{"id":1996,"date":"2026-03-25T17:01:28","date_gmt":"2026-03-25T16:01:28","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/lista-de-verificacion-de-auditoria-nis2-paquete-de-evidencia-para-responsables-de-cumplimiento\/"},"modified":"2026-03-26T09:30:20","modified_gmt":"2026-03-26T08:30:20","slug":"lista-de-verificacion-de-auditoria-nis2-paquete-de-evidencia-para-responsables-de-cumplimiento","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/lista-de-verificacion-de-auditoria-nis2-paquete-de-evidencia-para-responsables-de-cumplimiento\/","title":{"rendered":"Lista de Verificaci\u00f3n de Auditor\u00eda NIS2 \u2014 Paquete de Evidencia para Responsables de Cumplimiento"},"content":{"rendered":"<h2>Prop\u00f3sito: Su Gu\u00eda de Preparaci\u00f3n para Auditor\u00eda NIS2 Lista para Usar<\/h2>\n<p>Esta lista de verificaci\u00f3n est\u00e1 dise\u00f1ada para los responsables de cumplimiento que preparan a su organizaci\u00f3n para una auditor\u00eda de cumplimiento NIS2. Est\u00e1 estructurada en torno a las diez \u00e1reas de requisitos especificadas en el <strong>art\u00edculo 21(2)<\/strong> de la Directiva NIS2 y proporciona, para cada \u00e1rea, los requisitos de control, la evidencia que necesita reunir, d\u00f3nde encontrar esa evidencia y criterios claros de aprobaci\u00f3n\/rechazo.<\/p>\n<p>\u00dasela como documento de trabajo. Impr\u00edmala, comp\u00e1rtala con sus equipos y \u00fasela para hacer seguimiento del progreso en la recopilaci\u00f3n de evidencia. Un auditor evaluar\u00e1 si sus controles no solo est\u00e1n documentados, sino tambi\u00e9n <strong>implementados, efectivos y evidenciados<\/strong>.<\/p>\n<h2>Art\u00edculo 21(2)(a): An\u00e1lisis de Riesgos y Pol\u00edticas de Seguridad de los Sistemas de Informaci\u00f3n<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Pol\u00edtica de seguridad de la informaci\u00f3n documentada y aprobada por el \u00f3rgano de direcci\u00f3n<\/td>\n<td>Documento de pol\u00edtica firmado con control de versiones y registro de aprobaci\u00f3n<\/td>\n<td>Sistema de gesti\u00f3n documental; actas de reuniones del consejo\/direcci\u00f3n<\/td>\n<td><strong>Aprobado:<\/strong> La pol\u00edtica existe, est\u00e1 vigente (revisada en los \u00faltimos 12 meses) y tiene aprobaci\u00f3n de la direcci\u00f3n documentada. <strong>Rechazado:<\/strong> Sin pol\u00edtica, pol\u00edtica desactualizada o sin evidencia de aprobaci\u00f3n de la direcci\u00f3n.<\/td>\n<\/tr>\n<tr>\n<td>Metodolog\u00eda de evaluaci\u00f3n de riesgos definida y aplicada<\/td>\n<td>Documento de metodolog\u00eda de evaluaci\u00f3n de riesgos; evaluaciones de riesgos completadas; registro de riesgos<\/td>\n<td>Plataforma GRC o sistema de gesti\u00f3n de riesgos; registros del equipo de seguridad de la informaci\u00f3n<\/td>\n<td><strong>Aprobado:<\/strong> La metodolog\u00eda est\u00e1 documentada, se aplica de forma consistente y el registro de riesgos est\u00e1 actualizado. <strong>Rechazado:<\/strong> Sin metodolog\u00eda, aplicaci\u00f3n inconsistente o registro de riesgos desactualizado.<\/td>\n<\/tr>\n<tr>\n<td>Planes de tratamiento de riesgos con propietarios asignados<\/td>\n<td>Documentaci\u00f3n del plan de tratamiento de riesgos; evidencia de implementaci\u00f3n de controles; registros de aceptaci\u00f3n del riesgo residual<\/td>\n<td>Registro de riesgos; herramientas de gesti\u00f3n de proyectos; registros de aprobaci\u00f3n de la direcci\u00f3n<\/td>\n<td><strong>Aprobado:<\/strong> Cada riesgo por encima del apetito tiene un plan de tratamiento con propietario nombrado y fecha objetivo. <strong>Rechazado:<\/strong> Riesgos sin tratar, planes sin propietarios o sin evidencia de progreso.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(b): Gesti\u00f3n de Incidentes<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Plan de respuesta a incidentes que cubra detecci\u00f3n, an\u00e1lisis, contenci\u00f3n, erradicaci\u00f3n y recuperaci\u00f3n<\/td>\n<td>Documento del plan de respuesta a incidentes; roles definidos y rutas de escalaci\u00f3n; procedimientos de comunicaci\u00f3n<\/td>\n<td>Documentaci\u00f3n de operaciones de seguridad; plataforma de gesti\u00f3n de incidentes<\/td>\n<td><strong>Aprobado:<\/strong> Existe un plan completo y actualizado que cubre todas las fases. <strong>Rechazado:<\/strong> Sin plan, cobertura incompleta o plan no actualizado tras cambios organizativos.<\/td>\n<\/tr>\n<tr>\n<td>Procedimientos de clasificaci\u00f3n y notificaci\u00f3n de incidentes alineados con los plazos de NIS2<\/td>\n<td>Documento de criterios de clasificaci\u00f3n; procedimiento de notificaci\u00f3n con flujos de trabajo de alerta temprana de 24 horas y notificaci\u00f3n de 72 horas<\/td>\n<td>Procedimientos de gesti\u00f3n de incidentes; registros de contacto del CSIRT<\/td>\n<td><strong>Aprobado:<\/strong> Existen criterios de clasificaci\u00f3n claros; los plazos de notificaci\u00f3n cumplen los requisitos de NIS2; los datos de contacto del CSIRT est\u00e1n actualizados. <strong>Rechazado:<\/strong> Sin esquema de clasificaci\u00f3n, plazos incorrectos o canales de notificaci\u00f3n desconocidos.<\/td>\n<\/tr>\n<tr>\n<td>Evidencia de pruebas de respuesta a incidentes<\/td>\n<td>Registros de ejercicios de mesa; resultados de simulaciones; documentaci\u00f3n de lecciones aprendidas; acciones de mejora<\/td>\n<td>Registros del equipo de seguridad; registros de formaci\u00f3n; informes post-ejercicio<\/td>\n<td><strong>Aprobado:<\/strong> Al menos un ejercicio realizado en los \u00faltimos 12 meses con resultados documentados y acciones de mejora. <strong>Rechazado:<\/strong> Sin evidencia de pruebas o pruebas sin mejoras documentadas.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(c): Continuidad de Negocio y Gesti\u00f3n de Crisis<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Plan de continuidad de negocio que cubra gesti\u00f3n de copias de seguridad y recuperaci\u00f3n ante desastres<\/td>\n<td>Documentos BCP y DR; RTOs y RPOs definidos; procedimientos de recuperaci\u00f3n<\/td>\n<td>Documentaci\u00f3n del equipo de continuidad de negocio; registros de operaciones de TI<\/td>\n<td><strong>Aprobado:<\/strong> Existen planes para servicios cr\u00edticos con RTOs\/RPOs definidos y probados. <strong>Rechazado:<\/strong> Sin planes, planes no probados u objetivos de recuperaci\u00f3n indefinidos.<\/td>\n<\/tr>\n<tr>\n<td>Gesti\u00f3n de copias de seguridad con pruebas peri\u00f3dicas<\/td>\n<td>Pol\u00edticas de copia de seguridad; programas y registros de copia de seguridad; resultados de pruebas de restauraci\u00f3n<\/td>\n<td>Sistema de gesti\u00f3n de copias de seguridad; registros de operaciones de TI<\/td>\n<td><strong>Aprobado:<\/strong> Copias de seguridad peri\u00f3dicas con pruebas de restauraci\u00f3n documentadas y exitosas. <strong>Rechazado:<\/strong> Sin pol\u00edtica de copia de seguridad, sin pruebas de restauraci\u00f3n o pruebas fallidas sin remediaci\u00f3n.<\/td>\n<\/tr>\n<tr>\n<td>Procedimientos de gesti\u00f3n de crisis<\/td>\n<td>Plan de gesti\u00f3n de crisis; \u00e1rboles de comunicaci\u00f3n; procedimientos de notificaci\u00f3n a partes interesadas; registros de ejercicios de crisis<\/td>\n<td>Documentaci\u00f3n corporativa de gesti\u00f3n de crisis; registros del equipo de comunicaciones<\/td>\n<td><strong>Aprobado:<\/strong> El plan existe con rutas de escalaci\u00f3n claras y ha sido ejercido. <strong>Rechazado:<\/strong> Sin plan de crisis o sin evidencia de ejercicio.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(d): Seguridad de la Cadena de Suministro<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Requisitos de seguridad en los contratos con proveedores<\/td>\n<td>Cl\u00e1usulas contractuales est\u00e1ndar de seguridad; contratos firmados con disposiciones de seguridad; registros de evaluaci\u00f3n de seguridad de proveedores<\/td>\n<td>Registros de adquisici\u00f3n\/legal; plataforma de gesti\u00f3n de proveedores<\/td>\n<td><strong>Aprobado:<\/strong> Los proveedores cr\u00edticos tienen requisitos de seguridad contractuales; las evaluaciones est\u00e1n documentadas. <strong>Rechazado:<\/strong> Sin cl\u00e1usulas de seguridad en los contratos o sin programa de evaluaci\u00f3n de proveedores.<\/td>\n<\/tr>\n<tr>\n<td>Programa de evaluaci\u00f3n de riesgos de proveedores<\/td>\n<td>Metodolog\u00eda de evaluaci\u00f3n de riesgos de proveedores; evaluaciones completadas para proveedores cr\u00edticos; registro de riesgos de proveedores<\/td>\n<td>Plataforma de gesti\u00f3n de proveedores; registros de adquisici\u00f3n; sistema de gesti\u00f3n de riesgos<\/td>\n<td><strong>Aprobado:<\/strong> Proveedores cr\u00edticos e importantes evaluados con resultados documentados y calificaciones de riesgo. <strong>Rechazado:<\/strong> Sin evaluaciones de riesgos de proveedores o cobertura incompleta de proveedores cr\u00edticos.<\/td>\n<\/tr>\n<tr>\n<td>Controles de la cadena de suministro de software (SBOM, gesti\u00f3n de dependencias)<\/td>\n<td>Registros de generaci\u00f3n de SBOM; resultados de escaneo de dependencias; listas de componentes aprobados; pol\u00edticas de componentes de terceros<\/td>\n<td>Salidas del pipeline CI\/CD; sistemas de gesti\u00f3n de artefactos; herramientas de escaneo de seguridad<\/td>\n<td><strong>Aprobado:<\/strong> SBOMs generados para el software entregado; las dependencias son escaneadas y gestionadas. <strong>Rechazado:<\/strong> Sin visibilidad de la composici\u00f3n del software o dependencias no gestionadas.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(e): Seguridad de Redes y Sistemas de Informaci\u00f3n<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Controles de seguridad de red (segmentaci\u00f3n, monitoreo, controles de acceso)<\/td>\n<td>Documentaci\u00f3n de arquitectura de red; pol\u00edticas de segmentaci\u00f3n; reglas de firewall; configuraci\u00f3n de monitoreo de red<\/td>\n<td>Sistemas de gesti\u00f3n de red; documentaci\u00f3n de infraestructura; plataforma SIEM<\/td>\n<td><strong>Aprobado:<\/strong> La red est\u00e1 correctamente segmentada; el monitoreo est\u00e1 activo; los controles est\u00e1n documentados. <strong>Rechazado:<\/strong> Red plana, sin monitoreo o arquitectura de red sin documentar.<\/td>\n<\/tr>\n<tr>\n<td>Monitoreo de seguridad y registro de actividad<\/td>\n<td>Pol\u00edtica de registro; configuraci\u00f3n de retenci\u00f3n de registros; reglas y alertas de monitoreo; paneles SIEM<\/td>\n<td>Plataforma SIEM; infraestructura de registro; registros del centro de operaciones de seguridad<\/td>\n<td><strong>Aprobado:<\/strong> Los sistemas cr\u00edticos est\u00e1n registrados; los registros se conservan seg\u00fan la pol\u00edtica; monitoreo activo con reglas de alerta definidas. <strong>Rechazado:<\/strong> Brechas en la cobertura de registro, retenci\u00f3n insuficiente o sin monitoreo activo.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(f): Gesti\u00f3n y Divulgaci\u00f3n de Vulnerabilidades<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Programa de gesti\u00f3n de vulnerabilidades<\/td>\n<td>Pol\u00edtica de gesti\u00f3n de vulnerabilidades; programas y resultados de escaneo; SLAs de remediaci\u00f3n y seguimiento; proceso de excepciones<\/td>\n<td>Herramientas de escaneo de vulnerabilidades; sistema de gesti\u00f3n de parches; plataforma GRC<\/td>\n<td><strong>Aprobado:<\/strong> Escaneo peri\u00f3dico con SLAs de remediaci\u00f3n definidos; vulnerabilidades cr\u00edticas atendidas dentro del SLA. <strong>Rechazado:<\/strong> Sin programa de escaneo, sin SLAs o incumplimientos cr\u00f3nicos de SLA sin escalaci\u00f3n.<\/td>\n<\/tr>\n<tr>\n<td>Proceso de divulgaci\u00f3n coordinada de vulnerabilidades<\/td>\n<td>Pol\u00edtica de divulgaci\u00f3n de vulnerabilidades (publicada); canal de contacto para investigadores; procedimiento de gesti\u00f3n de divulgaci\u00f3n<\/td>\n<td>Sitio web p\u00fablico; procedimientos del equipo de seguridad<\/td>\n<td><strong>Aprobado:<\/strong> Pol\u00edtica de divulgaci\u00f3n publicada con proceso claro y plazos de respuesta. <strong>Rechazado:<\/strong> Sin pol\u00edtica de divulgaci\u00f3n o sin mecanismo para informes externos de vulnerabilidades.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(g): Pol\u00edticas y Procedimientos para Evaluar la Efectividad<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Evaluaci\u00f3n peri\u00f3dica de la efectividad de las medidas de ciberseguridad<\/td>\n<td>Informes de auditor\u00eda interna; resultados de pruebas de penetraci\u00f3n; m\u00e9tricas de seguridad y KPIs; registros de revisi\u00f3n de la direcci\u00f3n<\/td>\n<td>Registros del equipo de auditor\u00eda interna; informes de pruebas de seguridad; paneles de la direcci\u00f3n<\/td>\n<td><strong>Aprobado:<\/strong> Evaluaciones peri\u00f3dicas realizadas (al menos anualmente) con hallazgos documentados y acciones de mejora. <strong>Rechazado:<\/strong> Sin evaluaciones de efectividad o evaluaciones sin acciones de seguimiento.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(h): Criptograf\u00eda y Cifrado<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Pol\u00edtica de criptograf\u00eda que cubra datos en tr\u00e1nsito y en reposo<\/td>\n<td>Documento de pol\u00edtica de criptograf\u00eda; est\u00e1ndares de algoritmos aprobados y longitudes de clave; procedimientos de gesti\u00f3n de certificados; documentaci\u00f3n del ciclo de vida de la gesti\u00f3n de claves<\/td>\n<td>Biblioteca de pol\u00edticas de seguridad de la informaci\u00f3n; sistema de gesti\u00f3n de PKI\/certificados; sistema de gesti\u00f3n de claves<\/td>\n<td><strong>Aprobado:<\/strong> La pol\u00edtica existe con algoritmos aprobados; los datos en tr\u00e1nsito y en reposo est\u00e1n cifrados seg\u00fan la pol\u00edtica; el ciclo de vida de la gesti\u00f3n de claves est\u00e1 documentado. <strong>Rechazado:<\/strong> Sin pol\u00edtica de criptograf\u00eda, uso de algoritmos obsoletos o claves criptogr\u00e1ficas no gestionadas.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(i): Control de Acceso<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Pol\u00edtica de control de acceso basada en m\u00ednimo privilegio y necesidad de conocer<\/td>\n<td>Pol\u00edtica de control de acceso; definiciones de acceso basado en roles; procedimientos de aprovisionamiento y desaprovisionamiento de acceso<\/td>\n<td>Plataforma IAM; registros de incorporaci\u00f3n\/baja de RRHH; documentaci\u00f3n de control de acceso<\/td>\n<td><strong>Aprobado:<\/strong> La pol\u00edtica existe; el acceso se basa en roles; el aprovisionamiento\/desaprovisionamiento est\u00e1 documentado y es oportuno. <strong>Rechazado:<\/strong> Sin pol\u00edtica de control de acceso, privilegios excesivos o desaprovisionamiento tard\u00edo de las bajas.<\/td>\n<\/tr>\n<tr>\n<td>Revisiones de acceso peri\u00f3dicas<\/td>\n<td>Programas de revisi\u00f3n de acceso; registros de revisiones completadas; acciones de remediaci\u00f3n derivadas de las revisiones<\/td>\n<td>Plataforma IAM; herramienta de revisi\u00f3n de accesos; registros de cumplimiento<\/td>\n<td><strong>Aprobado:<\/strong> Revisiones de acceso realizadas al menos trimestralmente para acceso privilegiado y anualmente para acceso est\u00e1ndar; la remediaci\u00f3n es rastreada. <strong>Rechazado:<\/strong> Sin revisiones de acceso o revisiones sin seguimiento de remediaci\u00f3n.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(i): Gesti\u00f3n de Activos<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Inventario de activos que cubra todos los sistemas de red y de informaci\u00f3n<\/td>\n<td>Inventario de activos\/CMDB; esquema de clasificaci\u00f3n de activos; asignaciones de propiedad de activos<\/td>\n<td>CMDB\/sistema de gesti\u00f3n de activos; plataforma de gesti\u00f3n de servicios de TI<\/td>\n<td><strong>Aprobado:<\/strong> Existe un inventario completo con clasificaci\u00f3n y propietarios asignados; el inventario se actualiza peri\u00f3dicamente. <strong>Rechazado:<\/strong> Inventario incompleto, sin clasificaci\u00f3n o propiedad no asignada.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Art\u00edculo 21(2)(j): Autenticaci\u00f3n Multifactor y Autenticaci\u00f3n Continua<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito de Control<\/th>\n<th>Evidencia Necesaria<\/th>\n<th>D\u00f3nde Encontrarla<\/th>\n<th>Criterios de Aprobaci\u00f3n\/Rechazo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>MFA implementado para acceso privilegiado y acceso remoto<\/td>\n<td>Pol\u00edtica de MFA; registros de inscripci\u00f3n en MFA; evidencia de configuraci\u00f3n de aplicaci\u00f3n de MFA<\/td>\n<td>Configuraci\u00f3n de la plataforma IAM\/MFA; documentaci\u00f3n de pol\u00edticas de acceso<\/td>\n<td><strong>Aprobado:<\/strong> MFA aplicado para todo acceso privilegiado y remoto; la inscripci\u00f3n est\u00e1 rastreada; las excepciones est\u00e1n documentadas y son limitadas en tiempo. <strong>Rechazado:<\/strong> MFA no aplicado para acceso privilegiado, usuarios sin inscribir significativos o excepciones permanentes sin justificaci\u00f3n.<\/td>\n<\/tr>\n<tr>\n<td>Canales de autenticaci\u00f3n y comunicaci\u00f3n seguros<\/td>\n<td>Configuraci\u00f3n del sistema de autenticaci\u00f3n; evidencia de canales de comunicaci\u00f3n cifrados; pol\u00edticas de gesti\u00f3n de sesiones<\/td>\n<td>Plataforma IAM; configuraci\u00f3n de red; documentaci\u00f3n de arquitectura de seguridad<\/td>\n<td><strong>Aprobado:<\/strong> El tr\u00e1fico de autenticaci\u00f3n est\u00e1 cifrado; los controles de gesti\u00f3n de sesiones est\u00e1n implementados; se aplican protocolos seguros. <strong>Rechazado:<\/strong> Flujos de autenticaci\u00f3n sin cifrar o gesti\u00f3n de sesiones d\u00e9bil.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Se\u00f1ales de Alerta que Indican No Conformidad<\/h2>\n<p>Durante la preparaci\u00f3n para la auditor\u00eda, los responsables de cumplimiento deben buscar activamente las siguientes se\u00f1ales de alerta y abordarlas antes de que llegue el auditor:<\/p>\n<ul>\n<li><strong>Pol\u00edticas sin evidencia de implementaci\u00f3n:<\/strong> Las pol\u00edticas existen en papel pero no hay evidencia de que se sigan en la pr\u00e1ctica. Los auditores buscar\u00e1n evidencia operativa, no solo documentos.<\/li>\n<li><strong>Documentaci\u00f3n desactualizada:<\/strong> Evaluaciones de riesgos, pol\u00edticas o procedimientos que no han sido revisados o actualizados en m\u00e1s de 12 meses.<\/li>\n<li><strong>Sin participaci\u00f3n del \u00f3rgano de direcci\u00f3n:<\/strong> Sin evidencia de que el \u00f3rgano de direcci\u00f3n haya aprobado medidas de ciberseguridad, haya recibido informes de riesgos o haya completado la formaci\u00f3n requerida (art\u00edculo 20).<\/li>\n<li><strong>Respuesta a incidentes nunca probada:<\/strong> Un plan de respuesta a incidentes que nunca ha sido ejercido mediante un ejercicio de mesa o simulaci\u00f3n.<\/li>\n<li><strong>Revisiones de acceso no realizadas:<\/strong> Sin evidencia de revisiones peri\u00f3dicas de acceso, especialmente para cuentas privilegiadas.<\/li>\n<li><strong>Inventario de activos desconocido:<\/strong> Incapacidad de producir un inventario actualizado de redes y sistemas de informaci\u00f3n.<\/li>\n<li><strong>Sin evaluaciones de seguridad de proveedores:<\/strong> Proveedores cr\u00edticos sin evaluaci\u00f3n de seguridad registrada.<\/li>\n<li><strong>Evidencia manual sin controles de integridad:<\/strong> Evidencia que podr\u00eda f\u00e1cilmente ser fabricada o modificada, sin marcas de tiempo generadas por el sistema ni trazas de auditor\u00eda.<\/li>\n<li><strong>Puntos \u00fanicos de fallo en controles clave:<\/strong> Funciones de seguridad cr\u00edticas dependientes de un \u00fanico individuo sin plan de respaldo o sucesi\u00f3n.<\/li>\n<li><strong>Sin m\u00e9tricas de efectividad de controles:<\/strong> Incapacidad de demostrar que las medidas de seguridad est\u00e1n realmente funcionando, no solo desplegadas.<\/li>\n<\/ul>\n<h2>Requisitos de Integridad de la Evidencia<\/h2>\n<p>La calidad de su evidencia importa tanto como su existencia. Los auditores evaluar\u00e1n si la evidencia es fiable y confiable. Para resistir el escrutinio, su evidencia debe cumplir estos est\u00e1ndares:<\/p>\n<ul>\n<li><strong>Generada por el sistema:<\/strong> En la medida de lo posible, la evidencia debe ser generada autom\u00e1ticamente por los sistemas en lugar de creada manualmente. Los registros, informes y registros generados por el sistema son intr\u00ednsecamente m\u00e1s fiables que las hojas de c\u00e1lculo compiladas manualmente.<\/li>\n<li><strong>Con marcas de tiempo:<\/strong> Toda la evidencia debe llevar marcas de tiempo precisas que muestren cu\u00e1ndo ocurrieron las acciones, cu\u00e1ndo se realizaron las revisiones y cu\u00e1ndo se otorgaron las aprobaciones. Aseg\u00farese de que los relojes del sistema est\u00e9n sincronizados (NTP) para mantener la fiabilidad de las marcas de tiempo.<\/li>\n<li><strong>A prueba de manipulaci\u00f3n:<\/strong> La evidencia debe almacenarse en sistemas donde no pueda modificarse f\u00e1cilmente con posterioridad. Los registros de auditor\u00eda inmutables, el almacenamiento de solo escritura y las comprobaciones de integridad criptogr\u00e1fica refuerzan la fiabilidad de la evidencia.<\/li>\n<li><strong>Atribuible:<\/strong> La evidencia debe identificar claramente qui\u00e9n realiz\u00f3 cada acci\u00f3n. La responsabilidad individual requiere cuentas individuales; las cuentas compartidas socavan la atribuci\u00f3n.<\/li>\n<li><strong>Conservada apropiadamente:<\/strong> La evidencia debe conservarse durante un per\u00edodo suficiente para cubrir los ciclos de auditor\u00eda y los requisitos regulatorios. Defina per\u00edodos de retenci\u00f3n y aseg\u00farese de que se apliquen.<\/li>\n<\/ul>\n<h2>Estructura Sugerida del Paquete de Evidencia<\/h2>\n<p>Los responsables de cumplimiento deben organizar su paquete de evidencia en una estructura que se mapee directamente con los requisitos de NIS2, facilitando la navegaci\u00f3n del auditor. Se recomienda la siguiente estructura de plantilla:<\/p>\n<h3>Estructura de Carpetas<\/h3>\n<ul>\n<li><strong>01 \u2014 Gobernanza y Gesti\u00f3n de Riesgos (Art. 21(2)(a))<\/strong>\n<ul>\n<li>Pol\u00edtica de seguridad de la informaci\u00f3n (vigente, firmada)<\/li>\n<li>Metodolog\u00eda de evaluaci\u00f3n de riesgos<\/li>\n<li>Registro de riesgos actual con planes de tratamiento<\/li>\n<li>Registros de aprobaci\u00f3n del \u00f3rgano de direcci\u00f3n<\/li>\n<li>Registros de formaci\u00f3n del \u00f3rgano de direcci\u00f3n (art\u00edculo 20)<\/li>\n<\/ul>\n<\/li>\n<li><strong>02 \u2014 Gesti\u00f3n de Incidentes (Art. 21(2)(b))<\/strong>\n<ul>\n<li>Plan de respuesta a incidentes<\/li>\n<li>Criterios de clasificaci\u00f3n de incidentes<\/li>\n<li>Procedimientos de notificaci\u00f3n y contactos del CSIRT<\/li>\n<li>Registros de ejercicios y lecciones aprendidas<\/li>\n<li>Registro de incidentes (anonimizado si es necesario)<\/li>\n<\/ul>\n<\/li>\n<li><strong>03 \u2014 Continuidad de Negocio (Art. 21(2)(c))<\/strong>\n<ul>\n<li>Plan de continuidad de negocio<\/li>\n<li>Plan de recuperaci\u00f3n ante desastres<\/li>\n<li>Pol\u00edtica de copias de seguridad y resultados de pruebas de restauraci\u00f3n<\/li>\n<li>Procedimientos de gesti\u00f3n de crisis<\/li>\n<li>Registros de ejercicios BCP\/DR<\/li>\n<\/ul>\n<\/li>\n<li><strong>04 \u2014 Seguridad de la Cadena de Suministro (Art. 21(2)(d))<\/strong>\n<ul>\n<li>Pol\u00edtica de seguridad de proveedores<\/li>\n<li>Registro de proveedores cr\u00edticos<\/li>\n<li>Registros de evaluaci\u00f3n de proveedores<\/li>\n<li>Cl\u00e1usulas contractuales de seguridad est\u00e1ndar<\/li>\n<li>Muestras de SBOM (para entrega de software)<\/li>\n<\/ul>\n<\/li>\n<li><strong>05 \u2014 Seguridad de Redes y Sistemas (Art. 21(2)(e))<\/strong>\n<ul>\n<li>Documentaci\u00f3n de arquitectura de red<\/li>\n<li>Pol\u00edticas y evidencia de segmentaci\u00f3n<\/li>\n<li>Configuraci\u00f3n de monitoreo y registro<\/li>\n<li>Reglas de alerta SIEM y procedimientos de respuesta<\/li>\n<\/ul>\n<\/li>\n<li><strong>06 \u2014 Gesti\u00f3n de Vulnerabilidades (Art. 21(2)(f))<\/strong>\n<ul>\n<li>Pol\u00edtica de gesti\u00f3n de vulnerabilidades<\/li>\n<li>Programas de escaneo y resultados recientes<\/li>\n<li>SLAs de remediaci\u00f3n y m\u00e9tricas de cumplimiento<\/li>\n<li>Pol\u00edtica de divulgaci\u00f3n de vulnerabilidades<\/li>\n<\/ul>\n<\/li>\n<li><strong>07 \u2014 Evaluaci\u00f3n de Efectividad (Art. 21(2)(g))<\/strong>\n<ul>\n<li>Informes de auditor\u00eda interna<\/li>\n<li>Informes de pruebas de penetraci\u00f3n<\/li>\n<li>M\u00e9tricas de seguridad y paneles de KPIs<\/li>\n<li>Actas de reuniones de revisi\u00f3n de la direcci\u00f3n<\/li>\n<\/ul>\n<\/li>\n<li><strong>08 \u2014 Criptograf\u00eda (Art. 21(2)(h))<\/strong>\n<ul>\n<li>Pol\u00edtica de criptograf\u00eda<\/li>\n<li>Algoritmos aprobados y longitudes de clave<\/li>\n<li>Procedimientos de gesti\u00f3n de claves<\/li>\n<li>Inventario de certificados<\/li>\n<\/ul>\n<\/li>\n<li><strong>09 \u2014 Control de Acceso y Gesti\u00f3n de Activos (Art. 21(2)(i))<\/strong>\n<ul>\n<li>Pol\u00edtica de control de acceso<\/li>\n<li>Registros de revisi\u00f3n de accesos<\/li>\n<li>Extracto de inventario de activos \/ CMDB<\/li>\n<li>Esquema de clasificaci\u00f3n de activos<\/li>\n<\/ul>\n<\/li>\n<li><strong>10 \u2014 Autenticaci\u00f3n (Art. 21(2)(j))<\/strong>\n<ul>\n<li>Pol\u00edtica de MFA y evidencia de aplicaci\u00f3n<\/li>\n<li>M\u00e9tricas de inscripci\u00f3n en MFA<\/li>\n<li>Evidencia de canales de comunicaci\u00f3n seguros<\/li>\n<li>Registro de excepciones (si las hay)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2>Recursos Relacionados<\/h2>\n<p>Para orientaci\u00f3n adicional sobre la preparaci\u00f3n para la auditor\u00eda NIS2 y el cumplimiento, consulte:<\/p>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/nis2\/\">Descripci\u00f3n General del Cumplimiento NIS2<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/antes-de-que-llegue-el-auditor-lista-de-preparacion-para-auditorias-ci-cd\/\">Antes de que Llegue el Auditor: Lista de Verificaci\u00f3n de Preparaci\u00f3n para Auditor\u00eda CI\/CD<\/a><\/li>\n<\/ul>\n<hr\/>\n<h3>Relacionado para Auditores<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/manual-para-el-dia-de-auditoria-como-gestionar-auditorias-ci-cd-en-entornos-regulados\/\">Playbook del D\u00eda de Auditor\u00eda<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/antes-de-que-llegue-el-auditor-lista-de-preparacion-para-auditorias-ci-cd\/\">Lista de Verificaci\u00f3n de Preparaci\u00f3n para Auditor\u00eda<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/how-auditors-actually-review-ci-cd-pipelines\/\">C\u00f3mo los Auditores Revisan los CI\/CD<\/a><\/li>\n<\/ul>\n<p><em>\u00bfNuevo en la auditor\u00eda de CI\/CD? Comience con nuestra <a href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\">Gu\u00eda para Auditores<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Prop\u00f3sito: Su Gu\u00eda de Preparaci\u00f3n para Auditor\u00eda NIS2 Lista para Usar Esta lista de verificaci\u00f3n est\u00e1 dise\u00f1ada para los responsables de cumplimiento que preparan a su organizaci\u00f3n para una auditor\u00eda de cumplimiento NIS2. Est\u00e1 estructurada en torno a las diez \u00e1reas de requisitos especificadas en el art\u00edculo 21(2) de la Directiva NIS2 y proporciona, para &#8230; <a title=\"Lista de Verificaci\u00f3n de Auditor\u00eda NIS2 \u2014 Paquete de Evidencia para Responsables de Cumplimiento\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/es\/audit-evidence-es\/lista-de-verificacion-de-auditoria-nis2-paquete-de-evidencia-para-responsables-de-cumplimiento\/\" aria-label=\"Leer m\u00e1s sobre Lista de Verificaci\u00f3n de Auditor\u00eda NIS2 \u2014 Paquete de Evidencia para Responsables de Cumplimiento\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,132,135],"tags":[],"post_folder":[],"class_list":["post-1996","post","type-post","status-publish","format-standard","hentry","category-audit-evidence-es","category-ci-cd-governance-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1996","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1996"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1996\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1996"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1996"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1996"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1996"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}