Journal Online

El Debido Cuidado en Seguridad

de la Información
Un Ejercicio de Virtudes Para el Responsable de la
Jeimy J. Cano M., Ph.D.,
CFC, CFE, CMAS, es Seguridad de la Información
miembro investigador
del Grupo de Estudios en
RESUMEN ciberterrorismo, entre otros, podemos observar
Comercio Electrónico,
Las consecuencias de las fallas frente a un renovado interés sobre la información y
Telecomunicaciones e
la protección de la información en las su protección. Dentro de las tendencias más
Informática (GECTI) de
organizaciones frecuentemente terminan en importantes identificadas tenemos:1
la Facultad de Derecho,
pérdidas de disponibilidad y en efectos, algunas • Proliferación global de leyes y regulaciones
Universidad de los Andes,
veces catastróficos. En este contexto, los creadas en respuesta a los consumidores y
Columbia; profesor
responsables de la seguridad de la información se preocupaciones de los gobiernos alrededor del
distinguido de la misma
encuentran ante un dilema profesional y jurídico, robo de identidad, la privacidad y seguridad de
Facultad; e ingeniero y
que exige de éstos, de un lado aunar sus mejores la información personal
magíster en Ingeniería de
esfuerzos para limitar la materialización de las • La complejidad de las organizaciones globales
Sistemas y Computación de
vulnerabilidades, y por otro, asumir los efectos frente al tema de la tercerización
la Universidad de los Andes.
cuando éstas se hacen realidad en la empresa. • Un énfasis cada vez mayor en el valor de
Cano tiene Ph.D. in Business
Considerando lo anterior, este artículo presenta los activos intangibles de información y el
Administration, Newport
una propuesta que formula un modelo conceptual impacto de dicha valoración sobre los estados
University, California, USA;
de debido cuidado en seguridad de la información financieros y su adecuada gestión del riesgo
y Executive Certificate in
amparado en la obligación legal empresarial • Desarrollo y expansión de nuevas y más rápidas
Management and Leadership,
de proteger la información y la efectividad del tecnologías para transmitir, almacenar y
MIT Sloan School of
programa de seguridad de la información, como compartir información
Management, Massachusetts,
fuentes de derecho y práctica para facilitar los • La competencia desmedida en el mercado
USA; profesional certificado
procesos de negocio y dar sentido la cultura mundial y la presión concomitante para reducir
como Certified Fraud
de autocontrol requerida por las regulaciones los costos
Examiner (CFE) por la
nacionales e internacionales. En este contexto los responsables de la
Association of Certified
seguridad de la información se encuentran en una
Fraud Examiners; y COBIT
INTRODUCCIÓN encrucijada que les exige por una lado mantener
Foundation Certificate por
Existen muchas posiciones y reflexiones un nivel adecuado de protección de los activos
ISACA. Cano es miembro del
sobre lo que debe ser el “debido cuidado” de información y cumplimiento normativo
subcomité de publicaciones
de los responsables de la seguridad de la internacional, y por otro, mantener una
de ISACA. Contacto:
información o mejor de la función de seguridad flexibilidad en el tratamiento de la información
jjcano@yahoo.com.
de la información. Es un tema que tiene en el desarrollo de los procesos de negocio de
 o you have
D múltiples aproximaciones y connotaciones la compañía, que generalmente exigen procesos
something que harían falta muchos elementos para dar ágiles y livianos para atender las oportunidades
to say about
una respuesta concreta y detallada, frente a del mercado.
this article?
las responsabilidades e implicaciones que se
Visit the Journal pages
puedan tener, una vez se materializa una falla de ENTENDIENDO EL DEBIDO CUIDADO EN SEGURIDAD DE
of the ISACA web site
seguridad de la información. LA INFORMACIÓN
(www.isaca.org/journal),
Considerando los acelerados cambios Diseñar y desarrollar un adecuado ambiente
find the article, and
choose the Comments que se vienen presentando a nivel de seguridad y control, exige un proceso de
tab to share your internacional alrededor de tendencias como la negociación asistido por un entendimiento de los
thoughts. cibercriminalidad, el robo de la identidad, el riesgos propios de los flujos de información en las

ISACA JOURNAL VOLUME 2, 2011 1

 actividades productivas de la organización. Esto es, encontrar
el justo medio que permita establecer las responsabilidades
de los participantes frente a las amenazas y las acciones
sistemáticas y sistémicas que debe adelantarse para anticiparse
frente a una posible materialización de las mismas.
Cuando la seguridad de la información se entiende
más allá de “algo que otros piensan por mí” y se supera la
barrera histórica de su entendimiento fuera de una distinción
tecnológica y de implementación de herramientas de software,
estamos asistiendo a la confirmación real del reconocimiento
de la información como un activo fundamental y estratégico de
las organizaciones. En este sentido, los elementos normativos
que se tienen frente a las regulaciones internacionales como
pueden ser entre otros: Sarbanes-Oxley,2 Health Insurance
Portability and Accountability Act (HIPAA),3 Gramm-Leach-
Bliley Act (GLBA),4 Payment Card Industry (PCI),5 dejan
de ser algo por el cual las empresas se deben preocupar, y
se transforman en una invitación o motivación natural del
entorno que les exige una gestión de la información más
activa y efectiva que proteja no solamente los intereses de sus
accionistas, sino las condiciones reales de las personas que
depositan en ellos la confianza en la administración de sus
datos.
Por otro lado, es claro que luego de un ejercicio de
administración de riesgos6 se tienen los riesgos residuales,
que no son otra cosa que “la puerta abierta” que permanece
luego de haber aplicado las medidas de control requeridas
y concertadas. Esto es, el riesgo que acepta y asume la
organización, y que convive con él, sabiendo que de
materializarse sabrá enfrentarlo y contenerlo según su
preparación para enfrentar incidentes que se presenten.
Ante la inevitabilidad de la falla, los responsables de la
seguridad de la información saben que la monitorización
permanente y la vigilancia activa sobre los riesgos en los flujos
de información, la efectividad de las medidas de seguridad
tecnológica y el fortalecimiento de la cultura de seguridad
de la información, son elementos sistemáticos que deben
mantener dentro del radar estratégico de control tecnológico
organizacional.
Así las cosas, entrar a definir lo que se debe considerar
como un estándar de debido cuidado (due care) para el
responsable de seguridad de la información, no puede
2 ISACA JOURNAL VOLUME 2, 2011
restringirse a listas de chequeo de buenas prácticas
internacionales, ni a las implicaciones de incumplimientos
normativos, ni a los impactos propios de los incidentes
de seguridad de la información, sino a un entendimiento
profundo de la función de seguridad de la información como
facilitador corporativo y seguro estratégico de las decisiones
de la alta gerencia.
En este sentido y con el fin de armonizar lo que vamos a
entender por debida diligencia (due diligence), recurrimos al
diccionario negro de leyes (Black’s Law Dictionary) donde se
define la debida diligencia como una:
Medida de prudencia normalmente ejercida
por un individuo y que se puede esperar de un
hombre razonable y prudente en circunstancias
particulares, la cual no puede ser medida por un
estándar absoluto, pero si en un contexto relativo
a un caso especial o particular.
En consecuencia con lo anterior, los elementos que se
plantean a continuación establecen una medida base de la
prudencia del ejecutivo de la seguridad de la información,
frente a la dinámica propia de la empresa para la cual presta
sus servicios y la referencia natural que se tiene frente a su
responsabilidad ante la materialización de incidentes de
seguridad de la información en la organización.
DEFINIENDO UNA PROPUESTA DE DEBIDO CUIDADO EN SEGURIDAD
DE LA INFORMACIÓN
Siguiendo los elementos conceptuales y formales establecidos
en la tesis de maestría en Derecho de Etsebeth7 detallar un
estándar de debido cuidado para el gobierno de la seguridad
de la información en una organización debe pasar al menos
por los siguientes elementos (figura 1):
• La obligación legal de las organizaciones de proteger la
información
• Las responsabilidades frente a la materialización de las fallas
de seguridad de la información
• El desarrollo efectivo de un programa de seguridad de la
información
• Un modelo de seguimiento y control de la efectividad del
gobierno de la seguridad de la información
 Responsabilidades Frente a las Fallas de Seguridad de la
Figura 1—Debido Cuidado en Seguridad de la Información Información
Teniendo claras las respuestas y acciones requeridas para
enfrentar la obligación legal, se hace necesario revisar y
comprender las responsabilidades que se tienen cuando la
Programa de
seguridad inseguridad de la información se materializa en el contexto
organizacional. Las responsabilidades se articulan a nivel
corporativo en diferentes niveles frente a los diferentes grupos
de interés (figura 2).

Obligación
protección de la Debido cuidado Responsabilidad Figura 2—Responsabilidades Frente a Fallas de
seg. información frente a las fallas
información de seguridad Seguridad de la Información
Major nivel de
responsabilidad

Junta Directiva

Reporte Presidencia/Vice presidentes

Ejectivo y

Grupos de Interés
Gobierno de valoración de
impactos Gerentes/Directores
seguridad
Jefes/Coordinadores

Reporte Profesionales
Técnico y
acciones
remediales
Obligación Legal de Proteger a la Información
La obligación legal de las organizaciones de proteger la Jerarquía Organiacional Menor nivel de
responsabilidad
información no solamente se encuentra articulada por las
normatividades nacionales e internacionales que obligan a
En este sentido, el primer responsable frente a la
las empresas para establecer medidas de salvaguarda de la
materialización de una falla de seguridad es la alta gerencia,
misma, sino en el entendimiento y aseguramiento de:8
quien al declarar a la información como un activo a proteger
• La forma en la cual la información es creada, procesada,
es el primer patrocinador del aseguramiento de la misma
almacenada, transmitida, usada y comunicada
en los diferentes frentes de la organización. Si bien dicha
• ¿Quién tiene acceso a la información?
responsabilidad, se materializa en el responsable corporativo
• ¿Qué pueden hacer las personas con la información?
de la seguridad de la información, es deber de los cuerpos de
• ¿Cuánto tiempo éstas tendrán acceso?
gobierno corporativo, establecer las respuestas concretas y
• ¿Quién tiene la autoridad para cambiar el acceso y cómo?
efectivas para los interesados (mayoritarios y minoritarios)
En este sentido, la obligación legal de proteger la
sobre lo ocurrido, sus impactos y las posibles disminuciones
información es una realidad inherente a las buenas prácticas
de valor que han tenido sus intereses en la empresa.
nacionales e internacionales, que lo único que hacen
Algunas exigencias en este sentido, se hacen directamente
es detallar en las acciones y actividades cotidianas del
en la ley GLBA en Norteamerica, que obliga a todos los
tratamiento de la información, las condiciones mínimas antes
establecimientos financieros a proteger la información
enumeradas como fuente de elementos probatorios de la
personal de sus clientes y efectuar los reportes públicos del
responsabilidad de cada una de las personas en su papel frente
caso cuando se presenta un incidente de seguridad que pone
al uso de la información (propietario, usuario o custodio).
en riesgo dicha información.

ISACA JOURNAL VOLUME 2, 2011 3

 En un segundo nivel, se encuentra el director o
responsable empresarial de la seguridad de la información
(chief information security officer), quien deberá rendir
cuentas de la efectividad del programa de seguridad de la
información, la administración de los riesgos de seguridad y
la efectividad de las medidas de seguridad tecnológicas que
se tienen implantadas. Este reporte, deberá estar articulado
con las promesas de valor que la organización tiene para sus
grupos de interés de tal manera que se haga evidente como
la inversión en la protección de los activos de información,
se hace concreta en el nivel de confianza esperado por la
organización y el nivel de riesgo aceptado por ésta frente a las
amenazas identificados.
Un caso particular de esta responsabilidad se tiene para
la norma HIPAA ley Norteamericana que obliga a todos
los participantes del sector de la salud para proteger la
información registrada sobre los pacientes. Si se advierte una
falla de seguridad bien sea en la protección de la vida privada,
en transacciones electrónicas y codificación de los datos
médicos o en la confidencialidad, integridad y disponibilidad
de los datos médicos, el centro de atención médico se verá
avocado a multas y sanciones ejemplarizantes que impacten
su reputación y la confianza de los terceros en el servicio que
se presta.
En un tercer nivel, se encuentran los analistas de seguridad
de la información, especialistas en riesgos y controles de
seguridad, así como los profesionales de seguridad informática
que aseguran la infraestructura tecnológica: administradores
de red, de servidores, de firewalls, antivirus, entre otros,
que deberán rendir cuentas sobre las medidas de mitigación
y control frente a las amenazas identificadas, así como el
conocimiento del nivel de riesgo propio de cada uno de los
mecanismo de protección. Este reporte, debe mostrar el
seguimiento y alineación de acciones frente al programa de
seguridad que tiene la empresa y cómo las fallas de seguridad
deben ser atendidas en el modelo de atención de incidentes,
con el fin de comprender mejor la efectividad de las medidas
tecnológicas implementadas y su permanente actualización
frente a la dinámica del entorno empresarial y de la
inseguridad de la información.
Un ejemplo concreto de este nivel es la norma PCI
que detalla las mejores prácticas para asegurar los
datos de las tarjetas de crédito que son almacenadas,
procesadas o transmitidas. Al ser esta pauta, una conjunto
4 ISACA JOURNAL VOLUME 2, 2011
de especificaciones técnicas requeridas en los sistemas
que efectúan las transacciones por tarjetas de crédito, se
hace necesario tener cuidado en los detalles de diseño e
implementación de controles tecnológicos que hagan realidad
lo que exige la norma. El hacer caso omiso de los pormenores
de la implementación de las medidas tecnológicas, genera una
no conformidad en la operación del sistema y por lo tanto, la
pérdida de oportunidades de negocio que vienen articuladas
con el aseguramiento y cumplimiento de esta norma, como
práctica de clase mundial.
Diseño y Desarrollo el Programa de Seguridad de la
Información
Como se puede ver, las responsabilidades frente a las
falla de seguridad, exigen del responsable de la seguridad
de la información, el diseño y desarrollo de un programa de
seguridad de la información efectivo, entendiendo este como
un conjunto de estrategias y actividades que articulen los
mecanismos de integración organizacional, las estructuras
de coordinación y las competencias técnicas requeridas que
muestren claramente la integración de la seguridad con la
estrategia empresarial.9
En este contexto, la implementación del programa de
seguridad debe informar y comunicar a la alta gerencia sus
alcances, retos y riesgos, con el fin de advertir con claridad
y precisión qué hace parte de las acciones para mitigar las
posibles fallas de seguridad y cuáles los riesgos residuales que
acepta la empresa frente a las amenazas identificadas en los
flujos de información en sus procesos de negocio.
Seguidamente, incorporar dentro del hacer natural de las
actividades de negocio, el análisis de los riesgos de seguridad
de la información, como parte inherente del actuar de las
personas en sus actividades diarias. Esto es, reconocer que
la información no es algo que está en los procesos, sino
que es parte del negocio, pues basado en las prácticas de
aseguramiento y protección, es que podemos comprender
la efectividad y valor de la misma cuando el negocio mismo
genera valor para los grupos de interés.
Un claro ejemplo de esta realidad se puede observar en
los procesos de implementación de objetivos de control
para tecnología de información basados en COBIT como
apoyo para cumplir con los requerimientos que exige la ley
Sarbanes-Oxley Act para los sistemas de información soporte
de los reportes financieros. Este ejercicio de validación y
aseguramiento de un adecuado ambiente de seguridad y
control, requiere necesariamente el fortalecimiento de una
cultura de seguridad de la información, la formalidad en los
procesos de control de cambios, control de acceso y sobre
manera, un entendimiento de que ahora las prácticas de
autocontrol no son algo fuera del proceso, sino parte del
mismo y de la monitorización inherente que los propietarios
de la información validan en su proceso de negocio.
Roles y Responsabilidades Frente al Tratamiento de la
Información
Fruto de lo anterior, se presenta de manera natural los roles
y responsabilidades que los participantes de los procesos
tienen frente a la información. Los dueños o propietarios de
la información, como aquellos que crean la información y
establecen las condiciones de uso y custodia del mismo, dado
que reconocen y entienden sus riesgos, en el contexto de los
flujos de información del proceso en el que participan.
Seguidamente, se establecen los usuarios, quienes
atendiendo las condiciones y característica de uso establecidas
por sus propietarios, sacan el mejor provecho de la misma en un
ambiente controlado, sabiendo que cualquier uso no autorizado,
promueve la materialización de un incidente de seguridad de la
información con impacto corporativo importante.
Finalmente, se tienen los custodios, quienes observando
las características establecidas por los propietarios y las
necesidades de uso de los usuarios, definen los medios
y mecanismos para mantener la disponibilidad de la
información y la trazabilidad de los accesos requeridos,
asegurando en tiempo y forma que la organización minimizará
los riesgos asociados con la obsolescencia tecnológica, la
compatibilidad entre los formatos de datos utilizados y la
integridad de los medios de almacenamiento.
Seguimiento y Control del Gobierno de la Seguridad
de la Información
Necesariamente lo anterior, debe responder no solamente a
una adecuada provisión de recursos técnicos, financieros y
talentos humanos, sino a toda una estrategia de concientización
e interiorización de la distinción de seguridad, que apalancada
desde la distinción de riesgos, es capaz de cuestionar el
colectivo organizacional ante supuestos equívocos respecto de
la protección de la información, para construir una nueva forma
de comprender y valorar la información desde la esfera personal,
hacia la realidad corporativa.
Como toda iniciativa, el programa de seguridad
de la información, deberá mantener un seguimiento y
mantenimiento continuo por parte de la función de seguridad
y su cuerpo directivo cumpliendo con lo que se denomina
debida diligencia (due diligence), de tal manera que asegure
que el nivel de riesgo aceptado se mantiene o disminuye. Esto
significa, que el reporte de avance del programa no se medirá
exclusivamente en la materialización o no de incidentes de
seguridad de la información, que se tengan en la organización,
sino en los niveles de prevención y ahorro de situaciones
infortunadas que se pudieron materializar y no se dieron.
Medir la efectividad de la seguridad la
información es un reto permanente de los
ejecutivos de la seguridad de la información,
que lo que busca en últimas es “contar con
un entendimiento interno y propio de la
inseguridad de la información en el contexto
del negocio y cómo esta se esconde y refugia en
comportamientos inadecuados y limitaciones
tecnológicas (…)”10
REPENSANDO LAS EXIGENCIAS DE CUMPLIMIENTO NORMATIVO Y
REGULATORIO
Así las cosas, concebir un modelo base de debido cuidado en
seguridad de la información como el presentado, demanda en
la organización el desarrollo de una cultura de seguridad de
la información formal, que reconocida como práctica general
de los empleados de la empresa, desde la alta gerencia hasta
el último operario en los procesos de negocio, construye una
norma tácita de cumplimiento normativo inmerso en el ADN
corporativo, haciendo evidente esa propiedad emergente
tan deseada por las empresas y entes de supervisión y
seguimiento, como lo es el autocontrol.
Las exigencias de cumplimiento normativo en seguridad de
la información o de protección de la información, no son otra
cosa que la preocupación de la sociedad actual que reconoce
mayores niveles de vulnerabilidad en el flujo de la información
y mayor exposición al riesgo de la misma, frente a unas
prácticas inestables y poco sistemáticas de las organizaciones
y las personas frente a esta realidad.
Luego las normas como Sarbanes-Oxley Act, la cual busca
asegurar la confiabilidad de los reportes financieros de una
empresa que cotiza en la bolsa; PCI que busca certificar un
conjunto mínimo de controles y requisitos de seguridad y
ISACA JOURNAL VOLUME 2, 2011 5
 control para proteger la información de los tarjetahabientes
y la HIPAA, que obliga a todos los participantes del sector
de la salud para proteger la información registrada sobre los
pacientes, entre otras, lo que hacen es detallar elementos de
seguridad y control que son requeridos en diferentes escenarios,
como marcos de acción que le permitan a las personas y
organizaciones, tener una manera concreta de alcanzar un
ambiente de control adecuado frente a las exigencias de un
El balance de los riesgos está dado por nivel de supervisión
y aseguramiento requerido cuando se cruzan estos dos tipos de
riesgo, como se observa en la figura 3.
Figura 3—Cruce de Niveles de Riesgo de
Negocio y de Cumplimiento
Riesgo de
Negocio

mundo dinámico y gobernado por la inevitabilidad de la falla.

Conocer la norma y la manera como se cumple la misma,
ALTO Nivel 3
no garantiza que la organización ha efectuado la interiorización
requerida para comprender que la información es un activo
de la sociedad moderna. En este sentido, tenemos que las
empresas se mueven a la observancia de estas regulaciones MEDIO Nivel 2 Nivel 4
más por el temor a la sanción y exposición de su buen nombre
frente su incumplimiento, que por comprender que ellas llevan
en sí mismas, un reconocimiento de riesgos generales y globales BAJO
que son inherentes a la sociedad de la cual ellas hacen parte. Nivel 1
Por tanto, cuando una empresa comenta que cumple con
una norma o regulación, no asegura en sí misma, que se tenga BAJO MEDIO ALTO Riesgo de
Cumplimiento
una mayor nivel de confiabilidad de las operaciones, pues no
Tomado de Jegousse, pág. 30
sabemos nada del nivel de aseguramiento de las prácticas de
seguridad y control que exige el nivel de riesgo propio de sus
Si el nivel de riesgo de cumplimiento es alto,
procesos de negocio.
indistintamente sea el nivel de riesgo de negocio (nivel 4), el
Sabiendo que la alta gerencia de las empresas se vale de
nivel de supervisión requerido deberá ser formal por parte del
instrumentos de monitorización y seguimiento independientes
líder del programa de seguridad, el oficial de cumplimiento y
como auditorías internas y externas, investigaciones
los participantes de los equipos de trabajo (líder funcional y
periódicas,11 revisiones y seguimientos periódicos, así como
técnico) para lo cual deberán verificar el nivel de avance del
análisis de referentes de industria frente las fallas de seguridad
programa de seguridad de la información y la evolución del
de la información, se hace necesario repensar los aspectos de
nivel de madurez de la función de seguridad, adelantar pruebas
cumplimiento, más allá del cumplimiento de un conjunto de
formales de los controles en diseño y operación, y efectuar un
exigencias, por un enfoque basado en riesgos que balancee la
reporte de la ejecución de los controles en el contexto de los
perspectiva de no cumplimiento, frente a la de cumplimiento
procesos de negocio.
requerido por la empresa.
Ahora bien, si el nivel de riesgo de negocio es alto y el nivel
La propuesta elaborada por Jegousse12 establece analizar y
de riesgo de cumplimiento está entre bajo y medio (nivel 3),
balancear los riesgos de negocio y los de cumplimiento normativo.
el oficial de cumplimiento y los participantes del equipo de
Entendiendo los primeros como aquellas situaciones que pueden
trabajo (líder funcional) deberán generar reportes de control de
resultar en una pérdida de productividad, pérdida financiera,
cambios y diagnóstico de la efectividad de los controles en el
responsabilidades o daño en la reputación, las cuales si no se
desarrollo de los procesos, así como reportar el nivel de avance
manejan de manera adecuada, pueden generar impactos negativos
en el aseguramiento de prácticas de seguridad de la información
en el posicionamiento estratégico de la empresa. Mientras los
en el tratamiento de la información (particularmente la
segundos, son situaciones que pueden modificar la configuración
clasificación de la información, según su confidencialidad).
de los controles claves actuales que soportan el cumplimiento con
las exigencias de las normas nacionales o internacionales.

6 ISACA JOURNAL VOLUME 2, 2011

 Si tanto el nivel de riesgo del negocio como el de
cumplimiento se ubica entre bajo y medio (nivel 2), un
miembro de los equipos de trabajo en los negocios (líder
funcional), deberá mantener una autoevaluación de la
efectividad de los controles en los procesos de negocio donde
participa, así como un seguimiento de la incorporación de
las prácticas en el tratamiento de la información frente a
los riesgos identificados y los resultados de ejercicios de
valoración de riesgo anteriores.
Cuando el nivel de riesgo tanto de negocio como de
cumplimiento es bajo, los participantes del grupo de trabajo
(líder funcional y técnico) deberán mantener un registro
de la evidencia de la aplicación de controles y seguimiento
a los controles de cambios que sucedan en los controles
actuales, como una forma de conservar la trazabilidad de las
prácticas de seguridad y control incorporadas en los flujos de
información del negocio.
Si se logra asegurar este nivel de supervisión requerido
para balancear los dos riesgos comentados, se tendrá una
cultura y práctica de seguridad de la información inherente
al proceso mismo del negocio, lo que hará que, una nueva
consideración de cumplimiento normativo, cualquiera que
esta sea, se convierta en una motivación para mejorar las
actividades que ya se vienen desarrollando como parte de la
estrategia de fortalecimiento del control interno corporativo.
Así mismo, frente a los requerimientos legales propios
de los entornos de negocio de las organizaciones, se podrá
contar con la evidencia suficiente y necesaria para afrontar
el juicio de responsabilidades (por parte de un tercero –
p.e un Juez) en el actuar y proceder de cada uno de los
involucrados cuando se presente alguna situación excepcional,
sabiendo que el aseguramiento de prácticas de seguridad de
la información nos permite salvaguardar la reputación de
compañía, incrementar la confianza de los terceros y avanzar
en el desarrollo de ventajas competitivas.13
REFLEXIONES FINALES
Comprender el debido cuidado en seguridad de la información
en las organizaciones, es un ejercicio para reconocer las
posibles fallas de los controles internos informáticos, donde
el resultado tanto de las revisiones por parte de los entes de
supervisión internos y externos, así como de las pruebas de
vulnerabilidades en el hardware como software, hacen parte
de lo que los responsables de la seguridad de la información
deben tener en cuenta, para conocer y valorar el nivel de
aseguramiento de la información de una empresa.
En este sentido, el nivel de cumplimiento requerido por
parte de una organización frente a las exigencias nacionales o
internacionales, deberá ser parte de un diseño de un programa
de interiorización de prácticas de seguridad de la información
que permita cumplir con la obligación legal de protegerla,
asumir las responsabilidades ante la materialización de una
falla y asegurarla de acuerdo con los controles definidos frente
a los riesgos identificados.14
Cuando se tiene claridad sobre el debido cuidado en el
tratamiento de la información en las empresas, se tiene mayor
certeza sobre los impactos de la materialización de los riesgos
y la forma como ellos deben ser atendidos de acuerdo con su
nivel de clasificación y sus implicaciones en los procesos de
negocio donde es creada, procesada, almacenada, transmitida,
usada y comunicada.
Así las cosas, contar con un modelo de debido cuidado
en seguridad de la información, permite a las organizaciones
desarrollar y mantener una vista sistémica de la evolución
del gobierno de la seguridad de la información, que le
proporciona a la alta gerencia una forma concreta y real de
validar el compromiso renovado de todos y cada uno de
los colaboradores de la empresa frente a la seguridad de la
información en sus tareas diarias.
Por tanto, se hace necesario un trabajo interdisciplinario
entre las área de negocio, el área de tecnología de
información, el departamento jurídico y la junta directiva,
para que a la luz del marco de acción propuesto para
implementar el debido cuidado de seguridad de la
información, podamos valorar los beneficios del cumplimiento
regulatorio, sus costos y los impactos de una falta al
cuerpo normativo que le aplica en el contexto del negocio
en cuestión.
En consecuencia, para hacer realidad la propuesta
planteada para materializar el debido cuidado en seguridad
de la información se hace necesaria una evolución acelerada
de la función de seguridad hacia los temas de gobierno, riesgo
y cumplimiento, que le permita estar en la agenda de los
miembros de la junta directiva a través de un comité ejecutivo
de primer nivel, donde se rindan cuentas de la evolución del
programa de seguridad, apalancado en los riesgos estratégicos
de negocio y las regulaciones y acciones legales que implican
la materialización de una falla de seguridad.15
ISACA JOURNAL VOLUME 2, 2011 7
 Finalmente, la próxima vez que sea interrogado sobre el (consultado 29 Octubre 2010); ISACA, The Risk
debido cuidado en seguridad de la información, recuerde éste IT Framework, USA, 2009, www.isaca.org/riskit
es un ejercicio equivalente al desarrollo de virtudes humanas, (consultado 29 Octubre 2010); Siemens Enterprise
donde cada persona da lo mejor de sí para alcanzar el justo Communications Ltd, CRAMM: CCTA Risk Analysis and
medio, aún cuando en el camino sea tentado y sorprendido Management Method, UK, 2009, http://www.cramm.com/
por situaciones inesperadas que ponen a prueba su propio downloads/datasheets.htm (consultado 29 Octubre 2010)
entrenamiento y experiencia frente al siempre nuevo y dinámico 7 Etsbeth, V., Legal Implications of Information Security
arte de la inseguridad de la información. Governance, Master of Law thesis, unpublished, Law
Faculty, University of Johannesburg, South Africa,
AGRADECIMIENTOS 2009, http://ujdigispace.uj.ac.za:8080/dspace/
El autor agradece al abogado Rafael Gamboa Bernate, LL.M., handle/10210/1837 (consultado 3 Octubre 2010)
por su tiempo y valiosos comentarios que permitieron afinar y 8 Ibid. (sección resumen ejecutivo)
ajustar las ideas propuestas en este artículo. 9 Cano, J., Integrando la Seguridad de la Información en
la Estrategia Empresarial: Una ReflexiónSsocio-técnica
REFERENCIAS Para Enfrentar la Inseguridad, 2010, http://insecurityit.
1 Steele, B. Due Diligence on IT Security, USA, Ziff Davis blogspot.com/2010/09/integrando-la-seguridad-de-la.html
Enterprise, 2009, http://www.baselinemag.com/ (consultado 3 Octubre 2010)
c/a/Security/Due-Diligence-on-IT-Security/ Cano, J., Métricas en Seguridad de la Información: Un
10

(consultado 3 Octubre 2010) Reto Permanente, 2010, http://insecurityit.blogspot.

2 US Sarbanes-Oxley Act of 2002, http://www.gpo.gov/fdsys/ com/2010/07/metricas-en-seguridad-de-la-informacion.
pkg/PLAW-107publ204/html/PLAW-107publ204.htm html (consultado 3 Octubre 2010)
(consultado 29 Octubre 2010) Op cit, Etsbeth, capítulo 6
11

3 US Health Insurance Portability and Accountability Act
(HIPAA), 1996, http://www.cms.gov/HIPAAGenInfo/
Downloads/HIPAALaw.pdf (consultado 29 Octubre 2010)
US Gramm-Leach-Bliley Act (GLBA), 1999,
4
http://www.gpo.gov/fdsys/pkg/PLAW-106publ102/html/
PLAW-106publ102.htm (consultado 29 Octubre 2010)
5 Payment Card Industry (PCI) Security Standards Council,
https://www.pcisecuritystandards.org/security_standards/
12 Jegousse, L., “Risk-based Approach to IT Systems Life Cycle
and Change Control, ISACA Journal. 2010, no. 5, pág. 28
13 Rodriguez, C., “Seguridad de la Información: Estrategia
Para Fortalecer el Gobierno Corporativo,” Revista de
Derecho Privado, Junio 2010, no.43. Facultad de Derecho.
Universidad de los Andes, http://derechoprivado.uniandes.
edu.co/ (consultado 29 Octubre 2010)
Bagley, C. y Dauchy, C., The Entrepreneur’s Guide to
14

documents.php (consultado 29 Octubre 2010) Business Law, 3rd Edition. South Western College. Cengage
6 International Organization for Standardization, ISO Learning, USA, 2008, pág. 554
31000:2009, Switzerland, 2009, www.iso.org/ 15 Op cit., Etsbeth, capítulo 8
iso/catalogue_detail.htm?csnumber=43170

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription
to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2011 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.

www.isaca.org

8 ISACA JOURNAL VOLUME 2, 2011