En un mundo digital cada vez más expuesto a amenazas, la ciberseguridad ya no es un lujo ni una opción. En enero de 2024, el Instituto de Auditores Internos (IIA) publicó las nuevas Normas Globales de Auditoría Interna, que entrarán en vigor en enero de 2025. Estas normas marcan un punto de inflexión para la profesión, no solo por su estructura renovada, sino por la introducción de los Requerimientos Temáticos, un enfoque que coloca temas de alto riesgo —como la ciberseguridad— en el centro de la atención de los auditores internos.
¿Qué son los Requerimientos Temáticos?
Los Requerimientos Temáticos son elementos de cumplimiento obligatorio que abordan riesgos específicos, comenzando con la ciberseguridad. Estos requisitos establecen una metodología mínima y consistente que los auditores deben seguir, ya sea para evaluaciones de aseguramiento o servicios de asesoría.
Se aplican no solo a auditorías planificadas en el plan anual, sino también a aquellas solicitadas por alta dirección o reguladores, o que surgen como resultado de otros trabajos de auditoría interna.
Tres pilares del Requisito Temático de Ciberseguridad
1. Gobernanza
La estrategia de ciberseguridad debe partir del Gobierno de la organización. Este debe identificar los riesgos, establecer un plan estratégico, asignar responsables calificados y definir funciones y roles claros.
2. Gestión de Riesgos
El auditor debe evaluar cómo la organización identifica, analiza, mitiga y supervisa los riesgos de ciberseguridad. Es clave comprender:
- Cómo se recopila información de amenazas.
- Cómo se asignan escalas de riesgo.
- Qué tan sólidos son los procesos de respuesta y recuperación ante ciberataques.
3. Controles
Se deben evaluar los controles sobre:
- Talento especializado y seguimiento de deficiencias.
- Gestión de amenazas, protección de activos, dispositivos móviles, cifrado y autenticación multifactor.
- Redes, firewall, segmentación, prevención de intrusiones y seguridad en endpoints (correo electrónico, navegadores, videollamadas, etc.).
¿Por qué es tan importante la Ciberseguridad?
Según Statista, a inicios de 2024 más del 50% de las organizaciones a nivel mundial reportaron pérdidas superiores a US$300,000 por incidentes de ciberseguridad, y un 12% perdió más de US$1 millón.
Por su parte, el FBI, a través del IC3, reportó pérdidas de US$12.5 billones en 2023 —triplicando las cifras de hace apenas cuatro años.
Marcos de referencia internacionales
Para hacer frente a estas amenazas, los CISO y responsables de seguridad se apoyan en marcos como:
- NIST
- FFIEC
- ISO/IEC 27001
- CIS
- PCI DSS
- COBIT
Estos modelos no solo guían programas de ciberseguridad efectivos, sino que también están alineados con los requisitos del IIA.
Retos e impacto para los auditores internos
Aunque este requerimiento está dirigido principalmente a auditores internos, también es una herramienta útil para los responsables de Seguridad de Información. Entre los desafíos que enfrentan los equipos de auditoría destacan:
Competencias y responsabilidades
Los auditores deben adquirir conocimientos en ciberseguridad para evaluar eficazmente los programas de protección. Si bien pueden apoyarse en terceros, deben comprender el apetito de riesgo de la organización y cómo este se traduce en controles concretos.
Planes de auditoría más flexibles
Dado que pueden surgir evaluaciones no planificadas, los equipos deben ajustar el plan de auditoría periódicamente, por ejemplo, de manera trimestral.
Valor agregado
La auditoría interna debe posicionarse como aliada estratégica de la dirección y del directorio en la definición de la ciberseguridad como un objetivo organizacional clave.
Preguntas estratégicas que toda organización debe hacerse
- ¿Cuenta el equipo de auditoría con las competencias necesarias?
- ¿Es necesario tercerizar evaluaciones con expertos en ciberseguridad?
- ¿Existen brechas de control que puedan significar riesgos significativos?
- ¿Debe ajustarse el plan anual de auditoría interna?
- ¿Debe el Director de Auditoría Interna alertar al Comité sobre la ausencia de objetivos estratégicos en ciberseguridad?
Conclusión
La nueva normativa del IIA no solo redefine el papel de los auditores internos, sino que plantea una nueva forma de abordar la ciberseguridad como pilar de resiliencia organizacional. Cumplir con estos estándares no es solo una obligación: es una estrategia indispensable para garantizar la sostenibilidad y continuidad del negocio en el entorno digital actual.