+2,500 herramientas validadas, listas para usar.

Las organizaciones deben considerar la transformación digital como una reinvención dentro de su estrategia y visión, que le permite adaptarse al nuevo contexto empresarial y global.

Cada pregunta le permitirá conocer qué tanto su organización se encuentra preparada contra posibles amenazas cibernéticas, de tal forma que pueda establecer un plan de acción o fortalecer los controles que ya tienen.

Los cambios de IT deben ser evaluados desde diferentes perspectivas para conocer su impacto en la operación, las comunicaciones y el entorno a nivel general, de tal forma que el mismo sea evaluado antes de su puesta en marcha.

Las nuevas exigencias de los mercados llevan a las organizaciones a buscar día a día el aprovechamiento de la información digital, lo cual representa mayor vulnerabilidad frente a las amenazas en privacidad de datos y seguridad cibernética, por lo cual la administración del riesgo digital debe buscar integrarlas.

Las organizaciones cada vez tienen la necesidad de realizar transformaciones tecnológicas en sus procesos que las lleven a ofrecer nuevas experiencias a sus clientes y por tanto a ser más competitivas, sin embargo, los nuevos retos implican la adopción de nuevos riesgos, en donde se deberán cuestionar diferentes escenarios, que permitan identificar brechas o áreas que no se encuentran cubiertas.

Los procesos de implementación de nuevas tecnologías deben llevar a los miembros de la Dirección y/o del Comité de Auditoría a realizar preguntas clave sobre dicho proceso antes, durante y después de terminar un proceso, ejerciendo así un rol de supervisión.

Los Malware o Software maliciosos son un programa o código informático creado para causar estragos en una red, equipo, sistema informático o página web, los cuales se pueden identificar como virus, gusanos informáticos, troyanos, entre otros.

Los virus son programas que se propagan normalmente a través de un archivo ejecutable, los gusanos informáticos se replican igual que los virus, solamente que no necesitan de la interacción de una persona; por su parte, los troyanos crean una puerta trasera que permite a un usuario no autorizado la administración del equipo sin ser advertido, a fin de realizar acciones como robo de información personal, instalación de otros programas, captura de los movimientos del teclado, seguimiento a las actividades del computador y captura de imágenes a través de la cámara del computador.

Las empresas cada vez más dependen de las aplicaciones informáticas para alcanzar sus objetivos, por lo cual es fundamental considerar los riesgos que afectan los procesos de negocios, entre los que encontramos controles a los registros, segregación de funciones, consecutivos, totales de control y auditorías que se emiten directamente de los aplicativos informáticos. Esta guía es un acompañamiento para realizar dicha evaluación.

La vulnerabilidad de las organizaciones frente a los riesgos asociados a la ciberseguridad demanda la contratación de seguros que permitan transferir dichos riesgos, razón por la cual se debe conocer de manera amplia y detallada su cubrimiento antes de la contratación.

Contratar servicios en la nube o evaluar el proceso de contratación requiere considerar diferentes aspectos, los cuales deben ser revisados antes de su vinculación. Ejemplo: conocer al proveedor.

Las áreas de IT en las organizaciones deben considerar la aplicación de los 17 principios de COSO 2013, de tal forma que fortalezca tanto las prácticas existentes, así como implemente en su función las que no han sido desarrolladas.

Verificar desde el área el nivel de exposición de riesgos, así como los controles implementados para su mitigación, contribuye en el fortalecimiento del control interno y por tanto en el cumplimiento de los objetivos del área y de la organización, sin tener que esperar a evaluaciones externas o de entes de control.

Los controles generales de “TI” establecen un esquema de controles de bajo nivel para las actividades globales de informática. Se les debe observar como procedimientos diseñados no sólo para intentar garantizar que la actividad de “TI” se administre adecuadamente, sino que también deben servir como marco razonable de protección de las aplicaciones y transacciones de datos.