Field notes

Top 10 hallazgos de auditoría en 2025: los que aparecen de verdad

Notas de campo de evaluaciones de brechas reales en Europa, no de manuales.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy2 min de lectura
Top 10 Audit Findings in 2025: The Real Ones

(Notas de campo de evaluaciones de brechas reales en Europa, no de libros de texto.)

Todo el mundo dice que está «madurando su GRC».Verificación de la realidad: la mayoría de las organizaciones siguen improvisando la seguridad y llamándolo gobernanza.Esto es lo que encontramos realmente con Cresco Cybersecurity y lo que puede hacer antes de que la próxima auditoría lo exponga.

#Lo que encontramosQué significaCómo solucionarlo (de verdad)1Sin políticas reales, o completamente fosilizadasLos equipos creen que las políticas existen porque en su día un consultor las redactó. Nadie encuentra la versión vigente.Empiece con 5 esenciales: Seguridad de la Información, Control de Acceso, Respuesta a Incidentes, Uso Aceptable, Gestión de Terceros. Manténgalas en menos de 5 páginas y revíselas anualmente.2Sin responsabilidad clara«Lo gestiona IT.» «Lo tiene Legal.» Traducción: no lo tiene nadie.Asigne nombres, no departamentos. La responsabilidad no es colectiva; es individual.3La seguridad = problema de ITLas unidades de negocio creen que el riesgo ciber empieza y termina en el cortafuegos.Desplace la conversación al impacto: tiempo de inactividad, multas, reputación. El riesgo es lenguaje de negocio; úselo.4El negocio quiere seguridad pero no puede demostrar el ROIQuieren mejores herramientas, pero no pueden justificar presupuestos porque nunca han traducido el riesgo en dinero.Cuantifique la exposición: «Este riesgo = 300.000 € si se materializa.» De repente, la seguridad tiene ROI.5La gobernanza es una palabra de moda«Tenemos un comité.» Sin orden del día. Sin actas. Sin decisiones.Haga la gobernanza visible: una reunión al mes, un registro de decisiones, una línea de reporte a la dirección. Listo.6Gestión de terceros = confianza ciega«Nuestros proveedores están certificados.» Bien. ¿Cuáles? Nadie lo sabe.Mantenga una lista de riesgos de proveedores. Empiece con sus 10 principales. Hágales una pregunta: «¿Quién los audita?»7La formación = PowerPoint de RRHHLa concienciación se trata como teatro de cumplimiento. Nadie recuerda nada.Sustituya las diapositivas estáticas por recordatorios de 10 minutos basados en casos reales. Haga que la gente sienta el riesgo.8Los activos están «gestionados» (sobre el papel)Los inventarios existen solo para el informe de auditoría. En la práctica, nadie sabe qué está corriendo en producción.Automatice el descubrimiento. Etiquete los activos críticos. Revise trimestralmente. Si no puede nombrarlo, no puede protegerlo.9Los sistemas de detección son una mentiraLos paneles del SIEM parpadean, pero nadie investiga las alertas. «Monitorización» = existencia, no acción.Mida la respuesta, no la visibilidad. Registre el tiempo desde alerta → triaje → cierre.10Sin visión holística del riesgoCada riesgo «bajo» se trata de forma aislada, hasta que tres bajos se combinan en una crisis de negocio.Correlacione los riesgos por dominio. Muestre la exposición acumulada. Enseñe a la dirección que «bajo + bajo + bajo = crítico».

Las políticas, la responsabilidad y la alineación fallan mucho antes de que lo hagan los cortafuegos.

Corrija primero la gobernanza y el cumplimiento se convierte en una prueba, no en un problema.

¿Quiere dejar de aparecer en esta lista?

Únase a uno de nuestros programas Lead Implementer/Manager en Cyber Academy.

Porque en 2026, la mayor brecha de auditoría no son sus controles; es su disciplina.

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.