Journal Online

El Debido Cuidado en Seguridad

de la Informacin
Jeimy J. Cano M., Ph.D.,
CFC, CFE, CMAS, es
miembro investigador
del Grupo de Estudios en
Comercio Electrnico,
Telecomunicaciones e
Informtica (GECTI) de
la Facultad de Derecho,
Universidad de los Andes,
Columbia; profesor
distinguido de la misma
Facultad; e ingeniero y
magster en Ingeniera de
Sistemas y Computacin de
la Universidad de los Andes.
Cano tiene Ph.D. in Business
Administration, Newport
University, California, USA;
y Executive Certificate in
Management and Leadership,
MIT Sloan School of
Management, Massachusetts,
USA; profesional certificado
como Certified Fraud
Examiner (CFE) por la
Association of Certified
Fraud Examiners; y COBIT
Foundation Certificate por
ISACA. Cano es miembro del
subcomit de publicaciones
de ISACA. Contacto:
jjcano@yahoo.com.

 o you have
D
something
to say about
this article?
Visit the Journal pages
of the ISACA web site
(www.isaca.org/journal),
find the article, and
choose the Comments
tab to share your
thoughts.

Un Ejercicio de Virtudes Para el Responsable de la

Seguridad de la Informacin
RESUMEN
Las consecuencias de las fallas frente a
la proteccin de la informacin en las
organizaciones frecuentemente terminan en
prdidas de disponibilidad y en efectos, algunas
veces catastrficos. En este contexto, los
responsables de la seguridad de la informacin se
encuentran ante un dilema profesional y jurdico,
que exige de stos, de un lado aunar sus mejores
esfuerzos para limitar la materializacin de las
vulnerabilidades, y por otro, asumir los efectos
cuando stas se hacen realidad en la empresa.
Considerando lo anterior, este artculo presenta
una propuesta que formula un modelo conceptual
de debido cuidado en seguridad de la informacin
amparado en la obligacin legal empresarial
de proteger la informacin y la efectividad del
programa de seguridad de la informacin, como
fuentes de derecho y prctica para facilitar los
procesos de negocio y dar sentido la cultura
de autocontrol requerida por las regulaciones
nacionales e internacionales.
INTRODUCCIN
Existen muchas posiciones y reflexiones
sobre lo que debe ser el debido cuidado
de los responsables de la seguridad de la
informacin o mejor de la funcin de seguridad
de la informacin. Es un tema que tiene
mltiples aproximaciones y connotaciones
que haran falta muchos elementos para dar
una respuesta concreta y detallada, frente a
las responsabilidades e implicaciones que se
puedan tener, una vez se materializa una falla de
seguridad de la informacin.
Considerando los acelerados cambios
que se vienen presentando a nivel
internacional alrededor de tendencias como la
cibercriminalidad, el robo de la identidad, el

ciberterrorismo, entre otros, podemos observar

un renovado inters sobre la informacin y
su proteccin. Dentro de las tendencias ms
importantes identificadas tenemos:1
Proliferacin global de leyes y regulaciones
creadas en respuesta a los consumidores y
preocupaciones de los gobiernos alrededor del
robo de identidad, la privacidad y seguridad de
la informacin personal
La complejidad de las organizaciones globales
frente al tema de la tercerizacin
Un nfasis cada vez mayor en el valor de
los activos intangibles de informacin y el
impacto de dicha valoracin sobre los estados
financieros y su adecuada gestin del riesgo
Desarrollo y expansin de nuevas y ms rpidas
tecnologas para transmitir, almacenar y
compartir informacin
La competencia desmedida en el mercado
mundial y la presin concomitante para reducir
los costos
En este contexto los responsables de la
seguridad de la informacin se encuentran en una
encrucijada que les exige por una lado mantener
un nivel adecuado de proteccin de los activos
de informacin y cumplimiento normativo
internacional, y por otro, mantener una
flexibilidad en el tratamiento de la informacin
en el desarrollo de los procesos de negocio de
la compaa, que generalmente exigen procesos
giles y livianos para atender las oportunidades
del mercado.
ENTENDIENDO EL DEBIDO CUIDADO EN SEGURIDAD DE
LA INFORMACIN
Disear y desarrollar un adecuado ambiente
de seguridad y control, exige un proceso de
negociacin asistido por un entendimiento de los
riesgos propios de los flujos de informacin en las

ISACA JOURNAL VOLUME 2, 2011

Electronic copy available at: http://ssrn.com/abstract=2387914

actividades productivas de la organizacin. Esto es, encontrar

el justo medio que permita establecer las responsabilidades
de los participantes frente a las amenazas y las acciones
sistemticas y sistmicas que debe adelantarse para anticiparse
frente a una posible materializacin de las mismas.
Cuando la seguridad de la informacin se entiende
ms all de algo que otros piensan por m y se supera la
barrera histrica de su entendimiento fuera de una distincin
tecnolgica y de implementacin de herramientas de software,
estamos asistiendo a la confirmacin real del reconocimiento
de la informacin como un activo fundamental y estratgico de
las organizaciones. En este sentido, los elementos normativos
que se tienen frente a las regulaciones internacionales como
pueden ser entre otros: Sarbanes-Oxley,2 Health Insurance
Portability and Accountability Act (HIPAA),3 Gramm-LeachBliley Act (GLBA),4 Payment Card Industry (PCI),5 dejan
de ser algo por el cual las empresas se deben preocupar, y
se transforman en una invitacin o motivacin natural del
entorno que les exige una gestin de la informacin ms
activa y efectiva que proteja no solamente los intereses de sus
accionistas, sino las condiciones reales de las personas que
depositan en ellos la confianza en la administracin de sus
datos.
Por otro lado, es claro que luego de un ejercicio de
administracin de riesgos6 se tienen los riesgos residuales,
que no son otra cosa que la puerta abierta que permanece
luego de haber aplicado las medidas de control requeridas
y concertadas. Esto es, el riesgo que acepta y asume la
organizacin, y que convive con l, sabiendo que de
materializarse sabr enfrentarlo y contenerlo segn su
preparacin para enfrentar incidentes que se presenten.
Ante la inevitabilidad de la falla, los responsables de la
seguridad de la informacin saben que la monitorizacin
permanente y la vigilancia activa sobre los riesgos en los flujos
de informacin, la efectividad de las medidas de seguridad
tecnolgica y el fortalecimiento de la cultura de seguridad
de la informacin, son elementos sistemticos que deben
mantener dentro del radar estratgico de control tecnolgico
organizacional.
As las cosas, entrar a definir lo que se debe considerar
como un estndar de debido cuidado (due care) para el
responsable de seguridad de la informacin, no puede

restringirse a listas de chequeo de buenas prcticas

internacionales, ni a las implicaciones de incumplimientos
normativos, ni a los impactos propios de los incidentes
de seguridad de la informacin, sino a un entendimiento
profundo de la funcin de seguridad de la informacin como
facilitador corporativo y seguro estratgico de las decisiones
de la alta gerencia.
En este sentido y con el fin de armonizar lo que vamos a
entender por debida diligencia (due diligence), recurrimos al
diccionario negro de leyes (Blacks Law Dictionary) donde se
define la debida diligencia como una:
Medida de prudencia normalmente ejercida
por un individuo y que se puede esperar de un
hombre razonable y prudente en circunstancias
particulares, la cual no puede ser medida por un
estndar absoluto, pero si en un contexto relativo
a un caso especial o particular.
En consecuencia con lo anterior, los elementos que se
plantean a continuacin establecen una medida base de la
prudencia del ejecutivo de la seguridad de la informacin,
frente a la dinmica propia de la empresa para la cual presta
sus servicios y la referencia natural que se tiene frente a su
responsabilidad ante la materializacin de incidentes de
seguridad de la informacin en la organizacin.
DEFINIENDO UNA PROPUESTA DE DEBIDO CUIDADO EN SEGURIDAD
DE LA INFORMACIN
Siguiendo los elementos conceptuales y formales establecidos
en la tesis de maestra en Derecho de Etsebeth7 detallar un
estndar de debido cuidado para el gobierno de la seguridad
de la informacin en una organizacin debe pasar al menos
por los siguientes elementos (figura 1):
La obligacin legal de las organizaciones de proteger la
informacin
Las responsabilidades frente a la materializacin de las fallas
de seguridad de la informacin
El desarrollo efectivo de un programa de seguridad de la
informacin
Un modelo de seguimiento y control de la efectividad del
gobierno de la seguridad de la informacin

ISACA JOURNAL VOLUME 2, 2011

Electronic copy available at: http://ssrn.com/abstract=2387914

Figura 1Debido Cuidado en Seguridad de la Informacin

Programa de
seguridad

Obligacin
proteccin de la
informacin

Debido cuidado
seg. informacin

Responsabilidad
frente a las fallas
de seguridad

Responsabilidades Frente a las Fallas de Seguridad de la

Informacin
Teniendo claras las respuestas y acciones requeridas para
enfrentar la obligacin legal, se hace necesario revisar y
comprender las responsabilidades que se tienen cuando la
inseguridad de la informacin se materializa en el contexto
organizacional. Las responsabilidades se articulan a nivel
corporativo en diferentes niveles frente a los diferentes grupos
de inters (figura 2).

Figura 2Responsabilidades Frente a Fallas de

Seguridad de la Informacin
Major nivel de
responsabilidad
Junta Directiva

Reporte
Ejectivo y
valoracin de
impactos

Presidencia/Vice presidentes

Gerentes/Directores

Jefes/Coordinadores

Obligacin Legal de Proteger a la Informacin

La obligacin legal de las organizaciones de proteger la
informacin no solamente se encuentra articulada por las
normatividades nacionales e internacionales que obligan a
las empresas para establecer medidas de salvaguarda de la
misma, sino en el entendimiento y aseguramiento de:8
La forma en la cual la informacin es creada, procesada,
almacenada, transmitida, usada y comunicada
Quin tiene acceso a la informacin?
Qu pueden hacer las personas con la informacin?
Cunto tiempo stas tendrn acceso?
Quin tiene la autoridad para cambiar el acceso y cmo?
En este sentido, la obligacin legal de proteger la
informacin es una realidad inherente a las buenas prcticas
nacionales e internacionales, que lo nico que hacen
es detallar en las acciones y actividades cotidianas del
tratamiento de la informacin, las condiciones mnimas antes
enumeradas como fuente de elementos probatorios de la
responsabilidad de cada una de las personas en su papel frente
al uso de la informacin (propietario, usuario o custodio).

Reporte
Tcnico y
acciones
remediales

Profesionales

Jerarqua Organiacional

Grupos de Inters

Gobierno de
seguridad

Menor nivel de
responsabilidad

En este sentido, el primer responsable frente a la

materializacin de una falla de seguridad es la alta gerencia,
quien al declarar a la informacin como un activo a proteger
es el primer patrocinador del aseguramiento de la misma
en los diferentes frentes de la organizacin. Si bien dicha
responsabilidad, se materializa en el responsable corporativo
de la seguridad de la informacin, es deber de los cuerpos de
gobierno corporativo, establecer las respuestas concretas y
efectivas para los interesados (mayoritarios y minoritarios)
sobre lo ocurrido, sus impactos y las posibles disminuciones
de valor que han tenido sus intereses en la empresa.
Algunas exigencias en este sentido, se hacen directamente
en la ley GLBA en Norteamerica, que obliga a todos los
establecimientos financieros a proteger la informacin
personal de sus clientes y efectuar los reportes pblicos del
caso cuando se presenta un incidente de seguridad que pone
en riesgo dicha informacin.

ISACA JOURNAL VOLUME 2, 2011

En un segundo nivel, se encuentra el director o

responsable empresarial de la seguridad de la informacin
(chief information security officer), quien deber rendir
cuentas de la efectividad del programa de seguridad de la
informacin, la administracin de los riesgos de seguridad y
la efectividad de las medidas de seguridad tecnolgicas que
se tienen implantadas. Este reporte, deber estar articulado
con las promesas de valor que la organizacin tiene para sus
grupos de inters de tal manera que se haga evidente como
la inversin en la proteccin de los activos de informacin,
se hace concreta en el nivel de confianza esperado por la
organizacin y el nivel de riesgo aceptado por sta frente a las
amenazas identificados.
Un caso particular de esta responsabilidad se tiene para
la norma HIPAA ley Norteamericana que obliga a todos
los participantes del sector de la salud para proteger la
informacin registrada sobre los pacientes. Si se advierte una
falla de seguridad bien sea en la proteccin de la vida privada,
en transacciones electrnicas y codificacin de los datos
mdicos o en la confidencialidad, integridad y disponibilidad
de los datos mdicos, el centro de atencin mdico se ver
avocado a multas y sanciones ejemplarizantes que impacten
su reputacin y la confianza de los terceros en el servicio que
se presta.
En un tercer nivel, se encuentran los analistas de seguridad
de la informacin, especialistas en riesgos y controles de
seguridad, as como los profesionales de seguridad informtica
que aseguran la infraestructura tecnolgica: administradores
de red, de servidores, de firewalls, antivirus, entre otros,
que debern rendir cuentas sobre las medidas de mitigacin
y control frente a las amenazas identificadas, as como el
conocimiento del nivel de riesgo propio de cada uno de los
mecanismo de proteccin. Este reporte, debe mostrar el
seguimiento y alineacin de acciones frente al programa de
seguridad que tiene la empresa y cmo las fallas de seguridad
deben ser atendidas en el modelo de atencin de incidentes,
con el fin de comprender mejor la efectividad de las medidas
tecnolgicas implementadas y su permanente actualizacin
frente a la dinmica del entorno empresarial y de la
inseguridad de la informacin.
Un ejemplo concreto de este nivel es la norma PCI
que detalla las mejores prcticas para asegurar los
datos de las tarjetas de crdito que son almacenadas,
procesadas o transmitidas. Al ser esta pauta, una conjunto
4

ISACA JOURNAL VOLUME 2, 2011

de especificaciones tcnicas requeridas en los sistemas

que efectan las transacciones por tarjetas de crdito, se
hace necesario tener cuidado en los detalles de diseo e
implementacin de controles tecnolgicos que hagan realidad
lo que exige la norma. El hacer caso omiso de los pormenores
de la implementacin de las medidas tecnolgicas, genera una
no conformidad en la operacin del sistema y por lo tanto, la
prdida de oportunidades de negocio que vienen articuladas
con el aseguramiento y cumplimiento de esta norma, como
prctica de clase mundial.
Diseo y Desarrollo el Programa de Seguridad de la
Informacin
Como se puede ver, las responsabilidades frente a las
falla de seguridad, exigen del responsable de la seguridad
de la informacin, el diseo y desarrollo de un programa de
seguridad de la informacin efectivo, entendiendo este como
un conjunto de estrategias y actividades que articulen los
mecanismos de integracin organizacional, las estructuras
de coordinacin y las competencias tcnicas requeridas que
muestren claramente la integracin de la seguridad con la
estrategia empresarial.9
En este contexto, la implementacin del programa de
seguridad debe informar y comunicar a la alta gerencia sus
alcances, retos y riesgos, con el fin de advertir con claridad
y precisin qu hace parte de las acciones para mitigar las
posibles fallas de seguridad y cules los riesgos residuales que
acepta la empresa frente a las amenazas identificadas en los
flujos de informacin en sus procesos de negocio.
Seguidamente, incorporar dentro del hacer natural de las
actividades de negocio, el anlisis de los riesgos de seguridad
de la informacin, como parte inherente del actuar de las
personas en sus actividades diarias. Esto es, reconocer que
la informacin no es algo que est en los procesos, sino
que es parte del negocio, pues basado en las prcticas de
aseguramiento y proteccin, es que podemos comprender
la efectividad y valor de la misma cuando el negocio mismo
genera valor para los grupos de inters.
Un claro ejemplo de esta realidad se puede observar en
los procesos de implementacin de objetivos de control
para tecnologa de informacin basados en COBIT como
apoyo para cumplir con los requerimientos que exige la ley
Sarbanes-Oxley Act para los sistemas de informacin soporte
de los reportes financieros. Este ejercicio de validacin y

aseguramiento de un adecuado ambiente de seguridad y

control, requiere necesariamente el fortalecimiento de una
cultura de seguridad de la informacin, la formalidad en los
procesos de control de cambios, control de acceso y sobre
manera, un entendimiento de que ahora las prcticas de
autocontrol no son algo fuera del proceso, sino parte del
mismo y de la monitorizacin inherente que los propietarios
de la informacin validan en su proceso de negocio.
Roles y Responsabilidades Frente al Tratamiento de la
Informacin
Fruto de lo anterior, se presenta de manera natural los roles
y responsabilidades que los participantes de los procesos
tienen frente a la informacin. Los dueos o propietarios de
la informacin, como aquellos que crean la informacin y
establecen las condiciones de uso y custodia del mismo, dado
que reconocen y entienden sus riesgos, en el contexto de los
flujos de informacin del proceso en el que participan.
Seguidamente, se establecen los usuarios, quienes
atendiendo las condiciones y caracterstica de uso establecidas
por sus propietarios, sacan el mejor provecho de la misma en un
ambiente controlado, sabiendo que cualquier uso no autorizado,
promueve la materializacin de un incidente de seguridad de la
informacin con impacto corporativo importante.
Finalmente, se tienen los custodios, quienes observando
las caractersticas establecidas por los propietarios y las
necesidades de uso de los usuarios, definen los medios
y mecanismos para mantener la disponibilidad de la
informacin y la trazabilidad de los accesos requeridos,
asegurando en tiempo y forma que la organizacin minimizar
los riesgos asociados con la obsolescencia tecnolgica, la
compatibilidad entre los formatos de datos utilizados y la
integridad de los medios de almacenamiento.
Seguimiento y Control del Gobierno de la Seguridad
de la Informacin
Necesariamente lo anterior, debe responder no solamente a
una adecuada provisin de recursos tcnicos, financieros y
talentos humanos, sino a toda una estrategia de concientizacin
e interiorizacin de la distincin de seguridad, que apalancada
desde la distincin de riesgos, es capaz de cuestionar el
colectivo organizacional ante supuestos equvocos respecto de
la proteccin de la informacin, para construir una nueva forma
de comprender y valorar la informacin desde la esfera personal,
hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad

de la informacin, deber mantener un seguimiento y
mantenimiento continuo por parte de la funcin de seguridad
y su cuerpo directivo cumpliendo con lo que se denomina
debida diligencia (due diligence), de tal manera que asegure
que el nivel de riesgo aceptado se mantiene o disminuye. Esto
significa, que el reporte de avance del programa no se medir
exclusivamente en la materializacin o no de incidentes de
seguridad de la informacin, que se tengan en la organizacin,
sino en los niveles de prevencin y ahorro de situaciones
infortunadas que se pudieron materializar y no se dieron.
Medir la efectividad de la seguridad la
informacin es un reto permanente de los
ejecutivos de la seguridad de la informacin,
que lo que busca en ltimas es contar con
un entendimiento interno y propio de la
inseguridad de la informacin en el contexto
del negocio y cmo esta se esconde y refugia en
comportamientos inadecuados y limitaciones
tecnolgicas ()10
REPENSANDO LAS EXIGENCIAS DE CUMPLIMIENTO NORMATIVO Y
REGULATORIO
As las cosas, concebir un modelo base de debido cuidado en
seguridad de la informacin como el presentado, demanda en
la organizacin el desarrollo de una cultura de seguridad de
la informacin formal, que reconocida como prctica general
de los empleados de la empresa, desde la alta gerencia hasta
el ltimo operario en los procesos de negocio, construye una
norma tcita de cumplimiento normativo inmerso en el ADN
corporativo, haciendo evidente esa propiedad emergente
tan deseada por las empresas y entes de supervisin y
seguimiento, como lo es el autocontrol.
Las exigencias de cumplimiento normativo en seguridad de
la informacin o de proteccin de la informacin, no son otra
cosa que la preocupacin de la sociedad actual que reconoce
mayores niveles de vulnerabilidad en el flujo de la informacin
y mayor exposicin al riesgo de la misma, frente a unas
prcticas inestables y poco sistemticas de las organizaciones
y las personas frente a esta realidad.
Luego las normas como Sarbanes-Oxley Act, la cual busca
asegurar la confiabilidad de los reportes financieros de una
empresa que cotiza en la bolsa; PCI que busca certificar un
conjunto mnimo de controles y requisitos de seguridad y
ISACA JOURNAL VOLUME 2, 2011

control para proteger la informacin de los tarjetahabientes

y la HIPAA, que obliga a todos los participantes del sector
de la salud para proteger la informacin registrada sobre los
pacientes, entre otras, lo que hacen es detallar elementos de
seguridad y control que son requeridos en diferentes escenarios,
como marcos de accin que le permitan a las personas y
organizaciones, tener una manera concreta de alcanzar un
ambiente de control adecuado frente a las exigencias de un
mundo dinmico y gobernado por la inevitabilidad de la falla.
Conocer la norma y la manera como se cumple la misma,
no garantiza que la organizacin ha efectuado la interiorizacin
requerida para comprender que la informacin es un activo
de la sociedad moderna. En este sentido, tenemos que las
empresas se mueven a la observancia de estas regulaciones
ms por el temor a la sancin y exposicin de su buen nombre
frente su incumplimiento, que por comprender que ellas llevan
en s mismas, un reconocimiento de riesgos generales y globales
que son inherentes a la sociedad de la cual ellas hacen parte.
Por tanto, cuando una empresa comenta que cumple con
una norma o regulacin, no asegura en s misma, que se tenga
una mayor nivel de confiabilidad de las operaciones, pues no
sabemos nada del nivel de aseguramiento de las prcticas de
seguridad y control que exige el nivel de riesgo propio de sus
procesos de negocio.
Sabiendo que la alta gerencia de las empresas se vale de
instrumentos de monitorizacin y seguimiento independientes
como auditoras internas y externas, investigaciones
peridicas,11 revisiones y seguimientos peridicos, as como
anlisis de referentes de industria frente las fallas de seguridad
de la informacin, se hace necesario repensar los aspectos de
cumplimiento, ms all del cumplimiento de un conjunto de
exigencias, por un enfoque basado en riesgos que balancee la
perspectiva de no cumplimiento, frente a la de cumplimiento
requerido por la empresa.
La propuesta elaborada por Jegousse12 establece analizar y
balancear los riesgos de negocio y los de cumplimiento normativo.
Entendiendo los primeros como aquellas situaciones que pueden
resultar en una prdida de productividad, prdida financiera,
responsabilidades o dao en la reputacin, las cuales si no se
manejan de manera adecuada, pueden generar impactos negativos
en el posicionamiento estratgico de la empresa. Mientras los
segundos, son situaciones que pueden modificar la configuracin
de los controles claves actuales que soportan el cumplimiento con
las exigencias de las normas nacionales o internacionales.
6

ISACA JOURNAL VOLUME 2, 2011

El balance de los riesgos est dado por nivel de supervisin

y aseguramiento requerido cuando se cruzan estos dos tipos de
riesgo, como se observa en la figura 3.

Figura 3Cruce de Niveles de Riesgo de

Negocio y de Cumplimiento
Riesgo de
Negocio
ALTO

Nivel 3

MEDIO

Nivel 2

BAJO

Nivel 4

Nivel 1
BAJO

MEDIO

ALTO

Riesgo de
Cumplimiento

Tomado de Jegousse, pg. 30

Si el nivel de riesgo de cumplimiento es alto,

indistintamente sea el nivel de riesgo de negocio (nivel 4), el
nivel de supervisin requerido deber ser formal por parte del
lder del programa de seguridad, el oficial de cumplimiento y
los participantes de los equipos de trabajo (lder funcional y
tcnico) para lo cual debern verificar el nivel de avance del
programa de seguridad de la informacin y la evolucin del
nivel de madurez de la funcin de seguridad, adelantar pruebas
formales de los controles en diseo y operacin, y efectuar un
reporte de la ejecucin de los controles en el contexto de los
procesos de negocio.
Ahora bien, si el nivel de riesgo de negocio es alto y el nivel
de riesgo de cumplimiento est entre bajo y medio (nivel 3),
el oficial de cumplimiento y los participantes del equipo de
trabajo (lder funcional) debern generar reportes de control de
cambios y diagnstico de la efectividad de los controles en el
desarrollo de los procesos, as como reportar el nivel de avance
en el aseguramiento de prcticas de seguridad de la informacin
en el tratamiento de la informacin (particularmente la
clasificacin de la informacin, segn su confidencialidad).

Si tanto el nivel de riesgo del negocio como el de

cumplimiento se ubica entre bajo y medio (nivel 2), un
miembro de los equipos de trabajo en los negocios (lder
funcional), deber mantener una autoevaluacin de la
efectividad de los controles en los procesos de negocio donde
participa, as como un seguimiento de la incorporacin de
las prcticas en el tratamiento de la informacin frente a
los riesgos identificados y los resultados de ejercicios de
valoracin de riesgo anteriores.
Cuando el nivel de riesgo tanto de negocio como de
cumplimiento es bajo, los participantes del grupo de trabajo
(lder funcional y tcnico) debern mantener un registro
de la evidencia de la aplicacin de controles y seguimiento
a los controles de cambios que sucedan en los controles
actuales, como una forma de conservar la trazabilidad de las
prcticas de seguridad y control incorporadas en los flujos de
informacin del negocio.
Si se logra asegurar este nivel de supervisin requerido
para balancear los dos riesgos comentados, se tendr una
cultura y prctica de seguridad de la informacin inherente
al proceso mismo del negocio, lo que har que, una nueva
consideracin de cumplimiento normativo, cualquiera que
esta sea, se convierta en una motivacin para mejorar las
actividades que ya se vienen desarrollando como parte de la
estrategia de fortalecimiento del control interno corporativo.
As mismo, frente a los requerimientos legales propios
de los entornos de negocio de las organizaciones, se podr
contar con la evidencia suficiente y necesaria para afrontar
el juicio de responsabilidades (por parte de un tercero
p.e un Juez) en el actuar y proceder de cada uno de los
involucrados cuando se presente alguna situacin excepcional,
sabiendo que el aseguramiento de prcticas de seguridad de
la informacin nos permite salvaguardar la reputacin de
compaa, incrementar la confianza de los terceros y avanzar
en el desarrollo de ventajas competitivas.13
REFLEXIONES FINALES
Comprender el debido cuidado en seguridad de la informacin
en las organizaciones, es un ejercicio para reconocer las
posibles fallas de los controles internos informticos, donde
el resultado tanto de las revisiones por parte de los entes de
supervisin internos y externos, as como de las pruebas de
vulnerabilidades en el hardware como software, hacen parte
de lo que los responsables de la seguridad de la informacin

deben tener en cuenta, para conocer y valorar el nivel de

aseguramiento de la informacin de una empresa.
En este sentido, el nivel de cumplimiento requerido por
parte de una organizacin frente a las exigencias nacionales o
internacionales, deber ser parte de un diseo de un programa
de interiorizacin de prcticas de seguridad de la informacin
que permita cumplir con la obligacin legal de protegerla,
asumir las responsabilidades ante la materializacin de una
falla y asegurarla de acuerdo con los controles definidos frente
a los riesgos identificados.14
Cuando se tiene claridad sobre el debido cuidado en el
tratamiento de la informacin en las empresas, se tiene mayor
certeza sobre los impactos de la materializacin de los riesgos
y la forma como ellos deben ser atendidos de acuerdo con su
nivel de clasificacin y sus implicaciones en los procesos de
negocio donde es creada, procesada, almacenada, transmitida,
usada y comunicada.
As las cosas, contar con un modelo de debido cuidado
en seguridad de la informacin, permite a las organizaciones
desarrollar y mantener una vista sistmica de la evolucin
del gobierno de la seguridad de la informacin, que le
proporciona a la alta gerencia una forma concreta y real de
validar el compromiso renovado de todos y cada uno de
los colaboradores de la empresa frente a la seguridad de la
informacin en sus tareas diarias.
Por tanto, se hace necesario un trabajo interdisciplinario
entre las rea de negocio, el rea de tecnologa de
informacin, el departamento jurdico y la junta directiva,
para que a la luz del marco de accin propuesto para
implementar el debido cuidado de seguridad de la
informacin, podamos valorar los beneficios del cumplimiento
regulatorio, sus costos y los impactos de una falta al
cuerpo normativo que le aplica en el contexto del negocio
en cuestin.
En consecuencia, para hacer realidad la propuesta
planteada para materializar el debido cuidado en seguridad
de la informacin se hace necesaria una evolucin acelerada
de la funcin de seguridad hacia los temas de gobierno, riesgo
y cumplimiento, que le permita estar en la agenda de los
miembros de la junta directiva a travs de un comit ejecutivo
de primer nivel, donde se rindan cuentas de la evolucin del
programa de seguridad, apalancado en los riesgos estratgicos
de negocio y las regulaciones y acciones legales que implican
la materializacin de una falla de seguridad.15
ISACA JOURNAL VOLUME 2, 2011

Finalmente, la prxima vez que sea interrogado sobre el

debido cuidado en seguridad de la informacin, recuerde ste
es un ejercicio equivalente al desarrollo de virtudes humanas,
donde cada persona da lo mejor de s para alcanzar el justo
medio, an cuando en el camino sea tentado y sorprendido
por situaciones inesperadas que ponen a prueba su propio
entrenamiento y experiencia frente al siempre nuevo y dinmico
arte de la inseguridad de la informacin.
AGRADECIMIENTOS
El autor agradece al abogado Rafael Gamboa Bernate, LL.M.,
por su tiempo y valiosos comentarios que permitieron afinar y
ajustar las ideas propuestas en este artculo.
REFERENCIAS
1 Steele, B. Due Diligence on IT Security, USA, Ziff Davis
Enterprise, 2009, http://www.baselinemag.com/
c/a/Security/Due-Diligence-on-IT-Security/
(consultado 3 Octubre 2010)
2 US Sarbanes-Oxley Act of 2002, http://www.gpo.gov/fdsys/
pkg/PLAW-107publ204/html/PLAW-107publ204.htm
(consultado 29 Octubre 2010)
3 US Health Insurance Portability and Accountability Act
(HIPAA), 1996, http://www.cms.gov/HIPAAGenInfo/
Downloads/HIPAALaw.pdf (consultado 29 Octubre 2010)
4
US Gramm-Leach-Bliley Act (GLBA), 1999,
http://www.gpo.gov/fdsys/pkg/PLAW-106publ102/html/
PLAW-106publ102.htm (consultado 29 Octubre 2010)
5 Payment Card Industry (PCI) Security Standards Council,
https://www.pcisecuritystandards.org/security_standards/
documents.php (consultado 29 Octubre 2010)
6 International Organization for Standardization, ISO
31000:2009, Switzerland, 2009, www.iso.org/
iso/catalogue_detail.htm?csnumber=43170

(consultado 29 Octubre 2010); ISACA, The Risk

IT Framework, USA, 2009, www.isaca.org/riskit
(consultado 29 Octubre 2010); Siemens Enterprise
Communications Ltd, CRAMM: CCTA Risk Analysis and
Management Method, UK, 2009, http://www.cramm.com/
downloads/datasheets.htm (consultado 29 Octubre 2010)
7 Etsbeth, V., Legal Implications of Information Security
Governance, Master of Law thesis, unpublished, Law
Faculty, University of Johannesburg, South Africa,
2009, http://ujdigispace.uj.ac.za:8080/dspace/
handle/10210/1837 (consultado 3 Octubre 2010)
8 Ibid. (seccin resumen ejecutivo)
9 Cano, J., Integrando la Seguridad de la Informacin en
la Estrategia Empresarial: Una ReflexinSsocio-tcnica
Para Enfrentar la Inseguridad, 2010, http://insecurityit.
blogspot.com/2010/09/integrando-la-seguridad-de-la.html
(consultado 3 Octubre 2010)
10
Cano, J., Mtricas en Seguridad de la Informacin: Un
Reto Permanente, 2010, http://insecurityit.blogspot.
com/2010/07/metricas-en-seguridad-de-la-informacion.
html (consultado 3 Octubre 2010)
11
Op cit, Etsbeth, captulo 6
12 Jegousse, L., Risk-based Approach to IT Systems Life Cycle
and Change Control, ISACA Journal. 2010, no. 5, pg. 28
13 Rodriguez, C., Seguridad de la Informacin: Estrategia
Para Fortalecer el Gobierno Corporativo, Revista de
Derecho Privado, Junio 2010, no.43. Facultad de Derecho.
Universidad de los Andes, http://derechoprivado.uniandes.
edu.co/ (consultado 29 Octubre 2010)
14
Bagley, C. y Dauchy, C., The Entrepreneurs Guide to
Business Law, 3rd Edition. South Western College. Cengage
Learning, USA, 2008, pg. 554
15 Op cit., Etsbeth, captulo 8

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving ITgovernance professionals, entitles one to receive an annual subscription
to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content.
2011 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.
www.isaca.org

ISACA JOURNAL VOLUME 2, 2011