Los controles generales de “TI” establecen un esquema de controles de bajo nivel para las actividades globales de informática. Se les debe observar como procedimientos diseñados no sólo para intentar garantizar que la actividad de “TI” se administre adecuadamente, sino que también deben servir como marco razonable de protección de las aplicaciones y transacciones de datos.

Verificar desde el área el nivel de exposición de riesgos, así como los controles implementados para su mitigación, contribuye en el fortalecimiento del control interno y por tanto en el cumplimiento de los objetivos del área y de la organización, sin tener que esperar a evaluaciones externas o de entes de control.

Las áreas de IT en las organizaciones deben considerar la aplicación de los 17 principios de COSO 2013, de tal forma que fortalezca tanto las prácticas existentes, así como implemente en su función las que no han sido desarrolladas.

Contratar servicios en la nube o evaluar el proceso de contratación requiere considerar diferentes aspectos, los cuales deben ser revisados antes de su vinculación. Ejemplo: conocer al proveedor.

La vulnerabilidad de las organizaciones frente a los riesgos asociados a la ciberseguridad demanda la contratación de seguros que permitan transferir dichos riesgos, razón por la cual se debe conocer de manera amplia y detallada su cubrimiento antes de la contratación.

Las empresas cada vez más dependen de las aplicaciones informáticas para alcanzar sus objetivos, por lo cual es fundamental considerar los riesgos que afectan los procesos de negocios, entre los que encontramos controles a los registros, segregación de funciones, consecutivos, totales de control y auditorías que se emiten directamente de los aplicativos informáticos. Esta guía es un acompañamiento para realizar dicha evaluación.

Los Malware o Software maliciosos son un programa o código informático creado para causar estragos en una red, equipo, sistema informático o página web, los cuales se pueden identificar como virus, gusanos informáticos, troyanos, entre otros.

Los virus son programas que se propagan normalmente a través de un archivo ejecutable, los gusanos informáticos se replican igual que los virus, solamente que no necesitan de la interacción de una persona; por su parte, los troyanos crean una puerta trasera que permite a un usuario no autorizado la administración del equipo sin ser advertido, a fin de realizar acciones como robo de información personal, instalación de otros programas, captura de los movimientos del teclado, seguimiento a las actividades del computador y captura de imágenes a través de la cámara del computador.

Los procesos de implementación de nuevas tecnologías deben llevar a los miembros de la Dirección y/o del Comité de Auditoría a realizar preguntas clave sobre dicho proceso antes, durante y después de terminar un proceso, ejerciendo así un rol de supervisión.

Las organizaciones cada vez tienen la necesidad de realizar transformaciones tecnológicas en sus procesos que las lleven a ofrecer nuevas experiencias a sus clientes y por tanto a ser más competitivas, sin embargo, los nuevos retos implican la adopción de nuevos riesgos, en donde se deberán cuestionar diferentes escenarios, que permitan identificar brechas o áreas que no se encuentran cubiertas.

Las nuevas exigencias de los mercados llevan a las organizaciones a buscar día a día el aprovechamiento de la información digital, lo cual representa mayor vulnerabilidad frente a las amenazas en privacidad de datos y seguridad cibernética, por lo cual la administración del riesgo digital debe buscar integrarlas.

Los cambios de IT deben ser evaluados desde diferentes perspectivas para conocer su impacto en la operación, las comunicaciones y el entorno a nivel general, de tal forma que el mismo sea evaluado antes de su puesta en marcha.

Cada pregunta le permitirá conocer qué tanto su organización se encuentra preparada contra posibles amenazas cibernéticas, de tal forma que pueda establecer un plan de acción o fortalecer los controles que ya tienen.

Las organizaciones deben considerar la transformación digital como una reinvención dentro de su estrategia y visión, que le permite adaptarse al nuevo contexto empresarial y global.

Si bien el teletrabajo ofrece beneficios importantes de productividad y ahorros en gastos para las organizaciones, el mismo trae riesgos en ciberseguridad a los cuales las organizaciones y sus colaboradores se encuentran expuestos, siendo imperativo identificar las áreas vulnerables y priorizar su protección.

La transformación digital en las organizaciones puede considerarse un nuevo concepto que trae desafíos desde su alcance y repercusión en la experiencia del cliente, en la optimización de los procesos y en la cultura organizacional, permitiendo tener soluciones digitales integrales que hagan a las organizaciones más competitivas frente a la nueva normalidad.

Los planes de recuperación ante incidentes de TI deben considerar actividades fundamentales como la evaluación de riesgos, pasando por el inventario de sistemas y redes, así como la documentación, prueba y actualización de los mismos frente a los cambios y objetivos de la organización, entre otros.

Las organizaciones de salud deben evaluar su modelo de atención virtual, identificando brechas tanto en la implementación de las herramientas tecnológicas como de la calidad del servicio para el usuario final, pasando por la alineación con los objetivos de la organización y la educación de sus usuarios, entre otros tantos aspectos, que les permitan trabajar por el cubrimiento y la calidad del servicio.

El objetivo principal del documento es proporcionar una guía exhaustiva y práctica que establezca las mejores prácticas para el uso efectivo de las plataformas tecnológicas en la implementación y gestión de los controles internos dentro de una organización.

Las amenazas para las organizaciones son un desafio para su seguridad, que requiere la identificación oportuna de las alertas para rastrear un posible ataque en el menor tiempo posible, permitiendo el cierre de las brechas que se tengan en seguridad.

Con el crecimiento de las organizaciones y los cambios tecnológicos se hace necesario para las organizaciones gestionar los activos asociados a TI, pues de la eficiencia en su gestión se pueden optimizar los equipos, reducir costos e implementar acciones de seguridad que se encuentren alineadas con las tendencias del mercado.

La importancia de TI dentro de la estrategia de las organizaciones hoy en día demanda que dicha área desarrolle un plan estratégico que se encuentre alineado con los objetivos y metas de la organización, así como el que considere variables que van desde el talento humano que se requiere para cumplir con dichos objetivos, pasando por las herramientas que soportan la operación y la disponibilidad de recursos frente a factores externos económicos como la devaluación.

El objetivo de este documento es proveer un conjunto de preguntas clave que el consejo de administración puede utilizar para evaluar la gestión de riesgos cibernéticos, la estrategia de seguridad y la preparación ante incidentes, promoviendo una gobernanza efectiva sobre la ciberseguridad.

El objetivo de este documento es analizar y asegurar que los procesos de desarrollo y adquisición de sistemas y aplicaciones de TI cumplan con los estándares establecidos, gestionen adecuadamente los riesgos tecnológicos y soporten los objetivos estratégicos de la organización.

El objetivo de este documento es evaluar la gestión de relaciones con proveedores de servicios y productos de TI para asegurar que cumplen con los estándares de calidad, seguridad y desempeño requeridos, mitigando riesgos asociados a la dependencia de terceros.

El objetivo de este documento es evaluar la capacidad de la organización para responder de manera efectiva a incidentes de ciberseguridad, incluyendo la detección temprana, la respuesta y recuperación, y la minimización del impacto en las operaciones y la información crítica.

El objetivo de este documento es inspeccionar y evaluar la infraestructura de tecnología de la información para garantizar que es robusta, segura y escalable, soportando eficazmente las operaciones actuales y futuras de la organización.

El objetivo de este documento es revisar y evaluar políticas específicas para determinar su efectividad en la gestión de riesgos, el cumplimiento de regulaciones y el apoyo a los objetivos estratégicos y operativos de la organización.

El objetivo de este documento es revisar los controles generales de tecnología de la información para asegurar la seguridad, integridad y disponibilidad de los sistemas y datos, así como su alineación con los objetivos estratégicos de la organización.

De acuerdo a la clasificación de la información que una organización establezca, se deben definir las actividades de control que deben ser desarrolladas en cada nivel, custodiando la información según corresponda a su clasificación. El siguiente modelo de matriz presenta las garantías básicas para la protección de los datos según su clasificación.