Auditoría Interna

El requisito temático del Instituto de Auditores Internos sobre ciberseguridad

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Por: CP Iván Rodríguez. Colaborador de Auditool 

La transformación digital de las organizaciones ha incrementado significativamente la dependencia de los sistemas de información y de las infraestructuras tecnológicas. Como consecuencia, los riesgos asociados a la ciberseguridad se han convertido en una de las principales preocupaciones para la gobernanza corporativa y la gestión de riesgos empresariales. En este contexto, el Instituto de Auditores Internos (IIA) ha incorporado un Requisito Temático sobre Ciberseguridad[1] dentro del Marco Internacional de Prácticas Profesionales (IPPF), con el propósito de proporcionar un enfoque consistente para evaluar la gobernanza, la gestión de riesgos y los controles relacionados con la protección del ciberespacio organizacional. Es un estándar obligatorio que entró en vigor a inicios de febrero de 2026.

Los ataques informáticos, el robo de datos, el ransomware y otras formas de intrusión digital se han convertido en riesgos estratégicos capaces de afectar la continuidad operativa, la reputación corporativa y la estabilidad financiera de las organizaciones. Frente a este panorama, la auditoría interna desempeña un papel fundamental al proporcionar aseguramiento independiente sobre la eficacia de los controles y procesos destinados a proteger los activos digitales de la organización. En ese sentido y con el objetivo de fortalecer esta función, el Instituto de Auditores Internos desarrolló un requisito temático de ciberseguridad, integrado en el Marco Internacional de Prácticas Profesionales.

Según se advierte en su contenido, este requisito establece una base mínima de evaluación que permite a los auditores internos analizar la madurez de los sistemas de ciberseguridad de una organización y formular recomendaciones orientadas a mejorar su resiliencia frente a amenazas digitales. El requisito temático de ciberseguridad se aplica cuando:

  • Forma parte del plan anual de auditoría,
  • Se identifica durante la ejecución de un trabajo,
  • Surge como resultado de una solicitud específica de revisión.

El requisito temático del IIA propone un enfoque estructurado para evaluar la ciberseguridad en las organizaciones. Este enfoque se basa en tres dimensiones principales:

  • Gobernanza
  • Gestión de riesgos
  • Controles

Estas dimensiones reflejan los componentes esenciales de cualquier sistema efectivo de gestión de riesgos y control interno.

Evaluación de la Gobernanza de la Ciberseguridad

Se refiere al conjunto de estructuras, procesos y mecanismos mediante los cuales una organización dirige y supervisa la gestión de los riesgos cibernéticos. La auditoría interna debe evaluar si la organización dispone de una estrategia formal de ciberseguridad, alineada con sus objetivos estratégicos y respaldada por la alta dirección y el consejo de administración. Esta estrategia debe incluir objetivos claros, recursos asignados y mecanismos de seguimiento. Asimismo, es fundamental verificar la existencia de políticas y procedimientos que definan las reglas y prácticas relacionadas con la protección de la información y los sistemas.

Las organizaciones deben establecer funciones específicas para la gestión de la ciberseguridad y garantizar que el personal involucrado disponga de las competencias necesarias para desempeñar dichas funciones.

Evaluación de la Gestión de Riesgos de Ciberseguridad

La auditoría interna debe evaluar si los procesos de gestión de riesgos de la organización incluyen la identificación, análisis, mitigación y seguimiento de amenazas cibernéticas, así como su impacto potencial en los objetivos estratégicos. La gestión del riesgo de ciberseguridad debe aplicarse de forma transversal en toda la organización, incluyendo áreas como tecnología, finanzas, operaciones y recursos humanos. También es clave la definición de responsabilidades claras para supervisar y reportar los riesgos de ciberseguridad. La gestión de riesgos debe incluir procesos de respuesta ante incidentes que contemplen:

  • Detección de incidentes,
  • Contención de ataques,
  • Recuperación de sistemas,
  • Análisis posterior al incidente.

Estos procesos deben probarse periódicamente mediante simulaciones o ejercicios de respuesta.

Evaluación de los Controles de Ciberseguridad

El tercer componente del requisito temático se refiere a la evaluación de los controles implementados para proteger los sistemas y los datos. Los auditores internos deben verificar la existencia de controles que garanticen la confidencialidad, integridad y disponibilidad de los sistemas de información. Entre los principales controles que deben evaluarse se encuentran:

Controles técnicos: Incluyen mecanismos como el cifrado de datos, la gestión de accesos, la administración de dispositivos, la actualización de parches de seguridad y el monitoreo de sistemas.

Controles de red: Las organizaciones deben implementar controles tales como segmentación de redes, cortafuegos, sistemas de detección y prevención de intrusiones, modelos de acceso de confianza cero.

Controles en comunicaciones digitales: La seguridad también debe extenderse a herramientas utilizadas en la comunicación organizacional, entre los que se cuentan el correo electrónico, los navegadores web, videoconferencias, servicios en la nube y plataformas de mensajería.

La auditoría interna desempeña un papel estratégico en el fortalecimiento de la ciberseguridad organizacional. Mediante la evaluación independiente de los procesos de gobernanza, gestión de riesgos y controles, los auditores internos pueden identificar vulnerabilidades críticas y recomendar mejoras orientadas a reducir la exposición a amenazas cibernéticas. Además, la auditoría interna contribuye a:

  • Fortalecer la cultura de seguridad dentro de la organización,
  • Mejorar la coordinación entre áreas,
  • promover la adopción de mejores prácticas internacionales.

Por ello, la aplicación sistemática de este requisito temático no solo mejora la calidad de los trabajos de auditoría interna, sino que también fortalece la capacidad de las organizaciones para prevenir, detectar y responder a incidentes de ciberseguridad. 

[1] Ver: Cybersecurity topical requirement

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado