Evidencia para access reviews: qué conservar y dónde

Una review sin evidencia es, para el auditor, una review que nunca ocurrió. Aquí te explicamos qué conservar, en qué formato y durante cuánto tiempo.

En una auditoría ISO los auditores piden pruebas. "Hacemos reviews" no es suficiente — quieren ver qué ocurrió, quién lo hizo y cuándo.

Qué conservar por cada review

• Exportación de snapshot: quién tenía acceso a qué en el momento de la review.
• Decisiones por fila: mantener / revocar / modificar, con la justificación correspondiente.
• Participantes: quién tomó cada decisión.
• Cronología: inicio, cierre y ejecución de las acciones.
• Ejecución: confirmación de que las acciones de revocación se llevaron a cabo efectivamente.
• Informe final: PDF de 2 páginas con resumen, nombres y firma.

Formato

El PDF es el formato ideal para la entrega a auditores. Muchas herramientas lo generan automáticamente — consulta la demo de AccessGuard para ver un informe de ejemplo.

Período de conservación

Mínimo 3 años para fines ISO. En la práctica: conserva los registros mientras mantengas la certificación ISO + 1 año adicional.

Ubicación de almacenamiento

Un único lugar centralizado en tu wiki o sistema documental, con ACL restringida a "solo equipo de cumplimiento + dirección". No disperses los documentos entre buzones de correo.

Qué rechazan los auditores

• Capturas de pantalla sueltas sin contexto.
• Informes sin fecha ni nombres.
• Sin vinculación entre la decisión y su ejecución.
• Fecha de review en el futuro ("prevista para la semana que viene").

Ver también: checklist pre-auditoría, pilar de reviews.