16/11/22, 23:08 Conocimiento de control interno en la auditoría y la ciberseguridad

30 de septiembre de 2022

Boletín de investigación

Conocimiento de control interno en la auditoría y la ciberseguridad

Comisión

D. Auditoría

Autores

C.P.C. Joel Rodríguez Díaz

1. Presentación

Una auditoría de ciberseguridad es una parte importante de un sistema de bloqueo ante un posible
ataque, por lo cual es esencial saber en qué consiste y cómo mantener los ciberataques lejos de las
organizaciones. En este sentido, la finalidad de este boletín es dar a conocer la relevancia que tiene la
utilización de una auditoría de ciberseguridad.

2. Introducción
Alcance
En los últimos 20 años, las grandes empresas, las pyme y las personas físicas han sido objetivo de los
hackers o ciberdelincuentes para el robo de la información, afectando así la disponibilidad, integridad y
confidencialidad de la misma.

Lo anterior se facilita cuando existe descuido humano, siendo el llamado phishing y el malware los medios
más comunes con los que los hackers logran entrar a los sistemas informáticos y conseguir su objetivo,
aprovechando descuidos de los usuarios de la información.

Desafortunadamente, en México sólo un porcentaje bajo de los dueños de la información ha invertido en

tener los elementos tecnológicos de punta que aseguren que dichos datos se encuentren en un riesgo
bajo de ser robados; por lo anterior, muchas empresas en nuestro país se encuentran altamente
vulnerables para que su información sea hackeada.

3. Desarrollo

Como parte del proceso de la planeación de una auditoría de estados financieros, para los auditores
externos es importante conocer y evaluar el control interno existente, a fin de saber si los mismos ayudan
a mitigar diferentes tipos de riesgos y, como resultado de dicha evaluación, definir los alcances de su
revisión y la aplicación de una estrategia de confianza alta o baja en los controles de la empresa auditada
para su revisión sustantiva.

Dentro del estudio del control interno, y dependiendo del tamaño de la empresa, así como de la
dependencia de los sistemas de información para poder operar, el auditor externo (y los auditores
internos, en caso de contar con esta área) deben evaluar los controles generales, los de aplicación y los
aspectos de seguridad física y lógica de sus sistemas de información. Para esto, es importante que se
apoyen en lo que establece el COBIT 2019, que es un marco de referencia de gobierno de Tecnologías de
la Información (TI) para atender los riesgos en el requerimiento de control y el desarrollo de las políticas y
buenas prácticas.

Dentro de esta revisión un punto muy importante a evaluar es conocer cuáles son los controles y
sistemas con los que cuenta la empresa para mantener a un riesgo bajo la pérdida de su información y
evitar que sea robada por hackers o ciberdelincuentes, lo cual, de llegarse a presentar, afectaría de manera
muy importante en la operación del negocio, debido a la falta de disponibilidad, integridad y la
confidencialidad de la misma, pudiendo impactar también en la adecuada toma de decisiones, así como

https://www.contadoresmexico.org.mx/Boletin/control-interno-ciberseguridad 1/3
16/11/22, 23:08 Conocimiento de control interno en la auditoría y la ciberseguridad

en la pérdida de información de terceros, como clientes, proveedores, empleados, etc. Al respecto, es

importante mencionar que esta situación podría afectar al cumplimiento de lo que establece la Ley
Federal de Protección de Daros Personales en Posesión de Particulares.

Ciberseguridad

Comentado lo anterior, es importante saber que la ciberseguridad es la protección de la información

digital a través del tratamiento de amenazas que ponen en riesgo la información que es procesada y
almacenada en los sistemas de información; asimismo, incluye la protección de las grandes empresas,
Pymes y personas físicas contra ataques intencionales y cuida los efectos que esto ocasiona.

En este sentido, el contar con ciberseguridad ayuda a los dueños de la información a identificar riesgos,
proteger datos y detectar posibles intentos de robo de información para responder a dichos ataques de
ciberdelincuentes y, en su caso, la recuperación y restauración de la información.

Los métodos que comúnmente utilizan los hackers o ciberdelincuentes para el robo de información son
por el llamado phishing o suplantación de identidad y el malware, atacando por medio de virus cuando el
usuario enlaza un archivo adjunto.

Un ejemplo de phishing es cuando los usuarios reciben correos apócrifos pero muy similares de
destinatarios “conocidos":

Correo correcto: jrodriguez@rdcasesores.com.mx

Correo falso: jrodriguez@rdcasesores.com
Correo correcto: kzavala@rdcasesores.com.mx
Correo falso: kzavala@rdcasesores.mx

Asimismo, el riesgo de que la información sea hackeada se debe al acceso de los usuarios a páginas de
internet no permitidas, así como a la facilidad de subir y bajar información por medio de dispositivos
portátiles de almacenamiento USB, facilitando que los hackers logren el robo de la información en los
sistemas.

Debido a todo lo aquí mencionado, es conocido que muchas empresas en México -transnacionales y
nacionales- han perdido su información al ser hackeadas, ocasionando casos como éstos:

1. Tener que implementar -en forma reactiva y no preventiva- sistemas para cuidar la ciberseguridad
de su información.
2. Afectar de forma importante la continuidad del negocio en marcha de la empresa, tomando en
cuenta el grado de dependencia de los sistemas de información para poder operar de manera
normal.
3. Costos financieros altos y no presupuestados para recuperar la información por medio de
especialistas en la materia o, en su caso, pagar las extorsiones que pidan los hackers.
4. Levantar una denuncia ante el ministerio público contra quien resulte responsable del robo de
información.
5. Dar aviso ante el SAT del robo de información en caso de que se presente alguna revisión de
gabinete o de cualquier otra índole.
6. Retrasos importantes para recuperación de saldos a favor de ISR, IVA, entre otros, originando, a su
vez, costos financieros y problemas de flujo en la tesorería.
7. En el caso de las firmas de contadores o fiscalistas, la pérdida de papeles de trabajo de auditoría o
contabilidades, lo que puede requerir a las autoridades fiscales para revisiones secuenciales o de
gabinete.

Atención de los auditores

Por todo lo anterior, es muy importante que los auditores contemplen -dentro de su plan de evaluación
del control interno- las acciones que tienen las empresas auditadas para evitar el riesgo de robo de
información y, en su defecto, en su carta de recomendaciones, informar a la administración sobre la
relevancia de atender, de forma urgente, las acciones a seguir en temas de ciberseguridad de la
información.

Asimismo, es conveniente que el auditor a cargo del compromiso evalúe la necesidad de utilizar el trabajo
de un especialista en ciberseguridad de la información para examinar el grado de control y riesgo de robo
de información; para esto, es necesaria la aplicación de la NIA 620: Utilización del trabajo de un experto
del auditor.

Como parte de una evaluación de riesgos de robo de información y de atención a temas de

ciberseguridad, cabe mencionar, entre muchos otros puntos, los siguientes:
https://www.contadoresmexico.org.mx/Boletin/control-interno-ciberseguridad 2/3
16/11/22, 23:08 Conocimiento de control interno en la auditoría y la ciberseguridad

a. Las políticas para el uso de USB (existen portales de USB bloqueados a ciertos niveles operativos.
b. El uso de contraseñas fáciles de adivinar; por ejemplo, cuando los usuarios usan su RFC, la fecha de
su nacimiento o la serie numérica 12345, etc.
c. Contestar correos apócrifos, que generalmente son mensajes urgentes para actualizar aplicaciones.
d. Descargar malware.
e. Evaluar la capacidad técnica del personal de TI.
f. Conocer si la empresa tiene y/o actualiza los antivirus oportunamente.
g. Promover el uso de contraseñas seguras y que éstas se cambien periódicamente.
h. Conocer si la empresa tiene políticas y capacitación frecuente para evitar el robo de información.
i. Acceso a redes gratuitas de wifi y, por lo tanto, de alto riesgo.

4. Conclusiones
La falta de atención de las empresas en materia de ciberseguridad de la información podría ocasionar
problemas graves para la operación inmediata.

El auditor externo debe atender este riesgo de control interno para informarlo a la administración y así dar
un mayor valor a sus recomendaciones de auditoría.

5. Referencias

1. COBIT 2019.
2. Norma Internacional de Auditoría 300 Planeación de la auditoría de estados financieros.
3. Norma Internacional de Auditoría 315 identificación y valoración de los riesgos de incorrección
material mediante el conocimiento de la entidad y su entorno.
4. Norma Internacional de Auditoría 620 Utilización del trabajo de un experto del auditor.

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de
actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El
contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores
Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta
publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.

https://www.contadoresmexico.org.mx/Boletin/control-interno-ciberseguridad 3/3