EXAMEN DE GESTIÓN DE RIESGOS DE CIBERSEGURIDAD

Introducción:

La administración y el profesional tienen responsabilidades específicas en el examen de

gestión de riesgos de ciberseguridad. Este módulo describe las responsabilidades del
profesional, incluidas las condiciones previas para la aceptación del compromiso y la
necesidad de obtener una declaración por escrito y establecer un entendimiento acerca
de los términos del compromiso con la administración.

Como parte del establecimiento de los términos del compromiso, es útil para el
profesional comprender las responsabilidades de la administración; por lo tanto, este
módulo también proporciona una breve descripción de las mismas.

Objetivos

✓ Dar a conocer las responsabilidades que tiene el profesional que efectúa un

examen de gestión de riesgos de ciberseguridad.
✓ Explicar el contenido y características de un examen de riesgos de
ciberseguridad.
✓ Describir la realización de un examen de riesgos de ciberseguridad.

Entendimiento de las responsabilidades de la gerencia

Antes de aceptar un examen de administración de riesgos de ciberseguridad, la sección

105 de AT-C, Conceptos comunes a todos los compromisos de atestación (AICPA,
Estándares profesionales), requiere que el profesional determine que se cumplen ciertas
condiciones previas. Entre otras cosas, esas condiciones previas requieren que el
profesional determine si el equipo del compromiso cumple con los requisitos éticos y de
competencia establecidos en los estándares profesionales y si el compromiso cumple
con los requisitos relevantes de los estándares de certificación. Antes de la aceptación
del compromiso, también se requiere que un profesional establezca un entendimiento
con la administración sobre sus responsabilidades y las del profesional en el examen de
gestión de riesgos de ciberseguridad.

Una vez que se ha aceptado un compromiso, la sección 205 de AT-C, Compromisos de

examen (AICPA, Estándares profesionales), establece los requisitos para desarrollar
una estrategia general y planificar el compromiso.

La administración es responsable del programa de gestión de riesgos de ciberseguridad

de la entidad, que generalmente incluye lo siguiente:
 • Identificar los tipos de información creada, utilizada y almacenada por la entidad,
y los sistemas utilizados que están sujetos a riesgos de ciberseguridad.
• Identificar los objetivos de ciberseguridad de la entidad.
• Identificar y analizar los riesgos que podrían impedir que la entidad logre sus
objetivos de ciberseguridad basados en los objetivos comerciales de la entidad,
incluidos los riesgos cibernéticos que surgen de las interacciones con terceros
con acceso a uno o más de los sistemas de información de la entidad.
• Diseñar, implementar, operar, monitorear y documentar controles que sean
efectivos para lograr los objetivos de ciberseguridad de la entidad.

El profesional puede optar por incluir en el entendimiento con la administración sus

responsabilidades para lo siguiente:

✓ Definir el alcance del compromiso, incluso si el examen cubrirá el programa de

gestión de riesgos de ciberseguridad de la entidad o solo una parte de ese
programa, y el marco de tiempo del examen.
✓ Selección de los criterios de descripción en función de los cuales se evaluará la
presentación de la descripción; y los criterios de control en función de los cuales
se evaluará la efectividad de los controles dentro del programa de gestión de
riesgos de ciberseguridad, e indicando ambos en la afirmación de la gerencia.
✓ Preparar la descripción del programa de gestión de riesgos de ciberseguridad de
la entidad de acuerdo con los criterios de descripción.
✓ Preparar una afirmación escrita para acompañar la descripción sobre si:
✓ La descripción se presenta de acuerdo con los criterios de descripción y
✓ Los controles fueron efectivos para lograr los objetivos de control de
ciberseguridad de la entidad basados en los criterios de control.
✓ Tener una base razonable para su afirmación.
✓ Acordar proporcionar al profesional lo siguiente:
✓ Acceso a toda la información que la administración conoce, como los registros y
la documentación, incluidos los acuerdos de nivel de servicio, que son relevantes
para la descripción del programa de gestión de riesgos de ciberseguridad de la
entidad y la aseveración.
✓ Acceso a información adicional que el profesional puede solicitar a la gerencia
para el examen de gestión de riesgos de ciberseguridad.
✓ Acceso no restringido a personas dentro de la entidad a partir de la cual el
profesional determina que es necesario obtener evidencia relevante para el
examen de gestión de riesgos de ciberseguridad.
 ✓ Reconocimiento por escrito de que los auditores internos que brindan asistencia
directa podrán seguir las instrucciones del profesional sin la intervención de la
administración, si el profesional tiene la intención de utilizar auditores internos
para brindar asistencia directa.
✓ Representaciones escritas al final del compromiso, que incluirán:
• Todos los asuntos conocidos que puedan contradecir la presentación
de la descripción de acuerdo con los criterios de descripción o la
efectividad de los controles para lograr los objetivos de
ciberseguridad.
• Cualquier comunicación de las agencias reguladoras u otras
relacionadas con la presentación de la descripción o la efectividad de
los controles relevantes para el programa de gestión de riesgos de
ciberseguridad.
• Todas las deficiencias en el control interno relevantes para el
compromiso, de las cuales la gerencia está consciente.
• Cualquier fraude o incumplimiento real, presunto o presunto conocido
de las leyes o regulaciones que afecten la descripción o la efectividad
de los controles.
• Cualquier evento conocido posterior al período cubierto por el
compromiso hasta la fecha del informe del profesional, que tendría un
efecto material en la descripción o la efectividad de los controles.
• Otros asuntos que el profesional considere apropiados (por ejemplo,
discusión de asuntos considerados materiales).

La gerencia reconoce estas responsabilidades en una carta de compromiso u otra forma

adecuada de comunicación escrita.

Responsabilidades del practicante

Durante la aceptación y la planificación del compromiso, el profesional es responsable
de lo siguiente:

• Determinar si aceptar o continuar un examen de administración de riesgos de

ciberseguridad para un cliente en particular. Al tomar esta determinación, el
profesional debe considerar si se han cumplido las condiciones previas para
aceptar un trabajo de examen como se describe en el párrafo 2.10.
• Establecer un entendimiento con la administración con respecto al compromiso,
incluidas las responsabilidades de la administración y las responsabilidades del
profesional.
 • Alcanzar un entendimiento con la administración con respecto a su disposición y
capacidad para proporcionar una afirmación por escrito al concluir el
compromiso.
• Establecer una estrategia general para el examen de gestión de riesgos de
ciberseguridad que establece el alcance, el calendario y la dirección del
compromiso y guía el desarrollo del plan de compromiso, incluida la
consideración de la materialidad y la identificación de los riesgos de error
material.
• Para respaldar los procedimientos de evaluación de riesgos del profesional,
obtener un entendimiento de los objetivos de ciberseguridad de la entidad y cómo
se diseña, implementa y opera el programa de gestión de riesgos de
ciberseguridad para lograr esos objetivos.

Aceptar o continuar un compromiso

Al determinar si aceptar o continuar el compromiso, el profesional debe aplicar las

políticas y procedimientos que la firma ha desarrollado en respuesta al requisito .27 de
la sección 10 de control de calidad, Sistema de control de calidad de una empresa
(AICPA, Estándares profesionales).

Dichas políticas, a menudo, incluyen la consideración de la integridad y la reputación de

la administración de la entidad y los accionistas significativos o propietarios principales
para determinar si es probable que la reputación de la empresa sufra por asociación.

En general, el profesional aceptará o continuará una relación con el cliente solo después
de que haya considerado

la integridad de la administración de la entidad,

los accionistas significativos o los principales propietarios y

no tenga información que lleve al profesional a creer que el cliente carece de integridad.

A falta de tal información, un profesional generalmente concluiría que es poco probable

que la asociación con el cliente exponga al profesional a un riesgo indebido de daño a
su REPUTACIÓN PROFESIONAL O PÉRDIDA FINANCIERA.

Condiciones previas de un examen de gestión de riesgos de ciberseguridad

En el examen de gestión de riesgos de ciberseguridad, el profesional debe aceptar o
continuar el compromiso solo si se cumple una de las siguientes condiciones:
 a. El profesional es independiente de acuerdo con el Código de Conducta
Profesional de AICPA.
b. La gerencia acepta la responsabilidad de:
i. preparación de la descripción del programa de gestión de riesgos de
ciberseguridad de la entidad de acuerdo con los criterios de descripción
y
ii. efectividad de los controles dentro de ese programa para lograr los
objetivos de ciberseguridad de la entidad.
c. Los temas del examen de gestión de riesgos de ciberseguridad son apropiados.
d. Los criterios utilizados para preparar y evaluar los temas son adecuados y están
disponibles para los usuarios del informe.
e. El profesional espera poder obtener la evidencia necesaria para llegar a su
opinión sobre la descripción y la efectividad de los controles, y tendrá:
i. Acceso a toda la información relevante para la medición, evaluación o
divulgación de la materia;
ii. Acceso a información adicional que él o ella puede solicitar; y
iii. Acceso sin restricciones al personal de la entidad.

Si una o más de las condiciones previas no están presentes, el profesional debe discutir
el asunto con la administración e intentar resolver el problema ANTES DE ACEPTAR O
CONTINUAR EL COMPROMISO. El PÁRRAFO .28 DE LA SECCIÓN 105 DE AT-C
proporciona orientación a un profesional que descubre, una vez aceptado el
compromiso, que una o más de las condiciones previas no están presentes.

Además de las condiciones previas discutidas, el profesional debe aceptar o continuar

un examen de administración de riesgos de seguridad cibernética solo cuando el
profesional lo haya hecho.

a. No hay razón para creer que los requisitos éticos relevantes (incluida la
independencia) en el Código de Conducta Profesional de AICPA no se
cumplirán.
b. Determinó que las personas que realizan el compromiso tienen la competencia
y las capacidades adecuadas para realizarlo.
c.
d. Planea adjuntar una opinión escrita expresada en el informe del profesional, el
cual está incluido en el informe del examen de gestión de riesgos de seguridad
cibernética.
Debido a la falta de madurez de los PROGRAMAS DE GESTIÓN DE RIESGOS DE
SEGURIDAD CIBERNÉTICA de muchas entidades, la administración puede no tener
expectativas realistas sobre el desempeño del compromiso y las conclusiones que el
profesional expresará al final del compromiso. Esto es particularmente cierto cuando
existe la posibilidad de que la opinión del profesional (sobre la descripción, la efectividad
de los controles, o ambos) pueda requerir calificación u otra modificación debido a la
falta de controles apropiados o evidencia adecuada suficiente. Durante la aceptación
del compromiso, el profesional puede desear discutir estos factores con la
administración para ayudar a la administración a formar sus expectativas.

El profesional también puede desear considerar si la administración está

experimentando una presión excesiva que puede afectar sus acciones durante el curso
del compromiso. Por ejemplo, tal presión puede surgir de una transacción que está
supeditada a la recepción de la opinión de un profesional no modificado en una fecha
determinada. En tal situación, la administración puede estar bajo presión para no revelar
por completo toda la información relevante al profesional. En respuesta, el profesional
puede negarse a aceptar el compromiso o puede concluir que el aumento en el riesgo
de certificación resultante de tales presiones justifica la modificación de la naturaleza, el
momento y la extensión de los procedimientos del profesional para abordar los riesgos.

DETERMINAR SI EL TEMA ES APROPIADO PARA EL EXAMEN DE GESTIÓN DE

RIESGOS DE CIBERSEGURIDAD
La determinación de si el tema es apropiado en el examen específico de gestión de
riesgos de ciberseguridad implica la consideración de lo siguiente:

• Cuando la administración ha solicitado que el tema del compromiso sea

menor que el programa de toda la entidad, es probable que la información
sobre solo una parte del programa de administración de riesgos de
ciberseguridad de la entidad satisfaga las necesidades de los usuarios del
informe.
• Cuando la administración ha solicitado que, además de la descripción, el
objeto del compromiso solo sea la idoneidad del diseño de los controles
implementados por la entidad, ya sea información sobre solo la idoneidad del
diseño de los controles dentro del programa de gestión de riesgos de
ciberseguridad de la entidad. Es probable que satisfaga las necesidades de
los usuarios de informes.
• Si es probable que la administración tenga una base razonable para su
afirmación.
Como se indicó anteriormente, hay dos temas distintos pero complementarios en el
examen de gestión de riesgos de ciberseguridad: (1) la descripción del programa de
gestión de riesgos de ciberseguridad de la entidad y (2) la efectividad de los controles
dentro de ese programa para lograr los objetivos de ciberseguridad de la entidad. Al
determinar si los temas del trabajo son apropiados en las circunstancias particulares, el
profesional puede considerar factores tales como:

• Es probable que los usuarios del informe del examen de gestión de riesgos
de ciberseguridad comprendan otros factores relacionados con el
compromiso, como la naturaleza del compromiso.
• Los criterios de descripción utilizados para evaluar la presentación de la
descripción pueden ser comprendidos por los usuarios.
• El efecto de terceros (clientes, proveedores, socios comerciales y otros) con
acceso a los sistemas de la entidad en los riesgos de ciberseguridad se
aborda en el programa de gestión de riesgos de ciberseguridad y los usuarios
pueden entenderlo.
• Los criterios de control utilizados para evaluar la efectividad de los controles
pueden ser comprendidos por los usuarios.
• El período durante el cual se realizará el compromiso cumplirá las
necesidades de información de los usuarios.

Si es POCO PROBABLE QUE LOS USUARIOS DEL INFORME ENTIENDAN ESTOS

FACTORES o el PERÍODO CUBIERTO NO SATISFAGA SUS NECESIDADES, EXISTE
UN MAYOR POTENCIAL PARA QUE NO ENTIENDA EL INFORME. En consecuencia,
el profesional puede decidir no aceptar el compromiso o restringir el uso del informe.

Determinar si el tema objeto del compromiso es apropiado cuando el examen

aborda solo una parte del programa de administración de riesgos de
ciberseguridad de la entidad

La administración es responsable de determinar si el examen de gestión de riesgos de

ciberseguridad se realizará en el programa de gestión de riesgos de ciberseguridad de
toda la entidad o solo en una parte de ese programa. Generalmente en el examen de
gestión de riesgos de ciberseguridad de toda la entidad puede haber circunstancias en
las que la administración pueda involucrar al profesional para que examine e informe
sobre solo una parte de ese programa.

El examen de gestión de riesgos de ciberseguridad se puede limitar a cualquiera de los

siguientes:
 • Una o más unidades de negocio, segmentos o funciones específicas de una
entidad
o Cuando esas unidades, segmentos o funciones operan bajo un programa de
gestión de riesgos de ciberseguridad para toda la entidad.
o Cuando esas unidades, segmentos o funciones operan bajo un programa
independiente de gestión de riesgos de ciberseguridad.
o Uno o más tipos específicos de información utilizados por la entidad

Por ejemplo, una entidad planea vender una división particular de su negocio que opera
bajo un programa de gestión de riesgos de ciberseguridad independiente y separado, y
los compradores potenciales han expresado su preocupación por los riesgos de
ciberseguridad que pueden estar asumiendo a través de la compra. En respuesta a esas
inquietudes, la administración podría contratar a un profesional para que examine e
informe únicamente sobre el programa de gestión de riesgos de ciberseguridad de esa
división.

En este ejemplo, sería razonable que un profesional concluya que un informe de examen
de gestión de riesgos de ciberseguridad de la división que se vende es un tema
apropiado para el compromiso porque dicho informe es probable que SATISFAGA LAS
NECESIDADES INFORMATIVAS de los compradores potenciales de la división.
También concluiría que el USO DEL INFORME DEBERÍA ESTAR RESTRINGIDO a
tales compradores.

Cuando el examen de gestión de riesgos de ciberseguridad abarca solo una parte del
programa de gestión de riesgos, el lenguaje utilizado en la aseveración de la
administración y en el informe del profesional debe adaptarse para reducir el riesgo de
malentendidos por parte de los usuarios del informe, identificando claramente la parte
del programa que se abordó en el examen.

Determinar si el tema es apropiado cuando el examen aborda solo la idoneidad

del diseño de controles

Puede haber circunstancias en las que la administración no esté preparada para hacer
una afirmación acerca de si los controles dentro del programa de gestión de riesgo de
ciberseguridad de la entidad fueron efectivos para lograr los objetivos de ciberseguridad
de la entidad. En tales circunstancias, en lugar de hacer una afirmación sobre si los
controles fueron efectivos para lograr los objetivos de ciberseguridad de la entidad, la
administración puede hacer una afirmación sobre la idoneidad del diseño de los
controles dentro del programa.
Dicho examen de solo diseño incluiría los siguientes dos temas: (1) la descripción del
programa de gestión de riesgos de ciberseguridad de la entidad y (2) el adecuado diseño
de los controles implementados dentro de ese programa para lograr los objetivos de
ciberseguridad de la entidad.

En consecuencia, un examen de solo diseño no proporcionaría a los usuarios del

informe información suficiente para evaluar la efectividad de los controles dentro de ese
programa. Sin embargo, el informe resultante (informe de diseño exclusivo) puede ser
útil para informar a los usuarios que desean obtener una comprensión del programa de
gestión de riesgos de seguridad cibernética de la entidad y una descripción general de
las políticas y procesos de seguridad implementados dentro de ese programa.

Las siguientes son circunstancias en las que un informe de solo diseño podría ser útil:

• El programa de gestión de riesgos de ciberseguridad de la entidad no ha estado

en funcionamiento durante un período suficiente para que el profesional pueda
reunir pruebas adecuadas suficientes sobre la eficacia de los controles para
lograr el programa de gestión de riesgos de ciberseguridad de la entidad.
• La entidad recientemente realizó cambios significativos en su programa de
gestión de riesgos de ciberseguridad y los controles dentro de ese programa, y
no tiene un historial suficiente con un programa estable que permita una opinión
sobre la efectividad de los controles para lograr el programa de gestión de
riesgos de ciberseguridad de la entidad.

Antes de aceptar dicho compromiso, el profesional debe considerar las necesidades

informativas de los usuarios del informe y si dichos usuarios pueden malinterpretar la
opinión del profesional sobre la descripción y el diseño únicamente. El profesional puede
considerar restringir el uso de un informe de diseño exclusivo a los miembros de la junta
directiva, a la gerencia, a otros dentro de la organización y, a terceros específicos (partes
específicas), que probablemente lo entiendan.

DETERMINAR SI ES PROBABLE QUE LA ADMINISTRACIÓN TENGA UNA BASE

RAZONABLE PARA LA ASEVERACIÓN
Una de las condiciones previas del examen de gestión de riesgos de ciberseguridad es
que el profesional debe determinar si los temas son apropiados para el compromiso.
Según el párrafo. A36 de la sección 105 de la AT-C, un elemento de lo apropiado de los
temas es la existencia de una base razonable para medir o evaluar los temas.

La administración es responsable de tener una base razonable para su afirmación sobre

la descripción y la efectividad de los controles dentro de ese programa. Además, debido
a que la aseveración de la gerencia generalmente aborda la efectividad de los controles
durante un tiempo, la base de la gerencia para su aseveración cubre el mismo marco
de período.

Los estándares de certificación no requieren que el profesional realice procedimientos

específicos para determinar si la administración tiene una base razonable para su
afirmación. Sin embargo, debido a la relación entre el monitoreo y la evaluación de los
controles y su efectividad para lograr los objetivos de ciberseguridad de la entidad, el
profesional generalmente discute con la administración la base de su afirmación antes
de la aceptación del compromiso.

Esto ayudará al profesional a determinar si la base parece razonable para el tamaño y

la complejidad del programa de gestión de riesgos de ciberseguridad de la entidad y si
el profesional espera poder obtener evidencia suficiente y apropiada para llegar a su
opinión (en la descripción, la efectividad de los controles, o ambos), que también es una
condición previa del examen.

En el examen de administración de riesgos de seguridad cibernética, la consideración

del profesional de si la administración tiene una base razonable para su afirmación
probablemente sea más desafiante que en otros tipos de compromisos de examen. Eso
se debe a:

• La naturaleza evolutiva de la mayoría de los programas de gestión de riesgos de

ciberseguridad de las entidades.
• La naturaleza y complejidad de los riesgos para los que están diseñados los
programas y la naturaleza evolutiva de esos riesgos.
• La amplitud y complejidad del tema.

Consideración de terceros

Las actividades de monitoreo son de mayor importancia si la entidad ha identificado

amenazas y vulnerabilidades de seguridad informática derivadas de las interacciones
con terceros. Los terceros incluyen clientes, proveedores, socios comerciales y otros
que tienen acceso a uno o más de los sistemas de información de la entidad, almacenan
información confidencial de la entidad en sus sistemas, o de otro modo, transmiten
información de ida y vuelta entre, o en nombre de, la entidad.

Por lo tanto, es importante para la administración evaluar los riesgos de ciberseguridad

que surgen de las interacciones con terceros, particularmente cuando los terceros
operan los controles necesarios para lograr los objetivos de ciberseguridad de la
entidad.
Si la administración determina que los riesgos asociados con terceros pueden ser
materiales para el logro de los objetivos de ciberseguridad de la entidad (por ejemplo,
debido a la naturaleza del acceso que tiene el tercero a los sistemas de información y
activos de la entidad, o debido a los controles). Si el tercero opera en nombre de la
entidad, los controles de monitoreo en la entidad son necesarios para permitir que la
administración determine si los procesos y controles realizados por los terceros abordan
de manera efectiva los riesgos identificados. Dichos controles de monitoreo pueden
incluir, entre otros, una combinación de los siguientes:

• Realizar evaluaciones de si los acuerdos contractuales con terceros se ajustan

a las políticas de la entidad.
• Conducir discusiones periódicas con terceros y sus empleados.
• Inspeccionar los cuestionarios de seguridad de terceros completados y los
documentos presentados para respaldar sus respuestas.
• Llevar a cabo visitas periódicas a las ubicaciones de los terceros para observar
la ejecución de los controles.
• Inspeccionar los resultados de las pruebas de auditoría interna sobre los
controles de terceros.
• Inspección de informes tipo 2 SOC 2 sobre aspectos de las operaciones de
terceros que se relacionan con sus controles de seguridad, disponibilidad y
confidencialidad, de conformidad con la sección 205 de AT-C.

La administración es responsable de la efectividad de todos los procesos y controles

relacionados con el programa de administración de riesgos de ciberseguridad de la
entidad, independientemente de quién realice los procesos y controles específicos. Por
lo tanto, a menos que la administración tenga procesos y controles que monitoreen la
efectividad de los procesos y controles realizados por terceros, puede ser difícil para la
administración tener una base razonable para su afirmación. Por esa razón, el
profesional normalmente discutirá con la administración el uso de terceros, incluida la
naturaleza y el alcance de los controles de monitoreo de la entidad, para determinar si
es probable que dichos controles sean suficientes en las circunstancias.

Si no existen controles de monitoreo adecuados, o si el profesional cree que es

improbable que dichos controles sean efectivos, es poco probable que la gerencia tenga
una base razonable para hacer su afirmación.

Si el profesional cree que la administración no tiene una base razonable para su

afirmación, o que es poco probable que haya suficiente evidencia adecuada para
respaldar la base, el profesional no debe aceptar o continuar el compromiso.
Evaluación de la idoneidad y disponibilidad de los criterios y los objetivos de
ciberseguridad relacionados

Se utilizan dos conjuntos distintos de criterios en el examen de gestión de riesgos de

ciberseguridad: criterios de descripción y criterios de control. La administración es
responsable de seleccionar los criterios que se utilizarán en el examen de gestión de
riesgos de ciberseguridad. La administración puede seleccionar cualquier descripción y
criterios de control que sean adecuados y estén disponibles para los usuarios previstos.

Los criterios son adecuados cuando presentan las siguientes características:

✓ Relevancia. Los criterios son relevantes para la materia.

✓ Objetividad. Los criterios están libres de sesgos.
✓ Medición. Los criterios permiten mediciones razonablemente consistentes,
cualitativas o cuantitativas, de la materia.
✓ Integridad. Los criterios están completos cuando los temas preparados de
acuerdo con ellos no omiten factores relevantes que razonablemente se podría
esperar que afecten las decisiones de los usuarios del informe sobre la base de
ese tema.

La importancia relativa de cada característica para un compromiso, en particular, es una

cuestión de juicio profesional.

Los criterios también deben estar disponibles para informar a los usuarios y permitirles
comprender cómo la entidad ha preparado su descripción y evaluado la efectividad de
los controles para lograr los objetivos de ciberseguridad de la entidad.

Los criterios que están disponibles públicamente, incluidos en la descripción o incluidos

en el informe del profesional, se consideran disponibles para los usuarios de informes.
A veces, LOS CRITERIOS ESTÁN DISPONIBLES SOLO PARA CIERTOS USUARIOS
DE INFORMES; en este caso, el informe del profesional debe incluir una alerta que
restrinja el uso del informe a esas partes, como lo exige la sección 205 de AT-C.

Descripción de los criterios

En el anexo “Criterios de descripción para el uso en el examen de gestión de riesgos de

ciberseguridad”, se presentan los criterios de descripción que pueden ser utilizados por
la administración al preparar y evaluar la descripción del programa de gestión de riesgos
de ciberseguridad de la entidad y por el profesional al evaluar esa descripción.

Al hacer su determinación acerca de la relevancia, objetividad, medición y exhaustividad

de los criterios de descripción seleccionados de la administración, el profesional puede
encontrar útil comparar los otros criterios de descripción identificados por la
administración con los criterios de descripción en el anexo.

Criterios de Control

Al seleccionar los criterios de control que se utilizarán en la evaluación de la efectividad

de los controles dentro del programa de gestión de riesgos de ciberseguridad de la
entidad, la administración puede seleccionar cualquier criterio de control adecuado.

La gerencia puede seleccionar los criterios para las categorías de seguridad,

disponibilidad y confidencialidad en la sección 100 de TSP (2017) Criterios de Servicios
de Confianza para la Seguridad, Disponibilidad, Integridad de Procesamiento,
Confidencialidad y Privacidad (AICPA, Criterios de Servicios de Confianza), como los
criterios de control.

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), en su

Marco Interno de Control Integrado 2013 (marco COSO), establece que los puntos de
enfoque representan características importantes de los criterios. Además, los puntos
de enfoque pueden ayudar tanto a la gerencia como al profesional a evaluar si los
controles fueron diseñados y operados adecuadamente para cumplir con los objetivos
de la administración de riesgos de ciberseguridad de la entidad basados en los criterios
de servicios de confianza.

Si la administración selecciona diferentes criterios como criterios de control, el

profesional es responsable de determinar si está de acuerdo con la evaluación de la
administración sobre la idoneidad y disponibilidad de los otros criterios de control.

Al hacer esa determinación, el profesional debe considerar si los otros criterios de

control seleccionados por la administración son relevantes para el tema, son objetivos,
son mensurables de manera consistente y están completos.

Evaluación de la idoneidad de los objetivos de ciberseguridad de la entidad

El logro de los objetivos comerciales generales de la entidad depende de la

identificación, evaluación y gestión de los riesgos que amenazan su logro. Un tipo de
riesgo son los riesgos de ciberseguridad de la entidad.

En consecuencia, las entidades a menudo establecen subobjetivos, conocidos como

objetivos de ciberseguridad, que abordan sus riesgos específicos de ciberseguridad. De
manera similar a los objetivos comerciales generales de la entidad, los objetivos de
ciberseguridad establecidos por la administración deben ser adecuados para permitir
que tanto la gerencia como el profesional evalúen si los controles dentro del programa
de gestión de riesgo de ciberseguridad de la entidad son efectivos para alcanzar esos
objetivos.

La administración es responsable de establecer e incluir en la descripción, objetivos de

ciberseguridad adecuados para que los usuarios del informe puedan comprender el
contexto en el que opera el programa de gestión de riesgos de ciberseguridad de la
entidad. Debido a que las actividades de control están diseñadas y operadas para
abordar los riesgos que evitarían que se alcancen los objetivos de ciberseguridad de
una entidad, el profesional es responsable de evaluar si los objetivos de ciberseguridad
establecidos por la administración son adecuados para permitir que el practicante
formule una conclusión sobre la efectividad de los controles, basado en los criterios de
control.

Al realizar esa evaluación, el profesional debe considerar los atributos de los objetivos
adecuados descritos en el marco de COSO. De acuerdo con el marco de COSO, los
objetivos adecuados son:

• Específico. Los objetivos proporcionan una comprensión clara de los riesgos de

ciberseguridad que deben mitigarse.
• Medible u observable. Los objetivos permiten una determinación objetiva sobre
si se ha cumplido con cada objetivo de ciberseguridad.
• Alcanzable. Los objetivos permiten la implementación de controles que, si se
diseñan adecuadamente y se operan de manera efectiva, brindan una seguridad
razonable de lograr cada objetivo.
• Relevante. El logro de cada objetivo de ciberseguridad respalda los esfuerzos
de la entidad para lograr sus objetivos generales.
• Limitados en el tiempo. Los objetivos reflejan el funcionamiento deseado de los
controles de ciberseguridad a lo largo del tiempo.

Los objetivos de ciberseguridad se establecen para abordar los riesgos de

ciberseguridad que, de otra manera, podrían amenazar el logro de los objetivos
generales de la entidad. En consecuencia, al establecer los objetivos de ciberseguridad
de la entidad, la administración también considera si los objetivos de ciberseguridad
abordan estos riesgos por completo.

Los objetivos de ciberseguridad también deben cumplir con un atributo adicional: la

integridad.
Es probable que la administración establezca objetivos de ciberseguridad que aborden
varios asuntos básicos, independientemente de la naturaleza del negocio y la industria
en la que opera la entidad.
Los asuntos básicos que la administración puede considerar, al establecer los objetivos
de ciberseguridad de la entidad, incluye:

• Compromisos contra terceros (clientes, proveedores, socios comerciales y otros)

relacionados con la seguridad y la disponibilidad de la información y los sistemas,
incluidos los compromisos relacionados con la infraestructura crítica y las
cadenas de suministro extendidas.
• Leyes y regulaciones a las que la entidad está sujeta como resultado de los tipos
de información que posee o utiliza (por ejemplo, información de salud protegida
e información de identificación personal)
• Compromisos asumidos como parte de un proceso de certificación y autorización
para agencias gubernamentales y otras partes.
• Normas de la industria a las que la entidad está sujeta como resultado de los
tipos de información que utiliza (por ejemplo, NORMAS DE SEGURIDAD DE
DATOS DE LA INDUSTRIA DE TARJETAS DE PAGO PARA ENTIDADES QUE
ACEPTAN O PROCESAN TRANSACCIONES DE TARJETAS DE CRÉDITO).
• Otras iniciativas empresariales.

Un ejemplo de los objetivos de ciberseguridad de la entidad es el siguiente:

Disponibilidad

Permitir el acceso y uso oportuno, confiable y continuo de la información y los sistemas

para hacer lo siguiente:

✓ Cumplir con las leyes y regulaciones aplicables.

✓ Cumplir obligaciones contractuales y otros compromisos.
✓ Proporcionar bienes y servicios a los clientes sin interrupción.
✓ Salvaguardar los activos de la entidad y los activos en custodia de terceros.
✓ Facilitar la toma de decisiones de manera oportuna.

Confidencialidad

Proteger la información del acceso y la divulgación no autorizados, incluidos los medios

para proteger la información confidencial y la información personal sujeta a los requisitos
de privacidad, para hacer lo siguiente:

✓ Cumplir con las leyes y regulaciones aplicables.

✓ Cumplir obligaciones contractuales y otros compromisos.
✓ Salvaguardar los activos informativos de una entidad.
Integridad de los datos

Protegerse contra la modificación o destrucción inapropiada de información para apoyar

lo siguiente:

✓ La preparación de información financiera confiable para propósitos de informes

externos.
✓ La preparación de información confiable para uso interno.
✓ Información de no repudio y autenticidad.
✓ La integridad, exactitud y puntualidad del procesamiento.
✓ La administración responsabiliza a los empleados y usuarios por sus acciones.
✓ El funcionamiento de los procesos que abordan la privacidad de la información
personal.

Integridad de Procesamiento

Protegerse contra el uso indebido, la modificación o la destrucción de los sistemas para

admitir lo siguiente:

✓ La precisión, integridad y confiabilidad de la información, bienes y servicios

producidos.
✓ La salvaguardia de los activos de la entidad.
✓ La salvaguardia de la vida y la salud.

En el examen de gestión de riesgos de ciberseguridad, la administración adaptaría los

objetivos de ciberseguridad para reflejar los objetivos de negocios de la entidad según
la naturaleza del negocio y la industria en la que opera, la misión y visión de la entidad
y el apetito de riesgo de ciberseguridad de la entidad.

Debido a la estrecha relación entre los objetivos de ciberseguridad de la entidad, la

opinión del profesional sobre la efectividad de los controles y la comprensión de los
usuarios sobre la opinión del profesional, este mismo debe considerar si los objetivos
de ciberseguridad son adecuados y completos.

Si el profesional cree que los objetivos de ciberseguridad establecidos por la

administración no son adecuados y completos, el profesional debe discutir el asunto con
la administración. Si la administración no está dispuesta a revisar los objetivos de
ciberseguridad para abordar las inquietudes del profesional, el profesional puede
decidir:

(A) NEGARSE A ACEPTAR EL COMPROMISO

(B) RESTRINGIR EL USO DEL INFORME A AQUELLOS USUARIOS QUE PUEDEN
ENTENDER LOS RIESGOS NO ATENDIDOS POR LOS OBJETIVOS DE
CIBERSEGURIDAD DE LA ENTIDAD.

SOLICITAR REPRESENTACIONES DE LA GERENCIA

El PÁRRAFO .10 DE LA SECCIÓN 205 DE AT-C requiere que el profesional solicite una
declaración escrita de la parte responsable que aborde ambos temas en el examen de
gestión de riesgos de ciberseguridad. Específicamente, la afirmación aborda si (1) la
descripción se presenta de acuerdo con los criterios de descripción y (2) los controles
dentro del programa fueron efectivos para lograr los objetivos de ciberseguridad de la
entidad.

La afirmación de la administración se incluye en el informe del examen de gestión de

riesgos de seguridad cibernética junto con la descripción de la administración y el
informe del profesional. Debido al importante papel que desempeña la afirmación en el
compromiso, PUEDE SER ÚTIL PARA EL PROFESIONAL PROPORCIONAR A LA
ADMINISTRACIÓN UN EJEMPLO DE UNA AFIRMACIÓN ESCRITA ANTES DE LA
ACEPTACIÓN DEL COMPROMISO.

INDEPENDENCIA DEL PRACTICANTE

El párrafo .24 de la sección 105 de AT-C y el párrafo .06 de la sección 205 de AT-C
establecen que un profesional debe ser independiente al realizar un trabajo de
certificación, como el examen de gestión de riesgos de ciberseguridad.

La única excepción a este requisito es cuando la ley o el reglamento exigen al

profesional que acepte el compromiso e informe sobre el tema. En ese caso, se requiere
que el profesional rechace una opinión sobre la descripción y la efectividad de los
controles y declare específicamente en el informe que el profesional no es
independiente.

Al evaluar la independencia en un examen de gestión de riesgos de ciberseguridad, el

profesional puede considerar asuntos que incluyen, entre otros:

a) El trabajo de asesoría realizado para el cliente que puede afectar directa o

indirectamente al programa de gestión de riesgos de ciberseguridad de la
entidad
b) Acuerdos de tarifas para todos los servicios prestados al cliente
c) Relaciones financieras firmes e individuales
 d) Relaciones comerciales firmes
e) Exalumnos y relaciones familiares con el cliente y el personal del cliente.

Debido a la amplitud de UN PROGRAMA DE GESTIÓN DE RIESGOS DE

CIBERSEGURIDAD y su relación con todos los aspectos de la tecnología de la
información, el profesional debe estar particularmente atento a otros servicios que se
prestan a la entidad y que pueden perjudicar la independencia.

En la mayoría de los exámenes de administración de riesgos de ciberseguridad, la

administración será tanto la PARTE CONTRATANTE (CLIENTE) COMO LA PARTE
RESPONSABLE;

por lo tanto, la administración aceptará la responsabilidad de la descripción del

programa de administración de riesgos de seguridad cibernética de la entidad y su
afirmación sobre la efectividad de los controles dentro de ese programa.

En algunos compromisos, sin embargo, la parte comprometida puede ser otra persona
que no sea la gerencia.

Por ejemplo, en una adquisición propuesta, la parte comprometida podría ser la parte
interesada en adquirir la entidad. Como parte de su debida diligencia en la compañía
objetivo, la parte comprometida puede querer información sobre el PROGRAMA DE
ADMINISTRACIÓN DE RIESGOS DE CIBERSEGURIDAD de la entidad para evaluar
los riesgos adicionales que la parte comprometida podría estar asumiendo en caso de
una brecha de seguridad en la entidad.

En tal situación, NO SE REQUIERE QUE EL PROFESIONAL SEA INDEPENDIENTE

DE LA PARTE CONTRATANTE; sin embargo, el Código de Conducta Profesional
requiere que el profesional considere la interpretación aplicable con respecto a los
conflictos de interés antes de aceptar el compromiso.

COMPETENCIA DE LOS MIEMBROS DEL EQUIPO DE COMPROMISO

Mantener la calidad adecuada en el compromiso implica que los miembros del equipo
del compromiso realicen el trabajo con la competencia y las capacidades adecuadas.
Por esa razón, el profesional no debe aceptar el examen de administración de riesgos
de ciberseguridad a menos que haya determinado que las personas que realizan el
compromiso en particular tienen la competencia y las capacidades adecuadas para
realizarlo.
Al considerar la competencia y las capacidades de los miembros del equipo del
compromiso, el socio del compromiso debe considerar si el equipo asignado
colectivamente tiene, o puede adquirir, lo siguiente:

• UNA COMPRENSIÓN, O LA CAPACIDAD DE OBTENER UNA

COMPRENSIÓN, de los exámenes de administración de riesgos de seguridad
cibernética obtenidos a través de la experiencia con compromisos de naturaleza
y complejidad similares o mediante la capacitación y participación adecuadas.
• CONOCIMIENTO DE LA INDUSTRIA Y LOS NEGOCIOS DE LA ENTIDAD,
incluso si la industria en la que opera la entidad está sujeta a tipos específicos o
riesgos inusuales de ciberseguridad.
• CONOCIMIENTO DE LOS SISTEMAS Y LA TECNOLOGÍA DE TI
RELEVANTES, tales como, mainframes, redes, firewalls o técnicas de firewall,
protocolos de seguridad y sistemas operativos.
• CONOCIMIENTO DE CUALQUIER TECNOLOGÍA NO COMÚN o tecnología
específica de la industria utilizada por la entidad.
• UNA COMPRENSIÓN DE LOS PROCESOS Y CONTROLES DE TI, como la
administración de sistemas operativos, redes y software de virtualización y
técnicas de seguridad relacionadas; principios y conceptos de seguridad;
desarrollo de software; y gestión de incidentes y gestión de riesgos de la
información.
• EXPERIENCIA CON LA EVALUACIÓN DE LA EFECTIVIDAD de los controles
que una entidad ha diseñado e implementado.
• COMPRENSIÓN DE LOS ESTÁNDARES PROFESIONALES y la capacidad de
aplicar el escepticismo y el juicio profesional en el examen de gestión de riesgos
de ciberseguridad.
• COMPRENSIÓN DE LOS REQUISITOS LEGALES Y REGLAMENTARIOS que
son relevantes para el examen de gestión de riesgos de ciberseguridad.

Además, el socio del compromiso debe asegurarse de que los miembros del equipo
estén informados de sus responsabilidades, incluidos los objetivos de los
procedimientos que deben realizar y los asuntos que pueden afectar la naturaleza, el
calendario y el alcance de dichos procedimientos. El socio del compromiso también
debe estar satisfecho de que los miembros del equipo del compromiso hayan sido
dirigidos a llamar su atención sobre cualquier pregunta importante planteada durante el
compromiso.
El socio del compromiso puede decidir complementar el conocimiento y las habilidades
del equipo del compromiso con el uso de especialistas.

ESTABLECER LOS TÉRMINOS DEL COMPROMISO

El párrafo .07 de la sección 205 de AT-C requiere que el profesional esté de acuerdo y
documente en una comunicación escrita, los términos del compromiso con la parte
comprometida. Dicha comunicación escrita reduce el riesgo de que el profesional o la
gerencia (que generalmente es la parte involucrada en el examen de gestión de riesgos
de ciberseguridad) puedan MALINTERPRETAR LAS NECESIDADES O
EXPECTATIVAS de la otra parte. Por ejemplo, reduce el riesgo de que la administración
tenga la intención de confiar en el trabajo del profesional para proteger a la entidad
contra ciertos riesgos o para realizar ciertas funciones de administración. Además, la
comprensión preliminar de los términos del examen de administración de riesgos de
seguridad cibernética le permite al profesional identificar si existen indicios de que es
poco probable que el alcance del compromiso o los criterios que se utilizarán en el
examen satisfagan las necesidades de información de los usuarios.

Los términos acordados del compromiso deben incluir, como mínimo, lo siguiente:

a. El objetivo y alcance del compromiso

b. Las responsabilidades del practicante
c. Una declaración de que el compromiso se llevará a cabo de acuerdo con los
estándares de certificación establecidos por el Instituto Americano de
Contadores Públicos Certificados
d. Las responsabilidades de la gerencia y las responsabilidades de la parte
contratante, si son diferentes
e. Una declaración sobre las limitaciones inherentes del examen de gestión de
riesgos de ciberseguridad
f. Identificación de los criterios de descripción con los que se evaluará la
descripción de la administración y los criterios de control con respecto a los
cuales se evaluará la efectividad de los controles dentro del programa de gestión
de riesgos de ciberseguridad.
g. Un reconocimiento de que la administración (y la parte contratante, si es que no
es la gerencia) acuerda proporcionar al profesional una carta de representación
al final del compromiso

Además de esto, el profesional puede decidir incluir otros asuntos en el entendimiento,

como la identificación de los objetivos de ciberseguridad de la entidad. El entendimiento
con la gerencia debe documentarse con suficiente detalle en una carta de compromiso
u otra forma apropiada de comunicación escrita.

En ciertas circunstancias, el párrafo .64 de la sección 205 de AT-C exige a un profesional

que incluya en su informe una alerta que restrinja el uso del informe a partes específicas.
En otras circunstancias, el profesional puede optar por restringir el uso del informe,
aunque las normas no lo requieran. Una alerta está diseñada para evitar malentendidos
relacionados con el uso del informe, particularmente si el informe se toma fuera del
contexto en el que se pretende utilizar el informe. Si se espera que se incluya una alerta
en el informe del examen de gestión de riesgos de ciberseguridad, el profesional puede
decidir informar a la administración (y a la parte involucrada, si son diferentes) y, a las
partes especificadas, que el informe no está destinado a distribución a partes distintas
de las especificadas en el informe. Sin embargo, un profesional no es responsable de
controlar, y no puede controlar, la distribución de su informe después de su publicación.

Si el profesional planea usar auditores internos para brindar asistencia directa, el

profesional debe obtener un reconocimiento por escrito de la gerencia de que los
auditores internos que brindan asistencia directa al profesional se les permite seguir las
instrucciones del profesional y que la administración no interferirá en el desempeño del
trabajo de los auditores internos. El profesional puede decidir documentar ese
reconocimiento en la carta de compromiso.

Si la administración es la parte contratante y se niega a firmar la carta de compromiso,

el profesional debe negarse a aceptar o realizar el examen de gestión de riesgos de
ciberseguridad, a menos que la ley o regulación aplicable no permita el retiro.

Establecer una estrategia general de examen y planificación del examen

Al planificar el examen de gestión de riesgos de ciberseguridad, el socio del compromiso

y otros miembros clave del equipo del compromiso desarrollan una estrategia general
para el alcance, el calendario y la conducción del compromiso y un plan de compromiso,
que consiste en un enfoque detallado de la naturaleza y alcance de los procedimientos
a realizar. La planificación adecuada ayuda al profesional a dedicar la atención
adecuada a áreas importantes del compromiso, identificar problemas potenciales de
manera oportuna, y organizar y gestionar adecuadamente el compromiso para
asegurarse de que se realice de una manera eficaz y eficiente. La planificación
adecuada también ayuda al profesional a asignar adecuadamente el trabajo a los
miembros del equipo de trabajo y facilita la dirección, supervisión y revisión de su
trabajo. Además, si el trabajo de los auditores internos, otros profesionales o
especialistas se utiliza en el compromiso, la planificación adecuada ayuda al profesional
a coordinar su trabajo.

Al establecer la estrategia de participación general, el profesional hace lo siguiente:

a. Obtiene un entendimiento del negocio de la entidad, los objetivos de

ciberseguridad y el programa de gestión de riesgos de ciberseguridad que
definen el compromiso.
b. Determina el tiempo esperado y la naturaleza de las comunicaciones requeridas.
c. Deben considerar los factores que, en el juicio profesional, son importantes para
dirigir los esfuerzos del equipo del compromiso.
d. Deben considerar los resultados de las actividades preliminares del compromiso,
como la aceptación por parte del cliente y, cuando corresponda, si el
conocimiento adquirido en otros compromisos realizados por el socio del
compromiso para la entidad es relevante.
e. Planifica el proceso de participación, incluidas las posibles fuentes de evidencia
y opciones entre métodos alternativos de medición o evaluación.
f. Obtiene un entendimiento de las influencias y presiones sobre la administración
y otras partes apropiadas dentro de la entidad.
g. Deben considerar a los usuarios previstos del informe del examen de gestión de
riesgos de ciberseguridad y sus necesidades de información.
h. Debería considerar el riesgo de fraude relevante para el compromiso.
i. Determina la naturaleza, el tiempo y la extensión de los recursos necesarios para
realizar el compromiso.
j. Evalúa el efecto en el compromiso de usar el trabajo de una función de auditoría
interna u obtener asistencia directa del personal de la función de auditoría
interna.

La naturaleza y el alcance de las actividades de planificación variarán dependiendo de

la experiencia previa del profesional con la entidad y de si los eventos de seguridad se
identificaron en períodos anteriores.

Las actividades de planificación también variarán según las características organizativas

de la entidad, que incluyen lo siguiente:

• La complejidad del programa de gestión de riesgos de ciberseguridad de la

entidad basado en factores como su tamaño y estructura (por ejemplo,
centralizado versus descentralizado, con recursos o con terceros)
• La industria en la que opera la entidad.
• La topología de red de la entidad.
 • Tecnologías poco comunes, inusuales u obsoletas utilizadas por la entidad.
• Cambios significativos en la arquitectura de TI, aplicaciones o personal de TI, y
seguridad durante los últimos 12 meses.
• Adquisiciones o desinversiones durante el período más reciente, la estrategia de
integración o segmentación utilizada para los sistemas de TI y el estado actual
de esas actividades.
• Países en los que la entidad hace negocios o tiene una presencia significativa
de datos, incluidos aquellos países considerados de alto riesgo por la gerencia.
• Unidades de negocios o divisiones con sistemas de TI administrados bajo una
estructura de administración separada (por ejemplo, fuera de una función de TI
centralizada)
• Terceros (clientes, proveedores, socios comerciales y otros) con acceso a la
información y los sistemas de la entidad que podrían representar un riesgo
importante para el logro de los objetivos de ciberseguridad de la entidad.

La naturaleza y el alcance de las actividades de planificación también variarán según

las circunstancias del compromiso.

Otros asuntos que el profesional puede considerar al planificar el examen de gestión de

riesgos de ciberseguridad son:

• Las características del examen específico de gestión de riesgos de

ciberseguridad, incluidos factores tales como:
✓ Si el compromiso se realizará en el programa de gestión de riesgos de
ciberseguridad para toda la entidad o solo en una parte de ese programa
✓ Si la administración es la parte contratante
✓ El marco de tiempo para el compromiso
• El tiempo esperado y la naturaleza de cualquier comunicación requerida
• Los resultados de las actividades preliminares de participación, como la
aceptación por parte del cliente, y si el conocimiento adquirido en otras
colaboraciones para la entidad es relevante para el examen de gestión de
riesgos de ciberseguridad, incluidas las posibles fuentes de evidencia sobre:
✓ La presentación de la descripción
✓ El diseño, implementación y operación de los controles
✓ La selección de la gerencia de los criterios de descripción y los criterios
de control contra los cuales se evaluará la descripción y la efectividad de
los controles
• La comprensión del profesional de la entidad y su entorno, incluido el riesgo que:
 ✓ La descripción del programa de gestión de riesgos de ciberseguridad de
la entidad no puede presentarse de acuerdo con los criterios de
descripción
✓ Los controles pueden no ser efectivos para lograr los objetivos de
ciberseguridad de la entidad
• Identificación de los usuarios previstos del informe del examen de gestión de
riesgos de ciberseguridad y sus necesidades de información, consideración de
la materialidad y los componentes del riesgo de certificación.
• El riesgo de fraude relevante para el compromiso.
• Uso de la función de auditoría interna, otros profesionales o especialistas en el
examen de gestión de riesgos de ciberseguridad.

Al establecer la ESTRATEGIA DE COMPROMISO GENERAL Y EL PLAN DE

COMPROMISO, es importante recordar que el examen de gestión de riesgos de
ciberseguridad se realiza normalmente utilizando un enfoque de arriba hacia abajo,
similar al enfoque utilizado por la administración durante su evaluación.

Al igual que en otros compromisos de control interno, el enfoque de arriba hacia abajo
en un examen de gestión de riesgos de ciberseguridad generalmente implica la
consideración de los asuntos discutidos en los párrafos anteriores de esta sección,
seguido de la consideración de los procesos y controles a nivel de entidad, así como la
evaluación y el monitoreo de la administración.

La planificación es un proceso acumulativo e iterativo que se produce a lo largo del

compromiso. En consecuencia, el profesional puede necesitar revisar la estrategia
general y el plan de participación en función de eventos inesperados, cambios en las
condiciones o evidencia obtenida que contradiga la información considerada durante la
planificación.

Materialidad durante la planificación

Al establecer la estrategia de participación general, el profesional debe considerar los

factores de materialidad tanto cualitativos como cuantitativos. Debido a la gran cantidad
de información y otros activos, y al número de procesos y controles relacionados -
incluso- dentro de una entidad pequeña, o una unidad de negocios o segmento de una
entidad más grande, los profesionales deben considerar la importancia relativa para
determinar la naturaleza, oportunidad y alcance de procedimientos y realizar el examen
de gestión de riesgos de ciberseguridad. La adopción de una materialidad apropiada
permite al profesional priorizar los esfuerzos de prueba y respalda un compromiso
efectivo y eficiente.
En el examen de gestión de riesgos de ciberseguridad, la materialidad se relaciona con
la probabilidad y magnitud de los riesgos que amenazan el logro de los objetivos de
ciberseguridad de la entidad y si los procesos y controles que la entidad ha diseñado,
implementado y operado, fueron efectivos para mitigar esos riesgos a un nivel
aceptable.

En consecuencia, el profesional debe considerar la naturaleza de las amenazas y la

probabilidad y magnitud de los riesgos que surgen de esas amenazas a información
específica y otros activos. Además, el profesional debe considerar el entorno técnico y
si la realización de amenazas o la explotación de vulnerabilidades relacionadas con
activos de información específicos, que parecen intrascendentes, podrían exponer
(directa o indirectamente) activos de información y, por lo tanto, resultar en el fracaso
para lograr la ciberseguridad de los objetivos de la entidad.

La consideración de la materialidad por parte del practicante es una cuestión de juicio

profesional y se ve afectada por la percepción del practicante de las necesidades
comunes de información de los usuarios del informe como grupo.

En este contexto, es razonable que el profesional asuma que los usuarios del informe:

a. Tienen un conocimiento razonable de la ciberseguridad, incluida la naturaleza de

los riesgos y vulnerabilidades de la ciberseguridad, y los procesos y controles
que se utilizan normalmente para gestionar dichos riesgos, y están dispuestos a
estudiar el tema con una diligencia razonable.
b. Entienden que la descripción del programa de gestión de riesgos de
ciberseguridad de una entidad y los controles dentro de ese programa, se miden,
evalúan y examinan a los niveles apropiados de materialidad y entienden
cualquier concepto de materialidad incluido en la descripción y los criterios de
control.
c. Comprenden las incertidumbres inherentes involucradas en la descripción de un
programa de administración de riesgos de ciberseguridad y las limitaciones
inherentes en el diseño y la operación de los controles. (Para asegurarse de que
los usuarios del informe entiendan tales incertidumbres, tanto la afirmación de la
gerencia como el informe del profesional, revelan las limitaciones inherentes de
un compromiso de administración de riesgos de ciberseguridad).
d. Toman decisiones razonables sobre la base de la descripción y la eficacia de los
controles, en su conjunto.

A menos que el compromiso haya sido diseñado para satisfacer las necesidades
de información particulares de los usuarios específicos del informe del examen de
 gestión de riesgos de ciberseguridad (y el informe está restringido a esos usuarios
específicos),

el posible efecto de las declaraciones erróneas con respecto a la descripción del

programa de gestión de riesgos de ciberseguridad de la entidad o la efectividad de
los controles en usuarios específicos, cuyas necesidades de información pueden
variar ampliamente, generalmente no se considera.

Realización de procedimientos de evaluación de riesgos

El profesional debe obtener una comprensión suficiente del tema del compromiso. Hay
dos temas en el examen de gestión de riesgos de ciberseguridad:

1. Una descripción del programa de gestión de riesgos de ciberseguridad de la

entidad de acuerdo con los criterios de descripción.
2. La efectividad de los controles dentro de ese programa para lograr los
objetivos de ciberseguridad de la entidad basados en los criterios de control.

Los procedimientos de evaluación de riesgos del profesional para obtener la

comprensión pueden incluir los siguientes criterios, generalmente en alguna
combinación:

• Preguntar a la gerencia, a los encargados del gobierno corporativo y a otros

dentro de la entidad que, a juicio del profesional, pueden tener información
relevante.
• Observar operaciones e inspeccionar documentos, informes y registros impresos
y electrónicos de procesamiento de transacciones.
• Inspeccionar una selección de acuerdos entre la entidad y sus clientes y
proveedores y socios comerciales (VBP).
• Nueva ejecución de la aplicación de un control.

Al obtener el entendimiento del programa y los controles de la entidad, el profesional

necesita comprender ciertos controles a un nivel detallado para permitirle realizar
procedimientos diseñados y obtener evidencia sobre si dichos controles fueron efectivos
para lograr los objetivos de ciberseguridad de la entidad.

Evaluación del riesgo de error material

En el examen de gestión de riesgos de ciberseguridad, la comprensión del profesional

del programa y los controles de gestión de riesgos de ciberseguridad de la entidad
deben ser suficientes para que el profesional pueda hacer lo siguiente:

• Identificar y evaluar los riesgos que:

 o La descripción del programa de gestión de riesgos de ciberseguridad de la
entidad no se presenta de acuerdo con los criterios de descripción.
o Los controles no fueron efectivos para lograr los objetivos de ciberseguridad
de la entidad basados en los criterios de control, debido a las deficiencias en
el diseño o las operaciones de los controles.
o Proporcionar una base para diseñar y realizar procedimientos adicionales
que respondan a los riesgos evaluados y para obtener una seguridad
razonable que respalde la opinión del profesional sobre la descripción y la
efectividad de los controles.

Al evaluar los riesgos de error importante, el profesional debe obtener una comprensión
del control interno que, en el caso de un examen de gestión de riesgos de
ciberseguridad, se centra en evaluar el diseño de los controles sobre la preparación de
la descripción y determinar si se han implementado mediante consultas al personal
responsable de la descripción y realizando otros procedimientos. Además, el profesional
debe considerar los controles, incluidas las actividades de monitoreo, que la entidad ha
diseñado e implementado para proporcionar una seguridad razonable de que se logran
los objetivos de ciberseguridad de la entidad.

El profesional debe considerar si los procedimientos de evaluación de riesgos y otros

procedimientos realizados para obtener el entendimiento indican un riesgo de error
importante debido a fraude o incumplimiento de las leyes o regulaciones. Por ejemplo,
los riesgos de fraude pueden incluir el riesgo de que la administración anule los controles
de la entidad, la apropiación indebida de información y otros activos, y la creación, por
parte del personal de la entidad, de documentos o registros falsos o engañosos.

El riesgo de error importante se relaciona con la probabilidad y magnitud de los riesgos

que amenazan el logro de los objetivos de ciberseguridad de la entidad y si los procesos
y controles que la entidad ha diseñado, implementado y operado fueron efectivos para
mitigar esos riesgos.

En el examen de gestión de riesgos de ciberseguridad, la evaluación de riesgos a

menudo comienza con la identificación y evaluación de los tipos, la probabilidad y el
impacto de los riesgos que afectan la preparación de la descripción y la efectividad de
los controles dentro del programa de gestión de riesgos de ciberseguridad de la entidad.

Los riesgos para los activos de información de la entidad, incluidos los sistemas de
control industrial y de fabricación, pueden surgir de cualquiera de los siguientes:

• Actos intencionales (por ejemplo, fraude) y no intencionales (internos y externos)

 • Amenazas identificadas, vulnerabilidades y deficiencias.
• El uso de partes externas que almacenan, procesan o transmiten información
confidencial en nombre de la entidad (por ejemplo, proveedores, clientes, socios
comerciales, "cuartas partes")
• El tipo de personal de los empleados (finanzas, administración, operaciones, TI,
ventas y marketing, etc.) y otros (contratistas, empleados de proveedores, socios
comerciales, etc.) con acceso a la información y los sistemas.

En consecuencia, al comprender los riesgos inherentes que pueden afectar la capacidad

de la entidad para lograr sus objetivos de ciberseguridad, el profesional debe considerar
si la entidad:

• Mantiene la información en el entorno de TI, que es fundamental para operar su

negocio o maximizar su ventaja en el mercado.
• Depende de la conectividad a Internet para respaldar sus operaciones
comerciales.
• Es una entidad de alto perfil dentro del sector en el que opera.
• Se basa ampliamente en los sistemas de controles industriales complejos.
• Tiene un gran número de proveedores externos o proveedores de servicios con
conexiones a sus sistemas.
• Opera dentro de un sector regulado.
• Opera en un sector que tiene un historial de ser blanco de ataques cibernéticos.
• Opera en un sector que ha sido objeto de ataques que resultan en infracciones
que han tenido un efecto material en la entidad relacionada.
• Tiene un historial de estar sujeto a ataques cibernéticos.

Una vez que el profesional ha identificado y evaluado los riesgos, debe considerar los
procesos y controles que la entidad ha diseñado, implementado y operado para mitigar
esos riesgos. Como lo requiere el párrafo 18 de la sección 205 de AT-C, el profesional
debe considerar el riesgo evaluado de error material como la base para diseñar y realizar
procedimientos adicionales cuya naturaleza, oportunidad y alcance (a) responden a los
riesgos evaluados de error material y (b) permiten que el profesional obtenga una
seguridad razonable sobre si la descripción se presenta de acuerdo con los criterios de
descripción y si los controles fueron efectivos para lograr los objetivos de ciberseguridad
de la entidad basados en los criterios de control.

La mayoría de los procedimientos del profesional para formar una opinión sobre la
descripción y la efectividad de los controles consiste en obtener y evaluar evidencia. Los
procedimientos para obtener evidencia incluyen inspección, observación, re-ejecución y
procedimientos analíticos, a menudo en alguna combinación, además de la
investigación.

Entender la función de auditoría interna

Si la entidad tiene una función de auditoría interna, entonces, como parte de la

comprensión del programa de gestión de riesgos de ciberseguridad de la entidad, el
profesional también obtiene un entendimiento de:

a. La naturaleza de las responsabilidades de la función de auditoría interna y cómo

la función de auditoría interna se ajusta a la estructura organizativa de la entidad.
b. Las actividades realizadas o por realizar por la función de auditoría interna en
relación con el programa de gestión de riesgos de ciberseguridad.

Si la función de auditoría interna no realiza actividades relacionadas con el programa de

administración de riesgos de seguridad cibernética, o si la entidad no tiene una función
que realiza actividades similares, el profesional debe considerar el efecto sobre sus
conclusiones con respecto a la EFECTIVIDAD DEL MONITOREO DE LOS
CONTROLES.

La función de auditoría interna de una entidad realiza actividades de aseguramiento y

consultoría diseñadas para evaluar y mejorar la efectividad de los procesos de gobierno,
gestión de riesgos y control interno de la entidad. Las actividades similares a las
realizadas por una función de auditoría interna pueden ser realizadas por funciones con
otros títulos dentro de una entidad. Algunas o todas las actividades de una función de
auditoría interna también pueden ser subcontratadas a un proveedor de servicios
externo.

Por ejemplo, una entidad puede contratar a un proveedor de servicios para realizar:

a) Pruebas de vulnerabilidad
b) Responsabilidades de la función de auditoría interna que el área en sí no tiene
la competencia o las calificaciones para desempeñar.
c) Una evaluación especial única a petición de la junta directiva. Ni el título de la
función, ni el hecho de que lo realice la entidad o un proveedor de servicios
externo, son los únicos determinantes de si el profesional puede utilizar el trabajo
de los auditores internos. Más bien, es la naturaleza de las actividades, el estado
organizativo de la función de auditoría interna, y las políticas y procedimientos
relevantes, las que apoyan la objetividad y competencia de los auditores
internos, y el enfoque sistemático y disciplinado de la función que se realiza.
LAS ACTIVIDADES DE LA FUNCIÓN DE AUDITORÍA INTERNA que pueden ser
relevantes para el examen de gestión de riesgos de ciberseguridad incluyen aquellas
que proporcionan información o evidencia sobre si la descripción se presenta de
acuerdo con los criterios de descripción o si los controles dentro del programa de gestión
de riesgos de ciberseguridad fueron efectivos para lograr objetivos de la ciberseguridad
de la entidad.

Al obtener una comprensión de las responsabilidades y actividades de la función de

auditoría interna, el profesional realiza consultas al personal de auditoría interna y lee
información sobre la función de auditoría interna incluida en la descripción del programa
de gestión de riesgos de ciberseguridad de la entidad. Por lo general, el profesional
también solicita y lee los informes de auditoría interna relevantes relacionados con el
período cubierto por el compromiso.

Por ejemplo, la lectura del plan de auditoría interna y los informes emitidos por la función
de auditoría interna le permiten al profesional entender la naturaleza de las
responsabilidades de la función de auditoría interna y cómo la función de auditoría
interna se ajusta a la estructura organizativa de la entidad. Además, cualquier hallazgo
en los INFORMES DE AUDITORÍA INTERNA que se relacione con la presentación de
la descripción del programa de gestión de riesgos de ciberseguridad o la efectividad de
los controles dentro de ese programa se debe tomar en cuenta como parte de la
evaluación de riesgos y para determinar la naturaleza, el calendario, y alcance de los
procedimientos planeados por el practicante.

Planificación para utilizar el trabajo de auditores internos

Si luego de obtener una comprensión de la función de auditoría interna, el profesional

concluye que las actividades no son relevantes para el examen de gestión de riesgos
de ciberseguridad o puede que no sea eficiente considerar el trabajo, el profesional no
necesita dar mayor consideración al trabajo de la función de auditoría interna.

El profesional puede determinar que el trabajo puede realizarse de manera más efectiva
o eficiente utilizando el trabajo de la función de auditoría interna u obteniendo asistencia
directa del personal. La frase "USAR EL TRABAJO DE LA FUNCIÓN DE AUDITORÍA
INTERNA" generalmente se refiere al uso del trabajo diseñado y realizado por la función
de auditoría interna, de acuerdo con un plan de auditoría interna, para obtener evidencia
para respaldar los diversos objetivos de la entidad. Esto difiere del trabajo que realiza la
función de auditoría interna para brindar asistencia directa al profesional, incluida la
asistencia para realizar pruebas de los controles diseñados por el profesional y
realizados por miembros de la función de auditoría interna bajo la dirección, supervisión
y revisión del profesional. Cuando los miembros de la función de auditoría interna
brindan asistencia directa, los procedimientos que realizan son similares al trabajo
realizado por el equipo de trabajo.

Determinación de la extensión a la cual usar el trabajo de los auditores internos

La medida en que el profesional planea utilizar el trabajo de la función de auditoría

interna es una cuestión de juicio profesional. Debido a que el profesional es el único
responsable de expresar una opinión sobre la descripción y la efectividad de los
controles, el profesional realiza todos los juicios importantes en el examen, incluso
cuándo usar el trabajo de la función de auditoría interna para obtener evidencia.

Para evitar el uso indebido de la función de auditoría interna para obtener evidencia, el
profesional debe realizar un trabajo más directo cuando:

• Se requiere más juicio para planificar y realizar los procedimientos o para evaluar
la evidencia obtenida.
• El riesgo evaluado de error material es alto.
• El estado organizativo de la función de auditoría interna y las políticas y
procedimientos relevantes generan inquietudes acerca de la objetividad de los
auditores internos.
• El nivel de competencia de la función de auditoría interna es bajo.

Procedimientos de coordinación con los auditores internos

Cuando el profesional planea usar el trabajo de la función de auditoría interna, el

profesional puede encontrar útil revisar el plan de auditoría de la función de auditoría
interna y discutir con la administración el uso planificado del mismo como base para
coordinar el trabajo de auditores internos con los procedimientos del profesional. El plan
de auditoría proporciona información sobre la naturaleza, el calendario, la extensión y el
alcance del trabajo realizado por la función de auditoría interna, así como el trabajo que
se planea realizar.

Como base para coordinar las actividades respectivas entre el profesional y los
auditores internos, puede ser útil abordar lo siguiente cuando se planea usar el trabajo
de la función de auditoría interna:

• La naturaleza del trabajo realizado

• El tiempo de dicho trabajo
• El alcance de la cobertura
• Métodos propuestos de selección de artículos y tamaños de muestra
 • Documentación del trabajo realizado
• Revisar y reportar los procedimientos

La coordinación entre el profesional y la función de auditoría interna es efectiva cuando

las discusiones tienen lugar a intervalos apropiados durante el período al que
corresponde la aseveración de la administración. Es importante que el profesional
informe a la función de auditoría interna sobre asuntos importantes a medida que surjan
durante el trabajo. Igualmente, importante es que el profesional tenga acceso a informes
relevantes de la función de auditoría interna y se le informe sobre cualquier asunto
importante que llegue a la atención de los auditores internos cuando dichos asuntos
puedan afectar el alcance del examen y la posible naturaleza, oportunidad o alcance de
los procedimientos de examen.

La comunicación a lo largo del compromiso brinda oportunidades para que los auditores
internos presenten asuntos que pueden afectar el trabajo del profesional. Luego, el
profesional puede tomar en cuenta dicha información (por ejemplo, al evaluar los riesgos
que la descripción no se presenta de acuerdo con los criterios de descripción o que los
controles no fueron efectivos para lograr los objetivos de ciberseguridad basados en los
criterios de control).

Al utilizar el trabajo de la función de auditoría interna, el profesional debe realizar

procedimientos suficientes, incluida la repetición, en el cuerpo de trabajo de la función
de auditoría interna que el profesional planea usar para evaluar si dicho trabajo es
adecuado para los propósitos del profesional.

Usar el trabajo de otro profesional

En ciertas situaciones, el profesional puede planear usar el trabajo de otro profesional.

Por ejemplo, si la entidad opera divisiones o unidades de negocios en otras ubicaciones
geográficas, el profesional podría planear utilizar el trabajo de un profesional ubicado en
la misma región geográfica que la entidad para obtener suficiente evidencia apropiada
que le permita al profesional expresar una opinión sobre la descripción y la efectividad
de los controles en el compromiso de gestión de riesgos de ciberseguridad.

Por esas razones, el practicante que decide utilizar el trabajo de otro debe:

a. Obtener un entendimiento de si el otro profesional entiende y cumplirá con los

requisitos éticos que son relevantes para el compromiso y, en particular, es
independiente.
b. Obtener una comprensión de la competencia profesional del otro profesional.
 c. Comunicarse claramente con el otro profesional sobre el alcance y el calendario
del trabajo, y los hallazgos del otro profesional.
d. Estar involucrado en el trabajo del otro practicante, si asume la responsabilidad
del trabajo del otro practicante.
e. Evaluar si el trabajo del otro profesional es adecuado para los propósitos del
profesional.
f. Determinar si hacer referencia al otro profesional en el informe del profesional.

Al utilizar el trabajo de otro profesional, el profesional es responsable de dirigir,

supervisar y realizar el compromiso en cumplimiento de las normas profesionales, los
requisitos legales y reglamentarios aplicables y las políticas de la empresa y
procedimientos. El profesional también es responsable de determinar si el informe
emitido es apropiado en las circunstancias.

Al evaluar la competencia profesional del otro auditor, se pueden realizar consultas

sobre la reputación profesional del mismo, y considerar si el otro profesional está sujeto
a supervisión regulatoria.

Una vez que el profesional ha decidido utilizar el trabajo de otro auditor, debe
comunicarse con él sobre el alcance y el calendario del trabajo. A través de esta
comunicación, el profesional puede planificar mejor la naturaleza, el tiempo y el alcance
de cualquier procedimiento relacionado con el trabajo del otro profesional, incluida su
participación en la dirección, supervisión y revisión del trabajo.

Debido a las complejidades involucradas en la planificación de un compromiso de

administración de riesgos de ciberseguridad, es más probable que el uso del trabajo de
otros profesionales sea exitoso cuando estos asuntos se abordan al inicio de la
planificación del compromiso.

Al utilizar el trabajo de otro profesional, también se requiere que el auditor evalúe si la

labor realizada anteriormente es adecuada para los fines del compromiso. El profesional
también determinará si asume la responsabilidad del trabajo del otro auditor o solo lo
referenciará en el informe del profesional.

Resumen:

En este módulo se consideró el entendimiento de las responsabilidades, tanto de la

gerencia como del auditor, al asumir el compromiso de realizar un examen de gestión
de riesgos de ciberseguridad, las consideraciones para su aceptación (incluido el tema
de la materialidad, la relación con los auditores internos y otros profesionales), la
estrategia de trabajo, su planificación y ejecución.