Auditoría

de ciberseguridad
todo lo que necesitas saber
ÍNDICE
01 Introducción 03

02 ¿Qué es una auditoría de ciberseguridad? 04

03 ¿Para qué sirve una auditoría de ciberseguridad? 05

04 ¿Cuáles son los beneficios? 06

05 Tipos de auditorías de ciberseguridad 07

06 Etapas de una auditoría de ciberseguridad 10

07 Recomendaciones 12
01. Introducción
Uno de los principales riesgos a los
que hoy están expuestas las
empresas, según el informe Risk in
focus 2022: Hot topics for internal
auditors y el Estudio de Gestión de
Riesgos en Latinoamérica 2022 de
Pirani, es el riesgo de ciberseguridad
debido al crecimiento que ha tenido
en los últimos años el cibercrimen y
los ciberataques, que representan
grandes impactos para una
organización, no solo en lo
financiero, sino también en lo
reputacional.
Teniendo en cuenta esto, cada vez
más las empresas, de cualquier
sector y tamaño, entienden la
importancia de implementar un
sistema de gestión de seguridad de
la información para proteger sus
activos y prevenir la materialización
de un ciberataque, por ejemplo,
filtraciones de datos, ransomware,
phishing, suplantación de identidad,
entre otros.
Auditoría de ciberseguridad: todo lo que necesitas saber
Igualmente, cada vez se le da mayor
valor a tener en el equipo roles
como un CISO (Chief Information
Security Officer) y encargados de la
seguridad de la información.
Por eso, para garantizar la mejora
continua de este sistema, es
importante realizar auditorías, tanto
internas como externas, a la
ciberseguridad.
A continuación te explicamos todos
los detalles que necesitas saber
para hacer en tu empresa una
auditoría de ciberseguridad: qué es,
cuáles son sus beneficios, qué tipos
de auditorías existen, cuáles son sus
etapas y recomendaciones para
llevarla a cabo adecuadamente.
03
 02. ¿Qué es una auditoría
de ciberseguridad?
Una auditoría de ciberseguridad, de acuerdo con
Jairo Andrés Valencia, líder de seguridad de la
información en Pragma, es “una fotografía para
conocer el estado actual de una empresa frente a
sus riesgos cibernéticos”.

Si bien hay similitudes en los riesgos que pueden

presentarse, se debe tener en cuenta que estos
no son los mismos para todas las organizaciones,
pues como explica Jairo Andrés, dependen
mucho de factores como el sector al que
pertenezca la empresa, su actividad principal,
zona geográfica, entre otros.

Por ejemplo, una entidad dedicada al desarrollo

de software y tecnología, tiene riesgos diferentes
a los de una entidad financiera que almacena
datos personales e información bancaria de sus
usuarios.

Por eso, al momento de plantear una auditoría

de ciberseguridad, uno de los primeros puntos es
establecer el contexto: conocer información clave
de la empresa y con base en esto poder
determinar los aspectos a auditar, entre estos se
deben considerar redes, servidores, equipos y
personas.

Auditoría de ciberseguridad: todo lo que necesitas saber 04

 03. ¿Para qué sirve una auditoría
de ciberseguridad?
Además de poder conocer cómo está la ciberseguridad de la empresa, una
auditoría de este tipo permite identificar:

1 Cuál es el grado de exposición a posibles amenazas y ciberataques.

2 Qué inconvenientes existen para garantizar la confidencialidad,

integridad y disponibilidad de la información.

3 Qué tan óptimos son los sistemas y programas instalados.

4 Qué tan seguras son las contraseñas utilizadas por el personal de la

empresa.

5 Qué tan seguro es el sitio web.

6 Cómo se están cumpliendo las políticas y manuales de ciberseguridad

implementados.

Y a partir de los hallazgos obtenidos en la auditoría, sea interna o externa, la

empresa debe tomar acciones para mejorar su ciberseguridad y prevenir
de manera efectiva los posibles ciberataques.

Para hacerlo, por ejemplo, debe reforzar sus controles existentes o

implementar unos nuevos que le permitan proteger todas sus redes y
sistemas.

Auditoría de ciberseguridad: todo lo que necesitas saber 05

 04. ¿Cuáles son
los beneficios?
Entre los principales beneficios de realizar una
auditoría de ciberseguridad, Jairo Andrés destaca
los siguientes:

La mejora continua porque al conocer si lo

que se está haciendo en la empresa para
garantizar la ciberseguridad está sirviendo o
no (las políticas, los controles, el equipo
humano) se toman acciones para mejorar o
fortalecer lo que ya hay. Además, permite
estar en constante evolución.

Contribuye a la continuidad del negocio,

pues al saber cuáles son las vulnerabilidades
existentes en la ciberseguridad de la
empresa se pueden tomar acciones de
manera oportuna para corregirlas y así,
evitar que se materialice una amenaza o
ciberataque que pueda significar no solo
pérdidas financieras y de reputación, sino
también de continuidad en el mercado.

“Como decimos en Pragma, las auditorías sirven

para que la empresa esté hoy, mañana y por
muchos años más”, asegura.

Auditoría de ciberseguridad: todo lo que necesitas saber 06

05. Tipos de auditorías
de ciberseguridad
Dado que la ciberseguridad es un tema tan amplio, existen diferentes tipos
de auditorías que se pueden realizar para conocer una parte de su estado
actual. Algunas de estas son:

Auditoría Auditoría de código

de vulnerabilidades

Auditoría de redes Auditoría web

Auditoría forense Hacking ético

1. Auditoría de vulnerabilidades. Consiste en identificar las fallas de

seguridad de los aplicativos. También incluye, por ejemplo, la revisión
de contraseñas que utilizan los empleados, ¿qué tan seguras son?, ¿la
empresa exige unas condiciones mínimas para la creación de
contraseñas (número mínimo de caracteres, uso de mayúsculas,
números y caracteres especiales)?

Auditoría de ciberseguridad: todo lo que necesitas saber 07

 2. Auditoría de código. Consiste en identificar las fallas de seguridad
de los aplicativos. También incluye, por ejemplo, la revisión de
contraseñas que utilizan los empleados, ¿qué tan seguras son?, ¿la
empresa exige unas condiciones mínimas para la creación de
contraseñas (número mínimo de caracteres, uso de mayúsculas,
números y caracteres especiales)?

3. Auditoría de redes. Lo primero que se debe hacer es un mapa de

la red de la empresa para conocer cómo está conectada y de qué
manera los ciberdelincuentes podrían atacarla. Después de esto se
debe actualizar el firmware de los dispositivos móviles, los sistemas
operativos y renovar los equipos viejos para corregir algún error o fallo
de seguridad.

Igualmente, se deben implementar sistemas como firewalls (para

bloquear accesos no autorizados), WLAN (red de área local inalámbrica
para separar el tráfico), WPA2 (para proteger las redes inalámbricas de
Wi-Fi) y VPNs (red privada virtual).

4. Auditoría web. Su objetivo es conocer qué tan seguros son el

servidor y la página web de la empresa, si por ejemplo es vulnerable a
un ataque que instale un virus o si cuenta con el indicativo https que
indica que el servidor es seguro.

Auditoría de ciberseguridad: todo lo que necesitas saber 08

 5. Auditoría forense. Se realiza luego de haberse materializado algún
incidente de seguridad y su objetivo es identificar y reunir el mayor
número de evidencias y datos que permitan establecer las causas del
incidente, es decir, qué vulnerabilidades, fallas o errores había que
facilitaron que este ocurriera.

6. Hacking ético. Esta práctica consiste en realizar una prueba o test

de penetración para atacar de forma planificada los sistemas y
aplicativos de la empresa con el objetivo de determinar qué tan
expuesta está a los ciberataques, hallar las debilidades y darles
solución.

Auditoría de ciberseguridad: todo lo que necesitas saber 09

06. Etapas de una auditoría
de ciberseguridad
De acuerdo con Jairo Andrés, no todas las auditorías siguen las mismas
etapas, pues esto depende de aspectos como el enfoque que cada
empresa y auditor le vaya a dar, el alcance (cuáles procesos se van a
auditar) y el criterio, es decir, bajo qué estándar, norma o marco de trabajo
se va realizar la auditoría, por ejemplo: ISO 27302 (ciberseguridad), ISO
9011 (auditoría de sistemas de gestión), Framework de Ciberseguridad del
NIST, entre otros.

1 Aun así, sí es importante tener en cuenta algunos puntos claves

para realizar de forma eficiente una auditoría de ciberseguridad,
por ejemplo:

2 Tener claridad del contexto de la empresa, a qué industria pertenece,

qué tipo de productos o servicios ofrece, etc.

3 Determinar cuáles son los sistemas de información, servicios o

procesos que se van a auditar, es decir, el alcance que tendrá.

4 Verificar, según cada organización, cuánto se cumple de los estándares

de calidad y seguridad.

5 Hallar y determinar las vulnerabilidades a las que están expuestos los

sistemas, redes e incluso, personal de la empresa.

Auditoría de ciberseguridad: todo lo que necesitas saber 10

6 A partir de los hallazgos, construir y presentar un informe dirigido a la
alta gerencia, debe estar comprometida con la ciberseguridad y con la
toma oportuna de decisiones, que incluya información como:

Datos generales de la auditoría (alcance, criterio, procesos

auditados, tiempo de duración, etc.)

Comparativo de auditorías anteriores.

Incumplimientos o no conformidades.

Oportunidades de mejora.

Conclusiones.

Auditoría de ciberseguridad: todo lo que necesitas saber 11

07. Recomendaciones para una
auditoría de ciberseguridad
Como lo hemos mencionado, este tipo de auditoría debe servir para
conocer qué tan expuesta está una organización a posibles
ciberataques y con base en los hallazgos, poder tomar acción para
reforzar la seguridad de los sistemas, redes, servidores y demás.

Algunas recomendaciones adicionales que puedes poner en práctica al

auditar la ciberseguridad en tu empresa son:

Realizar auditoría interna y auditoría externa. Si bien la interna

puede servir para encontrar algunas vulnerabilidades, la externa
permite tener un panorama mucho más amplio y conocer realmente si
lo que se está haciendo sí funciona o no.

Contar con un especialista en seguridad informática y

ciberseguridad, en caso de no tenerlo, contratar el servicio de un
tercero que pueda orientar y acompañar a la organización en el
desarrollo de la auditoría.

Realizar la auditoría mínimo una vez al año, sin embargo, como

asegura Jairo Andrés, esto también depende del contexto de cada
empresa porque, por ejemplo, hay unas que están en constante
auditoría.

La información proporcionada en el informe de auditoría debe

estar bien documentada, ser muy clara, fácil de entender e
incluir los diferentes hallazgos sin juicios de valor.

Auditoría de ciberseguridad: todo lo que necesitas saber 12

En conclusión, llevar a cabo una auditoría de ciberseguridad permite a
las empresas estar al tanto de posibles fallas, debilidades y errores
en sus sistemas de seguridad y a partir de esto, tomar acciones
oportunas para corregirlos y prevenir la materialización de incidentes y
ataques cibernéticos que puedan impactar negativamente no solo la
operación normal de la organización, sino también sus finanzas y su
reputación.

Adicionalmente, para prevenir los riesgos asociados a la seguridad de la

información y a la ciberseguridad, es importante gestionar de manera
oportuna y adecuada todos los activos de información e identificar los
diferentes riesgos a los que están expuestos. Una herramienta tecnológica
como Pirani ISMS Suite puede ayudarte a ti y a tu empresa a hacerlo de
forma simple.

Conocer más aquí

Escríbenos si deseas más información o tienes alguna duda a nuestra línea de Whatsapp
+57 317 643 6460.

Auditoría de ciberseguridad: todo lo que necesitas saber 13

Referencia bibliográfica
1. Cibernos. Mejores prácticas para una auditoría de ciberseguridad

2. Asobancaria. Guía de buenas prácticas para auditar la ciberseguridad

3. Ambit BST. Lo que no debes pasar por alto en una auditoría de ciberseguridad

4. EALDE Business School. Consejos para hacer una auditoría de seguridad

informática para evitar riesgos digitales

Auditoría de ciberseguridad: todo lo que necesitas saber 14