Introducción

La ciberseguridad dejó de ser un tema exclusivo del área de TI.
Desde este año, el Instituto de Auditores Internos (IIA) ha establecido que todas las auditorías internas deben incluir la revisión de controles y gestión de ciberseguridad.

Esto significa que las empresas ahora deben demostrar evidencia concreta: políticas activas, roles definidos, simulacros de respuesta ante incidentes y reportes verificables.
No se trata solo de tener “buenas prácticas”, sino de poder probar que funcionan.

Qué exige el nuevo requisito del IIA

El requisito temático de ciberseguridad busca que los auditores internos evalúen tres pilares:

1. Gobierno: si existen roles, políticas y responsabilidades claras sobre seguridad digital.
2. Gestión de riesgos: si la organización identifica, evalúa y mitiga amenazas.
3. Controles: si las medidas implementadas realmente reducen la exposición al riesgo.

Esto obliga a las organizaciones a tratar la ciberseguridad como parte de su sistema de control interno, no como un tema técnico aislado.

Por qué este cambio es importante

Cada vez más reguladores y entes de control exigen evidencias tangibles sobre cómo se gestionan los riesgos digitales.
Una auditoría que no contemple ciberseguridad deja a la empresa expuesta a sanciones, pérdida de reputación o fallos en certificaciones.

Además, este requisito llega en un contexto de:

• Aumento de ataques de ransomware y phishing.
• Nuevas normativas (como NIS2 o DORA en Europa) que inspiran prácticas similares en América Latina.
• Falta de preparación ante incidentes, incluso en organizaciones con inversión tecnológica significativa.

Dónde suelen fallar las empresas

Durante auditorías o ejercicios de preparación, las principales brechas que Intrust ha identificado son:

• Ausencia de un plan de respuesta a incidentes documentado.
• Roles poco definidos entre TI, seguridad y cumplimiento.
• Simulacros inexistentes o sin seguimiento.
• Falta de evidencia técnica de que los controles realmente funcionan.

Estos vacíos suelen derivar en hallazgos de auditoría o, peor aún, en respuestas tardías ante un ataque.

Cómo prepararse para cumplir el nuevo requisito

1. Crea un plan de respuesta a incidentes (IR Plan)

Define cómo debe actuar tu organización ante diferentes tipos de incidentes.
Incluye pasos claros, responsables y tiempos de respuesta. Un buen plan no solo mejora la seguridad: es evidencia directa de cumplimiento.

Si no tienes un IR plan, puedes comenzar con nuestro Checklist gratuito de preparación ante incidentes.

2. Capacita a tus equipos y auditores

La mayoría de los hallazgos surgen por falta de conocimiento operativo.
Capacita tanto al personal técnico como a los auditores internos para identificar indicadores de compromiso, amenazas comunes y flujos de respuesta.

3. Realiza simulacros o auditorías preventivas

Simular un incidente permite medir la capacidad real de respuesta y detectar brechas antes de una auditoría formal.
En Intrust hemos visto cómo una jornada práctica de simulación puede mejorar hasta un 40% la efectividad de los equipos frente a ataques reales.

4. Documenta todo

No basta con tener políticas o controles: deben estar documentados y actualizados.
Los auditores buscarán evidencias concretas: reportes, registros de incidentes, métricas y bitácoras de simulacros.

Cómo Intrust Security puede ayudarte

En Intrust acompañamos a empresas que necesitan prepararse o responder ante auditorías de ciberseguridad, ofreciendo:

• Evaluaciones de madurez basadas en NIST, ISO 27001 y CIS Controls.
• Simulacros de respuesta a incidentes.
• Creación de políticas, roles y procedimientos.
• Capacitaciones para auditores y equipos técnicos.

Nuestro enfoque es claro: que tu organización pueda demostrar que está preparada.

Recomendación de experto 

Antes de buscar “qué es un plan de respuesta a incidentes” en Google o IA, recuerda esto:

Un IR plan no se trata solo de tecnología, sino de personas entrenadas, roles definidos y comunicación efectiva.
Ninguna herramienta reemplaza una estrategia bien probada.