Ciberseguridad sin ser ingeniero: 5 controles que todo auditor puede revisar

Introducción

La ciberseguridad ya no es un tema exclusivo de los departamentos de tecnología. Hoy, constituye un riesgo estratégico de negocio, con impactos financieros, legales y reputacionales. Para un auditor o consultor, el reto está en evaluar de forma objetiva si la organización cuenta con controles suficientes, incluso sin dominar los aspectos técnicos de configuración o programación.

En este artículo se describen cinco controles fundamentales que cualquier auditor puede revisar con procedimientos simples. Además, se complementa con normativa aplicable, estadísticas de impacto y tendencias internacionales que fortalecen la visión profesional.

1. Control de accesos e identidades

El manejo de accesos es la primera barrera contra el fraude y la fuga de información. Estudios internacionales (Verizon Data Breach Report) indican que 8 de cada 10 brechas inician con credenciales comprometidas o accesos indebidos.

Aspectos clave a auditar:

  • ¿Existen solicitudes formales y aprobadas para crear nuevas cuentas de usuario?
  • ¿Se eliminan los accesos en el mismo momento en que se finaliza la relación laboral?
  • ¿Los jefes de área revisan y certifican periódicamente los accesos de sus equipos?

Buenas prácticas recomendadas:

  • Implementar procesos automáticos entre RRHH e IT para dar de baja usuarios.
  • Revisar al menos una vez al año las listas de usuarios en sistemas críticos.
  • Adoptar la filosofía de “acceso mínimo necesario”: cada colaborador solo debe tener permisos estrictamente necesarios.

2. Políticas y gestión de contraseñas

Las contraseñas siguen siendo la llave de entrada más usada por atacantes. Un control débil en esta materia convierte cualquier sistema en vulnerable.

Aspectos clave a auditar:

  • ¿Existe una política de contraseñas formal, documentada y aplicada técnicamente?
  • ¿Cómo se gestionan las cuentas de administrador o de emergencia?
  • ¿Se almacenan las contraseñas críticas de forma cifrada o en gestores seguros?

Buenas prácticas recomendadas:

  • Exigir el uso de autenticación multifactor (MFA) en sistemas sensibles.
  • Rotar contraseñas críticas de forma periódica y siempre que un administrador abandone la organización.
  • Prohibir el uso de contraseñas genéricas como “admin123”.

3. Actualizaciones y parches de seguridad

Un software desactualizado equivale a tener la puerta abierta al atacante. Los fabricantes publican parches de seguridad para corregir vulnerabilidades conocidas, pero si la empresa no los aplica oportunamente, queda expuesta.

Aspectos clave a auditar:

  • ¿Existe un procedimiento documentado para aplicar parches críticos?
  • ¿Se mantiene un inventario actualizado de sistemas, versiones y licencias?
  • ¿Se prueban las actualizaciones en un ambiente controlado antes de producción?

Buenas prácticas recomendadas:

  • Adoptar un calendario mensual de actualizaciones y aplicar parches críticos en un plazo no mayor a 15 días.
  • Revisar periódicamente si los sistemas cuentan con soporte oficial del fabricante.
  • Documentar las fechas de la última actualización de cada sistema crítico.

4. Respaldo y recuperación de información

Los respaldos son la última línea de defensa frente a incidentes como ransomware, errores humanos o desastres naturales. No basta con almacenar información: debe poder recuperarse.

Aspectos clave a auditar:

  • ¿Qué información se respalda, con qué frecuencia y en qué medios?
  • ¿Existen pruebas documentadas de restauración periódica?
  • ¿Se cuenta con copias de respaldo offline o fuera de la red?

Buenas prácticas recomendadas:

  • Aplicar la regla 3-2-1: tres copias de la información, en dos medios distintos, y al menos una offline.
  • Realizar pruebas de restauración trimestrales en sistemas críticos.
  • Definir un tiempo máximo aceptable de recuperación (RTO) y de pérdida de datos (RPO).

5. Concientización y capacitación en seguridad

El factor humano sigue siendo la principal causa de incidentes. Según la Agencia Europea de Ciberseguridad (ENISA), entre el 70% y 90% de los ataques exitosos tienen origen en errores humanos, como abrir correos de phishing o compartir información sensible sin autorización.

Aspectos clave a auditar:

  • ¿Existe un programa formal de capacitación en ciberseguridad para todo el personal?
  • ¿Los nuevos colaboradores reciben inducción en temas de seguridad desde el primer día?
  • ¿Se comunican las lecciones aprendidas tras un incidente para evitar su repetición?

Buenas prácticas recomendadas:

  • Ejecutar campañas de simulacros de phishing y medir la reacción del personal.
  • Incluir la ciberseguridad en el código de conducta y reglamento interno de trabajo.
  • Mantener un canal de comunicación abierto para reportar correos sospechosos.

Normativa aplicable

  • Costa Rica:
    • Ley N.° 8968 – Protección de la Persona frente al Tratamiento de sus Datos Personales.
    • Normativa de CONASSIF y SUGEF sobre seguridad de la información y continuidad del negocio.
  • Internacional:
    • ISO 27001: Sistema de gestión de seguridad de la información.
    • NIST Cybersecurity Framework: Marco de referencia en EE. UU.
    • COBIT 2019: Control y gobierno de TI.
    • NIAs: NIA 315 y 330, relacionadas con la identificación y respuesta a riesgos de TI.

Documentación de hallazgos

Todo hallazgo debe estructurarse en un formato sencillo y claro:

  • Condición: Lo que se encontró.
  • Riesgo: Por qué representa un problema para el negocio.
  • Recomendación: Acción concreta para mitigar el riesgo.

Ejemplo práctico:
Se identificaron 23 cuentas activas de excolaboradores con accesos a sistemas críticos. Riesgo: acceso indebido y fuga de información. Recomendación: establecer proceso automatizado de bajas coordinado entre RRHH e IT.

Perspectiva de negocio

La ciberseguridad no es un asunto técnico aislado; es un componente de gestión de riesgos corporativos. Un fallo en controles básicos puede generar:

  • Impacto financiero directo: costos por recuperación, sanciones y multas.
  • Impacto reputacional: pérdida de confianza de clientes y socios.
  • Impacto legal: incumplimiento de leyes de protección de datos y normativa regulatoria.

Tendencias emergentes

  • Creciente adopción de modelos Zero Trust (confianza cero) en control de accesos.
  • Uso de inteligencia artificial y machine learning para detección temprana de anomalías.
  • Mayor exigencia de supervisores financieros en Costa Rica y la región para contar con planes de ciberresiliencia y continuidad de negocio.

Conclusión

Un auditor, aún sin conocimientos técnicos avanzados, puede aportar valor significativo en la revisión de ciberseguridad. Con procedimientos simples, preguntas clave y pruebas rápidas, es posible identificar vulnerabilidades que, si se atienden a tiempo, protegen la operación, la reputación y los activos más valiosos de la organización.

La ciberseguridad, vista desde la perspectiva de auditoría, deja de ser un tema “tecnológico” para convertirse en un riesgo de negocio que exige control, gobernanza y supervisión integral.

 Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐 consultoresjg.com
+506 2552-5433 | +506 8811-5090
[email protected]

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Traduce »