Política de auditoría y monitorización del cumplimiento

La Política de auditoría y monitorización del cumplimiento sirve como documento fundacional para establecer y gobernar el programa de auditoría estructurada y monitorización del cumplimiento de una organización en su Sistema de gestión de la seguridad de la información (SGSI). El propósito central de la política es validar la eficacia de los controles de seguridad y privacidad, garantizar la alineación con múltiples normas aplicables y marcos legales, detectar y abordar brechas de cumplimiento, y fomentar la mejora continua hacia la preparación para auditoría y la preparación regulatoria. La política se aplica de forma amplia a todas las unidades de negocio internas, entornos físicos y de nube, aplicaciones, activos de datos y proveedores terceros de servicios que mantengan obligaciones de auditoría o de cumplimiento. Cubre todas las formas de auditorías, incluidas auditorías internas, certificación externa, evaluaciones técnicas de cumplimiento y evaluaciones de proveedores terceros, así como los procesos de acciones correctivas y preventivas (CAPA), informes de métricas y control de evidencia de auditoría. La gobernanza es un foco crítico. La política exige un Programa de auditoría y monitorización del cumplimiento integrado dentro del SGSI, que abarque planes de auditoría anuales basados en el riesgo, ciclos de auditoría regulares adecuados a la criticidad de los activos y prácticas estrictas de documentación. Debe mantenerse un inventario de activos, realizando el seguimiento de hallazgos de auditoría, partes responsables y el estado de CAPA, con toda la evidencia almacenada de forma segura. Los requisitos procedimentales garantizan imparcialidad y objetividad coherentes con las principales normas de auditoría, y las revisiones externas deben coordinarse formalmente por los roles de Cumplimiento y Director de Seguridad de la Información (CISO) para el aseguramiento regulatorio. La política detalla responsabilidades para una amplia variedad de partes interesadas, incluidos responsables de auditoría interna, dirección, equipos de TI, responsables de departamento y coordinadores de adquisición/terceros, cada uno con deberes definidos en torno a la cooperación en auditorías, provisión de evidencia, acciones de remediación y supervisión de terceros. También prescribe la dependencia de herramientas de automatización para el cumplimiento técnico y la monitorización de vulnerabilidades, y delimita la gestión de excepciones, los protocolos de tratamiento de riesgos y el proceso de escalado por incumplimiento. Esta política está mapeada explícitamente a normas globales, incluidas ISO/IEC 27001:2022 (con cobertura específica de auditoría interna, revisión por la dirección y requisitos de CAPA), ISO/IEC 27002:2022 (controles para revisión y registro de auditoría), NIST SP 800-53 (evaluaciones de controles y seguimiento), GDPR (mandatos de evidencia de auditoría y pista de auditoría), NIS2 y DORA (directivas de la UE para sectores regulados) y COBIT 2019 (seguimiento y cumplimiento). Se referencian directamente políticas de apoyo para gestión de riesgos, conservación de evidencias, gestión de cambios, criptografía, supervisión de proveedores, respuesta a incidentes y continuidad del negocio, garantizando que el programa de auditoría refuerce objetivos de gobernanza más amplios y el cumplimiento normativo en toda la organización.