• Fuente: Institute of Internal Auditors

El documento proporciona un enfoque integral para evaluar el diseño y la implementación de procesos de gobierno, gestión de riesgos y control de ciberseguridad dentro de una organización.

Destaca la importancia de proteger los activos de información contra accesos no autorizados y otros riesgos cibernéticos, y enfatiza el refuerzo del entorno general de control para reducir dichos riesgos.

Detalla una serie de controles y procedimientos a implementar en diferentes áreas:

1. Gobierno de Ciberseguridad: Evaluar y valorar los procesos de gobierno relacionados con la ciberseguridad.
2. Gestión de Riesgos: Evaluación de la gestión de riesgos cibernéticos para asegurarse de que aborden adecuadamente la ciberseguridad.
3. Controles Operacionales y Técnicos: Incluye la supervisión del despliegue y mantenimiento de software, protección del hardware, gestión de dispositivos móviles, y la configuración de seguridad de sistemas críticos como redes y bases de datos.
4. Educación y Formación: Establecer procesos para la formación del personal en ciberseguridad, asegurando el conocimiento y gestión de las amenazas emergentes.
5. Respuesta a Incidentes: Implementación de controles para una efectiva respuesta y recuperación ante incidentes de ciberseguridad.
6. Comunicación y Supervisión: Procesos para garantizar la comunicación adecuada de los riesgos y el cumplimiento de las políticas de ciberseguridad dentro de la organización.

Estos elementos están diseñados para crear un marco robusto que no solo prevenga ataques cibernéticos, sino que también permita a la organización responder eficazmente en caso de que ocurran.