ÍNDICE

Unidad I: Procedimientos de Respuesta a Incidentes Cibernéticos.................4

1.1 ¿Qué es un incidente de seguridad?....................................................................................4

1.2 ¿Cómo prepararse?...................................................................................................................4

1.3 Detección del incidente..........................................................................................................4

1.4 Respuesta inicial........................................................................................................................5

1.5 Definición de estrategias de respuesta...............................................................................5

1.6 Investigación..............................................................................................................................6

1.7 Resumen del documento........................................................................................................7

Unidad II: Manejo de Amenazas y Equipo de Respuesta ante Emergencias

Informáticas (CERT)........................................................................................................8

2.1 Proceso de manejo de amenazas en EUA...........................................................................8

2.2 Proceso de manejo en Corea del Sur...................................................................................9

2.3 Centro de Seguridad de Internet de Corea: Tareas y flujo de trabajo de CERT

Corea/CC...............................................................................................................................................10

2.4 Creación de un filtro de DNS y Aplicación (CERT Corea)..............................................10

2.5 Sistema de Cura Cibernética (CERT Corea)......................................................................10

2.6 Sistema de Respuesta DDoS (CERT Corea)......................................................................11

2.7 Operación de Refugio Cibernético de DDoS (CERT Corea).........................................12

22
 Unidad III: Equipo de Respuesta ante Emergencias Informáticas (CERT)....12

3.1 ¿Cuáles son las actividades y servicios del CERT?.........................................................12

3.2 Equipo de Respuesta ante Emergencias Informáticas, CERT.......................................12

3.3 Equipo de Respuesta ante Incidentes de Seguridad, CSIRT.........................................13

3.4 Cooperación Internacional para Respuesta a Incidentes de Seguridad.....................15

Unidad IV: Sistema de Gestión de Seguridad de la Información (SGSI).......19

4.1 Introducción al Sistema de Gestión de Seguridad de la Información (SGSI .................19

4.2 Establecimiento y Operación del Sistema de Gestión de Seguridad de la Información

(SGSI).........................................................................................................................................................20

4.3 Pasos de preparación para obtener una Certificación ISO...........................................21

4.4 Corea-SGSI..............................................................................................................................21

4.5 Operaciones del SGSI...........................................................................................................28

33
Unidad 1: Procedimientos de Respuesta a Incidentes Cibernéticos

Detección Respuesta
Establecimiento
de Recopilación Análisis Generación de
Preparación de
Inicial estrategias de datos de datos reporte
incidente de respuesta

Investigación

Restauración y Resolución

1.1 ¿Qué es un incidente de seguridad?

Según CERT/CC es cualquier evento adverso, real o potencial, vinculado a la seguridad de
los sistemas de información y sus redes. Así como el acto de violar una política de seguridad de
forma implícita o explícita.

1.2 ¿Cómo prepararse?

• Sistema de Respuesta a Incidentes.
• Equipo de Respuesta a Incidentes.

En el proceso de preparación, se necesita rigurosa cooperación con el administrador y

un plan de acción para que el equipo de respuesta a intrusiones implemente de forma rápida y
efectiva la respuesta según los protocolos establecidos. Además, se deben tomar medidas como
creación de tecnologías de respuesta, preparación de herramientas y medidas preparatorias para
las redes y sistemas.

1.3 Detección del incidente

Si se detectan condiciones anormales, como repetidos intentos fallidos de ingreso, borra-
do de archivo de registros y mensajes de contenido y advertencia del servidor de la red, es im-
portante reportar el incidente, por lo que es clave recopilar la información de cómo se descubrió
y reconocieron las circunstancias de los síntomas. Usando la lista de respuesta inicial, incluyendo
la siguiente, es recomendable registrar los factores e implementar el procedimiento de respuesta
en cada paso:

44
 • Tiempo y fecha actual.
• Informe y fuentes del incidente.
• Características del incidente.
• Hora y fecha del incidente.
• Lista de Hardware y Software relacionados.
• Detección del incidente, punto de conexión de la red.
• Preparar la lista de respuesta inicial para dar respuesta rápida y veraz. Por lo tanto, el equi-
po de respuesta a intrusiones.

El equipo de respuesta a intrusiones debe empezar su actividad, después debe entrevistar

al personal relacionado para generar la lista de respuesta inicial de manera veraz.

1.4 Respuesta Inicial

Como primer paso de respuesta inicial, especialistas de la dirección de TI implementan
las medidas y entregan las medidas iniciales después que el equipo de respuesta llega al sitio.  El
equipo de respuesta a intrusiones luego implementa individual o conjuntamente medidas de se-
guimiento. Para una entrega perfecta y revisión de medidas, es importante documentar todas las
acciones tomadas en cada paso.

La respuesta inicial incluye las siguientes tareas:

• Entrevista con el administrador del sistema.

• Análisis de los diarios basados en la red.
• Análisis de la estructura de red y de las Listas de Control de Acceso, ACL.
• La conclusión del paso de respuesta inicial revela si se dio un incidente auténtico (y no una
identidad equivocada) y luego sigue la revisión de la respuesta oportuna al sistema violado,
el tipo de incidente, y el impacto potencial del incidente en el negocio. Estos elementos
constituirán la base de la estrategia de respuesta que se establecerá.

1.5 Definición de estrategias de respuesta

El establecimiento de una estrategia de respuesta tiene como objetivo determinar los protocolos
de respuesta más apropiados en un ambiente dado para el incidente. Al formularla, se tiene que
tomar en cuenta factores relacionados al incidente como las políticas, tecnologías, leyes y opera-
ciones.
• Importancia y riesgos de las computadoras usurpadas.
• Sensibilidad de la información usurpada o robada.

55
 • Nivel de acceso no autorizado que el atacante explotó.
• Nivel de sofisticación del atacante.
• Duración del apagón del sistema y operación del usuario.
• Exento de daños económicos.

Los siguientes criterios deben ser las directrices para determinar si el incidente amerita una
respuesta legal con informe a las autoridades, incluyendo la policía:
• ¿El costo o daño del incidente es lo suficientemente masivo para llamar a los investi-
gadores de delitos?
• ¿La disposición legal o penal lleva al resultado que desea? (¿Es posible restablecer el daño
y puede la contraparte compensarlo?)
• ¿Tiene la organización experiencias con investigadores de actividades delictivas o conoce
sus métodos?
• ¿Es la apertura del incidente aceptable?
• ¿Fue legal el procedimiento de la recopilación de datos?
• ¿Cuál sería el impacto de los conflictos legales en el negocio?

Si la naturaleza del incidente amerita manejo interno y no control legal, el procedimiento

general es sancionar al empleado(s) y despedirlo (s).

1.6 Investigación
La investigación del incidente requiere determinar “quién, qué, cuándo, dónde, cómo y
porqué”. Para ello, debe abarcar la separación de datos del anfitrión y de las redes.
La recopilación de información es el paso en que se consigue las actividades y evidencias
delictivas para una revisión exhaustiva durante el análisis del incidente. Si se considera la posibi-
lidad de un juicio, se debe recopilar la información digital para que la evidencia mantenga la inte-
gridad y legalidad; Puede haber necesidad de recopilar y almacenar un enorme volumen de datos.
La tecnología forense de computación es necesaria para obtener información técnica e investigar
el incidente cumpliendo a la vez con dichos requisitos.
El análisis de información consiste en una investigación exhaustiva de los datos recopila-
dos; esta información incluye archivos de control diario, archivos de configuración del sistema,
archivos del historial de navegación, mensajes de correo electrónico y archivos adjuntos, aplica-
ciones instaladas y archivos de imágenes. Para la investigación, se debe implementar análisis de
software, análisis de marca de tiempo, búsqueda de palabras claves y otros análisis necesarios.

66
 1.7 Resumen del documento

Generación del informe

La elaboración del informe es el paso más difícil e importante. Dado que los ejecutivos o el
personal relacionado con los incidentes que leen el informe usualmente no están familiarizados
con el conocimiento avanzado de computadoras, se debe hacer de manera que ellos puedan leer
con facilidad. El proceso de la adquisición, custodia y análisis de datos debe ser claro y basado
objetivamente en las cinco W y el principio de una H. Además, los detalles del análisis se deben
describir con precisión y se debe explicar de tal manera que los que toman decisiones puedan
entenderlos sin dificultad. El análisis del aspecto legal debe ser lo suficientemente minucioso para
el que el análisis posibilite respuestas efectivas a posibles disputas durante el juicio.

El último paso de la respuesta de seguridad para computadoras debe incluir medidas de

organización para proteger de daños a segundos y terceros del incidente y evitar su recurrencia.
Debe incluir las siguientes medidas:

• Identificación de las prioridades de riesgo para la organización.

• Descripción de la naturaleza del incidente: causa(s) del incidente de seguridad y medidas
requeridas para restablecer al anfitrión y a la red.
• Análisis de las causas de raíz y organizativas ya que se necesita tomar acciones de segui-
miento.
• Restablecimiento de las computadoras usurpadas.
• Medidas para las vulnerabilidades de red y anfitrión descubiertas.
• Designación de la persona responsable del sistema.
• Seguimiento de las mejoras del sistema.
• Verificación de la efectividad de todos los procesos y medidas de restauración.
• Mejoramiento de las políticas de seguridad.

Para ampliar sobre este tema, recomendamos leer un reporte del INCIBE sobre “Identifi-
cación y Reporte de Incidentes de Seguridad para los Operados Estratégicos”.

77
Unidad 2: Manejo de Amenazas y Equipo de Respuesta ante Emergen-
cias Informáticas (CERT)

Recomendamos ver este video introductorio

2.1 Proceso de manejo de amenazas en EUA

En el año 2014 se aprobó el “National Cybersecurity Protection Act” (NCPA, por sus siglas
en inglés) la cual ordena al Departamento de Seguridad del Interior (DHS, por sus siglas en inglés)
en coordinación con las respectivas entidades e individuos, desarrollar, actualizar regularmente y
ejecutar planes de respuesta a incidentes cibernéticos que aborden los riesgos cibernéticos que
afectan las infraestructuras críticas. La Orden Presidencial PPD-41 “U.S. Cyber Incident Coordina-
tion” establece los principios que regulan las respuestas del gobierno federal a cualquier incidente
cibernético, y además da la arquitectura para coordinar la respuesta a incidentes significativos, y
además ordenó al DHS desarrollar un Plan Nacional de Respuesta a Incidentes (NCIRP, por sus
siglas en inglés) para abordar los riesgos cibernéticos a que están expuestas las infraestructuras
críticas. NCIRP es parte del Sistema Nacional de Preparación, y establecer el marco estratégico
y adoctrina el enfoque “a whole-of-nation” para mitigar, responder, y recuperarse de incidentes
cibernéticos. Este enfoque incluye y depende fuertemente de las alianzas público-privadas para
manejar los principales riesgos cibernéticos a las infraestructuras críticas.

88
 2.2 Proceso de manejo en Corea del Sur

El Servicio Nacional de Inteligencia (NIS) supervisa y coordina la política y administración

en colaboración con las organizaciones pertinentes del gobierno central relacionadas con la segu-
ridad cibernética nacional. El Centro Nacional de Seguridad Cibernética (NCSC) bajo supervisión
de la agencia ejecuta respuestas integrales y sistemáticas a nivel nacional.

El NCSC fue establecido en 2004 para garantizar la seguridad de las redes nacionales
operando la sala de situación nacional para recolectar, analizar y transmitir información sobre
amenazas cibernéticas a las redes de comunicación 24 horas al día y evitar responder a diversos
ataques cibernéticos limitando la propagación de daños. Los deberes del NCSC se describen de la
siguiente manera:

• Supervisión de las políticas nacionales de seguridad cibernética como la elaboración del

“Manual Nacional de Seguridad Cibernética” y de la “Regulación Nacional del Manejo de
Seguridad Cibernética”.
• Las actividades preventivas de seguridad cibernética incluyen las siguientes: revisión
de  seguridad para diversos proyectos de TI tal como agregar y extender las redes de in-
formación y comunicación de las organizaciones gubernamentales, ofrecer capacitación
de simulación integral sobre guerra cibernética al sector privado, público, a los militares
y manejar sistemas de verificación de conformidad de seguridad para poner a prueba la
confiabilidad de los productos de seguridad de información utilizados por las redes de in-
formación y comunicación de las organizaciones gubernamentales.
• Recolección, análisis y propagación de información sobre las amenazas cibernéticas a las
redes troncales nacionales y establecer un sistema nacional de alerta sobre amenazas
cibernéticas.
• Investigación sobre respuestas de emergencia a incidentes y apoyo a la restauración, así
como organización y operación de investigaciones gubernamentales conjuntas y equipos
de apoyo a la restauración en caso de haber daños serios.
• Operación de cooperación en información y compartición del sistema con agencias de se-
guridad cibernética en todo el mundo.

Por otra parte, el Ministerio de Defensa dirige el Centro de Respuesta a la Guerra de Infor-
mación para realizar operaciones de seguridad cibernéticas en la defensa. El Ministerio de Cien-
cia, TIC y Planificación Futura (MSIP) conduce operaciones de seguridad cibernética en el sector
privado mediante el Centro de seguridad de Internet de Corea bajo la supervisión de la Agencia
de Seguridad de Internet de Corea (KISA).
 

99
 2.3 Centro de Seguridad de Internet de Corea: Tareas y flujo de trabajo de
CERT Corea/CC

El Centro de Seguridad de Corea (KISC, www.krcert.com) inicialmente fue establecido

como el Centro de Apoyo a Incidentes de Internet de KISA en el año 2003. Luego KISA fue
reorganizada en 2009, cambio el nombre a KISC y se reestructuró para realizar varias tareas y
minimizar los daños evitando incidentes en Corea y respondiendo rápidamente a ellos. Opera
una sala general de situación en inter-fase con los grandes operadores de telecomunicaciones de
Corea y las empresas de vigilancia de la seguridad para monitorear el tráfico de Internet 24 horas
al día 365 días al año y revisa los flujos de tráfico de Internet, el estatus de los servicios más im-
portantes de DNS y la condición del acceso al principal servidor en los sectores de información,
públicos y financieros. También recibe notificaciones de ataques de DDoS, incidentes de phishing,
falsificación de páginas de inicio, entre otros, e implementa la respuesta inicial. Evalúa los niveles
de riesgo del nuevo malware y las vulnerabilidades de seguridad en Corea toma las medidas de
respuesta según cada nivel. Detección de sitios con códigos maliciosos escondidos y respuestas.

Para evitar la infección de las computadoras personales con códigos maliciosos distribui-
dos por medio de páginas de inicio en Corea, el centro brinda apoyo técnico a dos millones de
dominios coreanos para detectar códigos maliciosos escondidos y borrarlos, fortaleciendo así la
seguridad de los servidores de Internet.

2.4 Creación de un filtro de DNS y Aplicación (CERT Corea)

Como las computadoras zombies pueden ser explotadas para ataques DDos o provocar
daños adicionales mediante transmisión de correos no deseados y filtraciones de información
bajo control de los piratas cibernéticos, el centro opera las medidas de respuesta que ha desarrol-
lado para computadoras zombies y C&C (comando & control) con el fin de evitar daños.
Cuando una computadora zombies trata de conectarse a un C&C para recibir el comando
del pirata cibernético, re-direcciona la conexión a un sistema sinkhole (filtro) de DNS en KISC
KrCERT para bloquear el intento de conexión al C&C y detener el control remoto.

2.5 Sistema de Cura Cibernética (CERT Corea)

“El Sistema de Cura Cibernética para Computadoras Infectadas” lanzó en el año 2011 trat-
amientos para las computadoras zombies infectadas. El sistema encuentra los usuarios de las
computadoras zombies infectadas en incidentes como ataques de DDoS, les notifica de la infec-
ción a subes elabora y distribuye vacunas para tratar a esas computadoras zombies.
Con el Sistema Integrado de Cura Cibernética para Computadoras Infectadas, KISA en-
trega la lista de IP infectados al Proveedor de Servicio de Internet de Corea (ISP), el cual tiene el
sistema de notificación de infección en las oficinas centrales y regionales para requerir datos del
IP infectado y configurar la política de notificación para informar al usuario sobre la infección. Una
red de distribución separada distribuye a los usuarios las vacunas dedicadas.

10
10
 2.6 Sistema de Respuesta DDoS (CERT Corea)
Como la prioridad de los Proveedores de Seguridad de Información (ISP) es proteger y
responder ante los ataques DDoS de sus propias redes, tienen menos incentivo para invertir en
la seguridad de las secciones vinculadas donde el tráfico de Internet entre los ISP se intercambia
de forma que las secciones vinculadas tienden a ser “lugares ciegos” en cuanto a la seguridad. En
vista de esto, el gobierno ha desarrollado y operado el sistema de respuesta a los ataques DDoS
en algunas de las secciones vinculadas por la Internet para responder de manera efectiva al tráfico
de ataque de DDoS generado en las secciones vinculadas por ISP e instar a los ISP a hacer inver-
siones en seguridad de información.
Al ser una detección de tráfico anormal y sistemas de bloqueo, el sistema de respuesta
monitorea los ataques DDoS y las secciones vinculadas a Internet en tiempo real y bloquea el
tráfico del ataque DDoS que se dirige a destinos específicos.

11
11
 2.7 Operación de Refugio Cibernético de DDoS (CERT Corea)
Reconociendo la necesidad del sistema de defensa para reducir los daños a las pequeñas
empresas sin suficiente equipo o personal técnico contra los ataques DDoS, Corea introdujo el
servicio de refugio cibernético en septiembre de 2010.
El refugio cibernético DDos redirige el tráfico de ataque que van a los sitios de Internet
meta y lo filtra para que los usuarios en general puedan usar los sitios normalmente.

Unidad 3: Equipo de Respuesta ante Emergencias Informáticas (CERT)

3.1 ¿Cuáles son las actividades y servicios del CERT?

Los equipos de respuesta ante emergencias de computación (CERT) son grupos expertos
que manejan los incidentes de seguridad de computación. Los nombres alternativos para estos
grupos son equipo de preparación ante emergencias de computación y equipo de respuesta a
incidentes de seguridad en computadoras (CSIRT).
Aunque el CERT puede brindar varios servicios para responder a incidentes de Internet,
el CERT/CC categoriza sus servicios en tres tipos: actividades reactivas, actividades proactivas y
manejo de calidad de seguridad.
Como la función principal de los CERT es la acción reactiva empieza con un informe so-
bre los anfitriones dañados, códigos maliciosos o vulnerabilidades de software, reportes diarios
o eventos depositados en el IDS (Sistema de Detección de Intrusiones) o en el IPS (Sistema de
Prevención de Intrusiones), u otros requerimientos.
La acción proactiva predice los posibles ataques o eventos para preparar el sistema de
respuesta o proveer la información para proteger o ayudar. También implica medidas prepara-
torias para responder al ataque. Las acciones proactivas directamente llevan a la reducción de
incidentes.
Por último, el manejo de la calidad de seguridad es independiente de las acciones reacti-
vas. Aporta al concepto de seguridad a los servicios como ampliar la concientización, educación/
capacitación y certificación que otras organizaciones tradicionalmente realizaban. Es mayormente
de una naturaleza preventiva y puede indirectamente contribuir a reducir los incidentes.
 

3.2 Equipo de Respuesta ante Emergencias Informáticas, CERT

• Modelos de CERT
• www.cert.org

12
12
 El CERT a cargo coordina la respuesta al incidente a lo largo de todas las organizaciones
internas y externas. Aunque tiene las características del CERT interno centralizado, generalmente
incluye la rama individual de una empresa, la agencia a cargo de un área específica o un país es-
pecífico. Usualmente tiene un alcance mayor e implica grupos de clientes más diversos. Aunque
en su mayor parte apoya y coordina la respuesta a incidentes, puede tener una gran autoridad si
las leyes o regulaciones lo establecen o reconocen. Generalmente, los gobiernos utilizan el tipo
de CERT coordinante donde algunos realizan actividades de seguridad cibernética además de la
función de coordinación.
La función más importante de un CERT nacional es coordinar el manejo los incidentes en
su país. También puede realizar varias funciones para mejorar el nivel de seguridad cibernética
según los intereses, la información o la capacidad de los CERT.

Un CERT puede ofrecer los siguientes servicios:

• Punto de contacto confiable - POC (punto de contacto).

• Desarrollar infraestructura para detector señales de incidentes de seguridad cibernética y
coordinar respuestas en el país.
• Apoyo de respuesta a incidentes cibernéticos en el país.
• Análisis de incidentes, vulnerabilidades, códigos maliciosos y medidas de seguimiento.
• Compartición y coordinación de conocimiento de seguridad cibernética y estrategia con
los actores y otras agencias confiables.
• Difusión de información sobre las vulnerabilidades y estrategia de respuesta recolectadas.
 

3.3 Equipo de Respuesta ante Incidentes de Seguridad, CSIRT

• CERT Nacionales.
• EEUU, Australia, Japón, China y Corea.

Hay muchos CERTs en el sector privado, en el sector académico, el gobierno y las fuerzas
militares. Se enfocan en proveer a sus clientes servicios de prevención y respuesta a incidentes de
seguridad cibernética.
No todos los CERTs realizan actividades de preparación ante emergencias, recuperación
de desastres y continuidad económica del país y la región ni participan en la formulación de políti-
cas nacionales. No obstante, pueden brindar a las agencias gubernamentales pericia técnica como
atención forense digital y apoyo para el análisis de códigos maliciosos para la investigación del
crimen cibernético. La situación será diferente si ellos participan directamente en el manejo de
incidentes cibernéticos o si la coordinación se necesita a nivel global. En ese caso, una agencia
con una función de coordinación a nivel nacional es necesaria para cooperar con otras agencias
dentro y fuera del país.

13
13
 Para proteger los recursos claves y la infraestructura principal de los países y desarrol-
lar una comunidad de CERTs, se hizo énfasis en varios papeles nacionales y regionales y en la
necesidad de establecer un centro nacional para coordinar las respuestas a incidentes. El centro
permitió compartir bastante información de incidentes cibernéticos y fusionar información inte-
gral de análisis sobre amenazas que se dieron en varios dominios. Dicho centro es un CERT con
responsabilidad nacional, por ende, se llama CERT nacional.
El CERT nacional es operado y auspiciado por el gobierno. Si es establecido por el gobier-
no, usualmente existe como un departamento gubernamental o agencia púbica manejada por el
gobierno. Si no hay un CERT manejado por el gobierno, un CERT del sector académico o privado
normalmente asume el papel. La siguiente tabla muestra algunos ejemplos de CERT nacionales:

14
14
 3.4 Cooperación Internacional para Respuesta a Incidentes de Seguridad

Cooperación internacional
• FIRST

En 1989, un año después de la creación del CERT/CC, el gusano Wankse propagó por
todo el mundo y la necesidad de comunicación y coordinación entre las agencias de respuesta a
incidentes aumentó. Por ello, se estableció FIRST como el órgano cooperativo entre los CERTs, se
estableció en 1990 como la plataforma global para compartir información entre los CERTs.

FIRST es el órgano cooperativo internacional más grande del mundo, compuesto por 289
equipos de 64 países (a partir de febrero del 2014). Las organizaciones internacionales normal-
mente presentan más o menos las características “uniformes” de sus miembros, pero FIRST aduce
ser una comunidad libre para cualquier tipo de CERT independientemente de sus orígenes - pú-
blico, privado, o académico – para compartir la información global. FIRST realiza reuniones ge-
nerales anuales y conferencias en junio de cada año y prepara coloquios técnicos por separado y
simposios de forma coordinada y a través del auspicio de los equipos locales.

15
15
 Para Corea, el KrCERT/CC del KISA se convirtió en el primer miembro de FIRST en junio de
1998, al auspiciar la inscripción de seis organizaciones incluyendo a Infosec-CERT en 2005, KN-
CERT en 2006, ASEC en 2006, KFCERT en 2007, KF/ISAC en 2009, y ECSC en 2011. En 2003, se
convirtió en el primer miembro asiático en ser elegido para el comité ejecutivo. El país también ha
estado fungiendo como miembro del comité de programa desde el año 2013.

Cooperación internacional – APCERT

16
16


APCERT fue establecida en 2003 para fortalecer la cooperación mutual entre los CERT de
Asia del Pacífico. Limita la inscripción de los países de las Américas a diferencia de APEC, y sólo
los CERTs en las regiones definidas en APNIC (Centro de Información de Redes de Asia del Pacíf-
ico) pueden inscribirse.
APCERT comprende el comité ejecutivo, los miembros operativos, miembros de apoyo y
la secretaría. Siete miembros del comité ejecutivo eligen al presidente y vice presidente para un
período de un año. Para Corea, el KrCERT/CC de KISA es el único miembro. Fue electo vice pres-
idente en marzo de 2012, a la vez fungiendo como miembro del comité ejecutivo y secretario del
grupo de trabajo de la membresía.

17
17
 Hasta febrero de 2012, era operada exclusivamente con miembros completes y miembros
generales sólo de la región de Asia del Pacífico. No obstante, se debe observar que había voces
de cambio como las siguientes:
• Los ataques cibernéticos no se limitan a la región del Pacífico de Asia, sino que ocurren de
forma simultánea en todo el mundo. Por lo tanto, la cooperación con varias agencias en
todo el mundo es importante.
• Como son agencias gubernamentales, principalmente la APCERT, su papel es limitado y
hay una necesidad de ideas frescas y estímulo desde afuera como el de las empresas que
trabajan en el ramo.

Al llegar APCERT a su décimo año, hay una necesidad de nuevos cambios para ponerse al
día con el mundo de rápido cambio.  
Por estas razones, el APCERT sintió la necesidad de cambio; el grupo de trabajo de la mem-
bresía guiado por KrCERT/CC se formó para revisar la regulación general en el transcurso de un
año. La nueva organización, compuesta de miembros operativos y miembros de apoyo, entró en
vigencia en octubre de 2013. A enero de 2014, 26 equipos CERT de 19 países están fungiendo
como miembros operativos y no hay todavía miembros de apoyo.

Cooperación internacional

• Reunión Anual de CSIRT.

• OIC-CERT.

Se han realizado reuniones anuales de los CSIRTs con responsabilidad nacional los fines de
semana durante dos días de misma semana durante los cuales se lleva a cabo la reunión y confer-
encia anual de FIRST.
Aunque FIRST es una gran plataforma de varios CERT a nivel mundial, la Reunión Anual de
CSIRT se introdujo adicionalmente para resolver el problema de insuficientes discusiones sobre
respuestas a nivel nacional a incidentes de intrusiones. El CERT / CC invita a los CERT represen-
tantes contactándolos individualmente. La característica más importante de la reunión del CSIRT
es que sólo los equipos invitados y aprobados pueden participar. La reunión comparte infor-
mación de los CERT a nivel nacional, incluyendo incidentes mayores de intrusión, medidas para
compartir la información, proyectos de respuesta a nivel nacional e introducción del nuevo CERT
con responsabilidad nacional. Las agencias participantes difieren cada año y sólo dos personas de
cada agencia pueden participar. En 2013, 46 agencias de 39 países asistieron a la reunión.
En junio de 2005, hubo consenso para formar una organización de CERTs en los países
de la Organización de Cooperación Islámica (OIC) en la reunión anual del IDB (Banco Islámico de
Desarrollo). En consecuencia, se constituyó la OIC-CERT con seis agencias de seis países sobre
seguridad cibernética en Malasia, la Agencia Nacional de Seguridad Cibernética en Tunisia, Servi-
cios de Apoyo con Consultorías en Nigeria, Centro Nacional de Respuesta para Delitos Cibernéti-
cos en Pakistán, Comisión de Comunicaciones & Tecnología de la Información en Arabia Saudita y

18
18
Universidad de Sharjah en los Emiratos Árabes Unidos como miembros fundadores. A febrero de
2014 creció hasta ser una gran organización de 29 agencias de 19 países. Realiza sus reuniones
anuales y conferencias durante el cuarto trimestre de cada año.
El estatus de la OIC-CERT fue cambiado a organización internacional después que su afil-
iación a la OIC (Organización de Cooperación Islámica) fue aprobada en Siria en mayo de 2009.

Unidad 4: Sistema de Gestión de Seguridad de la Información (SGSI)

Recomendamos ver este video introductorio.

4.1 Introducción al Sistema de Gestión de Seguridad de la Información

(SGSI)

• ¿Qué es el SGSI?
• Importancia del SGSI.

En general, el SGSI (Sistema de Gestión de Seguridad de la Información) puede definirse

como un sistema integral de seguridad de información para brindar información integral e integ-
ridad en los bienes de información que pertenecen a una organización. La definición puede variar
de un país a otro dado que un país puede promulgar sus propias leyes sobre el manejo de la segu-
ridad de información.

19
19
 La certificación SGSI se refiere a un sistema donde una tercera parte de manera indepen-
diente evalúa si el SGSI de una organización se ha manejado apropiadamente para garantizar
la confidencialidad, integridad y disponibilidad de sus bienes de información. El sistema intenta
mejorar el conocimiento sobre seguridad de información, ampliar la seguridad y confiabilidad del
entorno de TIC.
Como las redes abiertas, incluyendo la Internet, se han ampliado rápidamente y se usan
ampliamente más que nunca en todas partes del mundo, el sector de TIC ha experimentado cam-
bios rápidos que comprenden el surgimiento del e-comercio, los e-gobiernos y los servicios ban-
carios por Internet. No obstante, en medio de estos cambios, están también proliferando algunos
efectos secundarios a causa de los avances de la TIC, como el pirateo y los virus informático, que
se están volviendo más complejos que nunca. En respuesta a estos efectos secundarios identi-
ficados en este entorno de cambio tan rápido, hay una necesidad cada vez mayor de que las or-
ganizaciones establezcan manejo de seguridad de información continuo, integrado y equilibrado
– SGSI o Sistema de Gestión de Seguridad de la Información.

4.2 Establecimiento y Operación del Sistema de Gestión de Seguridad de

la Información (SGSI)

ISO 27001
Desde que BSI creó el Código de Prácticas para Especificación del Manejo de Seguridad,
el SGSI ha evolucionado como una necesidad a medida que las necesidades industriales han cam-
biado. Como la norma internacional (ISO/IEC27001) había sido lanzado y luego revisado en 2013,
ISO27001 actualmente se compone de 14 dominios y 113 ítems de control. Mientras la versión
2005 se había enfocado más en el PDCA1 y en el ciclo de la Ley Planifica-Haz-Revisa para avanzar
en el proceso total, la versión de 2013 puso más énfasis en evaluar el desempeño de SGSI de las
organizaciones.
Los ítems de control incluyen requerimientos para establecer y operar efectivamente en las
organizaciones con los siguientes detalles:
1. Información sobre políticas de seguridad.
2. Organización de la seguridad de información.
3. Manejo de bienes.
4. Control de acceso.
5. Seguridad de las comunicaciones.
6. Seguridad física y ambiental.
7. Seguridad de operaciones.
8. Criptografía.
9. Relaciones de los proveedores.
10. Adquisición, desarrollo y mantenimiento del sistema.

1 Círculo PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es
una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. http://
www.pdcahome.com/5202/ciclo-pdca/

20
20
 11. Aspectos de seguridad de información del manejo de continuidad de negocios.
12. Manejo de incidente de seguridad de información.
13. Seguridad de recursos humanos.
14. Cumplimiento.

4.3 Pasos de preparación para obtener una Certificación ISO

Además, abarca estructuras para confirmar si dichos requerimientos se están cumpliendo y
manejando de manera efectiva. ISO27001 brinda la norma para establecer un marco de seguridad
de la información de la organización y funcionalidades para verificar que el Sistema de Gestión
de Seguridad de la Información se ajuste a la norma internacional. En la etapa del Plan, la norma
requiere que la organización identifique los objetivos de negocio y obtenga apoyo en el manejo.
La definición del alcance apropiado del SGSI y los métodos de evaluación también cae en
esta etapa. Una vez que el inventario de los bienes de información está preparado, la organización
en cuestión tiene que formular planes de manejo de riesgo y políticas para controlar los riesgos en
la etapa de Hacer. Cuando se está en la etapa de Revisión, la implementación del SGSI tiene que
ser monitoreada se debe preparar procesos de auditoría interna y revisión de manejo. Además,
la norma de 2013 requiere de estricto cumplimiento con las medidas y evaluación en la etapa de
Revisión.  Durante la etapa final de Actuar, la organización realizará re-evaluaciones periódicas
implementando mejoras continuas y acciones correctivas.  
  Una organización que establece y opera su sistema de manejo de información de seguridad
basado en los ítems de control como lo requiere la norma ISO27001, puede adquirir certificación
ISO27001. Los pasos de preparación para su adquisición se ilustran generalmente en:

4.4 Corea-SGSI
 
Marco
Dado el incremento en los incidentes relacionados con la seguridad de la información
como el pirateo y las fugas de información personal, enfrentar de forma efectiva esos problemas
se ha vuelto vital para los gobiernos, empresas e individuos que dependen del Internet. Esto es lo
que urgió al gobierno coreano a explorar la viabilidad de establecer un sistema para mejorar los
niveles de seguridad de información tanto en el sector privado como en el público. Con base en
esta investigación, el gobierno introdujo el SGSI (también conocido como K-SGSI) enmendando
la “Ley sobre la Utilización de la Red de Comunicaciones de Información y la Protección de Infor-
mación” en 2001 y decretó el K-SGSI. Para cumplir con los requisitos legales locales y responder
con flexibilidad al entorno de rápido cambio de Corea, después el gobierno estableció el K-SGSI
basado en la norma internacional (ISO 27001).
 

21
21
 Como departamento a cargo del SGSI, el MSIT (Ministerio de Ciencias y TIC) asume la
responsabilidad de decidir en los asuntos relacionados con las mejoras institucionales y establecer
la dirección de política para la certificación de SGSI. También designa el órgano de certificación
SGSI. 

K-SGSI
Órgano Certificador
Hasta el momento, el MSIP ha nombrado a KISA el órgano certificador de SGSI que ofrece
los siguientes servicios:
• Aceptar y examinar las solicitudes de SGSI que envían las organizaciones.
• Realizar evaluaciones que incluyan documentación e inspecciones técnicas.
• Manejar un comité de certificación.
• Emitir y manejar la certificación SGSI.
• Ofrecer consultoría gratuita sobre el establecimiento y manejo del SGSI.
• Ofrecer programas educativos para asesores SGSI.
 
Para ser nombrada órgano de certificación SGSI, una organización candidata debe cumplir
con los criterios que define el MSIP. Los criterios se pueden encontrar en el Artículo 53 (Criterios
de Selección para el Órgano Certificador SGSI) de la ordenanza de la Ley:
• Requerir más asesores SGSI certificados.
• Cumplir con los requisitos de manejo y operación de evaluaciones de certificación SGSI
como lo establece el MSIP.

Comité de Certificación
Al concluir una evaluación SGSI, se debe enviar un informe sobre los resultados de la
evaluación al comité certificador. El comité certificador está a cargo de decidir sobre los resulta-
dos de la evaluación SGSI, y de renovar y cancelar las certificaciones SGSI.
El comité certificador se compone de cinco a diez profesionales de TIC con experiencias
pertinentes en seguridad de información, auditoría de sistema de información, operaciones de
sistemas de información, entre otras. El director del órgano certificador los nombra y los miem-
bros del comité seleccionan al director del comité certificador.

Creación y Operación del SGSI

• Formación de un equipo de establecimiento SGSI.
• Análisis del estado actual.
El establecimiento del SGSI empieza con la creación de un equipo de implementación.
Este equipo maneja las tareas en general para establecer el SGSI en colaboración con otros de-
partamentos. El equipo completo debe tener un profundo y amplio entendimiento del SGSI. Si
los recursos para formar el equipo son limitados, una alternativa podría ser contratar a un con-
sultor experimentado o a una firma consultora. No obstante, al contratar consultoría externa, el
personal a cargo de crear el equipo SGSI tiende a confiar en gran medida en los resultados de la

22
22
consultoría y en consecuencia formulan políticas y actividades de control, entre otras. Para evitar
esta situación, el equipo de creación del SGSI debe jugar el papel principal en esta etapa y tomar
en cuenta las metas de negocio, estrategias y entornos de la organización para optimizar el SGSI
mediante manejo constante y mejoras.
Para crea el SGSI de forma efectiva, una organización debe analizar su nivel actual de se-
guridad de información. El análisis puede darse mediante entrevistas con el personal relacionado,
revisión de documentos, entre otros.
Mediante el análisis, la organización podrá comprender cuán grande es la brecha entre el
nivel actual de seguridad de información y el que se requiere. Además, identificar la brecha ayuda
a la organización a entender mejor qué tipos de vulnerabilidades tiene y qué medidas de respues-
ta tomar para reducir los riesgos de las vulnerabilidades identificadas. Esta información se usará
para calcular los recursos requeridos (p.ej., presupuesto, recursos humanos, entre otros.) para
formar el SGSI.

Políticas y Alcance de la Seguridad de la Información

• Políticas de seguridad.
• Alcance del SGSI.

Las políticas de seguridad de información sirven como la base para realizar actividades
de control. Hay varios tipos de políticas basadas en el tamaño y las características de una orga-
nización. Las políticas de seguridad pueden clasificarse en “alto nivel” y “bajo nivel.” Para el alto
nivel, generalmente llamado “política”, se incluirá lo siguiente:
• Se definirán los objetivos de seguridad de información para garantizar la CID (Confiden-
cialidad, Integridad y Disponibilidad) de los bienes de información identificados.
• Voluntad de la alta dirección y enfoque para lograr los objetivos de seguridad: el director
de la organización (p. ej. el Director Ejecutivo) aprobará y anunciará la política.

En comparación con las políticas de alto nivel, las políticas de bajo nivel de seguridad de
información deben definir controles de seguridad detallados. Usualmente, las políticas de bajo
nivel cubren áreas específicas y un grupo de personas dentro de la organización. Los siguientes
son ejemplos de seguridad de información de bajo nivel:
• Clasificación de bienes de información.
• Seguridad física.
• Manejo de control diario.
• Control de acceso.
• Seguridad de red.
• Planificación de recuperación de desastres de TI, entre otros.

Al establecer un SGSI, es importante definir su alcance. El SGSI idealmente debe ser para
toda la organización. No obstante, este esfuerzo ocasionaría compromisos financieros y de mane-
jo significativos. Por ello, un buen inicio sería definir el alcance a nivel de servicio y extenderlo

23
23
a todos los servicios que la organización ofrece. Por ejemplo, una empresa de portal de Internet
con servicios de e-compras, e-juegos, e-boletos y e-periódicos primero establecerían un SGSI en
el servicio de e-compras. Una vez que la empresa obtiene experiencia en establecer y manejar el
SGSI, implementa el SGSI servicio por servicio; eventualmente, aplicará el SGSI a todos sus ser-
vicios. Con este proceso, podrá crear un SGSI de forma efectiva, minimizando los errores que se
pudieron haber cometido en la etapa inicial.

Responsabilidad y Organizaciones
• Participación de las altas autoridades administrativas.
• Asignación de unidades y adjudicación de recursos.

Para implementar el SGSI de forma efectiva y exitosa, el liderazgo de la alta dirección es

vital. El manejo de alto nivel evidenciará su fuerte compromiso:
• Revisando y aprobando las políticas de seguridad de información.
• Asignando los recursos requeridos (p.ej., presupuesto y recursos humanos) para el SGSI.
• Garantizando que todas las actividades y procedimientos de control implementadas para
el SGSI sean manejados apropiadamente.
• Promoviendo mejoras continuas y optimización mediante seguimiento.
 
Las responsabilidades de la alta dirección deben ser definidas en las políticas de seguridad
de información de alto nivel; a la vez se establecerá la estructura de rendición de informes para
cumplir con las responsabilidades.
Una organización debe designar una unidad de seguridad de información que se haga car-
go de las tareas del SGSI. Las características (responsabilidades exclusivas o compartidas) y tipos
(por ej., CISO, comité de seguridad de información, entre otros.) de la unidad serán definidas re-
specto de los recursos disponibles y el entorno de la organización.
  La dirección superior como el Director Ejecutivo debe oficialmente asignar o anunciar
quién y cuál unidad está a cargo de las actividades generales de seguridad de información y de
asignar suficiente presupuesto, recursos humanos e instalaciones (incluyendo sistemas de infor-
mación) para que el SGSI logre los objetivos de seguridad de información.

  Manejo de Riesgos
• Metodología.
• Planificación.

Para implementar el SGSI de forma efectiva y exitosa, el liderazgo de la alta dirección es

vital. El manejo de alto nivel evidenciará su fuerte compromiso:
• Revisando y aprobando las políticas de seguridad de información.
• Asignando los recursos requeridos (p.ej., presupuesto y recursos humanos) para el SGSI.
• Garantizando que todas las actividades y procedimientos de control implementadas para

24
24
 el SGSI sean manejados apropiadamente
• Promoviendo mejoras continuas y optimización mediante seguimiento

Las responsabilidades de la alta dirección deben ser definidas en las políticas de seguridad
de información de alto nivel; a la vez se establecerá la estructura de rendición de informes para
cumplir con las responsabilidades.
Una organización debe designar una unidad de seguridad de información que se haga car-
go de las tareas del SGSI. Las características (responsabilidades exclusivas o compartidas) y tipos
(por ej., CISO, comité de seguridad de información, entre otros.) de la unidad serán definidas re-
specto de los recursos disponibles y el entorno de la organización.
La dirección superior como el Director Ejecutivo debe oficialmente asignar o anunciar quién
y cuál unidad está a cargo de las actividades generales de seguridad de información y de asignar
suficiente presupuesto, recursos humanos e instalaciones (incluyendo sistemas de información)
para que el SGSI logre los objetivos de seguridad de información. 
• Identificación y evaluación.
• Selección de medidas de respuesta.
• Establecimiento de un plan de implementación.

El manejo de riesgo debe permitirnos identificar y evaluar riesgos en todas las áreas como
las áreas administrativas, técnicas, físicas y legales de la seguridad de información de la organi-
zación. Por ende, tiene que contener los detalles del personal, duraciones efectivas y objetivos, así
como una metodología de manejo de riesgo para garantizar la competencia técnica en el manejo
de riesgos. En estos casos, se debe tener en cuenta lo siguiente:

• Debe identificar riesgos en el cumplimiento con los requisitos legales de la seguridad de

información y de la protección de información personal.
• Analizar los riesgos administrativos, operativos y físicos para garantizar que las actividades
de control sean aplicadas de conformidad con la norma de certificación del Sistema de
Gestión de Seguridad de la Información; identificar riesgos que cualquiera de las partes
considere inadecuados.
• Para riesgos técnicos, revisar las vulnerabilidades del sistema de información y de sistema
de seguridad de información dentro del alcance del Sistema de Gestión de Seguridad de la
Información; clasificar como vulnerabilidades de riesgo descubiertas.

25
25
 El oficial de manejo de riesgo debe manejar los bienes de información en la lista y definirlos
como la norma para la valoración de cada bien. Se recomienda reflejar la opinión de la persona a
cargo del manejo de los bienes. El análisis y la evaluación de riesgo se pueden agrupar en un todo
integrado para los sistemas de información como el equipo de servidor y de redes que tiene el
mismo uso, el departamento de manejo y la valoración.

Configurar y Manejar un Grado de Garantía, DoA aceptable

El nivel de riesgos identificados puede ser analizado para determinar un DoA (Grado de
Garantía) aceptable. El DoA se puede definir cuantitativa o cualitativamente y debe ser estableci-
do y aprobado por decisión de la máxima dirección – incluyendo la del oficial director de seguri-
dad de información – basándose en los resultados del análisis de riesgo.  
Para mitigar los riesgos que exceden el DoA aceptable en la etapa de manejo de riesgo, se
debe seleccionar medidas apropiadas de seguridad de información tomando en cuenta la norma
de certificación del sistema de manejo de seguridad. Las estrategias de control de riesgos general-
mente incluyen la aceptación del riesgo, reducción del riesgo, evitar el riesgo y transferencia del
riesgo. En la mayoría de los casos, la reducción de riesgo se escoge como la meta principal.
Como inclusive los riesgos cuyos niveles anteriormente no excedieron el DoA podrían
aumentar según los cambios en los entornos corporativos y externos, se puede establecer medi-
das adicionales de información para riesgos que se consideren requerir de ciertas medidas.
Al seleccionar medidas de seguridad de información, debe ser a un nivel equivalente a
o mayor que el prescrito por los requisitos legales y también se recomienda considerar la pro-
gramación de implementación y el presupuesto requerido. Por ejemplo, si el sistema de manejo
de información personal puede ser accedido desde afuera, se necesita estipular el certificado que
cumple con los métodos de autenticación segura de conformidad con “las medidas de protección
de los criterios técnicos y administrativos (Notificación) “. En dichos casos, es insuficiente simple-
mente brindar la identificación y contraseña según los requisitos legales para el control de acceso.
La metodología de manejo de riesgo que se va a seleccionar debe apropiadamente reflejar
las características de cada área (áreas administrativas, técnicas, físicas y legales) de la organi-
zación. Por ejemplo, el método de línea de base generalmente es para las áreas administrativas,
físicas y legales mientras que el análisis de riesgo detallado o el método combinado son para las
áreas técnicas. Como la naturaleza de las organizaciones difiere en gran medida, ninguna metod-
ología específica de análisis de riesgo se ajustaría a todas.  Se debe seleccionar la metodología con
base en las características y el entorno de la organización.

Establecer Planes para Medidas de Seguridad de Información

El plan de manejo de riesgos se debe establecer y ejecutar regularmente (por ej. de forma
anual) con base en el método y procedimiento de riesgos. Los siguientes son aspectos a consid-
erar en la planificación:

• Los objetivos de manejo de riesgo debe contener todos los bienes y servicios claves dentro del
alcance de la certificación del Sistema de Gestión de Seguridad de la Información.
• La fuerza laboral que realiza el manejo de riesgos debe incluir no sólo personas expertas en

26
26
 metodologías de manejo de riesgo y los sistemas u operaciones de la información, sino tam-
bién coordinadores a nivel de trabajo en los departamentos pertinentes. Si se necesita, con-
tratar terceras partes expertas podría ser una opción; y
• Al realizar tareas regulares de manejo de riesgo, uno debe revisar si la metodología de riesgo
en uso es apropiada.

  Implementación de Medidas de Respuesta

• Compartir.
• Educar.

Es importante compartir la información mediante la capacitación de los departamentos y

oficiales que van a manejar o implementar las medidas reales de seguridad de información en la
etapa donde se despliegan las medidas de seguridad de información.
El alcance de la capacitación no se limita sólo a las metas del SGSI, sino que también abar-
ca políticas de seguridad de información, leyes relacionadas y medidas de seguridad para toda la
fuerza laboral – personal regular, empleados contratados y personal de contratación externa - que
están incluidos en el alcance del SGSI. Esto se hace para promover colaboración más fortalecida
al desplegar el Sistema de Gestión de Seguridad de la Información y para facilitar la efectiva op-
eración del SGSI.

Post Manejo
• Requisitos legales.
• Manejo de la situación.

Se debe establecer un procedimiento para revisar regularmente las estipulaciones legales

y los detalles con que la organización tiene que cumplir – para desplegar y operar el Sistema de
Gestión de Seguridad de la Información. Se debe revisar regularmente el cumplimiento con los
requisitos legales y las áreas inadecuadas descubiertas, se deben reflejar en las políticas de se-
guridad de información y en las actividades de control. Esto es para evitar que surjan situaciones
indeseadas, incluyendo penas por el incumplimiento de las leyes.

Manejar el Estatus de las Operaciones SGSI

Es importante documentar las tareas de implementación necesarias para la operación es-
table del SGSI y manejar el estatus continuamente. Para este fin, las actividades de operación
del SGSI deben ser identificadas; también se debe dar la implementación de períodos y objetivos
(departamentos y personal); y se les debe dar seguimiento posteriormente y actualizarla regular-
mente.

27
27
 Realización de Auditoría Interna
Existe una necesidad de auditoría interna para confirmar si las actividades de control de
seguridad de información están siendo realizadas para implementar políticas y requisitos legales
y medidas de seguridad de información como se establece en el SGSI.
La auditoría interna se puede ejecutar regularmente y debe ser realizada por la persona
o independencia pueda ser garantizada. Las áreas inadecuadas detectadas durante la auditoría
interna pueden se suplementadas estableciendo y reflejando medidas adicionales y el auditor
interno deben confirmar que de hecho están suplementadas.
Los planes de auditoría interna y los resultados consecuentes deben ser documentados y
reportado a la dirección, incluyendo el oficial director de seguridad de información. El documento
debe contener el alcance de la auditoría interna, los detalles de la auditoría (métodos, proced-
imientos, documentos revisados, entrevistados, entre otros.), recomendaciones, aspectos inadec-
uados y suplementación.

4.5 Operaciones del SGSI

Requisitos
Remitirse a la norma de certificación de SGSI es esencial para seleccionar y operar las me-
didas de seguridad de información. Las medidas seleccionadas deben ser regularmente revisadas
para corroborar si cumplen con la norma de certificación; los formularios y procedimientos detal-
lados necesarios para operar el SGSI se debe establecer en este momento y la evidencia debe ser
manejada apropiadamente.

Procedimientos del SGSI-Corea 

Procedimientos de Certificación

¿Cuáles son los beneficios del SGSI?

28
28


En 2007, KISA realizó una encuesta con 56 empresas certificadas K-SGSI para determinar
como la certificación afecta el desempeño de la empresa en áreas como la eficiencia económica,
la estabilidad de la seguridad de información, la confiabilidad y el conocimiento.
Treinta y cuatro empresas de las 56 encuestadas respondieron y los resultados son los
siguientes:
1. Se descubrió que la certificación SGSI ayuda a la empresa a obtener y mejorar la reputación
positiva que atrae más clientes lo cual desemboca en aumento de ventas. Además, el im-
plementar y manejar el SGSI produce ahorro de costos ya que se puede prevenir los daños
que habrían ocurrido por los incidentes de seguridad sin el sistema.
2. La certificación SGSI ayuda a la empresa a garantizar la confianza en la seguridad. El entor-
no seguro brinda estabilidad de transacciones que se traduce en un aumento en el valor
de la empresa.
3. Mantener la certificación SGSI evidencia la seguridad confiable de la empresa que además
mejora la confianza en la empresa en cuestión.
4. La mayor conciencia de la seguridad guía a una seguridad mejorada. La certificación SGSI
insta a la fuerza laboral de la empresa a tener un mejor entendimiento de la seguridad de
información.  

29
29