Por: CP Iván Rodríguez. Colaborador de Auditool
En la medida en que los riesgos cibernéticos se han venido intensificando, la auditoría puede desempeñar un papel fundamental para ayudar a los líderes del sector público a evaluar la gobernanza en ciberseguridad, aclarar la propiedad y mejorar la supervisión y la toma de decisiones. Como en todas las industrias, las organizaciones del sector público están asediadas por ciberataques; por tanto, para los gobiernos la gestión del riesgo cibernético tiene consecuencias que van más allá de la interrupción operativa. Los incidentes cibernéticos pueden afectar la seguridad pública, los servicios esenciales y la confianza pública, según el informe de Consideraciones de Ciberseguridad 2025 de KPMG[1]. Esta realidad requiere estructuras de gobernanza que establezcan los procesos, responsabilidades y supervisión necesarios para abordar los riesgos cibernéticos. De acuerdo con lo definido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., la gobernanza de la ciberseguridad debería incluir:
Al evaluar las estructuras de gobernanza, la auditoría puede ayudar a los líderes del sector público y a los organismos reguladores a comprender los riesgos y asegurarse de que reciben información oportuna y fiable para abordarlos.
Los riesgos cibernéticos son mayores para las organizaciones del sector público. Los incidentes cibernéticos pueden afectar la seguridad pública, los servicios esenciales y la confianza pública.
En relación con el tema de ciberseguridad y tal como señala el informe de KPMG, los riesgos cibernéticos son mayores para las organizaciones del sector público. A pesar de esta creciente presión, el sector público se enfrenta a varios desafíos en la gobernanza de la ciberseguridad:
🖥️ Sistemas heredados
Las agencias del sector público suelen depender de sistemas tecnológicos obsoletos, a los que los expertos se refieren como "deuda técnica". Aunque muchos de estos sistemas tienen controles de seguridad obsoletos, la dependencia organizativa de las tecnologías dificulta el cambio a nuevos sistemas.
🔗 Estructuras de supervisión fragmentadas
Las organizaciones del sector público suelen distribuir entornos de TI entre departamentos, agencias o jurisdicciones. Si no se gestiona adecuadamente, esto podría conducir a políticas inconsistentes, rendición de cuentas poco clara y brechas en la responsabilidad del riesgo.
👥 Limitaciones de recursos y escasez de talento
Muchas agencias carecen de presupuesto para reclutar y retener a profesionales de ciberseguridad muy solicitados. Esto puede dejar las estructuras de gobierno con poco personal o poco desarrolladas.
En este entorno difícil, la auditoría debe evaluar si las estructuras de gobernanza están diseñadas de forma eficaz y funcionan como se espera. Según el Requisito Temático de Ciberseguridad del IIA[2], los auditores deben evaluar si:
🎯 Estrategia y objetivos formales
La estrategia y los objetivos formales de ciberseguridad se establecen y actualizan periódicamente. El progreso hacia el logro de los objetivos de ciberseguridad debe ser informado y revisado regularmente por la junta, y se deben asignar recursos y presupuestos apropiados para apoyar la estrategia de ciberseguridad.
📋 Políticas y procedimientos
Se establecen y actualizan periódicamente políticas y procedimientos relacionados con la ciberseguridad para fortalecer el entorno de control.
👤 Roles y responsabilidades
Se establecen roles y responsabilidades que apoyan los objetivos de ciberseguridad, y se establece un proceso para evaluar los conocimientos, habilidades y capacidades de las personas que desempeñan dichos puestos.
🤝 Involucramiento de actores relevantes
Se involucra a los actores relevantes para discutir y actuar ante vulnerabilidades existentes y amenazas cibernéticas emergentes. Los interesados incluyen alta dirección, operaciones, gestión de riesgos, recursos humanos, legal, cumplimiento normativo y proveedores.
Aunque la gobernanza de la ciberseguridad es esencial para la estrategia de riesgos cibernéticos de cualquier organización, la auditoría debe ser clara al evaluar, puesto que no es tanto una auditoría tecnológica como una auditoría de información. El auditor debe asegurarse que quienes supervisan el riesgo cibernético comprendan los procesos de gobernanza. Una vez establecido el alcance, la auditoría posterior puede consistir en varios elementos.
📐 Evaluaciones de diseño de gobernanza
La auditoría debe evaluar si el marco de gobernanza está bien diseñado, documentado adecuadamente y alineado con las mejores prácticas aplicables, por lo que debería incluir:
• Estrategia de ciberseguridad y alineación con los objetivos de la misión.
• Organigramas y líneas de reporte.
• Políticas y estándares para la integridad, claridad y alineación con marcos establecidos como ISO/IEC 38500:2015 y COBIT de ISACA.
🗣️ Entrevistas y recorridos a los interesados
Entrevistar al director de información (CIO), al director de seguridad de la información, a los responsables de riesgos, a los jefes de departamento y a otros interesados puede ayudar a los auditores a evaluar si los roles de gobernanza se entienden y ejecutan de forma coherente
⚙️ Evaluaciones de gestión de riesgos
Debe centrarse en aspectos clave tales como la estrategia, los recursos y la capacidad, la gestión de riesgos, el modelo operativo y la estructura organizativa, la entrega de valor y el seguimiento del rendimiento.
📊 Métricas de rendimiento e informes
Al interactuar con los interesados, los auditores deberían evaluar si la dirección recibe informes oportunos, precisos y accionables sobre ciberseguridad. Esto puede incluir paneles de control, indicadores clave de rendimiento, informes de incidentes y actualizaciones de cumplimiento. Las estructuras de informes débiles suelen señalar problemas de gobernanza más profundos.
El hecho de que un riesgo sea altamente técnico no significa que la tecnología sea la única responsable de superarlo.
El hecho de que un riesgo sea altamente técnico no significa que la tecnología sea la única responsable de superarlo. Las consideraciones personales respecto de la información son un elemento fundamental de cualquier estrategia de gobernanza cibernética y en ese sentido, la auditoría debe evaluarlo regularmente. Esto implica para el auditor la necesidad de capacitarse en temas de ciberseguridad y sector público de manera que puedan ofrecer sus mayores y mejores aportes al evaluar estos temas. Adicionalmente deben mantenerse debidamente actualizados en la normativa que sea aplicable al sector donde desarrollan su actividad, como parte de su actuar profesional.
[1] Puede consultarse en: Consideraciones sobre ciberseguridad para 2025
[2] Ver: Requisito temático ciberseguridad
CP Iván Rodríguez - CIE AF
Colaborador de Auditool
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Y luego Agregar a la pantalla de inicio.
Comentarios