GH GambleHub

Exámenes y auditorías periódicos

1) Objetivos y principios

Revisiones y revisiones periódicas (Periodic Reviews) es un ciclo de validación regulado que confirma la pertinencia de las políticas, la corrección de los accesos, la eficacia de los controles y la preparación para la auditoría.

Principios:
  • Calendarismo y previsibilidad: ventanas fijas y deduplines.
  • Orientación al riesgo: prioridades de criticidad y KRI.
  • Automation-first: máximo de autocaravanas y autovía.
  • Evidence by design: las pruebas se generan de forma automática e inmutable (WORM).
  • Un owner: cada revisión tiene un propietario, un SLA y un plan de escalamiento.

2) Tipos de revisiones periódicas (cartera)

Tipo de revisiónFrecuencia (mínimo)ObjetivoArtefactos de fin de semana
Políticas/procedimientosanual/bajo Mayoractualización de requisitoschangelog, protocolo apruva
Auditoría de accesos (IAM/IGA)trimestral (crítico)el principio de menos privilegios, SoDinforme re-cert, lista de revocos
Registro de riesgos (RBA-lite)Trimestralmenteajuste de riesgo/KRIRisk Register actualizado
Eficiencia de control (CCM)Mensualmentepass rate, deriva, FPR/TPRinforme de pruebas de control
Proveedores/subcontratación (VRM)anual/por disparadoresestado de los certificados/SLA/DDRevisión de Vendor y lista de gap
Retencia y Legal HoldTrimestralmenteTTL, eliminación/congelacióninforme de eliminación/hold-logs
Ejercicios DR/BCPtrimestral/anualvalidación de RTO/RPO y procesosacto de ejercicio y CAPA
DSAR/privacidadmensual/trimestralSLA, exhaustividad, quejasinforme DSAR SLA/calidad
Preparación para auditorías (dry-run)Trimestralmente«audit pack en el botón»paquete evidence + recibo
Licencias/certificacionessegún el calendario del reguladorcumplimiento de plazos y scopecalendario de compromisos

3) Roles y RACI

AuditoríaARCI
Políticas/procedimientosHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
Accesos IAMCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Registro de riesgosHead of RiskRisk OfficeCompliance, FinanceExec/Board
Controles (CCM)Compliance EngControl OwnersSecOps, DataCommittee
Proveedores (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retencion/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Calendario anual (plantilla de ejemplo)

Mensualmente: controles CCM, DSAR SLA, informes de deriva de nube/encriptación, waiver-higiene.
Trimestralmente (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, ejercicios de DR, Audit dry-run, retén/desinstalación.
Anualmente: revisión completa de políticas/procedimientos, revisiones de VRM de proveedores críticos, BIA (impacto empresarial), plan de auditoría/certificación.

5) Proceso (SOP) de cualquier auditoría

1. Iniciación: tarjeta de revisión (scope, objetivos, criterios, dlines, propietarios).
2. Recopilación de datos: auto-descarga/dashboards, escaparate de la videncia, muestra.
3. Comprobaciones y pruebas: lista de comprobación, pass/fail, severity de las desviaciones.
4. SARA/remediación: lista gap con propietarios y plazos, medidas compensatorias.
5. Apruve y fijación: protocolo de solución, recibos hash, archivo WORM.
6. Comunicación: una-página + tareas en ITSM/GRC; Escalamiento de SLA.
7. Retrospectiva: lecciones, actualización de estándares/plantillas.

6) Plantillas de listas de verificación

6. 1 Políticas/procedimientos

  • Pertinencia de las referencias y términos normativos
  • Medición de los estados de control
  • Combinación con SOP/estándares y reglas CCM
  • Localizaciones/addendums sincronizados
  • Changelog y versión, apruve del Comité

6. 2 IAM re-cert

  • Lista completa de derechos activos y propietarios
  • Conflictos SoD, cuentas orphan, excepciones JIT
  • Prueba de revocación/disminución de derechos
  • Los accesos vendedores y las federaciones de SSO
  • Protocolo de re-certificación y métricas de retraso

6. 3 VRM

  • Informes actualizados SOC/ISO/PCI, scope y excepciones
  • SLA/incidentes/préstamos durante el período
  • Subprocesadores y ubicaciones de datos - sin deriva
  • Lista gap y estado de las remediaciones
  • Plan de salida y confirmación de retención espejada

6. 4 Retiro/Legal Hold

  • Infracciones TTL = 0 críticas
  • Informes de eliminación + resumen hash
  • Activo Legal Hold - razones, fechas, propietarios
  • Retén espejo en proveedores
  • La lógica DSAR no se rompe

6. 5 DR/BCP

  • Prueba de RTO/RPO y recuperación de muestras
  • Playbucks de comunicación y on-call
  • Resultados del ejercicio y CAPA
  • Los vendedores participaron/confirmaron la preparación
  • Post-mortem documentado

7) Métricas y SLO de la cartera de revisiones

Tasa de revisión en tiempo real:% de las revisiones completadas a tiempo (objetivo ≥ 95%).
Evidence Readiness:% de revisiones con un conjunto completo de artefactos (objetivo 100%).
CAPA En tiempo:% de las remedias cerradas por SLA (por severity).
Repeat Findings: porcentaje de comentarios repetidos por 12 meses (tendencia ↓).
Access Hygiene: porcentaje de derechos obsoletos después de re-cert (objetivo ≤ 2%).
Vendor Certificate Freshness:% de certificados actualizados en proveedores críticos (objetivo 100%).
Audit-Ready Time: tiempo para recoger el «audit pack» después de la revisión (≤ 8 horas).

8) Dashboards (conjunto mínimo)

Vista de calendario: tarjeta de revisiones trimestrales con SLA/atrasos.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: abierto/vencido, propietarios, severity.
IAM Hygiene: orphan/SoD/JIT excepciones, tendencias.
VRM Heatmap: Risk-score proveedores, certificados, incidentes.
Retention & Hold: infracciones TTL, volúmenes de eliminación, hold activo.
Audit Readiness: completeness «por botón», anclajes de paquetes hash.

9) Artefactos y almacenamiento

Protocolo de auditoría (agenda, conclusiones, decisiones, owner/due).
Lista de comprobaciones/muestras y sus resultados (pass/fail).
Lista gap y CAPA con fechas y métricas de éxito.
Recibos hash de descargas e informes; WORM/Object Lock.
Versiones actualizadas de políticas/procedimientos y mapeo de control.

10) Gestión de excepciones (waivers)

Se formaliza para cada gap identificado si la corrección no es posible a tiempo.
Contiene la razón, medidas compensatorias, fecha de caducidad, propietario/plan.
Visto en el dashboard; auto-escalada 14/7/1 día antes de la expiración.

11) Integración

CCM/Compliance-as-Code: las reglas de las pruebas de control se ejecutan automáticamente cuando se revisa.
GRC: registro de auditorías, findings, CAPA, waivers, SLA e informes.
Evidence Storage: archiving automático de todos los materiales con fijación hash.
ITSM: tareas y escaladas a los propietarios de sistemas.
VRM: apriete los estados de los proveedores/certificados.
LMS: Cursos/certificaciones de revisiones mayores.

12) Antipatternas

Revisiones «para marcar» sin CAPA ni propietarios.
Falta de calendario y previsibilidad → caducidad y régimen de incendios.
Las descargas manuales sin recibos hash y WORM → la controversia de las pruebas.
Mezcla de scope (las políticas cambian los requisitos, pero los SOP/controles no se actualizan).
Waivers «eternos» sin fecha de caducidad y compensación.
No hay relación con el riesgo-apetito/comité: las decisiones no se escalan.

13) Modelo de madurez (M0-M4)

M0 Ad-hoc: inspecciones irregulares, informes en Excel, sin owners.
M1 Planeado: calendario y hojas de verificación básicas, almacenamiento de artefactos.
M2 Administrado: registro GRC, dashboards, SLA/escalamiento, archivo WORM.
M3 Integrado: SSM/Ascod, auditoría automática, dry-run por botón.
M4 Continuous Assurance: KRI predictivo, auto-rediseño, capability de extremo a extremo «riesgos → revisión → CAPA».

14) Artículos relacionados wiki

KPI y métricas de cumplimiento

Auditoría orientada al riesgo (RBA)

Monitoreo continuo de cumplimiento (CCM)

Almacenamiento de pruebas y documentación

Mantenimiento de registros y Audit Trail

Administrar cambios en la política de cumplimiento

Due Diligence y riesgos de externalización

Comité de Gestión de Riesgos y Cumplimiento

Resultado

Las revisiones y revisiones periódicas convierten el cumplimiento de la «respuesta a los problemas» en un transportador transparente de mejoras: calendario fijo, inspecciones automatizadas, artefactos de calidad, CAPAs oportunos y preparación predecible para cualquier auditoría.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.