Base del sistema

Configuración del sistema

El módulo 0 define los cimientos sobre los que opera todo el ciclo de auditoría. Sin configuración completa, ninguna fase puede iniciar.

🗂️

Estructura

Diagrama e interdependencias

📐

Frameworks

ISO, NIST, CIS y más

👥

Usuarios y roles

Permisos por función

🏢

Áreas y procesos

Catálogo organizacional

⚖️

Criterios de riesgo

Factores y ponderaciones

📬

Plantillas

Emails y comunicaciones

🎨

Branding

Identidad en informes

Estructura

Frameworks

Usuarios y roles

Áreas y procesos

Criterios de riesgo

Plantillas de email

Branding

Estructura del Módulo 0

El Módulo 0 es prerequisito de todo el ciclo. Sus 6 submódulos alimentan directamente cada fase.

🗂️

Dependencias: qué alimenta cada submódulo

📐 Frameworks

👥 Usuarios y roles

🏢 Áreas y procesos

⚖️ Criterios de riesgo

📬 Plantillas email

🎨 Branding

F1
Plan.

F2
Prep.

F3
Ejec.

F4
Rep.

F5
Seg.

F6
Cier.

Checklist de configuración inicial

El sistema muestra este checklist al administrador al iniciarse por primera vez. Hasta completarlo al 100%, las fases del ciclo permanecen bloqueadas.

Configuración inicial del sistema · Progreso: 4 / 7

✓

Datos generales de la organización

Nombre, logo, zona horaria, idioma

✓

Frameworks activos configurados

3 frameworks activados: ISO 27001, NIST CSF, CIS Controls

✓

Usuarios y roles creados

8 usuarios · 4 roles configurados

✓

Catálogo de áreas y procesos

12 áreas · 34 procesos registrados

⏳

Criterios de evaluación de riesgos

Pendiente: definir factores y ponderaciones

○

Plantillas de notificaciones

Sin configurar · Requerido para el motor de comunicaciones

○

Branding corporativo

Logo e identidad para informes y emails

El ciclo de auditorías se habilitará al completar los 7 pasos.

Gestión de frameworks

Activa, desactiva y configura los estándares bajo los que opera tu programa de auditoría. Puedes tener múltiples activos simultáneamente.

Configuración · Frameworks

Frameworks disponibles

3 activos de 8 disponibles

Activo

ISO/IEC 27001

Versión 2022 · Seguridad de la información

114 controles 10 cláusulas 4 anexos

Activo

NIST CSF 2.0

2024 · Ciberseguridad

6 funciones 22 categorías 106 subcategorías

Activo

CIS Controls v8

2021 · Controles críticos de seguridad

18 controles 153 salvaguardas 3 grupos IG

Activo

Inactivo

ISO/IEC 20000-1

Versión 2018 · Gestión de servicios TI

9 cláusulas ITSM

Inactivo

ISO 9001

Versión 2015 · Gestión de calidad

10 cláusulas SGC

Inactivo

ISO 14001

Versión 2015 · Gestión ambiental

10 cláusulas SGA

Inactivo

ISO 45001

Versión 2018 · Seguridad y salud en el trabajo

10 cláusulas SST

Inactivo

＋

Agregar framework personalizado

Importa o crea tus propios
controles y cláusulas

Detalle de framework: ISO/IEC 27001:2022

Framework · ISO/IEC 27001:2022 · Controles

ISO/IEC 27001:2022

114 controles · 10 cláusulas · Seguridad de la información

Cláusula	Nombre del control	Tipo	Aplica	Justificación de exclusión
A.5.1	Políticas para la seguridad de la información	Organizacional	Aplica	—
A.5.2	Roles y responsabilidades de seguridad de la información	Organizacional	Aplica	—
A.6.1	Verificación de antecedentes	Personas	Excluido	Gestionado por RRHH fuera de TI
A.8.1	Dispositivos de punto final del usuario	Tecnológico	Aplica	—
+ 110 controles más…

Usuarios y roles

Gestiona quién puede hacer qué en el sistema. Los roles definen permisos; los usuarios heredan los permisos de su rol asignado.

Configuración · Usuarios

Usuarios del sistema

8 usuarios activos · 4 roles

Usuario	Email	Rol	Frameworks	Área	Estado	Último acceso
AG Ana García	[email protected]	Auditor líder	ISO 27001, NIST	—	Activo	Hoy 09:14
RL Roberto López	[email protected]	Auditor interno	ISO 20000, NIST	—	Activo	Ayer
JP Jorge Peña	[email protected]	Auditado	—	Seguridad TI	Activo	3 días
DM Directora M.	[email protected]	Alta dirección	Todos	—	Activo	1 semana
+ 4 usuarios más…

Matriz de permisos por rol

Acción	Admin	Auditor líder	Auditor interno	Auditado	Alta dirección
Módulo 0 · Configuración
Gestionar frameworks	●	○	○	○	○
Gestionar usuarios y roles	●	○	○	○	○
Gestionar áreas y catálogos	●	◑	○	○	○
Ver configuración general	●	●	◑	○	◑
Fases 1–6 · Auditorías
Crear / editar programa anual	◑	●	○	○	○
Registrar hallazgos	○	●	●	○	○
Ver hallazgos propios	●	●	●	◑	●
Registrar acciones correctivas	○	●	◑	●	○
Aprobar programa anual	○	○	○	○	●
Ver dashboard ejecutivo	●	●	○	○	●

● Acceso completo ◑ Acceso parcial / condicionado ○ Sin acceso

Formulario: nuevo usuario

Nuevo usuario · Configuración

Nombre completo *

Correo electrónico *

Rol *

Área (si aplica)

Estado

Frameworks de competencia (para auditores)

ISO 27001 NIST CSF CIS Controls ISO 20000 ISO 9001

Solo visible para roles de auditor. Define en qué frameworks puede ser asignado.

Catálogo de áreas y procesos

Define la estructura organizacional que será auditada. Cada área puede tener procesos y subprocesos. Se vinculan con controles de los frameworks activos.

Catálogo de áreas y procesos

Estructura organizacional

12 áreas · 34 procesos

📁 Seguridad de la información ISO 27001 NIST CSF

└─

Gestión de accesos e identidades

Responsable: J. Peña · Controles: A.5.15, A.8.2, CIS-5

└─

Gestión de vulnerabilidades

Responsable: M. Torres · Controles: A.8.8, CIS-7, NIST ID.RA

└─

Respuesta a incidentes

Responsable: J. Peña · Controles: A.5.24, NIST RS.RP

📁 Gestión de servicios TI ISO 20000

└─

Mesa de servicios

Responsable: R. López · Controles: 8.6.1, 8.6.2

└─

Gestión de cambios

Responsable: R. López · Controles: 8.5

+ 10 áreas más…

Formulario: nueva área

Nueva área / proceso

Nombre del área *

Responsable del área *

Área padre (si aplica)

Frameworks asociados

ISO 27001 NIST CSF CIS Controls

Define qué frameworks aplican por defecto al auditar esta área.

Descripción

Criterios de evaluación de riesgos

Define los factores que determinan la criticidad de cada área para priorizar el programa de auditoría. Los pesos son configurables.

Configuración · Criterios de riesgo

Factores de evaluación

Suma de pesos: 100 puntos máximo

FactorEscala de valoresPeso

NCs abiertas del ciclo anterior

No conformidades sin cerrar al inicio del ciclo

0–3 o más

Incidentes reportados

Incidentes de seguridad, calidad o servicio en el período

0 / 1–2 / 3+

Cambios regulatorios o del framework

Actualizaciones de la norma o requisitos legales

Sin / menores / significativos

Cambios en procesos o sistemas

Implementaciones, migraciones, reorganizaciones

Sin / menores / mayores

Tiempo desde última auditoría

Meses transcurridos desde el último ciclo

<12 / 12–24 / +24 meses

Total pesos configurados: 100 / 100 ✓

Umbrales de clasificación

Umbrales de riesgo

Alto

≥ 70 puntos

Medio

40 – 69 puntos

Bajo

< 40 puntos

ℹ️

Frecuencia de evaluación: el mapa de riesgos se recalcula automáticamente al inicio de cada ciclo de planeación, tomando los datos del período cerrado anterior.

Plantillas de notificaciones

Cada evento del ciclo tiene su propia plantilla configurable. Las variables dinámicas se reemplazan automáticamente al enviar.

Configuración · Plantillas de notificaciones

Plantillas del motor de notificaciones

10 plantillas configurables · 2 pendientes

Evento	Fase	Destinatarios	Estado
Programa anual aprobado	F1 · Planeación	Auditores, responsables de área	Lista
Apertura formal de auditoría	F2 · Preparación	Auditados, equipo auditor	Lista
Informe disponible para revisión	F4 · Reporte	Alta dirección, responsables	Lista
Acción correctiva asignada	F5 · Seguimiento	Responsable de AC	Lista
Recordatorio: 15 días antes	F5 · Seguimiento	Responsable, auditor líder	Lista
Vencimiento excedido	F5 · Seguimiento	Alta dirección, líder	Pendiente
Auditoría cerrada formalmente	F6 · Cierre	Todos los involucrados	Pendiente

Editor de plantilla

Editando: "Acción correctiva asignada"

Asunto del email *

Cuerpo del email *

Variables disponibles

{{nombre_destinatario}}Nombre del usuario

{{nombre_auditoria}}Nombre de la auditoría

{{framework}}Framework aplicable

{{fecha_limite}}Fecha límite AC

{{descripcion_hallazgo}}Texto del hallazgo

{{severidad_hallazgo}}Mayor / Menor / Obs.

{{nombre_auditor_lider}}Auditor responsable

{{enlace_ac}}Link directo al sistema

{{nombre_empresa}}Nombre de la org.

Branding corporativo

Define la identidad visual que se aplicará en todos los informes generados y en los emails de comunicación.

Configuración · Branding corporativo

Logo de la organización

🖼️

Arrastra tu logo aquí o haz clic para seleccionar

PNG, SVG · Máx 2MB · Fondo transparente recomendado

Nombre de la organización *

Color primario (encabezados)

Color de acento

Pie de página en informes

Firma de email

Clasificación por defecto de informes Se puede cambiar por informe individual.

Vista previa de encabezado de informe

Informe de Auditoría Interna

Seguridad de la información · ISO 27001:2022

Confidencial

Fecha: 15 Mar 2025

Auditor líder: Ana García

Alcance: Sistemas de información

Versión: 1.0

Resumen ejecutivo del informe aparecerá aquí…

✓

El branding se aplica automáticamente a todos los informes exportados en PDF y a los encabezados de los emails del motor de notificaciones.