Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura fundamental
La gestión de la seguridad
Contenido
1 ¿Qué es la gestión de la seguridad?
Palabras clave: gestión de seguridad, gestión de riesgos, mejora continua, seguridad, información, ciberseguridad.
1. ¿Qué es la gestión de la seguridad de la información?
El término gestión tiene un conjunto de implicaciones que han sido abordadas desde diversas ramas
del conocimiento, siendo las ciencias administrativas y económicas las que llegan a una definición
en torno a la coordinación y organización de actividades orientadas a lograr unos objetivos o metas
previamente definidos. De acuerdo con algunas teorías económicas, la gestión implica a su vez hablar
de innovación y mercadeo (Stain, 2005).
¿Sabía que...?
A pesar de que usualmente la gestión de la seguridad de la
información está definida como un tema técnico, en realidad
se trata de un tema estratégico alineado con los objetivos del
negocio, para así no solo cumplir con la labor de proteger la
información, sino también generar beneficios.
Con la mención anterior del conjunto de diversos componentes de la seguridad se busca establecer
una estructura basada, en una primera parte, en los objetivos de la seguridad de la información
representados principalmente por la triada confidencialidad, integridad y disponibilidad (CID), las
cuales pueden cambiar en trascendencia y alcance de acuerdo con el tipo de entidad, negocio o
mercado, entre otras.
POLITÉCNICO GRANCOLOMBIANO 2
A continuación, se encuentran las actividades y procesos requeridos para lograr estos objetivos de
seguridad, tales como protecciones, clasificación de datos, determinación de requerimientos de
protección de la organización, y medidas de contención, los cuales son posibles de identificar gracias
a actividades como la detección y clasificación de activos de información, para posterior análisis de
riesgos y amenazas asociadas.
En la parte superior de la estructura se encuentran los objetivos del negocio, y es vital su aparición en
este punto dado que estos son los que determinan hacia dónde se debe gestionar la seguridad de la
información, es decir, no se definirá un marco de acción sobre activos de información o información
misma que no tienen importancia alguna en la consecución de los objetivos empresariales.
Objetivos
del negocio
Controles y Mecanismos
salvaguardas Mecanismos
de medición de detección
de seguridad
POLITÉCNICO GRANCOLOMBIANO 3
Previamente se mencionaron la innovación y el mercadeo, y estos son otros aspectos que usualmente
se descuidan al hablar de la gestión de la seguridad de la información. Esto se debe a que la literatura
existente no aborda temas de motivación con innovación al realizar actividades en torno a la
generación de conciencia o en los mecanismos en los que se entregan los controles de seguridad para
protección del negocio, por nombrar algunos ejemplos. Es por ello que temáticas como la gestión del
cambio son vitales para este Módulo.
Vale la pena hacer una corta descripción del término recién mencionado: las partes interesadas es
un término que se asocia a personas u organizaciones que pueden afectar, ser afectadas o pueden
percibir afectación a causa de una actividad o decisión. La importancia de este término se debe a que
entrando a la definición de lo que es un SGSI, las partes interesadas juegan un papel fundamental
en el apoyo, la asignación de recursos, así como en la implementación de controles y participación
en cada una de las actividades. Así como se busca lograr los objetivos de la organización, también es
necesario solventar las necesidades de estos interesados, pues, al fin y al cabo, son patrocinadores, y
su apoyo a la gestión de la seguridad es determinante como un factor de éxito.
POLITÉCNICO GRANCOLOMBIANO 4
Clientes
Inversionistas
Mercado
Competencia Socios
Organización
Gobierno
Proveedores
Entes de
control
Directivos Empleados
La gestión de la seguridad puede ser analizada como un conjunto de mecanismos afines a los
instrumentos y componentes de un reloj; es decir, en la medida que son más elaborados, alcanzan
mejores resultados y tienen menores fallas. Así mismo, la gestión requiere de un alto compromiso
por parte de las partes interesadas, ya sean empleados, directivos o jefes de área; del impacto de
acciones y decisiones de partes interesadas externas, como entes de control, clientes, participantes
del mercado y competencia; y de una base normativa conformada por leyes, requerimientos propios
de un mercado y regulaciones, entre otras.
POLITÉCNICO GRANCOLOMBIANO 5
2.1. Generación de valor
La creación de valor para una organización va más allá de mejorar los beneficios económicos a
inversionistas y socios, también se puede hablar de valor en el aumento de la capacidad en la
realización de actividades por parte del personal; el aporte al mejoramiento de la percepción de la
labor de la organización en su entorno o en la sociedad; e incluso en cómo la misma organización
aporta a la calidad de vida de sus empleados.
Al analizarlo en más detalle, pensar en generar valor desde seguridad es complejo cuando no se
visualiza como un tema estratégico. Sin embargo, se puede observar una generación de valor al
brindar confianza a inversionistas, clientes e incluso a los empleados en la organización, cuando
determinan que su información y recursos, entre otros, se encuentran protegidos adecuadamente;
o que a pesar de presentarse situaciones adversas como un ataque informático, no se permitió a los
criminales lograr su cometido. Detalles así permiten que la concepción de la seguridad esté basada en
hechos y no brinde una falsa sensación de protección.
Otro elemento generador de valor al hablar de seguridad es la gestión del conocimiento. Procesos
como la identificación de la información en su contexto y entorno posibilitan realizar el seguimiento
al conocimiento que solo está en cabeza de una persona, por lo que requiere ser gestionado por
medio de actividades de transferencia de conocimiento, capacitación de compañeros, volcado de
información en memorias documentadas, entre otras ideas. Eso al final será gestionar la disponibilidad
de la información, independientemente de que las personas estén o no en la organización, lo cual
genera beneficio y continuidad del negocio.
POLITÉCNICO GRANCOLOMBIANO 6
Cómo mejorar...
En la actualidad usabilidad se ha convertido en un vocablo relevante cuando se
habla de tecnología. Para conocer un poco más del tema, se recomienda revisar
el documeto publicado por el Instituto Nacional de Estándares y Tecnología de
Estados Unidos (NIST), Usability and Security Considerations for Public Safety
Mobile Authentication (Choong, Franklin & Greene, 2016).
Un ejemplo de ello son las tecnologías denominadas single sign-on, las cuales permiten acceder a
múltiples sistemas, aplicaciones o recursos de información, con una única cuenta de usuario y sus
correspondientes credenciales. Esto se asocia al concepto de usabilidad, que se puede explicar en
pocas palabras como el modo en que las personas o usuarios emplean algo, y la cual es una de las
necesidades actuales de la seguridad, pues permite mejorar los niveles de protección y del uso de la
tecnología para generar mejoras en los procesos.
POLITÉCNICO GRANCOLOMBIANO 7
Una de estas actividades pude ser la de enseñar la importancia de las copias de seguridad de
información sensible o crítica para procesos; esto permitirá que el personal genere una autogestión y
emplee de la mejor forma estas herramientas tecnológicas, y así empoderar al usuario de la seguridad,
dado que es quien mejor entiende la importancia de la información que emplea para sus actividades
del día a día.
Es cierto que los beneficios no se logran de un día para otro y la generación de conciencia, el
entendimiento de las políticas y todos estos elementos requieren de un tiempo de socialización,
capacitación, aplicación y acompañamiento para verse correctamente aplicados. Sin embargo, estos son
mecanismos que permiten que todos los controles y elementos que se implementan en seguridad, para
proteger la información, no sean ignorados y olvidados por parte de quienes están destinados a usarlos.
¿Sabía que...?
En la seguridad de la información siempre se ha considerado a las personas los
elementos más débiles dentro de la ecuación, los cuales se busca mejorar por
medio de técnicas como la ingeniería social y llevarlos a desarrollar actividades o
acciones que bajo otras circunstancias no serían posibles.
Hay que trabajar en fortalecer las capacidades de reacción y actuar de las personas
en cuanto a seguridad. Este es el filtro más importante que se puede activar en
seguridad de la información.
POLITÉCNICO GRANCOLOMBIANO 8
2.4. Protección holística del negocio
Las organizaciones, más allá de tamaños, mercados, actividades económicas, entre otros aspectos,
suelen presentar una estructura que puede llegarse a asimilarse con un organismo vivo, por lo que
se debe buscar que las soluciones sean holísticas, sistémicas y de amplia cobertura, pensando en la
optimización de recursos (personas, tiempo y dinero). Esto será valioso en cuanto a la seguridad,
particularmente para cambiar la concepción de que es un gasto más que una inversión.
De acuerdo con lo anterior, no es posible aislar totalmente procesos o actividades en una organización,
pues la interdependencia de procesos, actividades e, incluso, del mismo uso de la información hacen
que se requiera de una relación, intercambio o socialización para desempeñar labores. Es decir que
aquellas visiones antiguas que establecían que era posible implementar seguridad para un único proceso
o actividad específica de una organización no son adecuadas para las organizaciones actuales, pues,
aunque no todas las actividades y procesos enfrentan los mismos riesgos, se pueden reusar y emplear
controles para sacarles el mejor provecho, siempre optimizando recursos disponibles.
Finalmente, basado en el precepto de la interacción entre las partes de una organización, se debe tener
en cuenta que las acciones que se desarrollen en un proceso, pueden tener impacto en los que le sigan.
Así que, en el momento de diseñar controles de seguridad, se debe tener siempre presente cómo
se afecta el negocio con ese elemento o mecanismo que se busca implementar, para no generar un
impacto negativo en la disponibilidad, en lugar de generar una protección para la organización.
La preparación para enfrentar todos los tipos de amenazas, peligros y riesgos de seguridad o que
tengan de alguna forma impacto en la disponibilidad del servicio o de la operación es lo ideal.
Sin embargo, esto no es posible, dado que implica un conocimiento absoluto del entorno, del
comportamiento de variables que incluso no se pueden controlar o manejar; no obstante, no significa
que no sea posible tener una preparación estructurada para enfrentar situaciones que pueden haber
enfrentado otras organizaciones del mismo mercado y socios, así como tener en el radar los diversos
factores de riesgos que pueden llegar a generar un impacto, incluso llegando a dejar de lado qué tan
probables o no sean.
POLITÉCNICO GRANCOLOMBIANO 9
El primer elemento de la gestión de incidentes brindará bases de conocimiento y preparación ante
eventos que puedan afectar de forma controlada o aislada la seguridad. Por su parte, la gestión de
riesgos ofrece una gestión de más alto nivel ante peligros que puedan atentar directamente alguna de
las propiedades de la seguridad y, por ende, generen impactos económicos, legales, reputacionales,
operacionales, entre otros, a la organización.
A diferencia de las inversiones en tecnologías que apoyan la operación con el fin de reducir esfuerzos,
tiempos o aumentar productividad, la seguridad no es tan simple de presentar en los mismos términos.
Ello no significa que la seguridad sea un gasto y no una inversión. A través del cálculo de Return on
secuirty investment, mejor conocido por su sigla ROSI, es posible determinar qué ahorro puede
generar la seguridad de la información para una organización al evitar la materialización de riesgos
o la presencia de incidentes o eventos de seguridad que alteren el flujo usual de las operaciones o
actividades de esta.
Sin embargo, es vital plantear que independientemente del ROSI, la inversión de los recursos
autorizados o permitidos para seguridad deben realizarse a través del establecimiento de controles para
gestionar riesgos o como acciones preventivas para evitar incidentes y riesgos reales, viables o posibles,
de lo contrario, se tratará de un gasto en elementos que no serán aprovechados correctamente.
POLITÉCNICO GRANCOLOMBIANO 10
Esto implica que el esfuerzo se orientará exclusivamente a llegar al nivel de cumplimiento, cohibiendo
de la posibilidad de ir más allá y lograr mejoramiento de procesos, protección, gestión del riesgo, entre
otras posibles mejoras.
La dirección de las organizaciones no observa el factor estratégico y las oportunidades que brinda
la seguridad como generador de confianza para clientes y otras partes interesadas y mecanismo de
defensa interno y externo ante peligros del medio tradicional en el que la organización se desempeña.
La tarea inicial en la gestión de seguridad para lograr un cambio en esa concepción es la ilustración y
socialización de cómo la seguridad trasciende de lo técnico para convertirse en un tema estratégico,
de relevancia para la alta dirección, y cómo el dedicar recursos, entre ellos, la atención al tema,
permitirán dar un manejo adecuado y que la misma dirección sea un líder en los procesos de gestión
de seguridad.
Todo lo anterior requiere conocer el tipo de organización, para lograr alianzas estratégicas con otras
áreas, procesos y grupos que, a su vez, aportan a ver la seguridad como un tema relevante y
generador de valor.
En síntesis...
Gestionar la seguridad de la información representa un esfuerzo constante
dentro de la organización, para lograr justificar la necesidad de recursos; poder
implementar elementos, controles y mecanismos, para fortalecer la gestión de
riesgos y reducir el impacto y probabilidad de posibles amenazas, debilidades y
factores que atenten contra la confidencialidad, disponibilidad, integridad y otras
propiedades de la información, como la trazabilidad, no repudio y autenticidad.
POLITÉCNICO GRANCOLOMBIANO 11
Referencias
Choong, Y., Franklin, J. M. & Greene, K. K. (2016). Usability and Security Considerations for Public
Safety Mobile Authentication. Recuperado de https://csrc.nist.gov/publications/detail/nistir/8080/
final
Stain, G. (2005). Lo mejor de Peter Drucker sobre márketing e innovación. Harvard Deusto
Márketing Y Ventas, (72), 75-79. Recuperado de https://www.harvard-deusto.com/lo-mejor-de-
peter-drucker-sobre-marketing-e-innovacion
POLITÉCNICO GRANCOLOMBIANO 12
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 13