Cómo superar una auditoría de activos de TI: una lista de comprobación práctica
Las mismas cinco brechas aparecen en casi todas las auditorías de activos de TI — para SOX, ISO 27001, SOC 2 o ajustes de proveedores. Esta es la lista de comprobación para cerrarlas antes de que llegue el auditor.
Las auditorías son estresantes por dos razones. La primera: a nadie le gusta que alguien lea sus registros. La segunda: la mayoría de los equipos no saben qué registros se supone que deben tener hasta que el auditor los pide. La buena noticia es que la lista de solicitudes del auditor es consistente entre marcos, incluso cuando el propio marco difiere.
A continuación: qué examina cada auditoría de activos de TI, los documentos que debes tener archivados, las cinco brechas que cogen por sorpresa a la mayoría de las empresas y un plan de consolidación pre-auditoría de 30 días.
Los cuatro tipos de auditoría que encontrarás
| Auditoría | Qué examina | Detonante |
|---|---|---|
| SOC 2 / ISO 27001 | Inventario de activos, control de acceso, gestión de cambios, gestión de proveedores | Anual / impulsada por clientes |
| SOX (ITGC) | Acceso lógico, segregación de funciones, registros de activos vinculados a los informes financieros | Anual para entidades públicas/reguladas |
| Ajuste de proveedor de software | ¿Estás usando más licencias de las que has pagado? | Renovación o aleatoriamente (Microsoft, Oracle, IBM son frecuentes) |
| Seguro / suscripción cyber | Cobertura de activos, MFA, parcheado, controles de offboarding | Anual o tras una solicitud de renovación |
Marco diferente, mismas preguntas: ¿sabes lo que tienes, quién lo tiene y puedes demostrarlo?
La lista estándar de solicitudes del auditor
- Inventario de activos — cada portátil, servidor, dispositivo móvil, dispositivo de red, con propietario y ubicación.
- Inventario de software — cada SaaS de pago o software con licencia, número de puestos, usuarios actuales.
- Matriz de accesos — qué usuario tiene acceso a qué sistema, con rol, concedido por, concedido en.
- Registros de alta/cambio/baja — para el período de auditoría, la muestra completa de eventos de onboarding y offboarding con evidencia.
- Log de cambios — cada cambio en activos, accesos o configuraciones, con marca de tiempo y atribuible.
- Repositorio de contratos — cada acuerdo de proveedor activo con un propietario defendible.
- Registros de eliminación de hardware — prueba de que los dispositivos retirados fueron borrados y eliminados correctamente.
- Evidencia de copia de seguridad y recuperación — para sistemas que contienen datos regulados.
Las 5 brechas que los auditores encuentran con más frecuencia
1. Cuentas fantasma de empleados que se fueron
Un empleado se fue en octubre, pero su puesto de Slack, GitHub o Salesforce sigue activo en febrero. Este es el hallazgo más común de SOC 2. Solución: desaprovisionamiento impulsado por el proveedor de identidad que toca automáticamente cada SaaS conectado, más un barrido trimestral de "más de 60 días sin acceso".
2. Hardware no rastreado
Portátiles entregados sin etiqueta de activo. Teléfonos reembolsados vía informes de gastos que nunca entran en el registro. Solución: cada compra de hardware entra en el inventario al recibirlo, no al desplegarlo, con una etiqueta, propietario y registro de garantía.
3. Software en uso sin licencia
El hallazgo clásico de Microsoft/Oracle. Un equipo instaló una herramienta, la empresa nunca compró una licencia, el auditor la encuentra en el escaneo de descubrimiento. La factura del ajuste puede ser enorme. Solución: aplicar una política de instalación de software solo mediante compras, ejecutar escaneos de descubrimiento trimestrales, reconciliar con el inventario de licencias.
4. Contratos a nombre de "ti@empresa.com"
Si cada contrato es propiedad de una bandeja compartida, ningún ser humano real es responsable. Los auditores lo señalan de inmediato. Solución: cada contrato tiene un propietario humano nombrado y un sustituto documentado.
5. Sin rastro de auditoría sobre los cambios
"¿Quién reasignó esta licencia?" "No lo sé — simplemente pulsamos Guardar." Si tus herramientas no registran quién hizo qué y cuándo, fallas la auditoría antes de empezar. Solución: elige una herramienta ITAM/acceso con registro de cambios adecuado integrado. SOC 2 lo exige explícitamente.
Plan de consolidación pre-auditoría de 30 días
Semana 1 — inventario
- Reconcilia el registro de hardware con la lista de usuarios del IdP. Cada empleado activo contabilizado; cada portátil asignado a una persona real.
- Barrido de cuentas SaaS. Deshabilitar o eliminar cada cuenta perteneciente a alguien que no esté en la lista de empleados activos.
- Extraer datos de último acceso para cada SaaS de pago. Marcar cualquier puesto inactivo durante 90+ días.
Semana 2 — accesos
- Generar la matriz de accesos: usuario × sistema × rol. Exportar de cada sistema, consolidar en un lugar.
- Verificar la segregación de funciones para los sistemas relevantes para finanzas (nadie aprueba sus propios gastos; nadie es a la vez administrador y revisor).
- Verificación de aplicación de MFA. Cada cuenta privilegiada tiene MFA. Sin excepciones.
Semana 3 — contratos y licencias
- Cada contrato activo cargado en el repositorio central, con fecha de renovación, período de preaviso, propietario y valor.
- Reconciliación de consumo versus derechos de licencia para los 10 principales proveedores por gasto.
- Política de compras revisada y aprobada — no se puede instalar software sin una licencia rastreada.
Semana 4 — paquete de evidencias
- Muestra de evidencias de alta/baja para el período de auditoría.
- Certificados de eliminación de hardware para cualquier dispositivo retirado durante el período.
- Exportación del log de cambios para activos, accesos y configuraciones.
- Archivo de diligencia debida con proveedores para cualquier subencargado que gestione datos regulados.
El lenguaje corporal del auditor
Si el auditor pregunta "¿puede explicarme cómo pierde el acceso alguien que se va?" y respondes "el service desk lo hace, creo" — ya has fallado ese control. La respuesta correcta es "el IdP activa un flujo de trabajo automatizado, aquí tiene el log de los últimos doce".
Cómo ayuda una plataforma ITAM
La mayor parte del trabajo anterior vive en hojas de cálculo y unidades compartidas por defecto, y ahí es exactamente donde la preparación para la auditoría se desmorona. Una plataforma moderna de gestión de activos de TI como InventorIA integra:
- Flujos de alta/baja impulsados por la identidad que producen evidencia automáticamente.
- Utilización de licencias versus derechos en cada SaaS de pago.
- Repositorio de contratos con términos de renovación analizados.
- Log de cambios en cada activo, licencia y contrato.
- Exportación para auditores con un clic (CSVs, paquete de evidencias, con marca de tiempo).
Las empresas que ejecutan esto de forma continua — en lugar de improvisar antes de la auditoría — suelen acortar los ciclos de auditoría en un tercio y ponen fin a la tradición de la semana de pánico previo.
Inventario listo para auditoría en días, no semanas
InventorIA produce paquetes de evidencias que los auditores realmente aceptan. Gratuito para tus primeros 10 usuarios.
Empezar gratis →