🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →

Dominio COR

COR - Coherencia Organizacional

Controles COR

COR-01 - Programa de Gestión de Riesgos y Ciberseguridad COR-02 - Mapeo de Cumplimiento Regulatorio COR-03 - Evaluación Independiente basada en Riesgos COR-04 - Mejora Continua y Acciones Correctivas

Herramientas COR

COR-03 - Evaluación Independiente basada en Riesgos

Control de auditorías internas y externas independientes de ciberseguridad

🎯 Objetivo del Control

Establecer un programa de evaluaciones independientes periódicas que valide la efectividad de los controles de Ciberseguridad, identifique brechas y proporcione aseguramiento objetivo sobre la postura de seguridad de la organización.

📋 Descripción

Este control define el marco de auditorías y evaluaciones independientes que incluye:

Auditorías internas de ciberseguridad con alcance basado en riesgos
Evaluaciones externas por terceros independientes
Pruebas técnicas especializadas (pentesting, red team)
Validación de cumplimiento normativo mediante auditorías externas
Seguimiento de hallazgos y planes de acción

🛡️ Controles Requeridos

Programa de Auditoría Interna

Plan anual de auditoría basado en riesgos identificados
Equipo de auditoría interna independiente (reporta a Board/Audit Committee)
Alcance de auditorías cubriendo todos los dominios de seguridad
Metodología de auditoría estandarizada (ISO 19011, ISACA)
Frecuencia mínima:
- Auditoría integral: anual
- Auditorías focalizadas: trimestrales
- Revisiones de controles críticos: continuas

Evaluaciones Externas

Auditorías de certificación (ISO 27001, SOC 2, PCI DSS):
- Ciclo de certificación definido
- Selección de auditores certificados
- Preparación y remediación pre-auditoría
Evaluaciones de terceros independientes:
- Assessments de madurez de ciberseguridad (NIST CSF, CMMI)
- Revisiones de arquitectura de seguridad
- Gap analysis contra frameworks específicos

Pruebas Técnicas de Seguridad

Pruebas de penetración (pentesting):
- Frecuencia: anual para sistemas críticos, post-cambios mayores
- Alcance: infraestructura, aplicaciones, APIs, redes
- Tipos: black box, gray box, white box
- Proveedores certificados (OSCP, GPEN, CEH)
Red Team exercises (empresas grandes/maduras):
- Simulación de ataques avanzados (APT)
- Evaluación de capacidades de detección y respuesta
- Frecuencia: anual o bienal
Vulnerability assessments:
- Escaneos externos trimestrales por tercero
- Validación de remediación de vulnerabilidades

Independencia y Objetividad

Separación de roles: auditores ≠ auditados
Auditoría interna independiente de TI y Seguridad
Rotación de auditores externos cada 3-5 años
Reporte directo a Comité de Auditoría o Junta Directiva
Gestión de conflictos de interés

Gestión de Hallazgos

Clasificación de hallazgos por severidad (crítico, alto, medio, bajo)
Asignación de responsables y fechas de remediación
Tracking de hallazgos en sistema GRC
Escalamiento de hallazgos críticos no resueltos
Validación de cierre de hallazgos por auditoría

📊 Métricas e Indicadores

Porcentaje de cobertura del plan anual de auditoría (objetivo: 100%)
Número de hallazgos por severidad y tendencia
Tiempo promedio de remediación por tipo de hallazgo:
- Crítico: menos de 15 días
- Alto: menos de 30 días
- Medio: menos de 60 días
- Bajo: menos de 90 días
Porcentaje de hallazgos remediados dentro de SLA (objetivo: mayor a 95%)
Ratio de reincidencia de hallazgos (objetivo: menos de 10%)
Score de madurez de auditorías externas (tendencia positiva)

🔗 Herramientas Recomendadas

GRC/Audit Management: AuditBoard, Workiva, Galvanize HighBond
Pentesting: Burp Suite Pro, Metasploit, Cobalt Strike, Core Impact
Vulnerability Assessment: Tenable.io, Qualys External Scanning
Compliance Monitoring: Vanta, Drata, SecureFrame
Finding Tracking: Jira, ServiceNow, Archer

📚 Referencias

Política de Auditoría Interna
Plan Anual de Auditoría
Procedimiento de Auditoría Técnica
Validación de Cumplimiento y Certificaciones
ISO 19011 - Guidelines for Auditing Management Systems
NIST SP 800-115 - Technical Guide to Information Security Testing
ISACA IT Audit Framework
OWASP Testing Guide
PTES (Penetration Testing Execution Standard)

✅ Checklist de Implementación

Establecimiento de función de auditoría interna independiente
Desarrollo de plan anual de auditoría basado en riesgos
Definición de metodología y estándares de auditoría
Selección de proveedores externos de auditoría/pentesting
Calendario de auditorías y evaluaciones establecido
Implementación de sistema de gestión de hallazgos
Definición de SLAs de remediación por severidad
Proceso de escalamiento de hallazgos críticos
Capacitación de auditores internos
Procedimientos de preparación pre-auditoría
Dashboard de seguimiento de hallazgos
Reporte periódico de auditorías a Comité/Board
Proceso de validación de cierre de hallazgos
Archivo de evidencias de auditorías

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

COR-02 - Mapeo de Cumplimiento Regulatorio

Control de gestión integral de obligaciones legales, regulatorias y contractuales

COR-04 - Mejora Continua y Acciones Correctivas

Control de gestión sistemática de hallazgos, incidentes y oportunidades de mejora

On this page

🎯 Objetivo del Control 📋 Descripción 🛡️ Controles Requeridos Programa de Auditoría Interna Evaluaciones Externas Pruebas Técnicas de Seguridad Independencia y Objetividad Gestión de Hallazgos 📊 Métricas e Indicadores 🔗 Herramientas Recomendadas 📚 Referencias ✅ Checklist de Implementación