Por: CP Iván Rodríguez. Colaborador de Auditool.

En el actual entorno empresarial, en que la digitalización y el uso de tecnologías de información está a la orden del día, los directivos de las organizaciones (y por supuesto los auditores) buscan asegurar la integridad, confidencialidad y disponibilidad de la información. En ese sentido, la auditoría de sistemas de información (Information systems auditing - ISA) se ha convertido en una actividad crucial para lograr estos objetivos. Esta auditoría se centra en evaluar los sistemas de TI, los controles de acceso y la implementación de sistemas empresariales tales aquellos de planificación de recursos empresariales[1] como los (Enterprise Resource Planning - ERP).

La auditoría de seguridad, conocida también como auditoría de ciberseguridad, consiste en una evaluación integral de los sistemas de información de una organización; Generalmente, esta evaluación mide la seguridad de un sistema de información con respecto a las mejores prácticas de la industria, estándares ya establecidos y/o normativas legales. Los temas que habitualmente se consideran son los siguientes[2]:

  • Componentes físicos del sistema de información y el entorno en el que se aloja éste.
  • Las aplicaciones y programas (software), incluidos los parches de seguridad que los administradores de sistemas deben haber implementado.
  • Vulnerabilidades de la red, incluido el acceso público y privado y las configuraciones de firewall.
  • Las interacciones del personal con la información, incluida la forma en que los empleados recopilan, comparten y almacenan información de carácter confidencial.
  • La estrategia de seguridad general de la organización, incluidas las políticas de seguridad, los organigramas y las evaluaciones de riesgos.

La importancia de una auditoría de seguridad se encuentra en que proporciona características de las principales debilidades de seguridad de la información de una organización y a su vez permite identificar si se cumplen ciertos criterios al respecto.  También, proporciona una base para desarrollar planes de evaluación de riesgos, así como estrategias de mitigación en los casos de manejo y administración de datos e información sensibles y confidenciales. De acuerdo con su alcance y orientación, pueden ser útiles como auditorías de cumplimiento con propósitos de certificación de acuerdo con la norma ISO 27001 o según SOC 2[3]

La ejecución del trabajo de auditoría implica al menos las siguientes actividades y consideraciones:

Seleccionar los criterios de auditoría

Antes de iniciar, es necesario determinar cuáles son los criterios (internos y externos) que se pretenden cumplir y sobre esa base, diseñar la lista de controles de seguridad que serán motivo de análisis y prueba. Para el caso de certificaciones tales como SOC 2 o ISO 27001, los requisitos normalmente están estandarizados. Deben incluirse las políticas internas de la organización relativas a ciberseguridad, puesto que deben ser examinadas.

Conformar el equipo apropiado

Toda vez que en este tipo de auditorías se va a tener acceso a datos altamente confidenciales, hay que efectuar una rigurosa selección de quienes conforman el equipo de trabajo y así disminuir la posibilidad de error humano. Debe contarse con un registro de quienes tienen acceso a información confidencial y procurar que estén capacitados en:

a) Identificar riesgos y vulnerabilidades

De manera similar a otras auditorías, una de las primeras etapas es la evaluación de riesgos (en este caso de TI) con el propósito de identificar de posibles amenazas y vulnerabilidades. Esto incluye:

  • Amenazas internas y externas: Ataques cibernéticos, errores humanos, fallos de hardware/software y desastres naturales.
  • Vulnerabilidades del sistema: Puntos débiles en la infraestructura de TI, software desactualizado, y configuraciones inseguras.

Posteriormente debe evaluarse su impacto, lo cual implica analizar:

  • Pérdidas económicas debido a interrupciones en los sistemas o filtraciones de datos.
  • Impacto en la reputación: Afectación a la imagen de la empresa en caso de incumplimientos de seguridad.
  • Consecuencias legales por no cumplir con normativas aplicables.

b) Revisar registros y respuestas a eventos

Debe revisarse la actividad de la red y los registros de eventos. Al realizar un seguimiento minucioso de los registros se verifica si únicamente los empleados con los permisos adecuados acceden a los datos restringidos y se toman las medidas de seguridad adecuadas. Adicionalmente, los registros de auditoría pueden proveer información valiosa para realizar la respuesta a incidentes y su análisis, de acuerdo con las políticas de seguridad de la organización.

c) Implementar protecciones

Luego de haber revisado las vulnerabilidades de la organización y confirmado que el personal esté capacitado, hay que asegurarse que la organización cuenta con medidas de control interno apropiadas o recomendar su implementación. Algunas medidas son:

  • Limitar el acceso de los usuarios a datos confidenciales.
  • Comprobar que las redes inalámbricas son seguras
  • Verificar que las herramientas de cifrado estén actualizadas
  • Contar con programas antivirus de nivel adecuado, instalados y actualizados.
  • Efectuar auditorías de acceso, mediante la revisión y registro de quién accede a qué recursos y cuándo. Esto incluye revisar los logs de acceso.
  • Mantener actualizadas las políticas de seguridad y capacitar a los nuevos usuarios.

Una evaluación de riesgos de TI, así como la implementación de controles de acceso robustos y la auditoría de sistemas ERP se constituyen en elementos clave para asegurar que los sistemas de información operen de manera segura y eficiente, a la vez que se reducen significativamente los riesgos. Un buen auditor puede prestar su concurso para alcanzar los objetivos previstos en este tema.

[1] La planificación de recursos empresariales (ERP) es un sistema de software de gestión empresarial diseñado para gestionar y optimizar las funciones, los procesos y los flujos de trabajo con automatización e integración, de acuerdo con: ¿Qué es la planificación de recursos empresariales (ERP)?

[2] Basado en: Security Audits: A Comprehensive Overview

[3] Una certificación de controles de organización de servicios (SOC 2) es una auditoría independiente de las prácticas de seguridad de su organización. Cuando una empresa supera una auditoría SOC 2, está mostrando tanto a clientes potenciales como a los existentes, que tiene prácticas sólidas de ciberseguridad y gobierno organizacional. Ver: ¿Qué es la certificación SOC?


CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado