La auditoría interna frente a los riesgos de ciberseguridad

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: CP Iván Rodríguez. Colaborador de Auditool 

En el presente año, 2026, la ciberseguridad sigue siendo el riesgo número uno para las organizaciones a nivel global y en América Latina, según el informe Risk in Focus 2026[1] del Instituto de Auditores Internos (The IIA). En este informe se aprecia que el 76% de los directores de auditoría (CAE) y ejecutivos en Latinoamérica la clasifican entre sus cinco principales riesgos, y el 69% indica que es una de las áreas donde la auditoría interna invierte más tiempo y esfuerzo. Esta prioridad no es nueva, pero su intensidad ha aumentado por la convergencia de factores: la adopción acelerada de inteligencia artificial (IA), la disrupción digital (que subió 17 puntos porcentuales en Latinoamérica), la incertidumbre geopolítica, los ataques a la cadena de suministro y regulaciones más estrictas o actualizaciones locales de protección de datos.

76%

de los CAE en Latinoamérica clasifican la ciberseguridad entre sus 5 principales riesgos

87%

identifica vulnerabilidades de IA como el riesgo de más rápido crecimiento (WEF)

69%

indica que es donde la auditoría interna invierte más tiempo y esfuerzo

La auditoría interna ha venido evolucionando, de un rol reactivo de control técnico a un socio estratégico que evalúa gobernanza, gestión de riesgos y resiliencia ante ciberamenazas.

Frente a esta realidad, la auditoría interna ha venido evolucionando, de un rol reactivo de control técnico a un socio estratégico que evalúa gobernanza, gestión de riesgos y resiliencia ante ciberamenazas. Un ejemplo de ello es el nuevo requerimiento de ciberseguridad del IIA (Cybersecurity Topical Requirement), efectivo desde febrero de 2026, establece un estándar mínimo obligatorio para estas evaluaciones.

Los ciberdelincuentes, por su parte han aprovechado tecnologías avanzadas. Las principales amenazas incluyen:

🤖 Ataques impulsados por IA

Malware adaptativo, phishing hiperpersonalizado, deepfakes y agentes autónomos que operan a velocidad máquina. El 87% de los encuestados en el Global Cybersecurity Outlook 2026 del WEF[2] identifica vulnerabilidades relacionadas con IA como el riesgo de más rápido crecimiento.

🔒 Ransomware evolucionado

Modelos de triple extorsión (encriptación, exfiltración y ataque a backups o socios), Ransomware-as-a-Service (RaaS) y ataques a cadenas de suministro.

☁️ Amenazas a la nube y terceros

Configuraciones erróneas, Shadow IT/Shadow AI y riesgos en ecosistemas de proveedores.

⚛️ Riesgos cuánticos

"Harvest now, decrypt later" (almacenar ahora, descifrar después). Las organizaciones inician la transición a criptografía post-cuántica. Se guardan datos encriptados para desencriptarlos posteriormente, cuando la computación cuántica lo facilite.

🧠 Disrupción digital e IA

Sesgos, envenenamiento de modelos, inyecciones de prompts y brechas en gobernanza de IA que amplifican riesgos cibernéticos.

🌐 Factores geopolíticos

Ataques patrocinados por estados, ciberespionaje y fragmentación regulatoria.

👤 El factor humano

La falta de conciencia y habilidades puede generar posibilidades de acceso a los sistemas.

Esto representa un desafío para la auditoría interna pues ya no debe limitarse a practicar pruebas de controles técnicos puntuales. Debe proporcionar aseguramiento independiente entre otros temas, sobre:

🏛️ Gobernanza de ciberseguridad

Estrategia alineada con objetivos empresariales, políticas actualizadas, roles y responsabilidades claras, y reporte al consejo/directorio.

⚠ Gestión de riesgos

Identificación, análisis, mitigación y monitoreo integral (incluyendo impacto financiero y no financiero). Debe cubrir toda la organización y terceros.

🛡️ Controles

Evaluación de diseño y operación efectiva de controles para confidencialidad, integridad y disponibilidad. Incluye monitoreo continuo, gestión de vulnerabilidades, segmentación de redes, Zero Trust, DevSecOps, etc.

Ahora, los auditores internos deben adoptar IA, automatización, herramientas SIEM (Security Information and Event Management), análisis de comportamiento y plataformas GRC para ejecutar auditorías en tiempo real, en lugar de revisiones anuales puntuales. En su enfoque, más allá de prevención, deben evaluar planes de respuesta a incidentes (probados periódicamente), recuperación y lecciones aprendidas. También deben fortalecer la colaboración con funciones o áreas de riesgo, compliance, TI y auditores externos para evitar duplicidades y cubrir brechas.

También es conveniente que, al ejecutar su trabajo, los auditores tengan en cuenta marcos y mejores prácticas recomendadas tales como: NIST Cybersecurity Framework (CSF 2.0) que trata de gobernanza, identificación, protección, detección, respuesta y recuperación; ISO 27001 referente a sistemas de gestión de seguridad de la información (SGSI) certificable, COBIT sobre alineación de TI con objetivos de negocio, entre otros.

Dentro de las prácticas líderes para auditores, algunas mencionadas en el precitado informe Risk in Focus, se encuentran:

📊 Realizar evaluaciones de madurez integrales
🎯 Usar escenarios y simulacros (tabletop exercises)
🤖 Evaluar gobernanza de IA y riesgos de terceros de forma continua
🎓 Desarrollar habilidades técnicas en el equipo de auditoría
💰 Enfocarse en métricas cuantificables de riesgo (pérdida financiera esperada, tiempo de recuperación)
🔗 Integrar ciberseguridad en auditorías de negocio

Esto implica, actualizar el plan de auditoría basado en riesgos para priorizar ciberseguridad, IA y terceros con enfoque en resiliencia, implementar los requerimientos técnicos de los organismos profesionales, invertir en tecnología y capacitación y reportar con impacto mediante el uso de métricas de negocio y visualizaciones para el consejo.

La clave es pasar del cumplimiento reactivo a la anticipación proactiva y la resiliencia sistémica.

Como se aprecia, la auditoría interna es fundamental para navegar un panorama de ciber-riesgos hiperconectados e impulsados por IA. Al adoptar un enfoque holístico de gobernanza, riesgo y controles, los auditores internos además de proteger activos, impulsan la confianza y el valor estratégico de las organizaciones.

Las organizaciones que integren la ciberseguridad en su estrategia, con una auditoría interna ágil y tecnológicamente habilitada, estarán mejor posicionadas para convertir riesgos en oportunidades de diferenciación competitiva. La clave es pasar del cumplimiento reactivo a la anticipación proactiva y la resiliencia sistémica.

[1] Ver: Risk in Focus 2026

[2] Ver: Global Cybersecurity Outlook 2026

 

CP Iván Rodríguez - CIE AF

Colaborador de Auditool

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado