Control de Auditoría para la Divulgación de Información debido a

Falta o Desconocimiento en la Utilización del Sistema en la Empresa

1. ¿Quién? El equipo de auditoría designado por el departamento de

seguridad de la información y control interno.

2. ¿Qué realiza? Auditoría focalizada en la divulgación de información

para identificar posibles fallos debido a la falta o desconocimiento en la
utilización del sistema.

3. ¿Cuándo lo realiza? Esta auditoría se lleva a cabo de manera

semestral, coincidiendo con la revisión general de los controles de
seguridad de la información.

4. ¿Cómo hace el control?

 Revisa la documentación de políticas y procedimientos relacionados

con la divulgación de información.
 Lleva a cabo entrevistas con el personal clave involucrado en la
divulgación de información.
 Realiza pruebas de simulación para evaluar el conocimiento del
personal sobre los procesos de divulgación.
 Examina los registros y logs del sistema para identificar posibles
irregularidades en la divulgación de información.

5. ¿Qué es lo que revisa?

 Nivel de conocimiento del personal sobre las políticas y

procedimientos de divulgación.
 Identificación y corrección de errores en el proceso de divulgación.
 Adherencia a los protocolos de seguridad al divulgar información
sensible.
 Efectividad de las capacitaciones proporcionadas para el uso
correcto del sistema.

6. ¿Por qué?
  Garantizar que la divulgación de información se realice de manera
segura y acorde a las políticas establecidas.
 Mitigar el riesgo de divulgación indebida o accidental de
información sensible.
 Mejorar la conciencia y el conocimiento del personal sobre los
procedimientos adecuados de divulgación.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos.

 Informes de entrevistas con el personal.
 Resultados de simulaciones de divulgación.
 Registros y logs del sistema.
 Informes de auditoría con hallazgos y recomendaciones.

Asegúrate de adaptar estos elementos de control según los detalles

específicos de tu organización y sus procedimientos de divulgación de
información.
2

. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información y gestión de riesgos.

2. ¿Qué realiza? Auditoría enfocada en la revisión de la gestión de copias de

seguridad para prevenir la pérdida de datos personales de clientes.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma trimestral para

garantizar una supervisión regular de las prácticas de copias de seguridad.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos relacionados con la gestión de copias

de seguridad.
 Evalúa la implementación y cumplimiento de estas políticas a través de
entrevistas con el personal de TI.
  Examina los registros de copias de seguridad para verificar la consistencia y
la debida realización.
 Realiza pruebas de restauración de datos para asegurar la efectividad de las
copias de seguridad.

5. ¿Qué es lo que revisa?

 Frecuencia y regularidad de las copias de seguridad.

 Integridad y disponibilidad de los datos almacenados en las copias de
seguridad.
 Cumplimiento de los plazos establecidos para la realización de copias de
seguridad.
 Efectividad del plan de recuperación de desastres en caso de pérdida de
datos.

6. ¿Por qué?

 Evitar la pérdida de datos personales de clientes, protegiendo la privacidad y

cumpliendo con regulaciones de privacidad.
 Garantizar la continuidad del negocio mediante la recuperación efectiva de
datos en caso de incidentes.
 Cumplir con normativas y estándares de seguridad de la información.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos.

 Entrevistas con el personal de TI.
 Registros de copias de seguridad.
 Informes de pruebas de restauración de datos.
 Informes de auditoría con hallazgos y recomendaciones.

Adapta estos elementos de control según las necesidades y especificidades de tu

organización para asegurar una gestión efectiva de las copias de seguridad y
prevenir la pérdida de datos personales de clientes.

Control de Auditoría para la Pérdida de Datos Contables debido al Creciente

Uso de Dispositivos Móviles y Falta de Capacitación de los Usuarios
1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de
la información y control interno, en colaboración con el departamento de recursos
humanos y tecnologías de la información.

2. ¿Qué realiza? Auditoría centrada en evaluar los riesgos asociados con la pérdida
de datos contables debido al aumento en el uso de dispositivos móviles y la falta
de capacitación de los usuarios.

3. ¿Cuándo lo realiza? La auditoría se realiza anualmente, coincidiendo con la

revisión de políticas y procedimientos internos de seguridad de la información.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos existentes relacionados con el uso de

dispositivos móviles y seguridad de la información.
 Evalúa el nivel de capacitación proporcionado a los usuarios sobre el manejo
seguro de datos contables en dispositivos móviles.
 Realiza entrevistas con usuarios clave para entender su nivel de
comprensión y prácticas de seguridad.
 Realiza análisis de vulnerabilidades en dispositivos móviles utilizados para
acceder a datos contables.

5. ¿Qué es lo que revisa?

 Nivel de conciencia y capacitación del personal en el uso seguro de

dispositivos móviles.
 Implementación y cumplimiento de políticas de seguridad en dispositivos
móviles.
 Evaluación de riesgos asociados con el acceso a datos contables desde
dispositivos móviles.
 Eficiencia de las medidas de seguridad implementadas para proteger datos
contables en dispositivos móviles.

6. ¿Por qué?

 Prevenir la pérdida de datos contables, garantizando la confidencialidad e

integridad de la información financiera.
 Mitigar riesgos asociados con el uso no seguro de dispositivos móviles para
acceder a información contable.
  Mejorar la conciencia y la formación del personal para fortalecer las
prácticas de seguridad.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos relacionados con dispositivos

móviles y seguridad de la información.
 Registro de sesiones de capacitación del personal.
 Resultados de entrevistas con usuarios clave.
 Informes de análisis de vulnerabilidades en dispositivos móviles.
 Informes de auditoría con hallazgos y recomendaciones.

1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información y cumplimiento, en colaboración con el equipo de tecnologías de la
información y concienciación de usuarios.

2. ¿Qué realiza? Auditoría enfocada en la identificación y mitigación de riesgos

relacionados con el robo de identidad mediante el acceso a sitios no seguros a
través de enlaces de correo electrónico.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma semestral para

garantizar una supervisión continua y adaptarse a las cambiantes amenazas
cibernéticas.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos de seguridad de la información

relacionados con el acceso a enlaces de correo electrónico.
 Evalúa el nivel de concienciación de los usuarios sobre los riesgos asociados
con enlaces no seguros.
 Realiza pruebas de phishing simulado para medir la susceptibilidad del
personal a este tipo de ataques.
 Analiza el tráfico de red en busca de intentos de acceso a sitios no seguros a
través de enlaces de correo electrónico.

5. ¿Qué es lo que revisa?

  Implementación y cumplimiento de políticas de seguridad de la información
relacionadas con enlaces de correo electrónico.
 Efectividad de programas de concienciación y capacitación para prevenir el
acceso a enlaces no seguros.
 Nivel de respuesta del personal ante pruebas de phishing simulado.
 Actividades de monitoreo de tráfico de red para identificar y bloquear
posibles intentos de acceso no autorizado.

6. ¿Por qué?

 Prevenir el robo de identidad y la exposición de información personal y

financiera de los empleados.
 Reforzar la concienciación y educación de los usuarios sobre los riesgos
asociados con enlaces no seguros.
 Cumplir con regulaciones de protección de datos y seguridad de la
información.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de seguridad de la

información.
 Resultados de programas de concienciación y capacitación.
 Informes de pruebas de phishing simulado y respuestas del personal.
 Registros de actividades de monitoreo de tráfico de red.
 Informes de auditoría con hallazgos y recomendaciones.

1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información, en colaboración con el departamento legal y de recursos humanos.

2. ¿Qué realiza? Auditoría orientada a la identificación y mitigación de riesgos

asociados al daño reputacional derivado de la mala utilización de información en
redes sociales, especialmente la divulgación inapropiada de detalles legales de la
empresa.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma trimestral,

coincidiendo con revisiones regulares de las políticas de uso de redes sociales y
seguridad de la información.
4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos existentes relacionados con el uso de

redes sociales por parte de los empleados.
 Evalúa el nivel de concienciación y formación del personal sobre la
importancia de la confidencialidad de la información empresarial.
 Analiza perfiles de redes sociales de los empleados para identificar posibles
divulgaciones inapropiadas de información legal de la empresa.
 Realiza sesiones de capacitación y concienciación sobre el uso seguro de las
redes sociales.

5. ¿Qué es lo que revisa?

 Cumplimiento de políticas y procedimientos relacionados con el uso de

redes sociales.
 Nivel de concienciación y capacitación del personal en cuanto a la
confidencialidad de la información.
 Identificación y evaluación de riesgos asociados con la mala utilización de
información en redes sociales.
 Efectividad de las medidas de control implementadas para prevenir la
divulgación inapropiada.

6. ¿Por qué?

 Salvaguardar la reputación de la empresa al prevenir la divulgación no

autorizada de información legal en redes sociales.
 Proteger la confidencialidad de la información empresarial y cumplir con
regulaciones de privacidad.
 Reforzar la concienciación del personal sobre la importancia de mantener la
privacidad y seguridad en el uso de redes sociales.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de uso de redes sociales.

 Resultados de evaluaciones de concienciación y formación del personal.
 Reportes de análisis de perfiles en redes sociales.
 Registros de sesiones de capacitación y concienciación.
 Informes de auditoría con hallazgos y recomendaciones.
Control de Auditoría para Prevenir la Filtración de Información Confidencial
por Acceso No Autorizado del Personal de Otras Áreas a través de
Dispositivos Compartidos

1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información, en colaboración con el departamento de recursos humanos y
tecnologías de la información.

2. ¿Qué realiza? Auditoría centrada en la identificación y mitigación de riesgos

asociados a la filtración de información confidencial debido al acceso no
autorizado del personal de otras áreas que comparten dispositivos de la
organización.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma semestral para

mantener una supervisión periódica y adaptarse a los cambios en la estructura
organizacional y en las políticas de seguridad.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos de seguridad de la información

relacionados con el acceso a dispositivos compartidos.
 Evalúa el nivel de autorizaciones y controles de acceso implementados en
los dispositivos compartidos.
 Realiza auditorías de acceso para identificar posibles intrusiones o accesos
no autorizados.
 Implementa simulaciones de incidentes para evaluar la capacidad de
respuesta frente a situaciones de filtración de información.

5. ¿Qué es lo que revisa?

 Implementación y cumplimiento de políticas y procedimientos de seguridad

de la información relacionados con dispositivos compartidos.
 Niveles de autorización y controles de acceso en dispositivos compartidos.
 Registros de auditoría de acceso para identificar anomalías y accesos no
autorizados.
 Respuesta y procedimientos de mitigación ante situaciones simuladas de
filtración de información.

6. ¿Por qué?
  Salvaguardar la confidencialidad de la información protegiendo contra
accesos no autorizados.
 Cumplir con regulaciones de privacidad y seguridad de la información.
 Minimizar el riesgo de filtración de información confidencial y proteger la
reputación de la organización.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de seguridad de la

información.
 Resultados de evaluaciones de controles de acceso en dispositivos
compartidos.
 Informes de auditoría de acceso y análisis de registros.
 Reportes de simulaciones de incidentes y respuestas del personal.
 Informes de auditoría con hallazgos y recomendaciones.

Quién? El equipo de auditoría designado por el departamento de contabilidad, en

colaboración con el departamento de tecnologías de la información y gestión
financiera.

2. ¿Qué realiza? Auditoría enfocada en identificar y prevenir la desorientación en la

información financiera resultante de la falta de actualización en el sistema de
cuentas por pagar de la organización.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma trimestral para

garantizar una supervisión regular y alinearse con los ciclos de cierre contable.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos existentes relacionados con la

actualización del sistema de cuentas por pagar.
 Evalúa la frecuencia y regularidad de las actualizaciones realizadas en el
sistema.
 Analiza la integridad de los registros contables comparando la información
en el sistema con la documentación de respaldo.
 Realiza pruebas de reconciliación para asegurar la coherencia entre el
sistema y los estados financieros.
5. ¿Qué es lo que revisa?

 Cumplimiento de políticas y procedimientos de actualización en el sistema

de cuentas por pagar.
 Frecuencia y regularidad de las actualizaciones realizadas en el sistema.
 Integridad y precisión de la información financiera contenida en el sistema.
 Efectividad de los controles internos para garantizar la actualización
oportuna y precisa.

6. ¿Por qué?

 Garantizar la exactitud y confiabilidad de la información financiera.

 Cumplir con regulaciones contables y normativas de presentación de
informes.
 Evitar la toma de decisiones erróneas basadas en información
desactualizada o incorrecta.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de actualización de cuentas

por pagar.
 Registros de actualizaciones realizadas en el sistema.
 Resultados de análisis de la integridad de registros contables.
 Informes de pruebas de reconciliación entre el sistema y los estados
financieros.
 Informes de auditoría con hallazgos y recomendaciones.

Control de Auditoría para Minimizar la Exposición en Redes Sociales debido a

Publicaciones Erróneas de Descuentos por el Encargado de Marketing

1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información y control interno, con colaboración del departamento de marketing
y gestión de riesgos.

2. ¿Qué realiza? Auditoría centrada en identificar y mitigar los riesgos de

exposición en redes sociales derivados de publicaciones erróneas de descuentos,
especialmente aquellos dirigidos únicamente a clientes Premium.
3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma mensual, en
coincidencia con las revisiones regulares de las actividades de marketing y
comunicación en redes sociales.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos de control de publicaciones en redes

sociales, especialmente en lo relacionado con promociones y descuentos.
 Evalúa el proceso de revisión y aprobación de contenidos por parte del
equipo de marketing antes de su publicación.
 Analiza el historial de publicaciones en redes sociales para identificar
posibles errores en descuentos publicados.
 Realiza sesiones de capacitación y concienciación para el personal de
marketing sobre la importancia de la verificación de información sensible.

5. ¿Qué es lo que revisa?

 Cumplimiento de políticas y procedimientos de control de publicaciones en

redes sociales.
 Efectividad de los controles de revisión y aprobación de contenidos antes de
su publicación.
 Identificación y corrección de errores en descuentos y promociones
publicadas en redes sociales.
 Nivel de concienciación del personal de marketing sobre la importancia de
la revisión precisa antes de publicar información sensible.

6. ¿Por qué?

 Minimizar la exposición de información sensible y la publicación de

descuentos erróneos en redes sociales.
 Proteger la reputación de la empresa y la relación con los clientes Premium.
 Reforzar la concienciación del personal de marketing para evitar errores en
la publicación de información sensible.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de control de publicaciones

en redes sociales.
 Registro de revisiones y aprobaciones de contenidos antes de su
publicación.
  Historial de publicaciones en redes sociales, identificando errores y
correcciones.
 Resultados de sesiones de capacitación y concienciación.
 Informes de auditoría con hallazgos y recomendaciones.

Control de Auditoría para Prevenir la Revelación No Autorizada de Estrategias

Publicitarias que Afectan la Competitividad en el Mercado

1. ¿Quién? El equipo de auditoría designado por el departamento de control

interno y seguridad de la información, en colaboración con el equipo de marketing
y recursos humanos.

2. ¿Qué realiza? Auditoría orientada a identificar y mitigar los riesgos asociados

con la revelación no autorizada de la estrategia publicitaria establecida para el año
2024, que pueda afectar la competitividad en el mercado.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma trimestral, en

coincidencia con las revisiones regulares de las estrategias de marketing y
comunicación.

4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos de control de acceso a información

estratégica de marketing.
 Evalúa los niveles de autorización y restricciones de acceso a la estrategia
publicitaria dentro de la organización.
 Analiza registros de acceso para identificar cualquier acceso no autorizado al
contenido de la estrategia publicitaria.
 Realiza sesiones de concienciación y capacitación para el personal,
reforzando la importancia de la confidencialidad de la información
estratégica.

5. ¿Qué es lo que revisa?

 Cumplimiento de políticas y procedimientos de control de acceso a

información estratégica.
 Niveles de autorización y restricciones de acceso a la estrategia publicitaria.
  Identificación de accesos no autorizados y divulgación indebida de la
estrategia publicitaria.
 Efectividad de las medidas de concienciación y capacitación del personal.

6. ¿Por qué?

 Proteger la competitividad en el mercado al evitar la revelación no

autorizada de estrategias publicitarias.
 Resguardar la confidencialidad de información estratégica y asegurar la
ventaja competitiva.
 Cumplir con regulaciones internas y externas sobre el manejo seguro de
información estratégica.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de control de acceso a

información estratégica.
 Registro de niveles de autorización y restricciones de acceso.
 Reportes de análisis de registros de acceso identificando posibles accesos
no autorizados.
 Resultados de sesiones de concienciación y capacitación del personal.
 Informes de auditoría con hallazgos y recomendaciones.

Control de Auditoría para la Detección de Phishing en Correos Electrónicos

Empresariales debido a Falta de Conocimiento sobre el Tema

1. ¿Quién? El equipo de auditoría designado por el departamento de seguridad de

la información, en colaboración con el departamento de tecnologías de la
información y recursos humanos.

2. ¿Qué realiza? Auditoría enfocada en identificar y mitigar los riesgos asociados

con la detección de phishing en correos electrónicos empresariales, causados por
la falta de conocimiento sobre el tema.

3. ¿Cuándo lo realiza? La auditoría se lleva a cabo de forma trimestral, como parte

de las revisiones regulares de seguridad de la información y prácticas de
concienciación.
4. ¿Cómo hace el control?

 Revisa las políticas y procedimientos de seguridad de la información

relacionados con la detección y prevención de phishing.
 Evalúa el nivel de concienciación y conocimiento del personal sobre las
tácticas y señales de phishing.
 Realiza pruebas de phishing simulado para medir la susceptibilidad del
personal a este tipo de ataques.
 Implementa controles técnicos para detectar posibles intentos de phishing
en correos electrónicos corporativos.

5. ¿Qué es lo que revisa?

 Cumplimiento de políticas y procedimientos de seguridad de la información

relacionados con phishing.
 Nivel de concienciación y conocimiento del personal sobre tácticas y señales
de phishing.
 Resultados de pruebas de phishing simulado y respuestas del personal.
 Eficiencia de controles técnicos para la detección de phishing en correos
electrónicos.

6. ¿Por qué?

 Prevenir posibles ataques de phishing que podrían comprometer la

seguridad de la información.
 Reforzar la concienciación del personal para que estén alerta ante posibles
amenazas de phishing.
 Cumplir con regulaciones de seguridad de la información y proteger la
integridad de los datos empresariales.

7. ¿Cuál es la evidencia?

 Documentación de políticas y procedimientos de seguridad de la

información.
 Resultados de evaluaciones de concienciación y conocimiento del personal
sobre phishing.
 Informes de pruebas de phishing simulado y respuestas del personal.
 Registros de controles técnicos para la detección de phishing en correos
electrónicos.
 Informes de auditoría con hallazgos y recomendaciones.