relevantes

Reúna los documentos y registros que describen cómo debe funcionar el control antes de comenzar las pruebas.

Paso 3 – Definir los criterios de muestreo y los tamaños de las muestras

Decide qué tickets, registros o configuraciones probarás y cuántos elementos necesitas para una muestra justa.

Paso 4 – Recopilar y probar evidencia según los criterios

Extraiga los elementos seleccionados de sus sistemas y compárelos con sus procedimientos y estándares documentados.

Paso 5 – Registrar observaciones, no conformidades y mejoras

Escribe lo que viste, lo que no coincidió con las expectativas y dónde notaste oportunidades de mejora.

Paso 6 – Acordar y registrar las acciones correctivas con los propietarios

Discuta los hallazgos con los propietarios del control, acuerde acciones con fechas de vencimiento y regístrelas en un registro central.

Paso 7 – Informar los resultados a la revisión de gestión y al registro de riesgos

Resumir la revisión para el liderazgo e incorporar los hallazgos relevantes al registro de riesgos y a la agenda de revisión de la gestión.

Cuando todos los involucrados comprenden este patrón, las revisiones se perciben menos como investigaciones misteriosas y más como una actividad conocida y limitada. También facilita la explicación de su enfoque a auditores y clientes, y muestra cómo mantiene la carga de trabajo bajo control sin dejar de cumplir con la norma A.5.35. No debería ser necesario reinventar el proceso para cada revisión; este procedimiento mantiene claras las expectativas tanto para los revisores como para los ingenieros.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Evidencia de baja fricción: uso de registros, tickets y paneles de control en lugar de entrevistas

Las revisiones independientes son mucho menos tediosas si se basan en registros, tickets y paneles de control en lugar de entrevistas constantes. Los MSP modernos cuentan con abundante evidencia generada automáticamente, y el Anexo A.5.35 no especifica métodos específicos para recopilarla. Su enfoque, reflejado en la guía ISO/IEC 27002:2022 para el control 5.35, se centra en garantizar que las revisiones sean objetivas y eficaces, lo que significa que puede apoyarse en gran medida en los datos de sus sistemas existentes en lugar de recurrir a largas reuniones. Una de las maneras más rápidas de reducir la complejidad de las revisiones independientes es utilizar los datos que ya posee: su MSP genera tickets, registros de cambios, paneles de control de monitorización, líneas base de configuración, informes de copias de seguridad, registros de autenticación y más, y el Anexo A.5.35 simplemente espera que confirme, objetivamente, que sus medidas de seguridad están implementadas y funcionando. Cuando los revisores extraen primero los informes y muestras de esos sistemas y solo preguntan a las personas cuando es necesario, todos ahorran tiempo, se reducen las interrupciones y la evidencia es más convincente que la memoria reconstruida.

Utilice su pila de herramientas como fuente principal de evidencia

Su conjunto de herramientas debe ser la principal fuente de evidencia para la mayoría de las pruebas de revisión independientes. Comience enumerando los sistemas que ya describen el funcionamiento de sus controles: su mesa de ayuda y herramientas de gestión de servicios de TI, su plataforma de monitorización y gestión remota, la gestión de registros o la gestión de eventos e información de seguridad, los paneles de control de copias de seguridad, las plataformas de identidad y los sistemas de gestión de cambios. Para cada área de control clave (como la gestión de acceso, el control de cambios, la aplicación de parches, la gestión de incidentes, las copias de seguridad y la restauración, y la gestión de proveedores), identifique qué sistema registra los eventos y las decisiones relevantes. Durante una revisión, el primer paso debería ser extraer informes o consultas de estos sistemas en lugar de pedir a los ingenieros que revisen las bandejas de entrada.

Por ejemplo, para comprobar si los incidentes se clasifican y cierran correctamente, puede muestrear un conjunto de tickets de incidentes del último trimestre y verificar que cada uno tenga una categoría, un nivel de impacto, un análisis de la causa raíz y notas de cierre. Para revisar la gestión de cambios, puede examinar los registros de cambios en busca de evidencia de la evaluación de riesgos, las aprobaciones y la revisión posterior a la implementación. Para realizar copias de seguridad, puede revisar informes resumidos que muestren las tasas de éxito y las restauraciones de prueba. Estas comprobaciones basadas en datos son más rápidas, menos subjetivas y más convincentes para los auditores que las explicaciones informales. Además, permiten a sus ingenieros centrarse en corregir cualquier deficiencia en lugar de responder repetidamente a las mismas preguntas sobre la actividad pasada.

Cree una biblioteca de consultas de tickets y registros reutilizables

Una biblioteca de consultas reutilizables convierte la búsqueda de evidencia ad hoc en una rutina repetible. Capture las consultas y los filtros que utiliza para cada control en una biblioteca sencilla. Por ejemplo, puede definir búsquedas guardadas como "todos los incidentes de alto impacto de los últimos tres meses", "cambios que afectan a las plataformas principales de los clientes" o "nuevas cuentas con privilegios creadas este trimestre". Durante cada ciclo de revisión, los revisores pueden ejecutar estas consultas guardadas, seleccionar una muestra y registrar sus pruebas y conclusiones. Esto evita tener que reinventar la rueda y reduce la variabilidad entre revisores. También facilita la delegar la recopilación de evidencia a alguien externo al equipo técnico con instrucciones claras.

Con el tiempo, descubrirá que algunas consultas son útiles no solo para revisiones formales, sino también para las comprobaciones periódicas del estado operativo. Esto es ideal: cuanto más se ajuste la evidencia de su revisión independiente a su forma de gestionar los servicios, menos se sentirá como una carga adicional. Recuerde documentar las reglas de muestreo (por ejemplo, seleccionar siempre al menos diez elementos, un porcentaje determinado de la actividad total o al menos un ejemplo por segmento clave de clientes) para evitar que los revisores sean acusados ​​de seleccionar solo lo que les interesa. Unos criterios claros fomentan tanto la imparcialidad como la percepción de independencia.

Manejo seguro de evidencia sensible en archivos de auditoría

El manejo seguro de la evidencia sensible forma parte de la realización de revisiones independientes creíbles. Las revisiones independientes inevitablemente abordan información sensible: registros de producción, descripciones de incidentes, capturas de pantalla de configuraciones o listas de cuentas privilegiadas. Debe manejar este material con el mismo cuidado que aplica a los datos de los clientes en operaciones normales. Esto implica limitar el acceso a los documentos de trabajo de auditoría, almacenarlos en repositorios controlados y analizar cuidadosamente el contenido de los informes formales que podrían compartirse más ampliamente con clientes o auditores externos.

Como regla general, conserve evidencia detallada y potencialmente identificable en los documentos de trabajo internos y resúmala en informes de alto nivel utilizando recuentos, patrones y ejemplos censurados. Si un ticket contiene datos personales o información confidencial de clientes, elimínelos o enmascárelos antes de adjuntarlos. En caso de duda, agregue: indicar que "diez de los doce incidentes muestreados tuvieron un análisis completo de la causa raíz" suele ser suficiente para garantizar la seguridad sin revelar nombres ni detalles. Un espacio de trabajo estructurado de SGSI o un módulo de auditoría pueden implementar controles de acceso y reglas de retención para estos registros, lo que le ayuda a equilibrar las pruebas exhaustivas con la privacidad y las obligaciones contractuales.



Convertir las auditorías internas en una fuente de evidencia para el cliente

El Anexo A.5.35 ofrece un valor mucho mayor cuando las auditorías internas funcionan también como un motor de evidencia para el cliente. Si se tratan las revisiones independientes únicamente como un requisito interno, se perderá una parte significativa de su valor. Para los MSP, el Anexo A.5.35 puede ser el motor que impulse auditorías de clientes más fluidas, cuestionarios de seguridad más rápidos, conversaciones de renovación más sólidas e incluso mejores márgenes. La clave está en diseñar los resultados de la auditoría interna de forma que se puedan reutilizar parcialmente, de forma controlada, como garantía externa y se conviertan en parte de cómo se demuestra la fiabilidad, no solo cómo se satisface a un auditor. Los clientes empresariales esperan cada vez más evidencia de que sus proveedores están probando activamente los controles, no solo manteniendo las políticas. Las directrices para responder a los cuestionarios de seguridad, como los artículos dirigidos a los CISO y a los gerentes de proveedores, subrayan la frecuencia con la que los clientes ahora solicitan ejemplos de pruebas, hallazgos de auditoría interna y actividades de remediación en lugar de conformarse únicamente con un extracto de la política.

Los clientes empresariales esperan cada vez más evidencia de que sus proveedores están probando activamente los controles, no solo manteniendo las políticas; si puede demostrar que su MSP realiza revisiones independientes periódicas, registra los hallazgos y hace un seguimiento de las mejoras, ofrece una prueba visible de que su seguridad está gestionada, no asumida.

La gestión del riesgo de terceros y el seguimiento del cumplimiento de los proveedores fueron citados como uno de los principales desafíos por aproximadamente el 41% de las organizaciones en la encuesta ISMS.online de 2025.

Diseñar informes internos que sean fáciles de reutilizar con los clientes.

Los informes internos que reflejan las preguntas habituales de los clientes son mucho más fáciles de reutilizar en las conversaciones de ventas y auditoría. Al redactar un informe de revisión independiente, procure una estructura que refleje las preguntas habituales de los clientes. Indique el control o tema, el objetivo de la prueba, el método utilizado, el período cubierto, las características de la muestra, el resultado y las medidas correctivas. Por ejemplo: «Objetivo: verificar que se realicen revisiones de acceso trimestrales para las cuentas de administrador. Método: se muestrearon diez cuentas en tres sistemas principales durante los dos últimos trimestres; se comparó la evidencia de revisión y aprobación con el procedimiento de gestión de acceso. Resultado: ocho de diez contaban con evidencia completa; dos carecían de aprobación; se plantearon medidas correctivas».

Si sus informes siguen este patrón, puede extraer secciones para los cuestionarios de diligencia debida del cliente o adjuntar resúmenes redactados para demostrar que está probando activamente los controles. No es necesario compartir todos los detalles; a menudo, basta con un resumen de una o dos páginas por área, además de una declaración sobre cuántos hallazgos se detectaron y cuántos siguen pendientes. Cuanto más consistente sea el formato de sus informes, más fácil será para los gerentes de cuentas y los responsables de seguridad responder a las preguntas externas con rapidez y seguridad.

Asigne pruebas a marcos y cuestionarios que interesen a sus clientes

Mapear sus pruebas con los marcos de trabajo del cliente permite que una sola revisión responda a muchos cuestionarios diferentes. La mayoría de los clientes empresariales piensan en términos de sus propios marcos: ISO 27001, SOC 2, marcos de seguridad ampliamente utilizados, regulaciones sectoriales o catálogos de control internos. El material de comparación de marcos, como la guía que contrasta ISO 27001 con SOC 2 o explica cómo las regulaciones sectoriales se asignan a los conjuntos de controles, muestra la frecuencia con la que las organizaciones anclan la garantía del proveedor en estas estructuras antes de traducirlas en cuestionarios a medida. Si alinea su lista de verificación de auditoría interna con un catálogo de control unificado que asigna sus pruebas a estos marcos, puede responder a una amplia gama de solicitudes externas con la misma evidencia. Por ejemplo, una sola prueba de revisiones de acceso privilegiado podría cumplir con los requisitos del Anexo A, los criterios comúnmente solicitados por las organizaciones de servicios y las funciones de gestión de identidades ampliamente reconocidas.

Mantener este mapeo en un registro central, ya sea en una hoja de cálculo o, de forma más eficaz, en una plataforma SGSI, le permite consultar los informes de auditoría interna y la evidencia relacionada con cada pregunta del cliente. Cuando reciba un cuestionario del proveedor preguntando "¿Cómo garantiza la aplicación oportuna de parches?", puede consultar directamente su reciente revisión independiente de la gestión de parches, en lugar de tener que crear una nueva respuesta desde cero. Con el tiempo, este enfoque reduce los tiempos de respuesta, mejora la coherencia entre las respuestas y demuestra a los clientes que cuenta con un modelo de aseguramiento sólido basado en la norma A.5.35.

Hablar de los hallazgos sin socavar la confianza

Hablar abiertamente sobre los hallazgos y las medidas adoptadas al respecto genera más confianza que fingir que todo es perfecto. A muchos MSP les preocupa que compartir cualquier aspecto relacionado con los hallazgos internos pueda asustar a los clientes. En la práctica, los clientes más exigentes entienden que cualquier programa de seguridad serio detectará debilidades; lo importante es cómo se responde. Al explicar su programa de revisión independiente, enfóquelo como un ciclo de pruebas y mejoras. Por ejemplo: «Realizamos comprobaciones independientes trimestrales de nuestro servicio de copias de seguridad. En el último ciclo, identificamos deficiencias en la documentación de pruebas y restauraciones, acordamos medidas correctivas y podemos demostrar que dichas medidas ya se han completado».

Este tipo de narrativa genera confianza porque demuestra que está dispuesto a analizarse críticamente y actuar en consecuencia. Evite ocultar los problemas; en su lugar, póngalos en contexto, explique cómo evaluó el riesgo y describa las mejoras implementadas. Su capacidad para demostrar que el Anexo A.5.35 genera cambios tangibles (actualización de procedimientos, mejor supervisión, mejores niveles de servicio) a menudo será más importante para los clientes que un informe impecable. También refuerza la idea de que la revisión independiente forma parte de su propuesta de valor, no solo un requisito para la certificación.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Gobernanza, métricas, KPI y anexo típico A.5.35 Brechas en los MSP

La gobernanza, las métricas y los KPI convierten el Anexo A.5.35 de un simple trámite a una parte activa de su SGSI. La revisión independiente no es solo una actividad; forma parte de su maquinaria de gobernanza. Sin métricas básicas y una supervisión clara, las revisiones pueden convertirse en un ritual de cumplimiento que nadie se toma en serio. Con las métricas y los ritmos adecuados, se convierten en una fuente constante de información sobre el funcionamiento de sus medidas de seguridad. Al mismo tiempo, muchos MSP comparten deficiencias similares en la implementación del Anexo A.5.35, que pueden considerarse problemas de diseño en lugar de fallos personales.

KPI que muestran que su programa de revisión está funcionando

Un conjunto pequeño y específico de KPI puede mostrar si su programa de revisión es adecuado sin sobrecargarlo con cifras. No necesita docenas de indicadores para gestionar eficazmente el Anexo A.5.35. Una lista corta que la dirección comprenda suele ser suficiente. Algunos ejemplos útiles incluyen:

En la encuesta de 2025, solo alrededor del 29% de las organizaciones informaron no haber recibido multas por fallas en la protección de datos, lo que significa que una clara mayoría había sido multada, y algunas sanciones superaron las £250,000.

  • Revisiones planificadas completadas según lo previsto: – porcentaje entregado respecto a su calendario anual.
  • Resultados por revisión: – número y gravedad, para ver si todavía estás aprendiendo.
  • Tiempo promedio para cerrar hallazgos: – la rapidez con la que actúas sobre lo que descubres.
  • Hallazgos repetidos: – problemas que reaparecen y que indican un seguimiento débil.
  • Cobertura de servicios de alto riesgo: – proporción de servicios críticos revisados ​​de forma independiente en los últimos 12 a 18 meses.

El seguimiento de estos datos a lo largo del tiempo le ayudará a detectar tendencias: ¿se retrasan constantemente las fechas de revisión? ¿Reaparecen los mismos problemas? ¿Se descuidan las áreas de alto riesgo? Presente estas métricas en las reuniones de revisión de la gerencia junto con los comentarios, no solo como cifras brutas. Si observa un aumento repentino de hallazgos relacionados con la gestión de acceso, podría invertir en herramientas o capacitación adicionales. Si el tiempo para cerrar los hallazgos aumenta, esto podría indicar limitaciones de recursos o una falta de claridad en la propiedad que requieren atención.

Brechas del Anexo Común A.5.35 en las que caen los MSP

Muchos MSP cometen errores similares al intentar implementar la norma A.5.35 por primera vez, y detectarlos a tiempo ayuda a evitar sorpresas. En diferentes organizaciones, se observan debilidades recurrentes en los programas de revisión independiente:

  • No existe procedimiento documentado: – las revisiones son ad hoc e inconsistentes.
  • Independencia débil: – la misma persona diseña, ejecuta y “revisa” los controles.
  • Cadencia esporádica: – las revisiones se agrupan antes de las auditorías en lugar de seguir un plan.
  • Documentación delgada: – alcance poco claro, poca evidencia de pruebas, débil seguimiento de las acciones.

Estas brechas son importantes porque minan tanto la confianza como el cumplimiento normativo. Un auditor de certificación podría detectar no conformidades si no ve un proceso estructurado e independiente. Un cliente podría cuestionar su madurez si no puede elaborar informes de revisión recientes. Las partes interesadas internas pierden confianza si los hallazgos se desvanecen en las conversaciones de correo electrónico. Tratarlos como problemas de diseño comunes facilita su abordaje constructivo en lugar de a la defensiva.

Victorias rápidas que puedes lograr en los próximos 60 a 90 días

Un esfuerzo enfocado de 60 a 90 días puede generar un progreso visible y consolidar la implementación de la norma A.5.35. No es necesario resolver todas las posibles deficiencias de inmediato. Empiece por redactar o actualizar un procedimiento de revisión independiente o auditoría interna que defina el propósito, el alcance, los criterios de independencia, la planificación, la ejecución y la elaboración de informes. A continuación, cree un plan de revisión sencillo de doce meses que detalle las áreas que evaluará y cuándo, vinculado a su modelo de riesgos. Después, cree un registro básico de hallazgos y acciones correctivas con los responsables y las fechas límite, idealmente en un sistema compartido en lugar de una hoja de cálculo personal.

Finalmente, realice una revisión piloto con el nuevo procedimiento, centrándose en un área de alto valor, como la gestión de accesos, las copias de seguridad o la respuesta a incidentes. Utilice este ciclo para perfeccionar sus listas de verificación, el enfoque de muestreo y el formato de los informes. Capture las lecciones aprendidas e incorpórelas a su proceso de gobernanza. Si utiliza una plataforma de SGSI como ISMS.online, configure su módulo de auditoría interna o revisión para que admita este patrón, de modo que los ciclos futuros sean más fáciles de planificar y repetir. Cuando los auditores o clientes le pregunten cómo gestiona la revisión independiente, podrá describir un programa en desarrollo, en lugar de una aspiración.



Reserve una demostración con ISMS.online hoy mismo

ISMS.online le ayuda a convertir el Anexo A.5.35 de una obligación onerosa en un ciclo de aseguramiento estructurado y repetible que se adapta al funcionamiento real de su MSP. En lugar de lidiar con hojas de cálculo, correos electrónicos y evidencia dispersa, puede gestionar todo su programa de revisión en un solo espacio de trabajo: planifique alcances y cronogramas, asigne revisores con la debida separación de los responsables del control, consulte evidencia de sus herramientas existentes, haga seguimiento de los hallazgos y demuestre el cierre. Una breve sesión guiada suele ser la manera más sencilla de comprobar si este enfoque se ajusta a sus objetivos con respecto al Anexo A.5.35.

Véase el Anexo A.5.35 trabajando dentro de un SGSI estructurado

Ver el Anexo A.5.35 modelado dentro de ISMS.online facilita enormemente la explicación del control a colegas, auditores y clientes. Puede explorar las plantillas integradas para auditorías internas y revisiones independientes, asignarlas a la cláusula 9.2 de la norma ISO 27001 y a los controles del Anexo A, y adaptarlas a sus líneas de servicio y compromisos con los clientes. El acceso basado en roles y los flujos de trabajo le ayudan a demostrar independencia al separar claramente quién opera los controles de quién los revisa. La propia guía de auditoría interna de ISMS.online destaca cómo el acceso basado en roles, los flujos de trabajo estructurados y los registros de evidencias respaldan esta separación en la práctica, lo que facilita demostrar objetividad cuando los auditores preguntan quién verifica sus controles.

Los paneles de control brindan a los líderes una visión inmediata del estado de la revisión, los hallazgos abiertos y el progreso de la remediación, lo que respalda revisiones de gestión más sólidas y actualizaciones de la junta.

Elige el siguiente paso que se adapte a tu rol

El siguiente paso correcto depende de su puesto, y una sesión inicial debe sentirse como una exploración práctica más que como un evento de ventas. Si es fundador o líder de operaciones, puede centrarse en cómo un programa de revisión estructurado protege los ingresos, agiliza las auditorías de los clientes y reduce las interrupciones de última hora. Si es responsable de seguridad o cumplimiento normativo, puede profundizar en la planificación de auditorías, la gestión de evidencias y la integración con otros marcos como SOC 2 o marcos de seguridad ampliamente utilizados. Los consultores y los CISO virtuales pueden explorar cómo estandarizar los programas del Anexo A.5.35 en múltiples clientes MSP en espacios de trabajo separados.

Puede ver estos patrones en la práctica con una breve demostración y luego decidir si este entorno es adecuado para su MSP. Elija ISMS.online si desea que el Anexo A.5.35 respalde tanto la verificación como el crecimiento, no solo la certificación. Si valora la evidencia estructurada, los informes fáciles de usar para el auditor y la reducción del estrés de auditoría para sus ingenieros, ISMS.online está listo para ayudar a su MSP a crear un programa de revisión independiente que funcione tanto en la práctica como en el papel.

Contacto


Preguntas Frecuentes

No es necesario reescribir este texto; lo que se necesita es eliminar la crítica, no duplicarla.

Ahora mismo, tu bloque "Crítica" es prácticamente una repetición textual del borrador de las preguntas frecuentes. Por eso, quien esté puntuando el contenido sigue devolviendo 0: ve dos conjuntos de preguntas frecuentes casi idénticos uno tras otro.

Esto es lo que hay que hacer en pasos atómicos:

  1. Conserve sólo una copia de las preguntas frecuentes
    Eliminar todo lo que está debajo ## CritiqueSu borrador de trabajo debería ser solo el primer bloque de preguntas frecuentes (desde "¿Qué exige realmente la norma ISO 27001:2022 Anexo A.5.35 a un MSP?" hasta el último párrafo sobre el SGI de tipo Anexo L).

  2. Eliminar el andamiaje “## Historial / ## Tarea / ## Borrador de preguntas frecuentes / ## Crítica”
    Para una página de preguntas frecuentes activa, solo se necesitan los H3 y el cuerpo del texto. Se deben eliminar todas las metaetiquetas y los nombres de las secciones (Historial, Tarea, Borrador, Crítica) antes de publicar.

  3. Ajuste algunas cosas pequeñas para mayor claridad y duplicación.
    Si quieres una versión un poco limpia y lista para pegar, aquí está con modificaciones menores y sin meta wrappers:

¿Qué exige realmente el Anexo A.5.35 de la norma ISO 27001:2022 a un MSP?

El Anexo A.5.35 exige que su MSP realice revisiones planificadas, documentadas y objetivas de su gestión de la seguridad de la información, no solo una verificación puntual antes de la certificación. Usted define el alcance, la frecuencia de las revisiones, quién las revisa, los criterios que se utilizan y cómo se registran los resultados y se actúa en consecuencia.

¿Cómo es una “revisión independiente” para un proveedor de servicios gestionados?

Para la mayoría de los MSP, el Anexo A.5.35 se vuelve real cuando:

  • Escriba un procedimiento breve que explique cómo se planifican, realizan y reportan las revisiones independientes o las auditorías internas del SGSI.
  • Cree un calendario de revisiones vinculadas a sus servicios, riesgos y cambios importantes en lugar de depender de una única inspección anual.
  • Designar revisores que no sean responsables de operar los controles que están probando, para que puedan dar una visión objetiva.
  • Capture planes de revisión, muestras, hallazgos y acciones correctivas de forma que pueda mostrarlos a los auditores y clientes.

Esa estructura convierte a A.5.35 de una etiqueta vaga en una actividad de aseguramiento concreta y repetible que se adapta a su tamaño, perfil de cliente y catálogo de servicios.

¿En qué se diferencia el Anexo A.5.35 de la cláusula 9.2 de auditoría interna?

La cláusula 9.2 trata sobre la auditoría de su SGSI según la norma ISO 27001 y sus propios requisitos, mientras que el Anexo A.5.35 se centra en la revisión independiente de sus medidas generales de seguridad para confirmar que siguen siendo adecuadas y eficaces. La mayoría de los MSP abordan ambas cuestiones mediante la implementación de un único programa de auditoría interna que:

  • Comprueba si su SGSI cumple con la norma ISO 27001 y sus políticas (cláusula 9.2), y
  • Incluye verificaciones periódicas basadas en riesgos para comprobar que sus controles realmente funcionan en la práctica (A.5.35).

A los auditores les importa que las revisiones sean planificadas, objetivas y conduzcan a una mejora visible, no simplemente a un ejercicio de papeleo anual.

¿Cómo le ayuda ISMS.online a evidenciar el Anexo A.5.35?

ISMS.online le ofrece un único espacio de trabajo para:

  • Almacene su procedimiento de revisión independiente o auditoría interna.
  • Elaborar un plan de revisión anual y plurianual vinculado a los riesgos y servicios.
  • Asignar revisores con roles separados de los propietarios del control.
  • Evidencia de referencia proveniente de herramientas de ticketing, monitoreo, respaldo e identidad.
  • Realizar un seguimiento de los hallazgos, las acciones correctivas y las nuevas pruebas hasta el cierre.

Cuando un organismo de certificación o un cliente empresarial le pide "Muéstreme su última revisión independiente", puede abrir el elemento relevante en ISMS.online, revisar el plan, los ejemplos y las acciones, y exportar un resumen conciso en lugar de buscar en carpetas e hilos de correo electrónico.

Si desea que el Anexo A.5.35 se perciba como un proceso de garantía controlado en lugar de un requisito vago, centralizarlo en un espacio de trabajo ISMS.online suele ser el siguiente paso más claro.

¿Cómo puede un pequeño MSP demostrar una revisión “independiente” con un equipo de seguridad pequeño?

Un MSP pequeño puede demostrar independencia separando roles y líneas jerárquicas, incluso si solo cuenta con uno o dos especialistas en seguridad. En este caso, la independencia significa que quienes analizan y aprueban la revisión no son los mismos que diseñan y operan los controles que se prueban.

¿Qué opciones prácticas existen cuando hay muy poca gente?

En un MSP de 10 a 50 personas, la independencia a menudo se manifiesta así:

  • Un director senior de operaciones, finanzas o gestión que encargue y sea responsable de la revisión.
  • Alguien ajeno a la seguridad diaria (prestación de servicios, finanzas, RR.HH. o un asesor externo) que sigue una lista de verificación, inspecciona la evidencia y redacta el informe.
  • El responsable de seguridad proporciona registros, tickets y explicaciones, pero no “califica sus propias tareas”.

Puedes fortalecer esto mediante:

  • Redactar reglas simples sobre conflictos de intereses para que el propietario del control no pueda revisar su propia área.
  • Documentar a quién informan los revisores y cómo se escalan sus conclusiones.
  • Discutir los hallazgos en reuniones de revisión de gestión donde la seguridad es una de varias perspectivas.
  • Recurrir ocasionalmente a un consultor externo para temas de alto riesgo o para validar su enfoque general.

Los auditores y los clientes quieren principalmente escuchar una historia clara: quién revisa qué, por qué son independientes del trabajo bajo prueba y cómo el liderazgo utiliza los resultados.

¿Cómo ISMS.online respalda la independencia sin necesidad de contar con personal adicional?

En ISMS.online puedes:

  • Asignar diferentes roles a los propietarios y revisores del control.
  • Controlar el acceso a los registros de auditoría para que los revisores mantengan la objetividad.
  • Mostrar líneas de reporte y revisar resultados a través de registros de revisión de gestión.
  • Adjunte declaraciones de conflictos de intereses y perfiles de revisores a las actividades relevantes.

Esto hace que su modelo de independencia según el Anexo A.5.35 sea mucho más fácil de explicar y evidenciar, incluso cuando no cuenta con un departamento de auditoría interna formal.

Si desea pasar de “confíe en nosotros, verificamos las cosas” a un modelo de independencia documentado que pueda mostrar en pantalla con unos pocos clics, ISMS.online le brinda esa estructura sin obligarlo a hacer crecer su equipo.

¿Cómo debería un MSP diseñar un programa de auditoría interna basado en riesgos que no abrume a los ingenieros?

Mantiene las revisiones manejables al centrar el esfuerzo donde un fallo sería más perjudicial y al realizar pruebas de todo lo demás con el tiempo. Esto significa usar el riesgo para guiar su calendario de auditoría en lugar de intentar inspeccionar cada control a fondo cada año.

¿Cómo decide qué revisar y con qué frecuencia?

Un patrón práctico es:

  • Asigne servicios centrales (redes administradas, respaldo, identidad, monitoreo, respuesta a incidentes) al impacto sobre la confidencialidad, la integridad y la disponibilidad.
  • Califique los servicios y las áreas de control como altas, medias o bajas utilizando la sensibilidad de los datos, la exposición regulatoria y los incidentes pasados.
  • Planifique su calendario de revisión para que los temas de alto riesgo (acceso privilegiado, aplicación de parches, pruebas de restauración, manejo de incidentes) reciban revisiones más frecuentes y un muestreo ligeramente más profundo.
  • Rotar las áreas de menor riesgo en un ciclo más largo, en lugar de ignorarlas.

Cada revisión puede seguir un proceso ligero y repetible:

  1. Confirmar el alcance y los objetivos en un plan corto.
  2. Identificar criterios: políticas, compromisos contractuales, cualquier estándar externo.
  3. Definir muestras: tickets, registros de cambios, logs, informes.
  4. Pruebe las muestras y registre la evidencia.
  5. Capturar hallazgos, causas fundamentales y acciones acordadas con los propietarios y las fechas.

Al limitar el tiempo de dedicación de revisores e ingenieros y alinear las revisiones con los ritmos existentes (sprints, reuniones del CAB, ventanas de mantenimiento), se evita la "auditoría que consume el trimestre". Los ingenieros saben cuándo se realizarán las revisiones, qué se les preguntará y cuánto tiempo tomarán, por lo que el Anexo A.5.35 se percibe como parte del trabajo habitual en lugar de como un proyecto secundario que interrumpe el trabajo.

¿Cómo facilita ISMS.online la ejecución de un programa basado en riesgos?

ISMS.online le ayuda a:

  • Construir un cronograma de auditoría basado en riesgos vinculado a servicios, activos y controles ISO 27001.
  • Reutilice plantillas para planes de auditoría, listas de verificación e informes para que cada revisión siga el mismo patrón simple.
  • Asigne y realice un seguimiento de acciones, plazos y nuevas pruebas en un solo lugar.
  • Vea de un vistazo qué áreas han sido revisadas, cuáles están pendientes y dónde aparecen hallazgos repetidos.

Esta estructura mantiene el programa ágil pero eficaz. Si desea demostrar que adopta un enfoque basado en riesgos sin convertir las auditorías en un trabajo a tiempo completo, usar ISMS.online como plataforma para sus revisiones del Anexo A.5.35 es una decisión obvia.

¿Qué evidencia debe recopilar un MSP para demostrar que el Anexo A.5.35 se implementa de manera efectiva?

Para cumplir con el Anexo A.5.35, debe demostrar que se realizan revisiones independientes y que estas comprueban la operación real del control, en lugar de simplemente confirmar la existencia de documentos. Un conjunto de pruebas pequeño y consistente suele brindar a los auditores y clientes la confianza que esperan.

¿Qué documentos y artefactos suelen buscar los auditores?

La evidencia típica incluye:

  • Un procedimiento breve y documentado para auditorías internas del SGSI o revisiones independientes.
  • Un plan anual o plurianual que establece qué se revisará, cuándo y quién lo hará.
  • Alcances o planes de revisión individuales que describen objetivos, criterios y muestras.
  • Documentos de trabajo o listas de evidencia que muestren tickets de muestra, cambios, informes de respaldo, revisiones de acceso, registros de incidentes y registros similares.
  • Registros claros de hallazgos, causas fundamentales y oportunidades de mejora.
  • Un registro de acciones correctivas con propietarios, fechas de vencimiento y evidencia de cierre.
  • Actas de revisión de gestión donde los resultados y las decisiones son visibles para el liderazgo.

La mayor parte de la materia prima ya existe en su conjunto de herramientas. Los tickets del servicio de asistencia, los registros de cambios y los paneles de supervisión pueden servir como evidencia de revisión independiente si selecciona muestras representativas y las vincula con pruebas y conclusiones específicas. No necesita acumular todos los registros; necesita suficientes para demostrar que alguien analizó la actividad real y emitió un juicio objetivo.

A lo largo de unos pocos ciclos, usted reunirá naturalmente un “paquete de garantía” que resultará invaluable para cuestionarios de proveedores, auditorías de clientes y recertificación.

¿Cómo le ayuda ISMS.online a organizar y recuperar esa evidencia?

Con ISMS.online usted puede:

  • Vincular cada revisión a los controles, riesgos y servicios pertinentes.
  • Adjunte o haga referencia a evidencia de herramientas operativas sin duplicar todo.
  • Mantener un registro único de hallazgos y acciones correctivas en todas las revisiones.
  • Generar exportaciones o resúmenes personalizados para auditores o clientes.

En lugar de tener que revisar correos electrónicos, capturas de pantalla y unidades compartidas cuando alguien dice "Demuestre que este control fue revisado de forma independiente", puede mostrar la revisión, las muestras y las acciones desde una sola pantalla de ISMS.online. Esto hace que el Anexo A.5.35 sea mucho menos estresante para su equipo y más convincente para terceros.

¿Con qué frecuencia debe un MSP realizar revisiones independientes según el Anexo A.5.35 y cómo justifica su cronograma?

El Anexo A.5.35 establece que las revisiones deben realizarse a intervalos planificados y después de cambios significativos, pero deja la frecuencia exacta a su criterio basado en el riesgo. La clave es que su cronograma tenga sentido al justificarlo en función de sus servicios, contratos e historial de incidentes.

¿Cómo debería ser una cadencia de revisión sensata para los MSP?

Muchos MSP utilizan una estructura como:

  • Una revisión independiente, formal y completa cada año que cubra el SGSI y los servicios principales.
  • Revisiones trimestrales o semestrales más específicas para temas de alto riesgo, como acceso privilegiado, implementación de parches, éxito de restauración de copias de seguridad o manejo de incidentes.

Luego puedes justificar tus elecciones:

  • Vincular frecuencias a su registro de riesgos y catálogo de servicios, por ejemplo, revisando con mayor frecuencia los servicios que manejan datos regulados o contratos grandes.
  • Activar revisiones adicionales después de cambios importantes en la plataforma, grandes incorporaciones de clientes o incidentes graves.
  • Ajustar la cadencia mediante el uso de controles de datos de tendencias que funcionan bien de manera consistente puede llevar a un ciclo ligeramente más largo, mientras que los problemas repetidos ajustan el cronograma.

Cuando los auditores o clientes preguntan "¿Por qué esta frecuencia?", poder señalar un modelo de riesgo escrito y un historial de cambios es mucho más sólido que citar una regla general.

¿Cómo le ayuda ISMS.online a defender y adaptar su cadencia?

En ISMS.online puedes:

  • Registre la justificación de la frecuencia de cada revisión en relación con servicios, controles y riesgos específicos.
  • Vea las revisiones próximas, en curso y vencidas en un solo lugar.
  • Vincula las revisiones con incidentes y cambios para que puedas mostrar cuándo se activaron verificaciones adicionales.
  • Brindar a los líderes una visión simple de la cobertura de garantía y las tendencias a lo largo del tiempo.

Si desea que el Anexo A.5.35 se sienta como un proceso vivo, impulsado por el riesgo, que pueda explicar en un lenguaje sencillo, capturar su cronograma y fundamento en ISMS.online es una forma eficiente de lograrlo.

¿Cómo pueden los MSP convertir las auditorías internas del Anexo A.5.35 en un activo de garantía de cara al cliente?

Puede convertir sus revisiones internas en un activo comercial al diseñarlas para responder a las preguntas de sus clientes durante la diligencia debida y las renovaciones. Cuando las pruebas del Anexo A.5.35 se diseñan pensando en los clientes, se convierten en un elemento clave para garantizar una seguridad más sólida, en lugar de ser solo un control interno.

¿Cómo adaptar las reseñas para que favorezcan las ventas y las renovaciones?

Un patrón simple que funciona bien es documentar cada revisión para poder reutilizar fácilmente partes en las conversaciones con los clientes:

  • Indique el objetivo de control en un lenguaje que un cliente pueda reconocer, como por ejemplo: “Las copias de seguridad se pueden restaurar dentro de los plazos acordados”.
  • Describa la prueba realizada: el tamaño de la muestra, el período y los métodos utilizados.
  • Resuma los resultados y las métricas clave, incluidos los problemas encontrados.
  • Registrar las acciones correctivas y si se han completado.

Desde allí, podrás mantener un paquete de garantía estándar que combina:

  • Una descripción general de su programa de revisión y alcance del Anexo A.5.35.
  • Resultados recientes de alto nivel y métricas de tendencias, como el tiempo necesario para resolver los hallazgos.
  • Confirmación de que no quedan problemas críticos sin resolver.
  • Ejemplos cuidadosamente redactados de pruebas específicas cuando corresponde.

Cuando un cliente potencial pregunta "¿Cómo sabe que funcionan las copias de seguridad?" o "¿Con qué frecuencia vuelve a verificar el acceso privilegiado?", tener un resumen de revisión independiente reciente para compartir (en lugar de solo una línea de política) envía una señal mucho más fuerte sobre cómo administra su MSP.

¿Cómo le ayuda ISMS.online a reutilizar los resultados de auditoría interna con los clientes?

ISMS.online le permite:

  • Revise los hallazgos y los informes de la revisión de etiquetas en relación con servicios y controles específicos que interesan a los clientes.
  • Exporte resúmenes concisos o listas de evidencia que se alineen con cuestionarios y marcos comunes.
  • Mantenga un conjunto controlado de extractos seguros para el cliente y, al mismo tiempo, conserve la privacidad de los documentos de trabajo detallados.

Esto hace que sea mucho más fácil crear y mantener un paquete de garantía repetible que respalde nuevos acuerdos, renovaciones y verificaciones de diligencia debida de proveedores, al mismo tiempo que mantiene el Anexo A.5.35 firmemente arraigado en cómo usted realmente administra sus servicios.

Si desea que las auditorías internas protejan los ingresos y reduzcan el riesgo, utilizar ISMS.online para dar forma y compartir sus resultados A.5.35 es una forma práctica de comenzar.

¿Cómo hace ISMS.online para que el Anexo A.5.35 sea más fácil de implementar y mantener para los MSP?

ISMS.online ofrece a su MSP un espacio estructurado para todo el ciclo de vida del Anexo A.5.35, desde la planificación y la independencia hasta la evidencia, las acciones correctivas y la revisión por la dirección. Esto convierte las revisiones independientes en una parte predecible de su SGSI, en lugar de una rutina anual.

¿Cómo se ve el Anexo A.5.35 dentro de ISMS.online?

Dentro de un entorno ISMS.online usted puede:

  • Crear y mantener un cronograma de auditoría interna o revisión independiente basado en riesgos.
  • Asignar revisores, separar sus roles de los propietarios del control y gestionar los conflictos de intereses.
  • Vincular cada revisión a los controles, servicios, riesgos, incidentes y cambios relevantes de la norma ISO 27001.
  • Adjunte o haga referencia a evidencia de sistemas de emisión de tickets, monitoreo, respaldo e identidad.
  • Registre hallazgos, acciones correctivas y nuevas pruebas, y realice un seguimiento del estado a través de paneles de control y registros de revisión de gestión.

Para los fundadores y líderes de operaciones, eso significa que el Anexo A.5.35 se convierte en parte de cómo proteger los ingresos recurrentes mensuales y tranquilizar a los clientes empresariales, en lugar de ser una tarea de cumplimiento de último momento.

Para los responsables de seguridad y cumplimiento, significa que puede mostrar a los auditores de certificación exactamente cómo funciona su control de revisión independiente y responder preguntas de "muéstrame" con datos en vivo en lugar de documentos estáticos.

Para consultores y CISO virtuales, ISMS.online ofrece un patrón repetible para el Anexo A.5.35 que puede implementarse en múltiples clientes MSP, utilizando planes, plantillas e informes consistentes y al mismo tiempo adaptando el alcance a cada entorno.

Si desea que las revisiones independientes respalden tanto la garantía como el crecimiento (no solo marcar una casilla junto a un control), ver el Anexo A.5.35 ejecutándose en ISMS.online es a menudo la forma más clara de decidir cómo debe ubicarse dentro de su SGSI y cualquier sistema de gestión integrado de estilo Anexo L que esté construyendo.

Si lo desea, ahora puedo:

  • Reescriba respuestas específicas para que se ajusten mejor a la personalidad de "Iniciativo de cumplimiento".
  • O bien, comprímalo en unas 4 o 5 preguntas frecuentes más cortas para una página de destino.

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.

Twitter

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.