El auditor no necesita hackear sistemas ni descifrar logs para hacer una auditoría de ciberseguridad valiosa. Lo que sí necesita es un interrogatorio inteligente: un conjunto de preguntas precisas que, bien formuladas, revelan más sobre el estado real de la seguridad que cualquier herramienta técnica.
El CISO —Chief Information Security Officer— es el responsable de la seguridad de la información en la organización. Tiene el mapa completo del riesgo tecnológico. Tu trabajo como auditor es hacerle las preguntas correctas, leer entre líneas y determinar si lo que describe en papel corresponde a lo que ocurre en la realidad.
Estas son las 10 preguntas que debes llevar a esa reunión.
"Un buen auditor no necesita saber qué es un exploit. Necesita saber por qué el CISO no puede responder en menos de 30 segundos cuántas vulnerabilidades críticas tiene abiertas hoy."
¿Cuántas vulnerabilidades críticas tenemos abiertas hoy y cuál es su antigüedad promedio?
Esta pregunta no tiene trampa técnica: es pura gestión de riesgo. Si el CISO no la puede responder de inmediato, ya tienes un hallazgo. Si responde con un número alto y con vulnerabilidades abiertas desde hace más de 90 días, tienes otro.
Si la respuesta es "déjame consultarlo con el equipo técnico" o "tenemos un reporte mensual", el proceso de gestión de vulnerabilidades no es operativo sino burocrático.
¿Cuándo fue la última vez que probaron el plan de respuesta a incidentes de forma real?
Todo el mundo tiene un plan. Lo que casi nadie tiene es evidencia de que funciona bajo presión. Un plan no probado es una ilusión de control. La diferencia entre una organización resiliente y una vulnerable está, con frecuencia, en esta sola pregunta.
Pide el acta o informe del último ejercicio de simulacro (tabletop exercise). Si no existe o tiene más de 12 meses, documéntalo como observación.
¿Qué porcentaje de las cuentas privilegiadas tiene autenticación multifactor activada?
Las cuentas con privilegios elevados —administradores de sistemas, bases de datos, directivos con acceso a información financiera— son el objetivo principal de cualquier atacante. El MFA bloquea el 99,9% de los ataques automatizados sobre credenciales. Si no está al 100%, hay una brecha abierta.
"¿Tienen un inventario actualizado de todas las cuentas con privilegios?" — si no hay inventario, no puede haber control.
¿Cómo gestionan los accesos de los proveedores externos que se conectan remotamente a nuestros sistemas?
El 60% de los incidentes de seguridad relevantes en los últimos años involucró a terceros. Proveedores de mantenimiento, consultores de TI, firmas de software: todos pueden ser una puerta de entrada. La pregunta no es si tienen acceso — es cómo se controla, monitorea y revoca ese acceso.
Credenciales compartidas, accesos permanentes (24/7) sin justificación, o ausencia de un log de actividad del proveedor son hallazgos de alto riesgo.
¿Cuándo fue el último pentest y qué pasó con sus hallazgos?
Una prueba de penetración (pentest) es el equivalente de contratar a alguien para que intente robar en tu casa y luego decirte cómo lo hizo. Lo que le importa al auditor no es solo si lo hicieron, sino qué hicieron con los resultados. Muchas organizaciones tienen pentests acumulados en un cajón sin ninguna acción de remediación.
El reporte del último pentest y la matriz de seguimiento de hallazgos con estado actual (abierto / en proceso / cerrado / aceptado). El ratio de hallazgos cerrados vs. abiertos es un indicador directo de madurez.
¿Tenemos un inventario actualizado de todos los activos de información y sus responsables?
No puedes proteger lo que no sabes que tienes. Esta es la pregunta más simple y una de las que más frecuentemente expone debilidades fundamentales. Si no hay un inventario de activos mantenido y con responsable asignado, todos los demás controles son construcciones sobre arena.
Escoge 5 activos al azar del inventario y verifica: ¿el responsable asignado todavía trabaja en la empresa? ¿La clasificación de confidencialidad es coherente con lo que sabes del activo?
¿Cómo detectamos en tiempo real si alguien está exfiltrando datos de la organización?
La mayoría de las brechas de datos no se detectan en horas: el promedio global es de 194 días. Esta pregunta evalúa si la organización tiene capacidades de detección activa (SIEM, DLP, EDR) o simplemente espera que alguien reporte un problema.
Si la respuesta involucra solo herramientas pasivas (antivirus, firewall básico), la organización detecta amenazas cuando ya es demasiado tarde.
¿Qué hacemos cuando un empleado reporta un correo sospechoso o un incidente potencial?
Este es el único momento en que el humano es la defensa activa, no el eslabón débil. Si los empleados no saben a quién reportar, si el proceso es engorroso o si la cultura desalienta el reporte por miedo a represalias, la organización está ciega ante las amenazas internas y el phishing.
El canal de reporte, el tiempo promedio de respuesta del equipo de seguridad y el número de reportes recibidos en el último trimestre. Cero reportes no es una buena señal: suele indicar que nadie sabe cómo o a quién reportar.
¿Cómo garantizamos que los backups realmente funcionan y están protegidos frente a ransomware?
Un backup conectado a la misma red que fue cifrada por ransomware es inútil. Un backup que lleva meses fallando silenciosamente es peor: da una falsa sensación de seguridad. Esta pregunta va al corazón del plan de recuperación.
Solicita el último reporte de prueba de restauración real (no el log de ejecución del backup). Si no hay prueba de restauración documentada en los últimos 6 meses, el backup existe solo en teoría.
¿Cuál es el riesgo de ciberseguridad que más te preocupa hoy y por qué aún no está resuelto?
Esta es la pregunta más poderosa de todas. No tiene respuesta técnica: tiene respuesta humana. Lo que el CISO te diga aquí revela el riesgo que le quita el sueño, y la razón por la que no está resuelto revela si el problema es de recursos, de prioridades, de política interna o de capacidad.
Escucha con atención. Si la respuesta es "todo está bajo control", tienes un problema de transparencia. Si la respuesta es honesta y detallada, tienes un CISO que puede ser un aliado estratégico en tu trabajo.
¿Ha llevado este riesgo al Comité de Auditoría o a la Alta Dirección? Si la respuesta es no, el escalamiento de riesgos tecnológicos al gobierno corporativo es otra brecha que debes documentar.
Resumen: qué revela cada pregunta
| # | Pregunta clave | Dimensión evaluada | Marco NIST CSF |
|---|---|---|---|
| 01 | Vulnerabilidades abiertas | Gestión de vulnerabilidades | Identificar |
| 02 | Prueba del plan de respuesta | Resiliencia operacional | Responder |
| 03 | MFA en cuentas privilegiadas | Control de accesos | Proteger |
| 04 | Accesos de terceros | Riesgo de cadena de suministro | Proteger |
| 05 | Pentest y seguimiento | Evaluación de seguridad | Identificar |
| 06 | Inventario de activos | Gestión de activos | Identificar |
| 07 | Detección de exfiltración | Capacidad de monitoreo | Detectar |
| 08 | Canal de reporte de incidentes | Cultura de seguridad | Detectar |
| 09 | Backups y restauración | Continuidad del negocio | Recuperar |
| 10 | El riesgo que más preocupa | Gobierno y escalamiento | Gobernar |
Protocolo de entrevista al CISO
Descarga el formato de entrevista estructurada con las 10 preguntas, columna de respuesta esperada, señales de alerta y espacio para documentar evidencia. Compatible con tu programa de papeles de trabajo.
Lo que el auditor debe recordar
La ciberseguridad es un campo técnico, pero la auditoría de ciberseguridad es un campo de gobierno, control y gestión de riesgo. El auditor no está ahí para encontrar los bugs en el código: está para determinar si la organización tiene la madurez, los procesos y la cultura para gestionar el riesgo tecnológico de forma sistemática.
Estas 10 preguntas son tu punto de partida. No requieren conocimiento técnico especializado. Requieren escucha activa, pensamiento crítico y la disposición de profundizar cuando una respuesta no te convence.
"El mejor auditor de ciberseguridad no es el que sabe más de tecnología. Es el que sabe exactamente qué preguntar — y qué hacer con lo que escucha."
Y luego Agregar a la pantalla de inicio.
Escribir un comentario