El Modelo de hallazgos técnicos de auditoría de infraestructura tecnológica es una herramienta diseñada para documentar, clasificar y dar seguimiento a vulnerabilidades y deficiencias en sistemas críticos de TI. Su propósito es proporcionar un marco claro y estandarizado que identifique riesgos, registre evidencias y defina recomendaciones correctivas, facilitando la gestión efectiva de la seguridad, la continuidad operativa y el cumplimiento normativo en la infraestructura tecnológica de la organización.

La checklist de configuración para bases de datos y middleware es una herramienta práctica diseñada para fortalecer la seguridad y el control en entornos críticos de TI. Su propósito es evaluar el cumplimiento de políticas, estándares y buenas prácticas en la gestión de accesos, cifrado, respaldos, parches y monitoreo, facilitando la identificación de brechas, la definición de acciones correctivas y la asignación de responsables. Con este checklist, las organizaciones aseguran una administración más confiable, eficiente y alineada con los marcos de auditoría y control interno.

La Guía para formalizar la creación del Comité de sostenibilidad tecnológica establece un marco estratégico y normativo para integrar los criterios ESG en la gestión de las tecnologías de la información. Su propósito es orientar a las organizaciones en la creación de un órgano de gobernanza que asegure decisiones tecnológicas responsables, eficientes y alineadas con los valores corporativos, fortaleciendo la innovación sostenible, la resiliencia institucional y la reputación ante clientes, inversionistas y grupos de interés.

La recolección de evidencias digitales en auditoría TI es un proceso clave para asegurar información confiable y útil en el análisis y toma de decisiones. Este documento presenta buenas prácticas que orientan su obtención, registro y resguardo de forma ordenada, segura y eficiente, garantizando su validez como prueba, protegiendo la confidencialidad de los datos y fortaleciendo la calidad del trabajo de auditoría.

Este checklist es una herramienta práctica para identificar y evaluar, de forma clara y estructurada, los riesgos tecnológicos inherentes que pueden afectar la operación y continuidad de la organización. Su uso permite priorizar áreas críticas, anticipar problemas y orientar la toma de decisiones, asegurando que los recursos se enfoquen en los riesgos con mayor impacto potencial antes de implementar controles.

Los entornos tecnológicos comprenden el conjunto de herramientas, sistemas y plataformas digitales que apoyan la ejecución de procesos organizacionales. Su adecuada gestión es clave para garantizar eficiencia operativa, integridad de la información y control de riesgos.

La presente herramienta ha sido diseñada específicamente para apoyar la revisión de entornos tecnológicos, proporcionando una estructura clara para el análisis, validación y documentación de prácticas reconocidas como seguras, eficaces y alineadas con marcos de referencia internacionales.

El objetivo de la "Matriz de evaluación de beneficios y riesgos de la computación en la nube" es proporcionar a las organizaciones una herramienta estructurada y detallada para identificar, analizar y gestionar de manera efectiva tanto los beneficios como los riesgos asociados a la adopción de servicios en la nube.

En un entorno digital en constante transformación, gestionar los riesgos emergentes en ciberseguridad requiere una visión estratégica, proactiva y adaptable. Este documento presenta buenas prácticas orientadas a anticipar, identificar y responder a amenazas cibernéticas no tradicionales, para fortalecer la preparación de las organizaciones frente a escenarios de riesgo disruptivo que no pueden abordarse con enfoques tradicionales.

Diseñar un programa de ciberseguridad eficaz requiere considerar múltiples factores estratégicos, operativos y normativos, que van desde la adopción de un marco de referencia internacional hasta la incorporación de requisitos legales, la asignación de presupuesto, la definición de estructuras de gobernanza, y la implementación de mecanismos de supervisión y mejora continua. Este conjunto de buenas prácticas tiene como propósito guiar a las organizaciones en la construcción de un programa sólido, adaptable y alineado con los riesgos del entorno digital actual.

Este documento tiene como objetivo proporcionar un conjunto de buenas prácticas para administrar la seguridad de la información en entornos de computación en la nube. Asimismo, promueve la adopción de medidas preventivas y correctivas que fortalezcan la postura de ciberseguridad de la organización en la gestión de servicios en la nube.

Esta herramienta le permitirá identificar controles preventivos y detectivos, de naturaleza manual y dependientes de tecnología, considerados en un proceso de controles generales de tecnología. La aplicación de estos controles de buena práctica en las organizaciones permitirá mitigar y/o disminuir la probabilidad de materialización del riesgo inherente identificado en los subprocesos asociados. 

El objetivo de este documento es proporcionar un marco de buenas prácticas para la auditoría interna en ciberseguridad, permitiendo a las organizaciones identificar, evaluar y gestionar eficazmente los riesgos digitales. A través de estas prácticas, se busca fortalecer los controles de seguridad, asegurar el cumplimiento normativo, optimizar la asignación de recursos y fomentar una cultura de concienciación en todos los niveles, garantizando así una postura de ciberseguridad robusta y alineada con los objetivos estratégicos de la organización.

La Matriz de Riesgos de TI tiene como objetivo identificar, evaluar y gestionar los riesgos asociados a la tecnología de la información dentro de la organización, proporcionando un marco estructurado para la toma de decisiones en ciberseguridad, auditoría y gestión de riesgos.

El objetivo del programa es evaluar de manera integral la seguridad, privacidad y conformidad de las plataformas de formación y aprendizaje online, asegurando controles robustos de acceso y protección de contenido, cumplimiento con regulaciones de protección de datos, y una integración segura con otros sistemas institucionales, para proporcionar un entorno de aprendizaje online seguro y confiable.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una evaluación exhaustiva y meticulosa de los Sistemas de Gestión de Clientes (CRM) para garantizar la protección efectiva y la gestión adecuada de los datos de los clientes, preservando su privacidad y fomentando la confianza. Este programa de auditoría se centrará en validar la robustez de las medidas de protección de datos implementadas en los sistemas CRM, asegurando que los datos de los clientes estén seguros contra accesos no autorizados, brechas de seguridad y uso indebido.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una evaluación profunda y sistemática de la seguridad, eficiencia y conformidad de los Sistemas de Planificación de Recursos Empresariales (ERP) implementados en la organización. Este programa de auditoría se enfocará en asegurar que los sistemas ERP operen de manera segura y eficaz, protegiendo los datos críticos de la empresa y facilitando una gestión integral y coherente de los recursos. Se evaluarán los controles de acceso y las medidas de protección de datos para prevenir brechas de seguridad y garantizar la confidencialidad, integridad y disponibilidad de la información.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una evaluación integral y meticulosa de los procesos y controles relacionados con la gestión de licencias de software dentro de la organización. El programa de auditoría se enfocará en asegurar que la gestión y control de las licencias de software se lleven a cabo de manera efectiva y eficiente, cumpliendo con los términos contractuales, las regulaciones de software aplicables y las políticas internas de la organización. Se auditarán las prácticas de adquisición, renovación y gestión de licencias para identificar y corregir posibles ineficiencias o incumplimientos que puedan resultar en riesgos financieros, legales o de reputación.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una evaluación exhaustiva y minuciosa de los sistemas de gestión de documentación electrónica para asegurar que estos manejen de manera efectiva y segura toda la documentación crítica de la organización. El programa de auditoría se centrará en verificar la conformidad de estos sistemas con las regulaciones aplicables, evaluando meticulosamente los controles de acceso, edición y eliminación de documentos electrónicos para prevenir accesos no autorizados y asegurar la trazabilidad de las acciones realizadas en los documentos.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una evaluación detallada y profunda de las Redes Privadas Virtuales (VPN) utilizadas por la organización, enfocándose en la adecuada configuración y administración de estas herramientas esenciales para la seguridad de la conexión remota. El programa de auditoría buscará asegurar que las conexiones a través de VPN sean seguras y confiables, que los recursos de la red corporativa sean accesibles de manera protegida, y que los protocolos de autenticación y cifrado implementados cumplan con los estándares más rigurosos de seguridad.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para evaluar de manera exhaustiva y sistemática la seguridad, confiabilidad y conformidad de las fuentes de datos externas utilizadas por la organización, asegurando que los controles de integración y uso de estos datos sean efectivos y estén alineados con las políticas de seguridad de la organización. El programa buscará evaluar y verificar la solidez de los acuerdos de nivel de servicio y el grado de cumplimiento de los proveedores de datos externos, así como analizar en profundidad los procesos de verificación y validación para garantizar la precisión, integridad y autenticidad de los datos externos utilizados en la toma de decisiones y operaciones de la organización.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para evaluar exhaustivamente la solidez, eficacia y conformidad de las estrategias y medidas implementadas para la protección contra malware y ransomware, incluyendo la evaluación de herramientas antivirus y antimalware, la revisión de protocolos de respuesta y recuperación ante incidentes, la efectividad de programas de formación y concientización del personal sobre prácticas de seguridad, y el rigor en la actualización y mantenimiento de sistemas de defensa.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para conducir una auditoría detallada y enfocada para evaluar la seguridad, resistencia y gobernanza ética en la implementación y operación de tecnologías de Inteligencia Artificial (IA) y Aprendizaje Automático (AA). Este programa está diseñado para asegurar que la implementación de IA y AA en la organización cumpla con los estándares de seguridad establecidos, así como auditar la adecuación y efectividad de los controles de datos y modelos utilizados en sistemas de IA, y revisar la capacidad de los sistemas de IA para resistir manipulaciones y ataques cibernéticos. Además, se enfoca en evaluar la integridad y coherencia de la gobernanza ética y de seguridad en el uso de estas tecnologías avanzadas.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una auditoría integral para evaluar la adhesión y efectividad de las prácticas de ciberhigiene y las rutinas de mantenimiento en la organización. Este programa tiene como finalidad asegurar que se sigan las prácticas estándar de ciberhigiene, auditar la consistencia y efectividad de las rutinas de mantenimiento y revisión de seguridad en sistemas y dispositivos, además de revisar la frecuencia y eficacia de las actividades de mantenimiento preventivo. Adicionalmente, se enfoca en analizar la cultura organizacional y su impacto en la promoción y adopción de buenas prácticas de ciberhigiene.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para conducir una auditoría exhaustiva para evaluar la integridad, efectividad y coherencia de las medidas de seguridad implementadas en entornos de trabajo remoto y teletrabajo. Este programa está diseñado para asegurar que las configuraciones de acceso remoto sean seguras, que las políticas y controles de seguridad para empleados remotos estén bien definidos y sean efectivos, y que la conexión a redes corporativas desde ubicaciones remotas sea protegida adecuadamente. Además, se enfoca en evaluar la robustez de las prácticas de respaldo y protección de datos en entornos de teletrabajo.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una auditoría detallada para evaluar la preparación, capacidad de respuesta y eficacia de los procesos de gestión ante incidentes de seguridad y violaciones de datos. Este programa está diseñado para asegurar que la organización tenga procedimientos robustos y bien establecidos para detectar, notificar, comunicar y responder rápidamente a incidentes de seguridad. Se enfoca en auditar la eficacia de las notificaciones y comunicaciones tras una violación, revisar las acciones tomadas para mitigar y resolver incidentes, y evaluar la adecuación de las actualizaciones de políticas y prácticas post-incidente para prevenir futuras ocurrencias.

El objetivo general de este programa es evaluar, fortalecer y garantizar la efectividad de las medidas de seguridad implementadas en la organización, mediante la revisión exhaustiva de políticas y procedimientos, la capacitación y concienciación del personal, la simulación de ataques, y el monitoreo continuo de incidentes, con el fin de proteger la información sensible y mitigar los riesgos asociados a técnicas de manipulación y engaño dirigidas a comprometer la seguridad de la organización.

El objetivo general del programa de auditoría anti-phishing es evaluar la capacidad de la organización para identificar, prevenir y responder a intentos de phishing, asegurando que las herramientas, políticas y procedimientos de seguridad sean compatibles y alineados con las mejores prácticas y normativas. Esta herramienta busca fortalecer la formación y concienciación del personal, garantizar la protección de datos sensibles, y evaluar la efectividad de los sistemas de monitoreo y respuesta ante incidentes. Mediante un enfoque de mejora continua, el programa pretende mitigar los riesgos de phishing, proteger la información y asegurar el cumplimiento regulatorio, proporcionando una sólida defensa contra esta amenaza cibernética.

Este programa tiene como objetivo principal obtener un diagnóstico de la seguridad informática de la organización frente a la amenaza de ransomware mediante la evaluación de controles preventivos, la revisión y actualización de políticas y procedimientos, la evaluación de la efectividad de los backups, la formación continua del personal, y la implementación de sistemas robustos de monitoreo y detección de amenazas, con el fin de prevenir, detectar y responder eficazmente a ataques de ransomware, minimizando el impacto y asegurando la continuidad operativa.

Asimismo, este programa permite identificar vulnerabilidades y riesgos asociados con el ransomware y fomentar una cultura organizacional de seguridad y concienciación sobre las amenazas cibernéticas.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para implementar una auditoría comprensiva para evaluar la seguridad, privacidad y conformidad en la gestión, almacenamiento, procesamiento y análisis de grandes volúmenes de datos. Este programa está orientado a asegurar que las prácticas de Big Data y analítica de la organización protejan eficazmente la información sensible y estén alineadas con las regulaciones de privacidad. Se enfoca en auditar la robustez de la infraestructura y herramientas utilizadas para la analítica de Big Data en términos de seguridad, revisar la gobernanza de datos para garantizar un manejo adecuado y ético de la información, y evaluar la adhesión a las regulaciones de privacidad y seguridad de datos.

El objetivo de este programa de auditoría es proporcionar un enfoque estructurado y sistemático para realizar una auditoría minuciosa para evaluar la efectividad y eficiencia de los procesos de gestión de cambios y configuraciones en la infraestructura de TI de la organización. Además de asegurar que todos los cambios en sistemas, aplicaciones e infraestructura de TI sean gestionados de manera controlada y documentada, preservando la integridad y seguridad de las configuraciones. Se enfoca en auditar los controles implementados para gestionar cambios, revisar la adecuación y cumplimiento de la documentación y aprobaciones requeridas para cambios significativos, y evaluar la efectividad de los controles post-cambio para mantener y reforzar la seguridad de los sistemas y la infraestructura.