La auditoria que salio mal: cuando el auditor abre un Excel
Hay un momento que todo responsable de IT teme: cuando el auditor llega, se sienta y hace preguntas sencillas. No preguntas trampa. No cuestiones tecnicas complejas. Solo tres preguntas basicas que cualquier empresa deberia poder responder en minutos. El problema es que muchas no pueden.
Esta es la historia de una auditoria que empezo mal y termino peor, y de como un simple archivo Excel se convirtio en el protagonista involuntario de un informe de no conformidad.
El escenario: tres preguntas simples
El auditor llego un martes a las 10 de la manana. Era una auditoria de cumplimiento normativo, programada con semanas de antelacion. No habia sorpresas. El responsable de IT habia preparado documentacion, habia revisado politicas y se sentia razonablemente confiado.
El auditor abrio su cuaderno y formulo tres preguntas:
- Pregunta 1: “Necesito un listado actualizado de todos los dispositivos de la empresa, con su ubicacion y su responsable actual.”
- Pregunta 2: “Quiero ver el historial de incidencias de seguridad de los ultimos 12 meses, vinculadas a los activos afectados.”
- Pregunta 3: “Muestreme el registro de cambios en la asignacion de dispositivos: altas, bajas, transferencias.”
El responsable de IT abrio un archivo Excel.
Lo que el Excel no podia responder
El archivo existia desde hacia cuatro anos. Habia empezado como un listado limpio de 80 dispositivos y habia crecido organicamente hasta convertirse en un documento de 15 pestanas con mas de 500 filas, colores variados, columnas ocultas y notas en celdas que nadie recordaba haber escrito.
Pregunta 1: listado de dispositivos
El Excel tenia una pestana llamada “Inventario” con una lista de dispositivos. Pero al cruzarla con la lista de empleados activos, aparecieron inmediatamente discrepancias: 23 dispositivos asignados a personas que ya no estaban en la empresa. Otros 15 sin responsable asignado. Y una columna de “ubicacion” donde el 60% de las celdas estaba vacia o decia “oficina”.
El auditor anoto: “No es posible determinar con certeza cuantos dispositivos tiene la organizacion ni quien es responsable de cada uno.”
Pregunta 2: incidencias vinculadas a activos
Las incidencias se gestionaban con un sistema de tickets, pero no estaban vinculadas a activos concretos. Cuando un usuario reportaba un problema, el ticket se asociaba al nombre del usuario, no al numero de serie del dispositivo. El resultado: era imposible saber cuantas incidencias habia tenido un portatil concreto, si un dispositivo especifico habia sufrido una brecha de seguridad o si habia patrones de fallos en determinados modelos.
El auditor anoto: “No existe trazabilidad entre incidencias de seguridad y los activos afectados. No se puede demostrar que los incidentes se hayan investigado en relacion con los dispositivos implicados.”
Pregunta 3: registro de cambios
No habia registro de cambios. Cuando un dispositivo cambiaba de manos, alguien actualizaba la celda del Excel con el nuevo nombre. El nombre anterior desaparecia. No quedaba constancia de quien habia tenido el dispositivo antes, cuando se realizo el cambio ni quien lo autorizo.
El auditor anoto: “No existe audit trail de la asignacion de activos. No es posible reconstruir la cadena de custodia de ningun dispositivo.”
El informe de no conformidad
La auditoria duro tres horas. El informe llego dos semanas despues con tres no conformidades mayores y una recomendacion de accion correctiva inmediata. Las no conformidades:
- NC-01: Inventario de activos incompleto y desactualizado. Incumplimiento del requisito de mantener un registro actualizado de activos criticos.
- NC-02: Ausencia de vinculacion entre incidencias de seguridad y activos afectados. Incumplimiento del requisito de gestion integrada de incidentes.
- NC-03: Ausencia de registro de cambios y trazabilidad en la asignacion de activos. Incumplimiento del requisito de audit trail.
La empresa tenia 90 dias para presentar un plan de remediacion y 180 para implementarlo. El coste estimado de la remediacion, incluyendo la herramienta, la migracion de datos, la formacion del equipo y las horas dedicadas, supero los 25.000 euros. Sin contar el coste reputacional de un informe negativo en el registro de un proveedor que trabajaba con administracion publica.
El 67% de las PYMEs sigue usando hojas de calculo
Este caso no es excepcional. Segun estudios del sector, el 67% de las pequenas y medianas empresas sigue gestionando su inventario IT con hojas de calculo. La hoja de calculo es la herramienta por defecto porque es gratuita, familiar y no requiere implementacion. Pero tiene limitaciones estructurales que la hacen inadecuada para la gestion de activos:
- Sin historial automatico: Cada cambio sobrescribe el anterior. No hay registro de quien cambio que ni cuando.
- Sin alertas: No avisa cuando un dispositivo lleva seis meses sin actualizacion, cuando una garantia expira o cuando un empleado deja la empresa.
- Sin vinculacion: No puede conectar un activo con sus incidencias, sus usuarios anteriores, sus costes de mantenimiento y su historial de cambios en una vista unica.
- Sin control de acceso granular: Cualquiera con acceso al archivo puede modificar cualquier dato sin dejar rastro.
- Sin integridad de datos: Nada impide escribir “portatil” en una celda que deberia contener un numero de serie.
Lo que el auditor realmente busca
Los auditores no esperan sistemas perfectos. Esperan evidencia de control. La diferencia entre una auditoria exitosa y un informe de no conformidad suele reducirse a tres capacidades:
- Saber que tienes: Un inventario actualizado, completo y verificable de todos los activos IT de la organizacion.
- Saber que ha pasado: Un historial de incidencias, cambios y mantenimientos vinculado a cada activo individual.
- Demostrar quien ha hecho que: Un audit trail que registre cada accion relevante con fecha, usuario y detalle.
Estas tres capacidades son exactamente lo que una hoja de calculo no puede ofrecer y lo que un sistema de gestion de activos IT proporciona de forma nativa.
Como evitar que tu proxima auditoria termine asi
La leccion de este caso es clara: el momento de prepararse para una auditoria no es cuando recibes la notificacion. Es ahora. Estas son las acciones prioritarias:
- Sustituir el Excel por un sistema con audit trail nativo: Cada cambio en el inventario queda registrado automaticamente con fecha, usuario y detalle.
- Vincular incidencias a activos: Cada ticket de soporte se asocia al dispositivo concreto, no solo al usuario. Esto permite reconstruir el historial de cualquier activo en segundos.
- Implementar flujos de asignacion formales: Cada alta, baja o transferencia de un dispositivo sigue un proceso definido que genera un registro automatico.
- Generar informes de auditoria bajo demanda: En lugar de construir informes manualmente antes de cada auditoria, tener la capacidad de generar un snapshot completo del inventario con un clic.
El proximo auditor va a hacer las mismas tres preguntas. La diferencia estara en si abres un Excel o un sistema que pueda responderlas en tiempo real.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
"No tengo ningun portatil" -- Que hacer cuando un empleado niega tener un equipo
Un empleado es despedido y dice que nunca tuvo un portatil.
El inventario fantasma: 40 portatiles que nadie puede encontrar
Una empresa descubre que 40 dispositivos 'asignados' pertenecen a personas que ya no trabajan alli.
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.