Buenas Prácticas de Auditoría Interna en

Ciberseguridad

Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones.

Es necesario que se realice un análisis y se determine la mejor práctica de
acuerdo con cada organización.

Práctica SI NO N/A

Tener el personal con el perfil y experiencia

requerido en temas de ciberseguridad,
considerando inclusive un área especial.

Evaluar los riesgos en ciberseguridad de acuerdo

con los objetivos de la organización.

Mantener una visión general de los riesgos de

tecnología de la industria, que pueden afectar a la
organización en el cumplimiento de metas.

Conocer los potenciales atacantes a los cuales se

encuentra expuesta la organización y lo que
persiguen (dinero, información).

Identificar los riesgos vulnerables frente a un

ataque y las tácticas que los perpetradores
pueden utilizar.

Realizar una evaluación inicial de seguridad que

permita identificar los riesgos en las cuales se
debe profundizar.

Conocer las prácticas mínimas en ciberseguridad

de la industria y la organización.
 Práctica SI NO N/A

Conocer las tendencias que aumentan el riesgo de

ciberseguridad.

Atender oportunamente las preguntas del Comité

frente a los temas de ciberseguridad,
demostrando conocimiento de las tendencias y
actualización en el tema.

Realizar una evaluación completa de

ciberseguridad de toda la organización.

Supervisar de forma recurrente los riesgos de

ciberseguridad identificados, así como los nuevos
riesgos potenciales, para su inclusión en el plan de
auditoría según su calificación.

Promover los buenos hábitos en ciberseguridad

por medio de la educación a los diferentes niveles
de la organización.

Incluir dentro del plan de auditoría las áreas de IT

según su impacto en los riesgos.

Entregar informes que aporten valor a la

organización desde la perspectiva de
ciberseguridad.

Promover la comunicación abierta y continua

frente a los temas de ciberseguridad.

Identificar los cargos estratégicos que deben estar

involucrados en los temas de ciberseguridad, para
considerarlos dentro de las evaluaciones.
 Práctica SI NO N/A

Identificar las normas y requisitos que la

organización debe cumplir en temas de
ciberseguridad en cada geografía.

Revisar los riesgos y controles que tiene la

organización para salvaguardar los secretos
comerciales y todo lo relacionado con propiedad
intelectual.

Conocer el almacenamiento que tiene la

organización en la nube, según el análisis de
riesgos, impacto, probabilidad y velocidad.

Evaluar los riesgos de la organización en materia

de ciberseguridad frente a potenciales y/o reales
alianzas con otras organizaciones.

Revisar el presupuesto asignado para

ciberseguridad.

Evaluar los proveedores contratados para

seguridad.

Evaluar las políticas implementadas para la

gestión de ciberseguridad.