Contenido

    Este artículo cubre 8 puntos sobre cómo demostrar en una auditoría que tu personal está correctamente formado:

    1. Qué esperan ver auditores y autoridades (ISO 27001, RGPD, NIS2)
    2. Qué evidencias necesitas tener preparadas
    3. Cómo organizar las evidencias para que sean exportables
    4. Muestreo e entrevistas: cómo validan los auditores
    5. Cómo preparar a la empresa para auditar la formación
    6. Errores que pueden debilitar la demostración
    7. Cómo puede ayudarte PrivaLex
    8. Preguntas frecuentes y siguiente paso

    La formación en seguridad y privacidad no basta con impartirla: hay que poder demostrarla. En una auditoría de ISO 27001, una inspección de cumplimiento de RGPD o una supervisión bajo NIS2, las autoridades no se conforman con una declaración verbal. 

    Quieren evidencias claras de que tu equipo ha sido capacitado de manera adecuada y periódica.

    Esta guía explica qué evidencias esperan auditores y autoridades, cómo organizarlas y qué errores evitar para que la auditoría sea fluida. En PrivaLex Partners diseñamos formaciones y documentación lista para auditoría, de modo que cada revisión sea una oportunidad de demostrar cumplimiento real.

    Qué esperan ver auditores y autoridades (ISO 27001, RGPD, NIS2)

    Cada marco tiene su propio énfasis, pero todos coinciden en una idea: no basta con formar; hay que poder probarlo.

    ISO 27001

    Los auditores buscan registros de formación y concienciación alineados con las cláusulas 7.2 y 7.3 (competencia y concienciación) y con el control A.6.3 del Anexo A (formación y concienciación en seguridad de la información de forma continua). 

    En la práctica piden: plan de formación con alcance y frecuencia, registros de quién ha recibido qué formación y cuándo, y evidencia de que la concienciación es efectiva (evaluaciones, simulaciones o métricas). Si estás en proceso de certificación, obtener la certificación ISO 27001 te ayuda a enmarcar el resto de controles.

    RGPD

    La auditoría GDPR y las inspecciones de las autoridades de protección de datos suelen pedir documentación que pruebe que las personas que tratan datos personales conocen los principios básicos, los derechos de los interesados y los protocolos internos (brechas, solicitudes de derechos, compartición con terceros). 

    El RGPD exige responsabilidad proactiva: poder demostrar que cumples. La formación documentada es una pieza central de esa demostración. 

    La ciberseguridad y la privacidad comparten la necesidad de que el personal sepa actuar y que la organización pueda probarlo.

    NIS2

    Bajo NIS2, las autoridades supervisoras pueden requerir planes de formación periódicos que incluyan a empleados, técnicos y directivos, además de registros de participación y evaluaciones

    No es una certificación tipo ISO: la supervisión puede llegar en cualquier momento, por lo que conviene tener las evidencias listas y actualizadas. 

    Para el texto oficial de la directiva, véase Directiva (UE) 2022/2555.

    «En cumplimiento, lo que no está documentado se trata como si no existiera.«

    En resumen: ISO 27001 quiere ver competencia y concienciación continuas con registros y evaluaciones; RGPD quiere ver que quien trata datos personales conoce obligaciones y protocolos, con documentación que lo acredite; NIS2 quiere ver planes periódicos, participación de empleados y dirección, y evidencias exportables. 

    Preparar un único evidence pack bien estructurado permite responder a los tres marcos sin duplicar esfuerzos.

    Qué evidencias necesitas tener preparadas

    Si quieres demostrar en una auditoría que tu personal está correctamente formado, prepara un pack de evidencias que puedas entregar o exportar. Los auditores suelen pedir ejemplos concretos como:

    • Plan de formación y cronograma anual (alcance, audiencias, frecuencia, responsables), incluyendo refrescos y sesiones tras incidentes si aplica.
    • Listas de asistencia (firmas), exportaciones del LMS o logs de acceso a cursos online, con fechas y identificación de asistentes.
    • Materiales formativos: presentaciones, manuales, vídeos o resúmenes de políticas internas, con versión y fecha.
    • Resultados de evaluaciones: cuestionarios breves, simulaciones de phishing, ejercicios de mesa, encuestas de satisfacción.
    • Protocolos y evidencias de onboarding para nuevas incorporaciones (y, si aplica, terceros): qué se formó y cuándo.

    Disponer de estas evidencias de forma organizada y exportable marca la diferencia entre una auditoría fluida y una no conformidad o una solicitud de medidas correctivas.

    Dos elementos adicionales refuerzan mucho la historia: un registro de excepciones y remediación (qué pasa cuando alguien no asiste, evidencia de sesiones de recuperación) y KPIs sencillos (tasa de finalización, resultados de simulaciones, tiempo hasta reportar).

    Así demuestras mejora continua, que es lo que auditores y reguladores esperan cuando ven un programa recurrente.

    Para qué sirve cada tipo de evidencia (vista del auditor): El plan demuestra que el programa existe y está pensado (alcance, cadencia, responsables). Las asistencias o realizaciones demuestran que la formación se ha impartido. 

    Los materiales muestran qué se ha enseñado y que está alineado con políticas y riesgos. Las evaluaciones (cuestionarios, simulaciones) apoyan que la formación es efectiva, no solo formal. 

    Las evidencias de onboarding muestran que las nuevas incorporaciones no quedan fuera. 

    Si falta alguno de estos pilares, el auditor puede cuestionar si el personal está correctamente formado en el sentido que exigen las normas.

    Cómo organizar las evidencias para que sean exportables

    En auditorías y supervisiones no suele bastar con decir «está todo en el LMS». Necesitas poder exportar plan, asistencias, materiales y resultados. Una estructura interna estable facilita el trabajo y la revisión:

    • Formacion/Plan/ – plan anual, alcance, matriz de competencias por rol.
    • Formacion/Materiales/ – versiones de presentaciones y fechas.
    • Formacion/Registros/AAAA/ – asistencia, exportaciones del LMS, logs de realización.
    • Formacion/Evaluaciones/AAAA/ – cuestionarios, resultados de simulaciones, notas de simulacros.
    • Formacion/Onboarding/ – listas de comprobación y evidencias de realización para nuevas incorporaciones.

    Conviene definir quién actualiza cada carpeta y con qué frecuencia, para que en una inspección no haya que improvisar. Si tu LMS permite exportar por período y por curso, mantén al menos una exportación trimestral o anual en un repositorio accesible para Compliance o Seguridad.

    Checklist rápido antes de una auditoría: ¿Puedes exportar en menos de 24 horas un pack que incluya (1) plan anual vigente, (2) registros de asistencia o realización del último año por módulo/rol, (3) versiones fechadas de los materiales utilizados, (4) resultados de evaluaciones o simulaciones del período, (5) lista de incorporaciones y evidencias de onboarding? Si falta alguno, prioriza cerrar ese gap antes de la revisión. 

    Tener un dueño claro del evidence pack (Compliance, Seguridad o RRHH) y un ciclo de revisión trimestral o semestral evita sorpresas.

    Muestreo e entrevistas: cómo validan los auditores

    En muchas auditorías los evaluadores muestrean la realidad más allá del papel. Eso puede incluir:

    • Entrevistas a empleados de distintos departamentos: por ejemplo, preguntar dónde reportarían un phishing o un incidente, o qué harían si creen que han compartido un archivo sensible por error.
    • Petición de pruebas de un período concreto (p. ej. un mes o un trimestre): no «tu mejor presentación», sino logs y asistencias reales.
    • Preguntas sobre actualización: cómo se actualiza la formación cuando aparecen nuevos riesgos (nuevo proveedor, nuevo SaaS, incidente reciente).

    Si te preparas para ese enfoque, la auditoría resulta predecible: tu plan describe lo que haces, tus registros muestran que lo has hecho y tu gente puede explicar lo básico sin improvisar. 

    Un indicador práctico: si una persona de un equipo no técnico no sabe responder «¿dónde reportarías un correo sospechoso?», el programa es formal pero no operativo.

    «El verdadero éxito en una auditoría no es mostrar papeles; es demostrar que tu equipo sabe responder.«

    Cómo preparar a la empresa para auditar la formación

    La mejor estrategia es integrar la formación en el ciclo de gestión de la seguridad y la privacidad, no tratarla como un proyecto puntual. 

    Cada sesión debe dejar rastro documental y cada nueva incorporación debe recibir formación desde el primer día.

    Además, conviene establecer evaluaciones periódicas que permitan medir la efectividad real: no solo cumplir el requisito, sino demostrar que el personal sabe actuar ante un incidente o una solicitud de derechos. Incluir simulacros (phishing, mesa de incidentes) y registrar resultados ayuda a mostrar que la formación tiene impacto.

    Por último, define qué pasa cuando alguien no completa la formación: recordatorios, ventana de recuperación, registro de excepciones y evidencia de cierre. Sin ese circuito, la formación se percibe como un evento y no como un control mantenido en el tiempo.

    Asigna un responsable del programa de formación y del evidence pack (Compliance, Seguridad de la información o RRHH, según tu estructura). 

    Ese responsable debe revisar al menos trimestralmente que las carpetas estén actualizadas, que las excepciones tengan remediación y que los KPIs básicos (finalización, resultados de simulaciones) se registren. 

    Así, cuando llegue una auditoría o supervisión, la respuesta no depende de una sola persona ni de una búsqueda de último momento.

    Actualiza los materiales cuando cambien políticas, herramientas o riesgos (nuevo proveedor, nuevo SaaS, incidente). 

    Los auditores suelen preguntar cómo se mantiene al día el contenido; tener versiones fechadas y un criterio de cuándo actualizamos refuerza la credibilidad del programa. 

    Si realizas simulacros de mesa (tabletop) o ejercicios de respuesta a incidentes, documenta fecha, participantes y conclusiones: son evidencias muy valoradas de que el personal sabe actuar.

    4 Errores que pueden debilitar la demostración

    1. Confiar en que «todos saben lo básico» sin registros. Si no puedes mostrar quién ha recibido qué formación y cuándo, la afirmación no resiste una revisión. La documentación es la base de la demostración.

    2. Limitar la formación a un solo perfil (p. ej. IT) y olvidar al resto. ISO 27001, NIS2 y el RGPD esperan cobertura adecuada al riesgo. Si solo IT tiene registro de formación, las entrevistas a otros departamentos pueden dejar en evidencia el gap.

    3. No actualizar contenidos ni repetir sesiones con la frecuencia necesaria. Una única sesión anual rara vez es defendible. Los auditores esperan continuidad: plan, cadencia y evidencias de que el programa se mantiene y se revisa.

    4. No preparar evidencias exportables. Si todo está disperso o solo «dentro del LMS» sin posibilidad de exportar plan, asistencias y materiales de forma clara, la auditoría se vuelve lenta y puede generarte no conformidades o solicitudes de medidas correctivas.

    Estos fallos pueden hacer que una organización con buenas intenciones se encuentre en incumplimiento formal ante el auditor o la autoridad. Corregirlos con un plan documentado, evidencias organizadas y un proceso de excepciones es la forma de demostrar que tu personal está correctamente formado.

    Cómo puede ayudarte PrivaLex

    En PrivaLex Partners diseñamos formaciones alineadas con los requisitos de ISO 27001, RGPD y NIS2, y nos aseguramos de que todo quede documentado para auditoría: desde planes y materiales hasta registros y evaluaciones. Ofrecemos:

    • Diseño e impartición de formación por roles (plantilla, equipos técnicos, dirección).
    • Packs de evidencias listos para auditoría (estructura, plantillas, guía de exportación).
    • Integración con tu ciclo de seguridad y privacidad (cadencia, onboarding, post-incidente).
    • Gestión de FUNDAE en España para que cumplir con estos requisitos no suponga una carga económica.

    El objetivo es que cada formación sea una inversión y cada auditoría, una oportunidad para demostrar que tu equipo está correctamente formado, con evidencias claras y exportables. 

    Podemos ayudarte a definir el conjunto mínimo de evidencias para tu contexto (ISO 27001, RGPD, NIS2 o combinación), diseñar la estructura de carpetas y el ritmo de actualización, y dejarte con plantillas y un checklist de exportación para que la próxima auditoría no se convierta en una búsqueda de último momento.

    Agenda una sesión estratégica con PrivaLex y te ayudamos a preparar el pack de evidencias y la estrategia para demostrar en una auditoría que tu personal está correctamente formado.

    Preguntas Frecuentes (FAQs)

    ¿Qué evidencias piden los auditores de ISO 27001 para la formación?

    Suelen pedir un plan de formación con alcance y frecuencia, registros de asistencia o realización, materiales utilizados y resultados de evaluaciones (cuestionarios, simulaciones), además de evidencia de onboarding para nuevas incorporaciones. 

    Las cláusulas 7.2, 7.3 y el control A.6.3 exigen competencia y concienciación continuas.

    ¿El RGPD exige un certificado de formación?

    No exige un certificado concreto, pero sí que puedas demostrar que las personas que tratan datos personales conocen las obligaciones y los protocolos internos.
     
    La formación documentada (plan, asistencia, contenidos) es la vía práctica para acreditar esa responsabilidad proactiva.

    ¿Qué puede pedir una autoridad bajo NIS2 en materia de formación?

    Pueden solicitar planes de formación periódicos que incluyan a empleados, técnicos y directivos, registros de participación y evaluaciones

    Las evidencias deben estar disponibles y, en la práctica, ser exportables para una revisión.

    ¿Basta con tener un LMS con los cursos realizados?

    Ayuda, pero no suele bastar por sí solo. Los auditores y autoridades suelen esperar poder revisar plan, asistencias (o exportaciones del LMS), materiales y resultados

    Organizar todo en una estructura exportable (por año, por módulo, por rol) facilita la revisión y transmite seriedad.

    ¿Qué hacer cuando un empleado no ha completado la formación?

    Define un proceso: recordatorios, ventana de recuperación, registro de excepciones y evidencia de que se ha cerrado (sesión de recuperación, justificación documentada). 

    Sin ese circuito, la formación se percibe como un evento y no como un control mantenido.

    ¿Cómo demuestro que la formación es efectiva y no solo hecha?

    Incluye evaluaciones (cuestionarios, simulaciones de phishing, ejercicios de mesa), métricas (tasa de finalización, resultados, tiempo hasta reportar) y, si es posible, mejora en el tiempo

    Eso muestra que el programa no es solo formal, sino que tiene impacto en el comportamiento.

    ¿Con qué antelación debo tener el evidence pack listo?

    No hay un plazo legal único, pero en la práctica conviene tener el pack siempre actualizado (plan, último año de registros, materiales vigentes, onboarding). 

    Si sabes que va a haber una auditoría o supervisión, revisa al menos dos semanas antes que nada sea exportable y que no falte ningún departamento o período crítico en los registros.

    Siguiente paso

    Demostrar en una auditoría que tu personal está correctamente formado no es un trámite documental: es la forma de convencer a auditores y autoridades de que tu organización cumple de verdad y de que la seguridad y la privacidad forman parte de la cultura corporativa. 

    Agenda una sesión estratégica con PrivaLex y te ayudamos a preparar el pack de evidencias y la estrategia para tu próxima auditoría o supervisión.