Una nota de una página para equipos de software
Sustituye capturas por exportaciones repetibles.
Pruebas por defecto para preguntas de auditoría.
Soluciones de una página para preguntas habituales del tipo «enséñame» — independientes de herramientas y listas para copiar.
La tesis
Las capturas se aceptan como prueba, pero la prueba por captura es cara, frágil y a veces imposible.
Las pruebas las piden personas reales con cierta periodicidad: auditores externos, clientes y compras (cuestionarios de seguridad), riesgo y cumplimiento internos, responsables de seguridad e ISMS, y dirección durante due diligence (acuerdos enterprise, financiación, M&A).
Qué significa «prueba»
Una prueba es un artefacto que puede reproducirse después y que responde qué ocurrió, cuándo ocurrió, quién lo hizo y de qué sistema procede.
Los sistemas de gestión tipo ISO normalizaron «enséñame la evidencia» (ISO 9001 → ISO/IEC 27001). Si una evidencia aguanta una auditoría tipo ISO 27001, suele valer también para expectativas adyacentes — por ejemplo NIS2.
Regla
Si no se puede recrear el mes que viene (misma consulta/ruta de exportación), no es una buena prueba.
❌ MAL — capturas en la semana de auditoría
Las capturas se hacen solo cuando el auditor las pide y luego se pegan en un documento con explicaciones manuales. No hay rastro de evidencia entre auditorías, así que el equipo corre bajo presión. Ahí aparecen los errores: periodo equivocado, falta de contexto, nomenclatura inconsistente.
✅ BIEN — capturas rutinarias
Las mismas capturas se toman como parte de una rutina semanal/mensual y se guardan como un paquete de evidencia fechado. Cada periodo aparece una carpeta predecible con el mismo conjunto de capturas, etiquetadas con periodo y responsable. La semana de auditoría pasa a ser recuperar, no producir.
Los auditores aceptan capturas — pero confían en las rutinas.
Por qué las capturas fallan en la práctica
1. Caro
Revisar accesos en muchas aplicaciones implica visitar muchas consolas de administración, hacer muchas capturas y escribir una explicación para cada una. El coste crece linealmente con el número de sistemas y usuarios.
2. Propenso a errores
Una captura muestra el estado actual, pero la pregunta suele ser «estado en el momento de la revisión». Si a la captura le falta tenant, URL, marca de tiempo o filtro activo, es ambigua — y la evidencia ambigua se rechaza o se vuelve a pedir.
3. Inviable a gran escala
El estado de parches en cientos de equipos o el éxito de backup en muchas cargas no se puede capturar. Hace falta una exportación, una consulta o un informe — si no, la respuesta es incompleta por construcción.
Artefacto 1 — la lista
Inventario de evidencia
La página única que dice qué evidencia conservas, de dónde sale y quién es su responsable. Si tu equipo no sabe nombrar qué cuenta como evidencia, no podrá producirla bajo demanda. Copia esta tabla, sustituye las filas por tus sistemas, conserva las columnas.
| Evidencia | Fuente | Responsable | Frecuencia | Formato de exportación | Ubicación |
|---|---|---|---|---|---|
| Lista de accesos de usuarios (app productiva) | Proveedor de identidad / admin de la app | Propietario de la plataforma | Mensual | Exportación CSV | Evidence/YYYY-MM/access/ |
| Miembros con rol admin / privilegiado | Consola IAM | Responsable de seguridad | Mensual | CSV + PDF firmado | Evidence/YYYY-MM/access/ |
| Estado de inscripción MFA | Proveedor de identidad | Admin de TI | Mensual | Exportación CSV | Evidence/YYYY-MM/access/ |
| Estado de parches / versión de SO | MDM / gestor de endpoints | Admin de TI | Mensual | Exportación CSV | Evidence/YYYY-MM/endpoints/ |
| Resultados de trabajos de backup | Herramienta de backup | Responsable de Ops | Semanal | CSV / informe | Evidence/YYYY-MM/backups/ |
| Registro de prueba de restore | Backup + ticket | Responsable de Ops | Trimestral | PDF + enlace al ticket | Evidence/YYYY-Qn/restore/ |
| Registros de cambios en producción | Git / log de despliegue | Responsable de Ingeniería | Continuo → exportado mensualmente | CSV / JSON | Evidence/YYYY-MM/changes/ |
| Resultados de escaneo de vulnerabilidades | Escáner | Responsable de seguridad | Mensual | CSV / PDF | Evidence/YYYY-MM/vuln/ |
| Snapshot del registro de riesgos | Registro de riesgos | Responsable del ISMS | Mensual | Exportación PDF | Evidence/YYYY-MM/risk/ |
| Snapshot del registro de incidentes | Sistema de tickets | Responsable de seguridad | Mensual | Exportación CSV | Evidence/YYYY-MM/incidents/ |
| Lista de proveedores + estado de revisión | Inventario de proveedores | Compras / ISMS | Trimestral | Exportación CSV | Evidence/YYYY-Qn/suppliers/ |
Artefacto 2 — la rutina
Exportación mensual de evidencia
La lista anterior es inútil sin una rutina que produzca los artefactos en un calendario. Este es el bucle: diez pasos, independientes de herramientas, hacibles en una sentada. Ejecútalo cada mes y la semana de auditoría pasa a ser recuperar, no producir.
- 01Abre la carpeta de evidencia del mes actual y crea las subcarpetas estándar.
- 02Para cada fila del inventario, abre el sistema fuente y ejecuta la exportación o consulta documentada.
- 03Guarda cada exportación con el patrón: {item}_{YYYY-MM}_{owner}.{ext}.
- 04Donde la fuente no tenga una exportación limpia, haz capturas que incluyan URL, tenant, filtro y reloj o marca de tiempo del sistema.
- 05Anota el actor y la ruta de exportación en una nota de una línea junto a cada artefacto.
- 06Compara el mes actual con el anterior para listas de acceso, admins y proveedores; guarda el diff junto a la exportación.
- 07Marca excepciones e incidencias conocidas en el registro, con responsable y fecha objetivo.
- 08Que el responsable apruebe la carpeta (basta un checkbox en un tracker).
- 09Bloquea la carpeta del periodo (solo lectura) para que no pueda editarse después.
- 10Enlaza la carpeta desde tu índice de evidencia, así la siguiente petición del auditor está a un clic.
Reenvía esto
Vale por sí solo. Envíalo a quien siempre le piden capturas.
Adaptado de
ISO 27001 para empresas de software
Una serie de cuatro volúmenes por Messemer Tech
Una guía práctica para construir y operar un programa ISO/IEC 27001 en empresas de software — sin teatro de cumplimiento.
Este sitio es un complemento de documentación adaptado del capítulo de evidencia del libro, con permiso. Los artefactos anteriores son extractos; la guía completa los amplía a lo largo del resto de la norma.